多維度構(gòu)建移動支付安全體系

趙 杰

隨著“互聯(lián)網(wǎng)+”創(chuàng)新業(yè)態(tài)的不斷發(fā)展，在日常從事金融活動時，消費者們逐漸開始選擇更加方便快捷的移動支付方式.根據(jù)中國人民銀行公布的《2017年支付體系運行總體情況》報告顯示，2017年，銀行業(yè)金融機構(gòu)共處理移動支付業(yè)務(wù)375.52億筆，金額202.93萬億元，同比分別增長46.06%和28.80%.［1］然而隨之而來的安全問題不斷涌現(xiàn)，據(jù)《2017年第2季度手機安全APP市場研究報告》顯示，手機支付陷阱問題占比高達(dá)88.3%.［2］《2017年中國手機安全風(fēng)險報告》也顯示一季度所攔截到的各類垃圾與詐騙短信中有七成是與支付理財?shù)冉鹑诨顒酉嚓P(guān).［3］正是由于現(xiàn)實中網(wǎng)絡(luò)的各類不安全因素導(dǎo)致了各類金融詐騙案件層出不窮，造成用戶資金的重大損失，對于“互聯(lián)網(wǎng)+金融”的推進(jìn)，造成了極大的阻礙，也對金融安全造成了極大的威脅.

1 文獻(xiàn)綜述

盧巧旻（2013）提出，從感知、網(wǎng)絡(luò)與應(yīng)用層來確保技術(shù)安全，同時通過產(chǎn)業(yè)鏈統(tǒng)一管理與以標(biāo)準(zhǔn)、信用、法規(guī)等來構(gòu)建支撐體系，最后運用層次分析法對其體系要素進(jìn)行評價［4］.陳小梅（2014）通過分析應(yīng)用、交易、支付處理各層的功能結(jié)合終端、無線網(wǎng)和支付流程來闡述各自的安全性，針對安全構(gòu)建主要從硬軟件兩個角度入手，對現(xiàn)有SET（Secure Electronic Transaction，安全電子交易）協(xié)議提出改進(jìn)意見，提出基于ECC（Elliptic curve cryptography，橢圓曲線密碼）的協(xié)議改進(jìn)方法［5］.徐燕軍等（2014）從體系架構(gòu)、實體、互聯(lián)、基礎(chǔ)四個方面闡述整體安全性，期待技術(shù)的標(biāo)準(zhǔn)化與產(chǎn)品化［6］.王春（2016）通過對比分析盜刷行為，結(jié)合ISP（Internet Service Provider，互聯(lián)網(wǎng)服務(wù)提供商）所提供的相關(guān)各項歷史數(shù)據(jù)，提出通過多重驗證的方式來保障體系安全［7］.此外，陳一鼎等（2015）從法律、數(shù)據(jù)、技術(shù)著手加強監(jiān)管，引導(dǎo)消費者提高權(quán)益保護(hù)意識［8］.魏仕杰等（2016）認(rèn)為還應(yīng)該從國家層面到監(jiān)管機關(guān)、再到運營平臺以及用戶自身，多方面協(xié)調(diào)防范安全事件［9］.

現(xiàn)有文獻(xiàn)針對移動支付安全體系的構(gòu)建多從安全技術(shù)視角出發(fā)，為相對靜態(tài)的事后防范，且對指標(biāo)要素缺乏系統(tǒng)化，不夠全面，構(gòu)建體系的科學(xué)化依據(jù)較少.本文將結(jié)合動態(tài)模型和科學(xué)化指標(biāo)，更全面細(xì)致地進(jìn)行構(gòu)建，使其具有一定的指導(dǎo)意義.該體系將依賴技術(shù)作為基礎(chǔ)，管理作為日?？毓芘c評價手段，法律法規(guī)作為監(jiān)督和準(zhǔn)則，構(gòu)建一個多維度、三位一體的移動支付安全保障體系.

2 技術(shù)改進(jìn)策略

2.1 改進(jìn)的P2DR2模型——即L-P3DR2模型

眾所周知，閉環(huán)結(jié)構(gòu)的P2DR2模型于1995年開始逐漸形成并得到迅速發(fā)展.但由于當(dāng)前網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，社會環(huán)境日新月異，設(shè)計之初并未考慮到諸多復(fù)雜因素，因此僅僅采用陳舊的主動防御動態(tài)模型，已經(jīng)難以滿足如今的需求，需要進(jìn)一步對模型進(jìn)行改進(jìn).

從系統(tǒng)工程認(rèn)知，人是安全體系中的重要環(huán)節(jié).逾七成的信息安全事件的發(fā)生是由于人員操作失當(dāng)或刻意泄密而造成的，因此不能忽略對于人員主體因素的考慮.另外，對于系統(tǒng)遭受侵害后進(jìn)行應(yīng)急響應(yīng)恢復(fù)，以及對于系統(tǒng)的免疫性功能，也應(yīng)該增加自主學(xué)習(xí)的機制，便于抵御風(fēng)險再次發(fā)生.

綜合考慮以上多項因素，這里提出了一個新的L-P3DR2安全動態(tài)防御模型：即Learning（學(xué)習(xí)）、People（人）、Policy（策略）、Protection（防護(hù)）、Detection（檢測）、Response（響應(yīng)）、Restore（恢復(fù)）.如圖1所示.

圖1 L-P3DR2安全模型

（1）People（人）：模型的基礎(chǔ)，一切操作都取決于主體，對于人的規(guī)范管理極其重要，安全行為的教育、培訓(xùn)、管理，乃至行為意識的學(xué)習(xí)到最終的慣性形成，都離不開人.

（2）Policy（策略）：模型的核心，包括安全規(guī)則、操作規(guī)范、攻擊檢測、響應(yīng)方法、恢復(fù)手段等，其規(guī)則庫與數(shù)據(jù)庫的設(shè)計與實現(xiàn)尤為重要.

（3）Protection（防護(hù)）：模型的重點，包括系統(tǒng)軟件和硬件，以及相關(guān)的安全技術(shù)手段，例如：訪問控制、安全標(biāo)識、數(shù)字證書、授權(quán)、帳號口令、通信保密等.其安全劃分等級可參照TCSEC（Trusted Computer System Evaluation Criteria，可信計算機系統(tǒng)評價標(biāo)準(zhǔn)）制定的A～D的四類七級標(biāo)準(zhǔn)，其中A1（驗證設(shè)計級）為最高級別，D1（無安全級）為最低級別.

（4）Detection（檢測）：模型的手段，主要對系統(tǒng)進(jìn)行安全掃描、網(wǎng)絡(luò)偵聽、檢查、監(jiān)控、預(yù)警系統(tǒng)等，涵蓋系統(tǒng)與網(wǎng)絡(luò)兩個層面的分析與審計活動，為后期的響應(yīng)行動提供支持.

（5）Response（響應(yīng)）：模型的應(yīng)對，對檢測到的攻擊，展開迅速有效的處理措施，包括記錄、消息報告、限制攻擊、軟件阻斷、物理隔斷、應(yīng)急處理、報警、總結(jié)等.

（6）Restore（恢復(fù)）：模型的保障，評估系統(tǒng)受到的威脅與損害，啟動恢復(fù)功能，包括防災(zāi)備份、重要數(shù)據(jù)恢復(fù)、功能還原等.

（7）Learning（學(xué)習(xí)）：模型的特色，通過系統(tǒng)自主學(xué)習(xí)，掌握新型入侵方法，了解黑客攻擊路徑，抵御風(fēng)險再現(xiàn)，包括機器學(xué)習(xí)、自我修復(fù)功能，以及蜜罐技術(shù)、偽裝、智能屏蔽等.

2.2 模型安全性分析

設(shè)Pt為系統(tǒng)防御入侵攻擊所耗費時間，Dt為系統(tǒng)檢測攻擊所耗費時間，Rt為系統(tǒng)應(yīng)急相應(yīng)時間，Et為系統(tǒng)暴露時間（例如，系統(tǒng)位于D1等級時，即無安全等級下），則可以得到：

公式1：Pt＞Dt+Rt

公式1表明，當(dāng)防護(hù)時間大于檢測加響應(yīng)時間時，說明系統(tǒng)為安全的，反之亦然.即入侵者所耗費時間大于系統(tǒng)自我防御時間，系統(tǒng)是安全的.

公式2：Et=Dt+Rt（Pt=0）

公式2表明，系統(tǒng)在無防護(hù)狀態(tài)下，暴露時間等同于檢測與響應(yīng)時間的總和.所以暴露時間越小，系統(tǒng)就越安全.

推論：Pt＞Et

推論可得，系統(tǒng)應(yīng)該盡可能延長保護(hù)時間，縮短暴露時間，這樣可認(rèn)定為安全的.

2.3 交易協(xié)議改進(jìn)

僅僅依靠一個技術(shù)模型，顯然對于當(dāng)下的支付安全體系來說是不夠的，還需要對支付的本質(zhì)流程作針對性的處理，舉支付協(xié)議為例.

（1）消費者U將資金M和帳號A及其數(shù)字簽名Sig(M，A)發(fā)給商家B，經(jīng)過商家驗證認(rèn)定簽名合法有效，然后計算值H=（M，A，Uid，Time）發(fā)給U.

（2）消費者U確認(rèn)對應(yīng)Hash值，商家B確認(rèn)U為貨幣合法持有者，接受該次支付.

然而在日常支付詐騙案例中，往往消費者被冒名的商家B′所欺騙，B′可通過偽造簽名，乃至社會工程學(xué)方法，通過獲取消費者的密碼或驗證碼而進(jìn)一步盜刷，甚至騙取消費者信任后由受騙者主動支付確認(rèn).

針對此類現(xiàn)象，建議采用以下兩種方法來規(guī)避風(fēng)險.

（1）資金支付轉(zhuǎn)移采取T+N（N≥1）模式，即轉(zhuǎn)賬非即時，可設(shè)置緩沖期；或設(shè)立最小交易額Mmin，待消費者收貨確認(rèn)后，再支付尾款，尾款支付24小時內(nèi)完成.倘若超時，則自動轉(zhuǎn)賬，消費者若惡意欠款，則對其帳號內(nèi)的資金進(jìn)行凍結(jié)乃至永久封號處理.

（2）不采用實物貨幣或數(shù)字貨幣，而采用信用支付或數(shù)字簽賬的方法替代現(xiàn)有的支付方式，消費者可集中到還款期再另行資金結(jié)算，如遇支付詐騙，將有足夠時間追討回數(shù)字額度，消費者若逾期結(jié)清支付需被追討額外相關(guān)利息或手續(xù)費，同時選擇此種支付方式，所付費用金額可適當(dāng)提高，可由商家與平臺商議決定.

3 管理層級機制

技術(shù)能力使用的成效取決于管理的科學(xué)性.在管理層面，可采用由NSA（National Security Agency，美國國家安全局）向ISO（International Organization for Standardization，國際標(biāo)準(zhǔn)化組織）提交的標(biāo)準(zhǔn)SSE-CMM（Systems Security Engineering-Capability Maturity Model，系統(tǒng)安全工程——能力成熟度模型）所列出的11種安全過程域，重復(fù)如下步驟，如圖2所示.

圖2 PA與Level對應(yīng)評估關(guān)系

（1）查看該域的描述摘要、目標(biāo)和實施.

（2）查看機構(gòu)是否有管理人員在執(zhí)行該實施.

（3）查看是否滿足域的目標(biāo).

（4）對每個公共特征，如果符合則對應(yīng)二維表標(biāo)記上公共特征.在表中所有交叉點問題都回答完畢后，就得到其安全能力的總體認(rèn)知.

各能力級別具有的公共特征分別是：

第一級：非正式執(zhí)行.該級別關(guān)注其是否實施了安全過程.

第二級：計劃與跟蹤.該級別關(guān)注其規(guī)劃、驗證、執(zhí)行情況.

第三級：充分定義.該級別關(guān)注其過程的標(biāo)準(zhǔn)化、文檔化.

第四級：量化控制.該級別關(guān)注測量、是否可量化預(yù)測.

第五級：持續(xù)改進(jìn).該級別關(guān)注量化反饋和有效性的提高.

4 法律法規(guī)視角

僅僅依靠技術(shù)與管理依然是不夠全面的，還必須重視依賴法律法規(guī)的健全來保障安全體系的構(gòu)建 .［10-11］

首先，應(yīng)該提高支付平臺的準(zhǔn)入門檻.通過高資本的注入要求，使得支付平臺的金融行為風(fēng)險和交易能力都有所提高，從而保證消費者的基本權(quán)益，規(guī)避資金流失的風(fēng)險.

其次，要求信息的對稱與公開性.支付交易平臺應(yīng)該在規(guī)定時間內(nèi)，周期性的對賬務(wù)信息進(jìn)行披露，公司資本、資金流向、經(jīng)營財務(wù)狀況等，以及重大事項變更均要予以立即披露，以保證消費者的知情權(quán)和信息的透明度.

再者，要明確監(jiān)管的主體和力度.多部門聯(lián)合監(jiān)管，例如央行、財政、安全、消協(xié)、行政等部門通過各自權(quán)責(zé)履行職能以保證消費者的資金、權(quán)益、隱私保護(hù)，同時輔以行業(yè)協(xié)會自律監(jiān)管體制.

最后，要明確專門立法.統(tǒng)一整合現(xiàn)有相關(guān)法律法規(guī)，以新頒布的《網(wǎng)絡(luò)安全法》為藍(lán)本，提高移動支付法律效力層級，配套相關(guān)司法解釋作為補充，使得各類支付案件糾紛發(fā)生時有法可依.

5 結(jié)論

綜上，本文針對現(xiàn)有的技術(shù)、管理、法律三個維度提出了改進(jìn)措施，以構(gòu)建綜合立體的支付安全體系，其整體架構(gòu)如圖3所示.

圖3 移動3D支付安全體系

當(dāng)前我國互聯(lián)網(wǎng)技術(shù)日新月異，移動支付帶來便捷發(fā)展的同時，也帶來了前所未有的新問題.移動支付安全不能簡單從一個角度出發(fā)考慮問題，而應(yīng)該綜合考慮多方面因素，才能夠?qū)σ苿又Ц栋踩鸬揭欢ǖ谋Ｕ献饔?