扬州市广陵区金融办 徐 利

移动网络金融安全应对策略

扬州市广陵区金融办 徐 利

移动网络金融现状分析

在我国移动互联网呈现飞跃式发展,截止2013年底中国手机网民超过5亿,占比达81%;中国的智能手机普及率66%已经超越美国和英国。数据显示,全国所有城市均已实现了3G的基本覆盖,新增3G移动电话用户1.69亿户,总规模突破4亿户。伴随着手机等移动终端价格与使用资费的下降及wifi的广泛铺设,4G网络的起步,移动网民呈现爆发趋势。智能手机的迅速普及,极大改变了用户对移动终端使用习惯,为金融业务移动端平台的构建提供了良好的网络基础。然而当人们迫切希望能够随时随地从事移动互联网金融活动的同时,在接入网络、移动终端、应用服务与隐私保护等方面还面临着安全挑战。

现阶段移动互联网金融主要有以支付宝手机钱包、微信支付等为代表的第三方移动电子支付及以NFC手机支付等作为支付渠道。2013年,阿里的“快的”与腾讯“滴滴”打车软件的激烈竞争,电信运营商与银行的合作NFC(进场通信技术)手机支付等反映了电子支付从PC端向移动端的加速,极大丰富人们的电子支付手段。根据iResearch统计数据保守估计,至2016年我国移动支付行业市场份额将接近万亿元。

我国金融体制改革的进一步深化,鼓励金融创新的政策密集出台。2013年7月国务院发布金融改革“国十条”提出了未来金融改革的政策,其中包括“尝试由民间资本发起设立自担风险的民营银行、金融租赁公司和消费金融公司等金融机构”;2013年11月,党的十八届三中全会通过的《中共中央关于全面深化改革若干重大问题的决定》正式提出“鼓励金融创新,丰富金融市场层次和产品”。随着中央银行第三方支付牌照的发放以及各项支持政策的相继发布,民众理财意识的提升,以余额宝为代表的互联网金融创新产品为例,实现了基金规模从0到4000亿元的飞跃式增长,用户突破8100万户(2014年2月27日,天弘基金官方微博)。可以预见,移动互联网金融的发展将日新月异。

移动互联网金融安全问题分析

移动互联网(Mobile Internet,简称MI)采用移动无线通信方式接入互联网,包括终端、移动网络和应用等三个方面。移动互联网金融在快速发展的进程中,将面临来自移动互联网的信息安全、用户终端层面的安全、金融监管与创新评价等方面的挑战。

（1）移动互联网安全性风险

移动互联网是移动和互联网融合的产物,与传统多层、多级的通信网不同,其主要采用的是扁平网络,在普通互联网基础上通过无线Hub、无线接入基站(Access Point,AP 网络桥接器)、无线网桥等设备来实现,其核心就是IP化。

1)移动互联网运营商的数据管理、控制和用户的数据传输,其核心网可能被用户终端访问。加之IP自身容易引起安全漏洞,如僵尸主机与各种攻击网络的安全问题不仅会使公众网络受到威胁,而且也会波及到其承载网络的核心网。

2)未经授权用户的接入:由于无线信号是在空气中传播的,信号可能会传播到不希望到达的地方,在信号覆盖范围内,非法用户无需任何物理连接就可以获取无线网络的数据,因此,必须从多方面防止非法终端接入以及数据的泄漏问题。

3)移动传输时基本的信息加密:由于移动互联网的无线信号传播是开放式的,所以容易受到监听和监控,信息密码被盗取等;移动传输中的信息(如位置、消费、计费和支付信息等)机密性、完整性和真实性的保护,避免他人侵犯用户的利益和隐私。

4)互联网网络病毒:蠕虫、木马、僵尸网络等病毒和对移动互联网站攻击(如网页仿冒、拒绝服务攻击事件等),给国家或民众造成重大损失。其技术性高、虚拟和欺骗性强等特点,使人们对其防范手段比较薄弱。

5)移动互联网金融服务在追求便捷性的同时,存在身份认证、安全管理、权限限定等薄弱环节。与互联网金融相似,交叉影响、风险扩散速度快,安全问题将始终是其发展面临的最大挑战之一。

（2）用户层面的安全性风险

移动互联网的日趋成熟,移动智能终端的功能呈多样化,开放性的方面发展,移动终端主要包括智能手机、平板电脑等;移动金融业务的发展受到了移动智能终端发展的推动,同时安全风险也随之增加。

1)移动终端具有体积小、便携性强的优点如手机,有容易丢失的缺点。移动终端里的信息隐私性强,因丢失造成的泄密危险性高。由于个人的使用习惯,对使用过程安全的忽视,极易出现他人非法使用或偷窥的情况,这样移动终端中的信息安全性就得不到保障。

2)移动智能终端引起的安全漏洞:操作系统存在的安全漏洞、移动网络诈骗(钓鱼链接等)、免密登陆与虚假移动支付服务等安全隐患,可造成隐私泄露、资金被盗等风险。

3)移动互联网用户的终端使用不当造成的安全风险:与传统互联网用户不同,智能终端APP应用可能会成为新的病毒灾区。一些在微信、微博中的信息链接或者恶意吸费软件等,都会使得智能终端风险不断加。

4)从用户(个人、企业等)的角度来说,移动互联网金融产品简洁、便利,但同时兼具互联网产品快速传播、快速模仿的特质,如各类比拼收益率的理财产品等。容易出现信用风险、流动性风险,最终损害企业与用户双方的利益。

（3）移动互联网金融业务层面的安全性风险

移动互联网金融沿袭了互联网金融的诸多要素,互联网金融一方面是互联网络,另一面是金融,业务层面的安全性风险如下:

1)我国在移动互联网领域的安全监管主要依靠企业自律和专项整治行动,无法形成长效、全方位和多层次的监管效果。

2)移动互联网金融参与方众多,涉及银行、保险、证券(基金)、电信运营等多个行业,且参与主体普遍存在利益博弈与资源共享,金融行业边界模糊,国家如何界定,主管部门对其行业的安全监管面临新的课题。

3)运营模式引起的安全漏洞:移动互联网金融的运营模式主要以金融业务为核心,例如移动支付存在绑定手机和个人信息泄露等安全问题;“人人贷”等 P2P 移动互联网金融创新产品的高收益陷阱等。

4)我国现有法律体系已经落后于移动互联网发展,存在监管空白。以比特币、Q币等“互联网虚拟货币”为代表的金融创新发展迅猛。虽然如中国、美国(部分州)等多数国家明确不承认其作为货币的合法地位,但在移动互联网金融的交易中却大量、真实的存在。如何保障参与者的虚拟财产的安全,防止利用虚拟货币洗钱、赌博等问题。

移动互联网金融安全防范策略

移动互联网时代的来临,促使虚拟与现实的金融更加紧密地融合在一起。移动互联网金融自身发展的独特性,如信息流通快、随意性强和交易灵活等特点,产生与互联网金融不同的安全问题。笔者根据ITU-T的X.805移动互联网的安全通信框架,提出安全策略,包括三个安全层面:移动终端安全、金融业务平台安全、移动互联网安全;每个层面通过五项措施:安全立法、行业自律、安全架构、安全技术、安全监管等,来达到每个层面的安全目标:数据保密性、数据完整性、不可抵赖性、身份认证和访问控制等。

（1）移动互联网层面安防策略

1)使用各种先进的身份认证措施,防止未经授权用户的接入:如利用MAC阻止未经授权的接入地址,因为每个网卡都拥有唯一MAC地址,为AP设置基于MAC地址 Access Control(访问控制表),确保只有经过注册的设备才能进入网络。

2)使用先进的加密技术,使得非法用户即使截取无线链路中的数据也无法破译:基本的WEP加密(WEP是IEEE802.11b无线局域网的标准网络安全协议)。在传输信息时,WEP可以通过加密无线传输数据来提供类似有线传输的保护。在简便的安装和启动之后,应立即设置WEP密钥。使用更为先进的加密技术TKIP(临时密钥完整性协议,一种替代性安全协议),进一步加强无线链路中数据的加密性能。

3)利用对AP的合法性验证以及定期进行站点审查,防止非法AP的接入:通过双向认证,可以有效的防止非法AP的接入。在入侵者使用网络之前通过接收天线找到未被授权的网络,通过物理站点的监测应当尽可能地频繁进行,频繁的监测可增加发现非法配置站点的存在几率。

4)加强移动互联网安全技术标准制定:如终端安全机制、网络域异常流量的监控、空口安全机制等。同时根据已有密码算法,结合我国密码管理办法规定,制定网络域安全机制。

5)安全域边缘特别是接核心区域节点,应综合部署具有用户认证、入侵检测、数据加密的安全网关,以起到病毒安全隔离作用。

（2）移动互联网金融用户终端层面安防策略

1)移动互联网的终端防护主要是以防毒软件和防火墙实现。为金融用户终端设计,安全应用程序框架、安全浏览器和安全虚拟机等。安全浏览器能防止恶意网站的攻击,为用户提供安全的Web应用;安全应用程序框架、安全虚拟机等,为安全保密移动应用提供安全可控的运行环境。

2)加强移动终端的保密管理,主要包括数据本身和传输过程中的加解密,能提供源码保护、防止APK二次打包、SO库(系统服务调用)加密三项基础服务保证移动支付APK静态状态下的绝对安全。移动用户终端应集成符合有关要求的密钥管理、密码算法等密码基础服务,若查出有机密信息被泄露,能够及时阻断。

3)访问控制是确保只有受信任的终端才能接入网络中。移动用户终端应安装安全操作系统,为用户提供全方位的安全访问控制和应用保护,防止关键数据被篡改、窃取,使系统免受攻击,保障关键应用安全和访问控制。

4)移动用户终端应安装安全软件,对每一个文件进行风险检测,分析相关文件潜在的安全漏洞,一键生成安全分析报告。移动终端生产企业可以根据安全分析报告定制安全解决方案。例如对移动支付类应用的APK安全评估结果制定相应的安全解决方案。

5)加强用户的手机安全意识教育和培训,通过政府和运营商等网站对用户进行安全教育。开发具有自主知识产权、适合智能移动终端的自主高安全基础软件,为金融应用提供一个安全可靠的运行环境,防止普通应用对其影响。

（3）移动互联网金融业务层面的安防策略

国家鼓励和支持移动互联网金融创新,移动互联网是基础、金融是核心,但同时金融业务风险控制是根本。2014年3月10日,中国人民银行向多家机构下发《支付机构网络支付业务管理办法》、《手机支付业务发展指导意见》草案等,这些文件直接指向维护互联网金融安全。笔者认为移动互联网金融业务层面的安防策略应有如下几点:

1)多层次、全方位和有针对性地构建移动互联网金融安全监管体系才能建成绿色、和谐、安全的移动互联网环境。完善保护个人信息的法律体系,规范监管机制,构建移动互联网金融从民事、行政到刑事责任的完整法律体系,规范个人信息范围内的法律保护条例等。

2)继续加大对安全技术和产品的研发工作,重点基于移动互联网金融业务应用方面的安全技术和产品。明确金融业务主体,制定相应的约束政策,加强行业自律,促使银行、保险、证券(基金)、电信运营商等启动安全联动系统,有效控制移动互联网金融的安全。

3)加强在线监控、信息发布、信用评级和投诉平台等机制。根据国家相应法律法规,在政策及管理层面对移动互联网金融的业务运营(包括第三方平台)进行安全监管。建立完善的安全汇报处理机制。以“黑白名单”的形式,对恶意APP应用程序及网址输入数据库,建立安全信用评估体系,保证移动互联网金融的健康稳定的发展。

结束语

移动互联网金融模式有三个核心部分:信息交互、支付手段和资源配置。移动互联网金融在给人们带来便利的同时,安全问题却困扰人们,手机病毒的蔓延、虚假网站、恶意广告的泛滥、金融应用安全漏洞、用户隐私泄漏等问题严重制约着移动互联网金融的健康发展。移动互联网金融安全问题是个多层次、全方位、多维度的问题,本文深刻分析了移动互联网金融安全的现状,并提出了移动互联网金融安全框架模型与安全策略,以保证移动互联网金融的快速、健康、和谐和稳定的发展。