劉超

摘 要 在當(dāng)前移動(dòng)互聯(lián)網(wǎng)行業(yè)與金融行業(yè)的快速發(fā)展與深度融合態(tài)勢(shì)下，越來(lái)越多依托于移動(dòng)通信技術(shù)的第三方支付、融資、P2P借貸等金融模式誕生。人們?cè)谙硎芤苿?dòng)金融帶給生活的便利性的同時(shí)，還需要注重移動(dòng)金融信息安全防范，避免自身資產(chǎn)遭遇安全風(fēng)險(xiǎn)?；诖?，文章將首先針對(duì)移動(dòng)金融信息安全隱患展開(kāi)分析，并提出具體的應(yīng)對(duì)策略。

關(guān)鍵詞 移動(dòng)金融;信息安全;隱患;對(duì)策

在當(dāng)前移動(dòng)互聯(lián)網(wǎng)時(shí)代中，移動(dòng)金融信息安全備受人們關(guān)注，盡管我國(guó)移動(dòng)金融行業(yè)發(fā)展迅猛，但是信息安全問(wèn)題依舊被眾多投資人忽略，只有保障金融信息安全，才能促進(jìn)金融行業(yè)進(jìn)一步的發(fā)展與創(chuàng)新。在當(dāng)前我國(guó)金融信息化建設(shè)進(jìn)程中，移動(dòng)金融規(guī)模的逐步擴(kuò)張也帶來(lái)了一系列的信息安全風(fēng)險(xiǎn)，唯有做好積極應(yīng)對(duì)才能適應(yīng)新形勢(shì)發(fā)展需求。

1 移動(dòng)金融信息安全隱患分析

1.1 移動(dòng)智能終端方面

智能終端操作系統(tǒng)需要為開(kāi)發(fā)者提供接口，因此也就為木馬、蠕蟲(chóng)等代碼攻擊提供了入口，我們以安卓系統(tǒng)為例，早在2013年Bluebox公司曾曝光了該系統(tǒng)的簽名漏洞，會(huì)導(dǎo)致黑客對(duì)手機(jī)應(yīng)用進(jìn)行篡改，從而實(shí)現(xiàn)控制手機(jī)、竊取賬號(hào)等操作[1]。此外，各種新病毒也不斷滋生，并且在攻擊性、復(fù)雜性、偽裝性方面有了進(jìn)化，會(huì)對(duì)支付寶、微信支付等支付及購(gòu)物類(lèi)應(yīng)用有所篡改，而手機(jī)下載了這類(lèi)經(jīng)過(guò)篡改的應(yīng)用或是掃描帶有病毒的二維碼，都有感染病毒的可能性。同時(shí)，由于通信信道的開(kāi)放性，容易讓攻擊者竊取使用者的身份信息，獲得最高使用權(quán)限，從而達(dá)到獲取利益的目的。

1.2 交易過(guò)程方面

通過(guò)第三方支付或是金融服務(wù)機(jī)構(gòu)為人們進(jìn)行金融服務(wù)時(shí)，也有可能遭到非法攻擊。因?yàn)橐苿?dòng)金融服務(wù)主要在移動(dòng)互聯(lián)網(wǎng)中進(jìn)行，而針對(duì)互聯(lián)網(wǎng)所展開(kāi)的攻擊存在多種形式，并且移動(dòng)互聯(lián)網(wǎng)相較于傳統(tǒng)的面對(duì)面服務(wù)而言，更容易受到攻擊。一方面存在于金融服務(wù)機(jī)構(gòu)內(nèi)部業(yè)務(wù)流程當(dāng)中，我們以線上信貸業(yè)務(wù)為例，所有的金融服務(wù)過(guò)程中都需要與用戶之間進(jìn)行信息交互與識(shí)別，接收用戶個(gè)人信息及特征信息，若提供金融服務(wù)機(jī)構(gòu)內(nèi)部信息安全保障體系不完善，產(chǎn)生了技術(shù)漏洞或信息泄漏事件，一旦遭到惡意攻擊，勢(shì)必加大了資金風(fēng)險(xiǎn)，制約金融業(yè)務(wù)進(jìn)一步發(fā)展。另一方面存在于交易過(guò)程當(dāng)中，發(fā)起攻擊者能夠?qū)鬏斨械慕灰仔畔⒔厝。鄹闹笤賯魉徒o消費(fèi)者或是服務(wù)機(jī)構(gòu)，從而導(dǎo)致雙方出現(xiàn)經(jīng)濟(jì)損失。之所以會(huì)出現(xiàn)大量賬戶被盜、欺詐短信、釣魚(yú)網(wǎng)站等移動(dòng)金融信息安全風(fēng)險(xiǎn)，原因主要以下幾點(diǎn)：①賬戶密碼過(guò)于簡(jiǎn)單，容易被黑客破解;②手機(jī)驗(yàn)證短信容易被攔截;③通過(guò)偽基站偽裝成銀行或是電信運(yùn)營(yíng)商官方號(hào)碼去迷惑用戶，導(dǎo)致大量欺詐短信、釣魚(yú)網(wǎng)站讓消費(fèi)者防不勝防。

1.3 網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施方面

在萬(wàn)物互聯(lián)的時(shí)代，移動(dòng)金融信息安全風(fēng)險(xiǎn)進(jìn)一步放大，同時(shí)移動(dòng)金融服務(wù)自身的信息化、全球化特點(diǎn)，也導(dǎo)致一旦有信息安全風(fēng)險(xiǎn)發(fā)生，會(huì)難以遏制地大面積蔓延。從網(wǎng)絡(luò)基礎(chǔ)設(shè)施層面來(lái)看，包含支付平臺(tái)、接入網(wǎng)絡(luò)、智能終端、網(wǎng)絡(luò)硬件、安全設(shè)備等等，但其中有許多產(chǎn)品多次被曝光存在留有安全后門(mén)的情況。相較于傳統(tǒng)金融業(yè)務(wù)系統(tǒng)在局域網(wǎng)中運(yùn)行有所不同，移動(dòng)金融信息由于其業(yè)務(wù)支撐平臺(tái)、服務(wù)應(yīng)用場(chǎng)景、清算系統(tǒng)等均處在互聯(lián)網(wǎng)中，其中存儲(chǔ)了海量用戶賬戶信息，所以受攻擊的可能性非常大，并且在網(wǎng)絡(luò)攻防中，防御者安全體系存在滯后現(xiàn)象，導(dǎo)致各種安全隱患頻繁出現(xiàn)。

2 解決移動(dòng)金融信息安全隱患的對(duì)策

2.1 提高安全標(biāo)準(zhǔn)，保障應(yīng)用安全

為了有效防范移動(dòng)金融服務(wù)在網(wǎng)絡(luò)及移動(dòng)通信等技術(shù)層面存在的風(fēng)險(xiǎn)，需要結(jié)合具體安全風(fēng)險(xiǎn)去采用安全技術(shù)。其一，手機(jī)支付軟件應(yīng)用要重視對(duì)安全防護(hù)方面的研發(fā);其二，手機(jī)安全廠商需將安全防護(hù)工作貫穿于整個(gè)產(chǎn)業(yè)鏈;其三，加大身份識(shí)別技術(shù)創(chuàng)新，優(yōu)化移動(dòng)支付流程，減少通過(guò)掃描二維碼可能出現(xiàn)的安全風(fēng)險(xiǎn)，阿里巴巴公司的支付寶聲波支付便是保證支付效率與安全的創(chuàng)新技術(shù)[2]。因此，國(guó)家需要提高行業(yè)技術(shù)安全標(biāo)準(zhǔn)，在移動(dòng)金融基礎(chǔ)設(shè)施方面加大投入。

2.2 完善安全檢測(cè)體系，修復(fù)系統(tǒng)漏洞

對(duì)移動(dòng)金融服務(wù)流程進(jìn)行優(yōu)化完善，對(duì)暴露出的系統(tǒng)漏洞及時(shí)修復(fù)，第一時(shí)間遏制不法分子的惡意攻擊。因此，在對(duì)移動(dòng)金融產(chǎn)品的研發(fā)設(shè)計(jì)中，首先要考慮技術(shù)安全方面，對(duì)支付交易過(guò)程中的各處細(xì)節(jié)予以安全保障，切不可為了易用性而舍棄煩瑣的用戶驗(yàn)證環(huán)節(jié)，這樣可能給攻擊者留下“機(jī)會(huì)”。同時(shí)，還需針對(duì)移動(dòng)金融軟件實(shí)施嚴(yán)苛的技術(shù)準(zhǔn)入制度，筆者認(rèn)為可由專(zhuān)門(mén)的信息安全機(jī)構(gòu)或是委托第三方具有安全檢測(cè)資質(zhì)的企業(yè)對(duì)該類(lèi)軟件展開(kāi)安全性檢測(cè)。此外，第三方支付機(jī)構(gòu)及金融機(jī)構(gòu)還應(yīng)完善移動(dòng)支付保險(xiǎn)制度，為用戶在移動(dòng)金融服務(wù)中出現(xiàn)的損失提供補(bǔ)償。

2.3 完善法律法規(guī)，保證監(jiān)管實(shí)效

作為行業(yè)監(jiān)管機(jī)構(gòu)需要對(duì)法律法規(guī)予以完善，保證制度的預(yù)見(jiàn)性及可行性，強(qiáng)化金融服務(wù)機(jī)構(gòu)與第三方支付機(jī)構(gòu)的協(xié)商溝通，保證監(jiān)管實(shí)效性。從當(dāng)前工作進(jìn)展來(lái)看，我國(guó)已出臺(tái)相應(yīng)的政策法規(guī)，不過(guò)因?yàn)橐苿?dòng)金融業(yè)務(wù)尚處在發(fā)展階段，許多新技術(shù)、新方法不斷涌現(xiàn)，會(huì)導(dǎo)致監(jiān)管機(jī)構(gòu)應(yīng)對(duì)不暇。所以，還需要結(jié)合社會(huì)發(fā)展態(tài)勢(shì)對(duì)相關(guān)制度不斷完善，鼓勵(lì)消費(fèi)者、企業(yè)、協(xié)會(huì)共同參與到法律制度完善工作中。而且在推出新業(yè)務(wù)時(shí)還要向監(jiān)管部門(mén)備案，方便監(jiān)管機(jī)構(gòu)監(jiān)測(cè)工作開(kāi)展，避免新應(yīng)用與當(dāng)前規(guī)范存在矛盾之處[3]。同時(shí)還需要加強(qiáng)數(shù)據(jù)監(jiān)管，尤其是服務(wù)平臺(tái)的流動(dòng)數(shù)據(jù)需要向監(jiān)管部門(mén)透明，通過(guò)數(shù)據(jù)監(jiān)管去實(shí)現(xiàn)對(duì)移動(dòng)金融軟件的支付交易行為管理。

3 結(jié)束語(yǔ)

綜上所述，移動(dòng)金融是當(dāng)前互聯(lián)網(wǎng)時(shí)代金融業(yè)務(wù)關(guān)注的方向，但從目前實(shí)際情況來(lái)看，移動(dòng)金融信息安全還存在一定隱患，其中風(fēng)險(xiǎn)主要存在移動(dòng)終端、交易過(guò)程及網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施等方面。所以，唯有從安全技術(shù)、操作流程、法律制度等層面著手去提供有效支持，才能保證移動(dòng)金融信息安全性，推動(dòng)移動(dòng)金融的穩(wěn)健發(fā)展。

參考文獻(xiàn)

[1] 朱哲良.移動(dòng)金融軟件安全防護(hù)措施的漏洞[J].電子技術(shù)與軟件工程，2019，（2）：179.

[2] 盧弋.產(chǎn)用聯(lián)合研發(fā)，強(qiáng)化移動(dòng)金融安全[J].金融電子化，2017， （8）：61.

[3] 路艦.移動(dòng)金融信息安全隱患與對(duì)策研究[J].金融科技時(shí)代，2015， （10）：71-73.