米楠

摘 要：隨著電子商務(wù)的快速發(fā)展，移動(dòng)支付符合電子商務(wù)發(fā)展的支付需求，同時(shí)也是支付方式發(fā)展的主要方向。移動(dòng)支付有著諸多的優(yōu)點(diǎn)，但其中存在的安全性問(wèn)題不容忽視，不僅制約著電子商務(wù)的發(fā)展，同時(shí)也威脅著用戶的經(jīng)濟(jì)利益。本文將對(duì)移動(dòng)支付存在的安全威脅進(jìn)行分析、匯總，并對(duì)移動(dòng)支付存在的安全問(wèn)題提出解決辦法和建議。

關(guān)鍵詞：移動(dòng)支付；風(fēng)險(xiǎn)分析；安全策略

1 引言

移動(dòng)支付也稱為手機(jī)支付，就是允許用戶使用其移動(dòng)終端（通常是手機(jī)）對(duì)所消費(fèi)的商品或服務(wù)進(jìn)行賬務(wù)支付的一種服務(wù)方式。單位或個(gè)人通過(guò)移動(dòng)設(shè)備、互聯(lián)網(wǎng)或者近距離傳感直接或間接向銀行金融機(jī)構(gòu)發(fā)送支付指令產(chǎn)生貨幣支付與資金轉(zhuǎn)移行為，從而實(shí)現(xiàn)移動(dòng)支付功能。移動(dòng)支付將終端設(shè)備、互聯(lián)網(wǎng)、應(yīng)用提供商以及金融機(jī)構(gòu)相融合，為用戶提供貨幣支付、繳費(fèi)等金融業(yè)務(wù)。

移動(dòng)支付突破了傳統(tǒng)電子商務(wù)的載體和地域限制，真正實(shí)現(xiàn)隨時(shí)隨地地通過(guò)無(wú)線方式進(jìn)行交易，大大增強(qiáng)了買賣雙方的靈活性和支付性，從而使大規(guī)模用戶參與和個(gè)性化服務(wù)成為可能。2016年是移動(dòng)支付快速發(fā)展的一年，全球市場(chǎng)呈現(xiàn)爆發(fā)式增長(zhǎng)態(tài)勢(shì)，據(jù)專業(yè)調(diào)研機(jī)構(gòu)分析，2016年全球移動(dòng)支付用戶將突破10億，移動(dòng)支付交易額將達(dá)到2000億美元。

根據(jù)中國(guó)銀聯(lián)近日發(fā)布的《2016移動(dòng)支付安全調(diào)查報(bào)告》顯示，2016年消費(fèi)者網(wǎng)上消費(fèi)金額及使用移動(dòng)支付人數(shù)占比呈現(xiàn)雙增長(zhǎng)。根據(jù)報(bào)告，去年有超過(guò)九成的受訪者曾使用手機(jī)完成付款（在商戶現(xiàn)場(chǎng)支付或遠(yuǎn)程支付）。約四成的受訪者選擇“大額支付用卡，小額支付選手機(jī)”。

但是，目前在移動(dòng)支付信息安全保障方面還存在著很多問(wèn)題，報(bào)告顯示，2016年電信詐騙案件持續(xù)高發(fā)，消費(fèi)者受損比例持續(xù)走高。約有1/4的被調(diào)查者表示遭遇過(guò)電信網(wǎng)絡(luò)詐騙并發(fā)生過(guò)損失，較2015年上升11個(gè)百分點(diǎn)。據(jù)調(diào)查，遭受電信網(wǎng)絡(luò)欺詐的被調(diào)查者中，超過(guò)八成遭遇過(guò)盜用社交賬號(hào)詐騙，較2015年同比增長(zhǎng)了36個(gè)百分點(diǎn)。另外，木馬鏈接短信和騙取短信驗(yàn)證碼等欺詐手法也是常見(jiàn)的支付欺詐方式，遭遇兩類手法的持卡人比例達(dá)到63%和51%。因此，保障移動(dòng)支付安全將是移動(dòng)支付發(fā)展的一大瓶頸。

2 移動(dòng)支付的風(fēng)險(xiǎn)分析

2.1 基礎(chǔ)網(wǎng)絡(luò)風(fēng)險(xiǎn)隱患

運(yùn)營(yíng)商網(wǎng)絡(luò)通信環(huán)境的潛在威脅無(wú)處不在。一是手機(jī)目前還無(wú)法完全驗(yàn)證網(wǎng)絡(luò)接入點(diǎn)的安全性。黑客從偽基站、惡意WiFi網(wǎng)絡(luò)可能獲取用戶信息，發(fā)起惡意攻擊。二是在無(wú)線通信網(wǎng)絡(luò)中，黑客可通過(guò)技術(shù)手段竊聽(tīng)無(wú)線信道，截獲傳輸消息報(bào)文，偽造合法用戶身份或篡改數(shù)據(jù)信息。三是一些不法分子利用偽基站技術(shù)發(fā)送詐騙短信，利用群呼、透?jìng)鞯燃夹g(shù)實(shí)施電話詐騙，將主叫號(hào)碼偽裝成虛假的銀行、運(yùn)營(yíng)商等官方號(hào)碼，迷惑用戶上當(dāng)受騙。

2.2 移動(dòng)設(shè)備安全漏洞

移動(dòng)支付業(yè)務(wù)的實(shí)現(xiàn)依托移動(dòng)設(shè)備，而作為最常用的移動(dòng)設(shè)備，智能手機(jī)的安全性值得高度關(guān)注。一是手機(jī)操作系統(tǒng)漏洞不易修復(fù)。手機(jī)生產(chǎn)商在安卓操作系統(tǒng)上進(jìn)行個(gè)性化定制開發(fā)后，難以形成統(tǒng)一的技術(shù)標(biāo)準(zhǔn)，尚未形成如個(gè)人電腦Windows系統(tǒng)那樣全球統(tǒng)一的漏洞發(fā)布與補(bǔ)丁更新機(jī)制，手機(jī)操作系統(tǒng)的安全性面臨挑戰(zhàn)。二是手機(jī)病毒防范能力較弱。手機(jī)客戶端軟件打開的網(wǎng)址往往無(wú)法被手機(jī)安全軟件捕獲，二維碼掃碼工具僅簡(jiǎn)單地將二維碼翻譯成網(wǎng)站地址，并不具有識(shí)別惡意網(wǎng)址的能力，使得手機(jī)被木馬程序入侵的幾率大增。

2.3 服務(wù)提供商重便捷輕安全

第三方支付機(jī)構(gòu)通過(guò)搶紅包、打車補(bǔ)貼、互聯(lián)網(wǎng)理財(cái)?shù)戎Ц秷?chǎng)景積極搶占移動(dòng)支付市場(chǎng)，往往犧牲部分安全性以提高便捷性。如部分快捷支付功能在綁定銀行卡后僅需輸入支付密碼即可完成網(wǎng)上支付，二維碼掃碼支付通過(guò)手勢(shì)密碼登錄客戶端后就可進(jìn)行200元以下的免密小額支付，某些應(yīng)用程序通過(guò)讀取通訊錄和短信記錄可實(shí)現(xiàn)免填驗(yàn)證碼等，強(qiáng)調(diào)了用戶體驗(yàn)，卻埋下了安全隱患。如何在便捷與安全之間尋求平衡點(diǎn)成為移動(dòng)支付產(chǎn)業(yè)鏈各方積極探尋的突破口。

2.4 行業(yè)制度規(guī)范尚不完善

我國(guó)移動(dòng)支付方興未艾，相關(guān)規(guī)章制度正在逐步建立和完善中，尚未形成明確的監(jiān)管框架和體系，在發(fā)展過(guò)程中難免會(huì)出現(xiàn)責(zé)任不清、監(jiān)管缺失的真空地帶。當(dāng)前，互聯(lián)網(wǎng)上借貸理財(cái)、眾籌模式、虛擬比特幣等新興金融工具給別有用心的不法分子留下了可乘之機(jī)，如紅包浪潮中紅色“AA收款”詐騙事件再次給我們提出安全警示。完善制度約束，保障信息安全已經(jīng)成為當(dāng)務(wù)之急。

3 移動(dòng)支付的風(fēng)險(xiǎn)防范措施

相對(duì)于傳統(tǒng)的支付方式來(lái)說(shuō)，移動(dòng)支付的安全問(wèn)題尤為嚴(yán)峻，產(chǎn)業(yè)鏈上所有部門都必須從技術(shù)到信用通力合作。如果要讓移動(dòng)支付更好的為人們提供方便快捷的服務(wù)，就必須先保證個(gè)人隱私和信息安全，如果人們?cè)诘谝淮握J(rèn)識(shí)移動(dòng)支付時(shí)就有很不好的或者不安全的體驗(yàn)，那么以后移動(dòng)支付想要扭轉(zhuǎn)這個(gè)“第一印象”會(huì)非常困難。因此手機(jī)支付發(fā)展的瓶頸是安全問(wèn)題。根據(jù)移動(dòng)支付的安全問(wèn)題，可以采取以下措施，從而保證其安全性。

3.1 完善手機(jī)支付的安全管理

首先，對(duì)于移動(dòng)應(yīng)用發(fā)行商與移動(dòng)支付服務(wù)商，二者要加強(qiáng)安全管理，通過(guò)測(cè)試與監(jiān)管等手段，對(duì)惡意應(yīng)用進(jìn)行預(yù)防，對(duì)應(yīng)用軟件進(jìn)行全面的管理，從而保證應(yīng)用市場(chǎng)的安全性，提升發(fā)布渠道的安全性。其次，要提升安全防護(hù)能力，對(duì)于智能終端、應(yīng)用軟件與操作系統(tǒng)等進(jìn)行不斷的研發(fā)，從而保證其安全能力的逐步提升。最后，可以將手機(jī)支付業(yè)務(wù)也納入到金融法律法規(guī)監(jiān)管范圍，當(dāng)用戶遇到欺詐等安全問(wèn)題時(shí)可以在法律責(zé)任上找到明確的判斷，明確各方應(yīng)付的責(zé)任和賠付條款。

3.2 強(qiáng)化安全模塊的保護(hù)功能

安全模塊的功能主要是保證應(yīng)用的實(shí)現(xiàn)，同時(shí)保障數(shù)據(jù)的安全存儲(chǔ)，并且要提供相應(yīng)的安全運(yùn)算服務(wù)等。安全模塊具有較高的安全性，在手機(jī)支付過(guò)程中，可以利用手機(jī)中的安全模塊，即：用戶識(shí)別卡（SIM），用戶識(shí)別卡保證著手機(jī)支付的安全，是最為基礎(chǔ)的安全保障，在其中將用戶的私鑰與數(shù)字證書進(jìn)行存放，此時(shí)，要保證密鑰也在卡內(nèi)，對(duì)于加密與解密等操作，均要在卡中實(shí)現(xiàn)，從而將實(shí)現(xiàn)對(duì)用戶數(shù)據(jù)信息的保護(hù)?，F(xiàn)階段，在手機(jī)支付中，主要的方案是機(jī)卡協(xié)作，此方案是最為基礎(chǔ)的，其原理與Usbkey相似，其主控制芯片便是安全芯片，進(jìn)而具有了諸多的功能，如：防復(fù)制、防篡改、抗攻擊等。

3.3 引導(dǎo)客戶建立手機(jī)支付的安全意識(shí)

培養(yǎng)良好的手機(jī)使用習(xí)慣，譬如只從官方網(wǎng)站或可信任的網(wǎng)站下載軟件，安裝手機(jī)安全防護(hù)軟件，不點(diǎn)開陌生的彩信，不接收陌生的藍(lán)牙推送程序，不隨意掃描二維碼.不要隨意連接陌生兔費(fèi)WiFi等。

參考文獻(xiàn)

[1]陶凱.紅包大戰(zhàn)引發(fā)對(duì)移動(dòng)支付安全的冷思考[J].中國(guó)信用卡，2015（5）

[2]陳鐘.移動(dòng)支付安全保障——挑戰(zhàn)與機(jī)遇[J].金融電子化， 2012（6）

[3]任國(guó)威，劉麗娜.物聯(lián)網(wǎng)時(shí)代移動(dòng)支付安全策略[J]. 制造業(yè)自動(dòng)化，2011（16）

[4] 劉冠群. 淺談移動(dòng)支付的安全性[J].信息工程，2015（3）