本刊记者 朱 瑞

用户体验以安全为重中之重
——访百度首席产品架构师阮龙

本刊记者 朱 瑞

阮龙：百度移动安全部首席产品架构师。移动互联网第一批践行者和创业者，曾任“掌上百度”首席产品设计师，创新工场旗下公司点心移动产品总监等。对系统工具和移动安全有较为深入理解，曾主导并参与过亿用户的产品项目有：百度手机卫士，安卓优化大师，点心省电等。

2015年3月3日,全国“两会”在北京开幕。“两会”的代表委员们借助这一窗口来发出民主的呼声,尽最大程度的体现民意,这是国家的一件大事,也是一次为民办事前的集体讨论。

对于IT界的代表委员们来说,2014年,网络安全、电商监管、互联网金融、4G发展、网络空间治理等热门话题,也出现在这次“两会”上。

2014年,互联网金融的发展已经对银行、证券、基金等行业产生了极大的冲击。去年一个很大的亮点是服务业在三次产业当中的比重再次超过了工业,成为经济发展的主要拉动力。在服务业中信息消费占了很大的比重。去年整个信息消费达到了2.8万亿元,增长了18%,尤其是电子商务交易额达到了12万亿元,增长了20%。由此可以看出,“新”“旧”增长动力转换在更迭:钢铁、水泥等传统重化工业已江河日下,但互联网和电子商务等新兴业态却成为“朝阳”。

在以互联网引发的金融服务市场的巨大变革中,互联网企业应该如何突破自身局限、加强同传统金融业的合作;在网络支付环节又该如何做到安全第一;百度首席产品架构师阮龙接受了本刊记者的书面专访。

注重安全性方面的用户体验

目前百度在支付领域投入不少,单安全技术研发就投入上亿元,进一步凸显了百度在支付领域的决心。机遇与挑战并存,阮龙在回答记者提问时就提到,“移动支付已成为趋势,但移动端的创新支付手段层出不穷,如何能迅速创新又能有安全手段跟进,这是一个挑战。”在如何应对这个挑战的问题上,百度团队有自己的“杀手铜”,首先注重在安全性能方面的用户体验,其次是利用大数据优势。

“在便利性和安全性这两方面,我们都要确保用户体验,保证用户在PC和移动上支付的便利性;同时,我们利用百度的大数据优势和在安全技术上近3年的储备,来解决用户端上的安全问题。但支付是一个生态安全的问题,为了促进支付生态的发展,百度专门成立了一个“安全支付亿元保障基金”,承诺为用户在支付过程中出现的钱被盗的情况提供先行赔付服务。”阮龙告诉记者。

在竞争中,很多企业往往重视产品的用户体验,而忽视了产品的安全性。等到问题暴露后再去亡羊补牢,这时候可能已经晚了。

当然,作为网络支付企业在安全性能方面可能各有绝活。有报道称,paypal 150%以上的人是从事和安全相关的工作。这只是国外的企业做法,对于国内来说也不尽然,但也能收到异曲同工之妙。

据阮龙介绍,百度提供的是环形防御的手机支付安全解决方案,包括“应用下载保真、运行环境加固、传输过程加密、验证短信保护”四大模块,针对用户支付前下载支付类、网银类应用,应用安装后,支付过程中,支付完成后的整个支付链条,形成了一个“环形防护”机制,全方位保障消费者手机支付安全。其次,我们与银行、第三方支付厂商展开全方位的合作,提供加固技术、病毒检测技术等保障银行及第三方支付客户端的安全;最后,百度专门成立了一个“安全支付亿元保障基金”,承诺为用户在支付过程中出现的钱被盗的情况提供先行赔付服务,通过保险保障的手段来为用户减少损失。

加强对欺骗案件的甄别能力

从百度的安全解决方案看来,网络交易应该是安全的,但是为什么还有人会担心网络交易不安全呢?是人们缺乏安全感,还是真有其事呢?

有专家表示,安全和安全感是两码事,即使支付企业把安全做到99.99%,那0.01%的人仍然会觉得不安全,但是99.99%的人不会站出来说我的支付是安全的,而那0.01%的人就会把问题反映出来,从而造成了网络支付的不安定因素。

在这0.01%的人群中,不排除是因为个人安全意识薄弱而造成的网络钓鱼、网络诈骗等案件的发生。有机构调查,互联网诈骗案件60-70%其实是被钓鱼、木马攻击等造成的,57.6%的网上支付用户安全意识比较薄弱。阮龙认为加强对网络支付用户宣传教育尤为重要,同时,加强对支付类应用或软件的审核,培育大家安装安全类软件的意识都至关重要。

为了防止网民在交易过程中发生欺骗事件,百度首席产品架构师阮龙也和我们分享了他印象中最深刻的几组案例,方便我们以后引以为戒。

第一例,高度模仿流行的支付软件,窃取用户银行卡等机密信息。百度安全实验室曾经截获一款名为“微信支付大盗”的手机支付木马,该木马高度模仿真正的“微信”,诱骗用户激活设备管理器,通过钓鱼方式获取用户输入的手机号、身份证号、银行账号等信息。同时该木马还会在后台截获用户的银行验证短信,并把这些信息发送到黑客指定的邮箱。这款应用由于采用了第三方加固软件进行了加固,导致安全厂商很难对其进行检测,用户也很容易上当。百度也在此提醒用户要从正规的应用商店下载应用,同时加固服务提供商需要加强对待加固应用的安全审计,以免被恶意开发者利用。

第二例,伪造软件,虚构罪名敲诈勒索。近日,百度安全实验室发现了一系列名为“伪FBI敲诈者”的勒索类病毒以及它的最新变种。该系列病毒会监控用户运行程序,显示伪造的FBI通告,诱骗用户支付300美元罚金解锁手机,用户无法使用其他任何程序,严重影响用户的正常使用。从该病毒的变化过程来看,该病毒制造者仍然在不断制造新的变种,加入了更多危害手段。其最新变种添加了获取手机号展示在勒索界面,并在付款界面启用前置摄像头以恐吓用户,更恐怖的是,病毒会加密手机中所有的照片、视频和文档等文件,即使强制删除了病毒,也仍然可能造成不可挽回的损失。百度在此提醒广大用户,尽量不要下载、使用此类应用,同时提高警惕。

第三例,利用伪基站,伪造短信进行电信诈骗。比如,犯罪分子通过伪基站方式大量发送伪10086的短信,诱导用户点击钓鱼链接;并在钓鱼页面诱导用户输入网银账号、网银密码、下载安装“伪中国移动客户端”病毒;该病毒会在后台监控用户短信内容,获取网银验证码。黑客通过以上方式获取网银账号、网银密码和网银短信验证码后,完成窃取网银资金。在此,百度提醒大家,一定要安装百度手机卫士等移动安全软件,百度手机卫士具备识别并拦截伪基站短信的能力,可以帮你减少损失。

企业间应形成合力

网上支付是有风险的,就和线下一样,每个人多一个安全意识的话,就会极大的降低这种概率,安全意识很关键。除了对网民在意识上进行宣传教育,在电脑和手机上采取安全保护措施以外,作为网络支付企业,阮龙认为加强产业链的上下游合作机制也是行之有效的办法。“我们推出了百度安全开放平台,为业界提供安全加固、安全支付、病毒扫描等专业技术;同时,推出亿元保障基金,为安全支付生态提供助力。”阮龙说。

从中国网络支付发展的竞争动力来看,创新驱动成为关键因素,网络支付服务的竞争从以市场份额为主的规模竞争逐步转向以安全与效率为核心的质量竞争。百度在这快土壤上也在深耕。据阮龙介绍,百度手机卫士从需求出发,解决用户使用安卓手机的痛点。比如百度率先推出的强效加速功能,就能解决安卓应用在后台频繁自启导致耗电、手机运行慢的问题;再就是百度推出的移动支付环形防护技术,解决用户移动支付过程中可能面临的安全问题;其次,利用百度的大数据优势和语义识别技术,来提升传统安全技术的体验。垃圾短信拦截、伪基站识别以及陌生号码识别等,就综合采用了大数据与语义识别能力,使精度得到大大提升,让用户使用起来更安心。

百度在用户体验上下足了功夫,赢得了用户对其软件的信任,最终也培养了一大批网络支付用户的良好支付习惯,为未来的信息消费热潮打下了良好基础。

责任编辑 杨 晨