移動支付熱潮喚醒移動金融安全意識

來源：《互聯網週刊》

掘金移動互聯網安全

哪裏需要“安全”，哪裏就有“戰場”。互聯網的發展熱潮從固定轉向移動，安全的“戰場”也從傳統桌面轉移到移動終端。移動互聯網時代的到來，爲安全產業帶來新的契機，而當我們跨進這扇大門四處觀察後發現，一些互聯網的掘金者已經先一步到來。

衆所周知，在互聯網信息安全領域進行着兩場曠日持久的戰爭，一場是安全產品與病毒、木馬、流氓軟件、網絡詐騙之間的戰爭，另一場是某些功能相近的安全軟件在網民桌面掀起的內戰。理想情況下，我們希望互聯網世界一片安定祥和，但是，在現實中人們尚不能建立“路不拾遺、夜不閉戶”的理想之邦，更不要寄希望於遍佈隱蔽、陰暗角落的互聯網，所以第一場戰爭的存在是必然的。而對於安全產品的內戰，我們極不願意看到，卻又無可奈何地接受——將所有的責任都推給廠商是不合理的，因爲“免費”是他們的商業模式，而非發展公益和慈善事業。

在紅海中逐利，移動互聯網照搬了傳統互聯網的競爭模式，安全領域也未能倖免。移動信息安全涉及的內容也大體類似，終端物理安全、系統安全、應用安全、數據安全等等。當然，移動互聯網下終端設備的移動屬性使得物理安全較固定設備更爲突出，而目前尚未形成統一可行的防範方法；移動支付、移動金融的崛起又將系統和業務安全重新定義，帶來更多的“寶藏”。

移動互聯網安全 終端安全先行

移動互聯網伴隨移動終端的出現而誕生，又隨着智能移動終端的普及而發展成熟。今天，人們手中的智能設備已經集掌上計算機、MP3、遊戲機、相機、GPS等多種功能於一體，不僅可以使用互聯網服務、數據計算、文件存儲，還可以實現多媒體娛樂、數碼影像攝製等用途。現在，這些智能設備已經深入人們工作、學習、生活的方方面面，其業務應用也越來越多地涉及商業祕密和個人隱私等敏感信息，所以它的安全性變得更加重要。

與桌面PC的情況相同，移動智能設備面臨多種安全威脅，比如病毒、木馬等惡意軟件入侵，設備丟失，數據泄露等等。智能設備系統安全領域早已是一片紅海，安全產品內戰的激烈程度與桌面端有過之而無不及。好在經歷了幾次“戰火紛爭”之後，用戶已經明白這些安全產品爭鬥的實質，所以這類爭鬥的反面效果越來越明顯，到現在戰火雖未停息，但也不再像以前那樣喧囂。

人們需要安全的移動互聯網，需要真正的終端安全，因此，一些標準化組織針對移動終端提出了信息安全技術要求，比如中國通信標準化協會(CCSA)明確提出移動終端需提供措施保證系統參數和數據、用戶數據、密鑰信息和證書以及應用程序的完整性、機密性，終端關鍵器件的完整性、可靠性以及用戶身份的真實性。

CCSA規定移動終端應用開發、設計時應充分考慮和提供一系列安全策略：對操作系統、應用程序和終端關鍵器件進行一致性檢驗；對用戶的身份進行認證然後根據用戶的授權提供資源及對象的訪問和操作權限；對終端的密鑰、證書、系統數據和用戶數據等進行有效的安全管理，保證存儲數據的安全；對終端各種接口提供接入安全控制，安全的接入各種網絡；終端中的關鍵器件還應具有抵抗防篡改等物理攻擊的能力，以提高移動終端的自身安全防護能力。

對安全標準的研究和認證服務，是第一處值得思考的“寶藏”。

不過，在全球範圍內移動智能設備的硬件方案屈指可數，以智能手機爲例，芯片方案僅有高通、蘋果、三星、英特爾、聯發科、美滿電子、華爲海思等，而軟件系統平臺更少，由蘋果ios、谷歌Andriod和微軟Windows Phone統領。因此，不論是硬件還是應用軟件的安全認證，系統級別的認證離不開大平臺的支持，所以在應用層面發揮的餘地更大。

圍繞終端安全的周邊，依然大有可爲。目前面市的一些終端採用了生物特徵識別認證，過去在筆記本電腦上比較普遍，如今在摩託羅拉、蘋果手機上都相繼出現。這是安全的另一種思路，從硬件上進行安全保護，比打着免費的旗幟在用戶那裏扮演“炸彈”要高明得多。另外，移動終端往往配備最先進的無線傳輸功能，比如最新標準的藍牙4.1、NFC等，都是移動場景下帶來的應用，瞄準無線傳輸的安全，也能挖出“寶藏”。

移動支付熱潮喚醒移動金融安全意識

時下最熱鬧的移動應用莫過於打車軟件，而讓打車軟件火起來的原因是騰訊(560,-7.50, -1.32%, 實時行情)、阿裏兩家企業在移動支付領域的角逐。數月以來，騰訊、阿裏燒錢補貼用戶，在移動支付方面“打”的不可開交，這也說明瞭移動互聯網的發展給移動支付帶來巨大的市場空間。與此同時，不少金融產品也開通了移動理財通道，移動金融安全付出水面。

包括移動支付在內的移動金融涉及互聯網服務端和移動用戶終端之間的信息互聯，所以傳統互聯網安全的內容完全適用：服務器安全需要維護，阻止網絡攻擊，阻止黑客竊取數據；終端安全需要維護，要阻止病毒、木馬竊取用戶隱私信息，要加密敏感數據，等等。近日，國內漏洞報告平臺烏雲曾發佈淘寶和支付寶認證存在安全缺陷的消息，黑客可利用漏洞登錄他人淘寶/支付寶賬號進行操作，另一大移動支付平臺微信也被曝存在安全漏洞，僞裝成爲微信紅包的釣魚鏈接能夠利用該漏洞竊取用戶手機信息，用戶微信綁定的銀行卡也將面臨泄露風險。移動金融安全還應該有業務方面的安全保障。有報道稱，今年1月廣州天河一市民遇到手機丟失、手機卡被他人冒名補辦導致餘額寶內49000元被盜的情況。

移動金融業務涉及的系統、應用和業務流程的漏洞防護是移動互聯網安全的基礎內容，也是一般人們對“安全防護”的認識。然而，換一種思維去保障安全，也能夠在移動金融領域得到肯定，比如支付寶引入平安保險爲期業務風險作保障。移動金融安全的本質是保障用戶的資金安全，當用戶資金遭受損失後能獲得賠償，這也是一種安全保障。由此可見，保險業在爲移動互聯網安全提供保障的時候也獲得了一份“寶藏”。

業界有一種聲音是共建移動金融生態系統，這是非常美好的設想，但是目前並未形成移動金融、移動支付方面的安全標準體系，這樣就無法促進產業鏈的形成。然而，問題總是伴隨着機遇，誰抓住了機遇，誰就佔得先機。我們不妨從小處着實，比如目前各大銀行的網銀系統多採用高安全級別的U盾作爲安全認證，那麼，指紋識別是否可以作爲移動終端上的“U盾”？這是包含硬件、軟件、認證服務在內的機遇。

我們應該認識到，移動互聯網安全不僅僅是系統、應用的安全，挖掘金礦也不限於佔領入口這種簡單粗暴的方式。移動互聯網的價值在於每一個人都將真實的生活參與進來，因此帶來了更多的機遇，而安全的寶藏就藏在其中。