就在产业链各环节纷纷为移动支付安全出谋划策的时候,另一个问题浮出了水面,整个行业缺乏统一的安全标准和体系,这给安全制度的推广造成了困难。
标准缺位 移动支付陷安全瓶颈
来源:中国企业报 作者:本报记者郭奎涛
标准缺位 移动支付陷安全瓶颈
随着争议多年的移动支付标准问题尘埃落定,安全问题对行业发展的阻碍日益突出,引起了从芯片、终端到商业银行、支付企业和安全厂商在内整个产业链的广泛关注。
金山安全公司技术总监、助理总裁林凯在接受《中国企业报》记者采访时表示,目前移动支付的安全防控主要是身份认证和通讯加密,支付环境的安全防范比较薄弱,传统的黑名单方式也难以跟上急剧增长的病毒增长,对于潜在的高级持续性攻击(IPT)更是大打折扣,解决这些问题需要包括支付企业、安全厂商在内整个产业链的共同努力和通力合作。
移动支付安全问题亟待解决
根据艾瑞咨询的统计数据,2012年,中国移动支付市场交易规模达1511.4亿元,同比增长高达89.2%。未来几年,这一领域仍将保持40%左右的年增长率。
中国支付网主编刘刚认为,随着标准问题争议结束,下一阶段影响移动支付商用发展的因素还有很多,日益突出的移动支付的安全问题是迫在眉睫的问题。近期的调查结果显示,93%的消费者表示,支付是否安全是影响其考虑使用移动支付服务的重要因素。
财付通上述人士认为,随着智能手机以及移动支付的普及,越来越多的手机病毒将会涌现出来,用户的财产、隐私都将受到威胁。有案例表明,招商银行、建设银行、浦发银行等多款银行类应用都曾遭遇恶意木马篡改。
与传统的针对大众用户的木马等病毒相比,林凯认为,新兴的高级持续定向攻击是移动支付更大的潜在威胁。这是一种更具针对性的、潜伏时长更长的攻击手段,在普及程度加深和价值充分体现之后,移动支付将会成为这类网络攻击的重要目标。
产业链各环节积极应对
考虑到安全问题对产业发展至关重要,整个产业链都一直在这方面进行努力,不仅包括一些支付企业,某些终端芯片厂商及一些传统互联网安全厂商也给予了高度关注。
“面对目前移动支付过程中存在的安全隐患,某些支付企业推出的相关移动支付技术能减少网页的跳转,有效地降低钓鱼网站和病毒的危害。收集的信息全程加密传输,信息保管也进行物理上的隔离,并且严禁用于与用户支付无关的场景。”业内人士指出。
除了技术方面的努力,某些支付企业还通过业务创新来保障用户资金安全。包括对手机交易额设置了上限,例如有些支付企业还开创性地推出了赔付机制,满足条件的用户可以拿到支付企业的全额赔偿,希望最大限度地打消用户使用移动支付的安全担忧。
此外,有些传统互联网安全厂商推出了云私有安全系统,该系统注重支付环境的安全,通过特有的白名单技术,将支付环境的规范化清零,只允许白名单中认可的程序运行,保证支付环境不受到病毒污染,而且对于潜在的IPT攻击更具有效果。
安全标准缺位是根源
就在产业链各环节纷纷为移动支付安全出谋划策的时候,另一个问题浮出了水面,整个行业缺乏统一的安全标准和体系,这给安全制度的推广造成了困难。例如,高级别安全认证工具的推广应用,就因为数字证书应用缺乏统一的硬件标准下的兼容性问题。
“移动支付的安全不是孤立的安全,总的来讲包括终端安全和业务安全,终端安全又包括设备安全、应用安全和数据安全,每一个环节的安全者需要相应的企业各司其职,同时又需要上下游之间充分沟通和协同,这样才能保证整个体系的安全。”刘刚说。
林凯也表示,移动支付涉及产业链的各个环节,包括银行、公安、手机厂商、运营商、手机安全厂商等应该全产业链联手,包括用户信用意识的建立,共同推进移动支付业务产业发展,金山安全已经与多年移动支付企业展开合作商谈。
财付通相关人士也透露,财付通已联合腾讯手机管家、QQ浏览器,共建安全的移动支付生态圈。财付通还在积极与安全厂商、手机厂商、移动支付提供商等企业进行沟通合作,以完善移动支付生态链的搭建。