浅析我国移动支付发展中存在的安全问题及应对措施

浅析我国移动支付发展中存在的安全问题及应对措施
作者：陆炜
来源：《经营管理者·下旬刊》2017年第01期
摘要：目前，我国移动支付应用呈现多元化迅速发展态势，NFC、微信支付、支付宝支付、二维码支付等模式不断涌现，移动支付可信生态圈格局正在初步形成。

但移动支付的安全问题一直是制约其能否快速推广的一个瓶颈，如何最大限度的降低移动支付的潜在风险是目前急需研究的一个重要课题。

关键词：移动支付安全措施
一、概述
移动支付是指在商务处理流程中，基于移动网络平台，随时随地地利用现代智能设备，如手机、PDA、笔记本电脑等工具，为服务商务交易而进行的资金流动。

简而言之，就是允许移动用户使用其移动终端对所消费的商品或服务进行账务支付的一种服务方式。

近期，国际市场研究机构KantarTNS发布研报称，亚太区在全球移动支付领域已经领先，从使用人数占比看，中国内地、中国香港和韩国是当前全球移动支付市场的前三甲。

同时，中国支付清算协会发布的2016年移动支付用户调研报告显示，安全隐患仍是移动支付用户最担心的问题，占比约为46.5%。

此外，用户认为未来移动支付的安全性、应用场景范围最需要改善。

二、移动支付快速发展中面临的安全问题
1.移动支付应用市场较为混乱，监管力度相对薄弱。

近年来，随着移动支付在我国的迅猛发展，许多商家纷纷发布了自己品牌的移动支付APP客户端，以此来吸引消费者，但在这些APP背后由于安全监管力度相对薄弱，常常出现很多意想不到的问题，往往给用户造成不必要的资金损失。

目前，我国在移动支付方面的法律法规还不够完善，交易各方权利和义务规定的也不十分明确，信息的机密性、完整性、不可抵赖性、支付模式、身份验证、支付终端的安全性、移动支付各环节的法律保障还不很健全。

正是由于用户通过电子媒介所达成协议的有效性具有不确定性，使得移动支付在交易中也存在着一定法律风险。

2.手机本身安全无法保证，缺乏安全身份识别机制。

缺乏绝对安全的身份识别机制是限制移动支付应用推广速度的第二大原因。

移动终端一旦丢失或被窃就意味着别人将获取电话号码、数字证书等重要支付数据，拿到设备的人就可以访问内部文件系统及各类应用，从而通过移动支付进行资金转移。

同时，无线通信网络作为一个开放性的信道，也带来了诸多不安全因素，如通信内容容易被窃听、针对无线通信标准的攻击、对数据完整性的威胁、通信双方的身
份容易被假冒以及通信内容被篡改等。

移动互联网环境下，现有的身份识别方式通常是基于客户预留手机号的短信验证，一旦手机卡被复制或验证短信被劫持转发等情况发生，犯罪分子便可以非法控制被害人的设备或用自己的设备登录被害人帐户，从而完成资金转移。

随着移动支付习惯的养成，针对移动支付用户的木马与病毒呈迅速上升趋势。

如果手机中了木马或病毒，不法分子便可能远程控制手机或者窃取用户帐户、密码等信息，从而完成转账等相关功能。

可以看出，移动支付的安全可能会严重受制于移动终端的安全，一旦移动终端不安全，移动支付必然存在安全隐患。

3.个人网络安全意识淡薄，风险防范知识欠缺。

在目前各类病毒、木马、系统漏洞数量激增、网络攻击愈演愈烈、网络犯罪日益猖獗的网络安全形势下，广大移动支付用户对网络安全重要性的认识还普遍不足、网络安全知识相对缺乏、网络安全防护技能薄弱、网络安全意识淡薄，不利于防范移动支付风险、应对网络安全威胁，随时可能遭受因疏忽大意而导致的财产损失。

移动支付应用中出现的风险有多种，包括口令安全、系统账户权限、数据存储安全、操作系统安全等问题。

个人网络安全的防护，三分靠技术，七分靠意识，要防护这些问题，安全意识的提高不可忽视。

三、应对措施
1.进一步完善移动支付法律体系，强化监管力度。

虽然目前我国已出台《电子支付指引（第一号）》、《非金融机构支付服务管理办法》、《电子银行业务管理办法》和《非银行支付机构网络支付业务管理办法》等一系列相关制度法规，但移动支付业务发展迅猛，新技术新应用层出不穷，现有部分法律和规定已经很难适应移动支付产业高速发展要求，也不能够完全满足移动支付创新的要求，很难全面规范电子支付业务、防范支付的风险，需要进一步进行细化、完善与补充。

同时，应由移动支付产业相关管理机构协调制定专门的移动支付管理办法，为移动支付业务持续健康发展构建完整的管理框架。

移动支付市场参与者涵盖了商业银行、电信运营商、移动内容提供商、运营支持服务的技术供应商等众多机构。

发达国家的移动支付一般都具有明确的监管部门和清晰的职责分工。

例如：韩国对电子支付的监管侧重准入管理，要求所有从事支付业务的机构都要取得准入许可，接受金融监管委员会的监管；日本的信用卡、预付费卡以及移动支付业务均属经济产业省管辖。

在我国分业监管的格局下，移动支付急需建立协同监管机制，促进产业融合发展。

首先，要按法定职权，梳理移动支付产业各监管机构的监管职责和分工；其次，应在日常监管中积极探索建立由人民银行主导，银监会、工信部等配合的移动支付联席工作机制，共同研究移动支付监管的最新问题和主要风险点，协调出台联合产业政策，形成监管合力。

2.完善支付设备安全措施，提升移动支付技术保障水平。

移动支付安全问题涉及交易双方身份的真实性、信息传输的保密性和完整性、交易的不可否认性等内容。

为了确保支付的安全，数字签名、电子认证和SET标准等安全控制技术应运而生。

虽然银行和设备厂商采取各种措施用于填补技术上的安全漏洞，但今天复杂、适应性较强的欺诈应用和具备消息拦截能力
的恶意软件还是不断涌现。

为了堵住这些漏洞，各相关机构还必须采用更先进的认证技术来提高安全水平，并保证其移动通道安全可靠。

移动支付时代，人、设备、账户共同形成一个链条，当账户数据泄露，被他人操作时，账户不变，人和设备会发生转移。

可以通过指纹、虹膜等生物认证信息将设备这一环节固定，即使數据泄露、设备遗失，也无法操作账户。

同时，传统的安全验证模式往往只是在银行服务器和用户设备之间直接发生支付和验证指令传输，而在两者之间加入可信的第三方验证可以达到更好的效果。

传统的方式中，支付指令和验证指令通过单一通道传输，易被黑客短时间内劫持，而加入第三方，形成双通道，将支付指令和验证指令分离，从而可以大大增加安全系数。

3.加强全民网络安全教育，提高个人安全防范意识。

随着互联网与移动支付的迅猛发展，网络安全“全民意识”的强化已经迫在眉睫。

政府主导的宣传很有必要，要经常性地组织宣传，使更多的移动支付用户感受到网络安全的重要性，并逐渐学习掌握保障网络安全、支付安全的技能，在全社会形成共同关注网络安全、支付安全、维护网络秩序的良好氛围。

同时，用户也必须要强化自己的移动支付风险防范意识，尽量做到：在支付设备上安装安全类应用软件，定期查杀病毒，开启实时安全防护系统，定期清理插件；选择正规的有信誉的应用市场下载安装支付app应用；使用多重密码来保障支付账户的安全，根据支付应用内的提示，将所有安全防御措施打开，比如手机支付密码、图形密码、手机验证码，有条件的话最好开启指纹密码；手机丢失后及时申请冻结手机号码、银行卡和相关联的支付服务。

四、结语
移动支付产业链涉及通信运营商、应用提供商、设备提供商、支付服务商、系统集成商、终端用户等多个参与方，没有一家机构能主导整个产业链的格局，在运营模式、安全标准、技术方案等方面，相关各方应在监管体系的框架内加强沟通协作，采取合作的态度共同致力提升移动支付的安全，形成合力，联手共筑安全防线。

作者简介：陆炜（1973—）男，天津市人。

工作单位：中国人民银行吴忠市中心支行。

职务：行长助理。

研究方向：计算机应用。