金融科技發(fā)展與互聯(lián)網(wǎng)支付安全

江蘇省支付清算服務(wù)協(xié)會課題組

伴隨著國際社會的不斷發(fā)展，信息技術(shù)類改革的不斷推進(jìn)，國家加大市場化改革來激活金融業(yè)發(fā)展，不斷開放金融業(yè)對民營企業(yè)準(zhǔn)入門檻，鼓勵民營經(jīng)濟(jì)的金融創(chuàng)新，推動互聯(lián)網(wǎng)經(jīng)濟(jì)不斷快速發(fā)展，促進(jìn)社會信息逐步數(shù)字化發(fā)展趨勢和電子商務(wù)共享經(jīng)濟(jì)發(fā)展。

高度信息化時代最棘手的問題，莫過于如何保障信息安全。除了考慮手機(jī)上重要數(shù)據(jù)外泄的問題之外，逐漸流行的個人手機(jī)設(shè)備也可能導(dǎo)致公司商業(yè)機(jī)密被竊取。

本文意在使用戶清楚地認(rèn)識個人信息的重要性，對其做好用戶的個人信息保護(hù)工作起到一定的促進(jìn)作用。同時，有助于相關(guān)法律法規(guī)的制定和完善，共同營造健康和諧的網(wǎng)絡(luò)環(huán)境。

安全問題抑制互聯(lián)網(wǎng)支付發(fā)展

基于技術(shù)發(fā)展和大數(shù)據(jù)，擺脫了傳統(tǒng)經(jīng)濟(jì)領(lǐng)域的限制，金融活動由原始的市場交互轉(zhuǎn)變?yōu)榫W(wǎng)絡(luò)數(shù)據(jù)來往。基于云計算和搜索引擎等互聯(lián)網(wǎng)工具的不斷發(fā)展，甚至衍生出另一種全新的金融模式，互聯(lián)網(wǎng)金融應(yīng)運而生。在這一新生領(lǐng)域中，互聯(lián)網(wǎng)與金融相結(jié)合，將互聯(lián)網(wǎng)中 “開放、平等、協(xié)作、分享” 等精神不斷融入金融行業(yè)內(nèi)，形成了全新的生產(chǎn)經(jīng)營模式。

互聯(lián)網(wǎng)支付的發(fā)展瓶頸。對比傳統(tǒng)金融行業(yè)，互聯(lián)網(wǎng)金融具備一定的獨特性，即采用互聯(lián)網(wǎng)形式將傳統(tǒng)金融業(yè)務(wù)透明化，降低交易的時間和精力成本，更便于操作。同時，還可以通過互聯(lián)網(wǎng)平臺實現(xiàn)融資、支付和交易等功能?，F(xiàn)階段已經(jīng)出現(xiàn)了越來越多互聯(lián)網(wǎng)支付平臺，然而互聯(lián)網(wǎng)平臺建立在大數(shù)據(jù)基礎(chǔ)上，致使人們在日常生活收到一些網(wǎng)絡(luò)詐騙信息，加劇信息泄露的風(fēng)險。此外，互聯(lián)網(wǎng)平臺易受到黑客的攻擊，一些不法分子會通過網(wǎng)絡(luò)手段盜取客戶使用的賬號和信息，從而進(jìn)行詐騙，給客戶的資金安全帶來很大的威脅，甚至?xí)?dǎo)致投資虧損等情況出現(xiàn)，使客戶對平臺的信任度越來越低。

在這種安全問題頻發(fā)的情況下，互聯(lián)網(wǎng)支付的發(fā)展出現(xiàn)了很大的瓶頸，故現(xiàn)在使用互聯(lián)網(wǎng)平臺支付的用戶大部分為敢于嘗試新鮮事物的年輕人，而一些收入較高的中老年用戶則會擔(dān)心其安全隱患，不信任網(wǎng)絡(luò)營銷，對互聯(lián)網(wǎng)支付的發(fā)展持觀望態(tài)度。如何能夠加強(qiáng)互聯(lián)網(wǎng)支付安全監(jiān)管，提升互聯(lián)網(wǎng)支付的安全性具有重要的現(xiàn)實意義和理論意義。

國內(nèi)外學(xué)者的研究。張成虎，李育林（2008）發(fā)現(xiàn)，國內(nèi)外學(xué)術(shù)界缺乏對互聯(lián)網(wǎng)支付產(chǎn)生機(jī)制、作用原理和經(jīng)濟(jì)效率等理論問題的研究，而這些研究卻正是互聯(lián)網(wǎng)支付能否長期健康發(fā)展和獲得政策支持的重要理論基礎(chǔ)。因此，兩位學(xué)者運用現(xiàn)代信息經(jīng)濟(jì)學(xué)中的不對稱信息理論分析互聯(lián)網(wǎng)支付的產(chǎn)生機(jī)制。通過電子商務(wù)中的逆向選擇模型、道德風(fēng)險模型、信號傳遞模型和互聯(lián)網(wǎng)支付的作用機(jī)理分析，從理論上奠定了互聯(lián)網(wǎng)支付的必要性和重要性。

于衛(wèi)國（2008）根據(jù)網(wǎng)絡(luò)外部性、雙邊市場理論，分析了互聯(lián)網(wǎng)支付平臺的業(yè)務(wù)發(fā)展策略，從互聯(lián)網(wǎng)支付的業(yè)務(wù)模式、產(chǎn)業(yè)價值鏈、競爭狀況和市場概況等方面，對各家支付公司的特點進(jìn)行比較分析，認(rèn)為互聯(lián)網(wǎng)支付平臺的發(fā)展既要遵循雙邊平臺的一般規(guī)律，又要找到細(xì)分市場、提供創(chuàng)新業(yè)務(wù)模式，避免與銀行競爭，成為銀行和商戶之間不可或缺紐帶的途徑。

李育林（2008）運用新制度經(jīng)濟(jì)學(xué)中的交易費用理論分析互聯(lián)網(wǎng)支付的效率問題，認(rèn)為交易的生產(chǎn)成本和轉(zhuǎn)移成本共同決定了一項交易的實現(xiàn)方式，通過建立企業(yè)與市場的生產(chǎn)成本和轉(zhuǎn)移成本比較模型，以及互聯(lián)網(wǎng)支付降低交易成本的動力模型，得出互聯(lián)網(wǎng)支付有效地降低了交易費用，節(jié)約了社會資源這一結(jié)論。

Eric K. Clemons 和Nehal Madhani 基于經(jīng)濟(jì)信息系統(tǒng)，研究了如果第三方電子支付系統(tǒng)要求干預(yù)政府新政，解決由AT&T（美國電話電報公司）提出的“1913金斯博里承諾”，建立第一個私人監(jiān)管壟斷。谷歌的例子證明了創(chuàng)新電子商務(wù)模型很難適應(yīng)現(xiàn)代管理框架，并且盡可能給出了滿足擴(kuò)展的監(jiān)管政策的例子。

針對已有的研究，其最大的問題是很多并不是從經(jīng)濟(jì)學(xué)理論出發(fā)來研究的，比如互聯(lián)網(wǎng)支付平臺的安全監(jiān)管問題，大多數(shù)研究是從法律的角度出發(fā)。而且，網(wǎng)上銀行和互聯(lián)網(wǎng)支付的競合關(guān)系的研究還不滿足系統(tǒng)性分析的特點，大多數(shù)是一些評論性的文章，缺少實證和具體研究。另外，很少有理論涉及互聯(lián)網(wǎng)支付的定價方式研究。

常見的網(wǎng)絡(luò)安全威脅

數(shù)據(jù)安全。在移動支付網(wǎng)絡(luò)的使用生命周期中，數(shù)據(jù)經(jīng)由移動設(shè)備、無線網(wǎng)絡(luò)到達(dá)后臺，再執(zhí)行用戶指令，完成用戶動作，過程經(jīng)過多重關(guān)系人，用戶安全環(huán)環(huán)相扣。在用戶傳輸、處理及儲存過程中，如果有任一環(huán)節(jié)控管不當(dāng)導(dǎo)致數(shù)據(jù)外泄，將嚴(yán)重影響使用者權(quán)益與服務(wù)提供者商譽。移動運營商有義務(wù)設(shè)計適當(dāng)?shù)谋Ｗo(hù)機(jī)制，防范數(shù)據(jù)外泄，確保使用者數(shù)據(jù)及交易信息的安全。

如出現(xiàn)圖1的問題，應(yīng)用自動刪除某些SD卡數(shù)據(jù)，導(dǎo)致防病毒軟件的啟動，該軟件會提醒是否可以執(zhí)行這些動作。

交易安全。移動支付方式具有交易速度快、便利性高、單筆金額低、安全防御復(fù)雜等特性，必須適時關(guān)注下列潛在風(fēng)險：

一是外部反洗錢或反套現(xiàn)。由于交易對象來自四面八方，支付平臺必須利用身份驗證機(jī)制，過濾偽冒使用者，或是經(jīng)由監(jiān)測與分析，發(fā)現(xiàn)合法使用者的偽冒交易或信用卡套現(xiàn)等行為。這些機(jī)制包含交易紀(jì)錄的留存與保護(hù)，以及運用巨量數(shù)據(jù)分析技術(shù)監(jiān)測外部詐欺行為等。

二是內(nèi)部反詐欺。企業(yè)內(nèi)部人員基于管理需求，往往具備較大的存取權(quán)限，或是熟悉交易系統(tǒng)的控管漏洞。為了有效防止內(nèi)部人員的詐欺或舞弊行為，企業(yè)除貫徹內(nèi)部控制制度的相關(guān)要求外，也應(yīng)建立完整的監(jiān)測與應(yīng)變機(jī)制，以維持消費者對于企業(yè)及產(chǎn)業(yè)的信賴度。

移動設(shè)備安全。移動平臺雖有不同的安全機(jī)制，但并不代表移動應(yīng)用就可以高枕無憂，沒有其他安全風(fēng)險。移動應(yīng)用程序設(shè)計是否符合相關(guān)安全規(guī)范的要求、使用者身份確認(rèn)與控管機(jī)制是否完備、移動設(shè)備可能遺失或遭竊等，這些都是影響移動支付安全的重要問題。目前，常見的安卓平臺和iOS平臺都存在一定的安全風(fēng)險。

谷歌對于App 的審核主要是采取自動掃描的方式，分析潛在的安全威脅，已上架的App則可經(jīng)由檢舉而下架。對開發(fā)人員而言，這種審核方式較為友善且寬松，然而惡意軟件趁虛而入的機(jī)會也較高。因此，Play Store 的軟件品質(zhì)參差不齊，發(fā)現(xiàn)惡意程序的情況偶有發(fā)生。2019年一季度，360互聯(lián)網(wǎng)安全中心共截獲安卓平臺新增惡意程序樣本56.6萬個。不過，只由谷歌Play Store下載軟件的使用者不必太擔(dān)心，大部分惡意程序會被及時刪除，相對安全。即使使用者不小心點擊含有惡意APK文件（安卓系統(tǒng)中 App安裝檔的副檔名）的網(wǎng)址，惡意程序也會因系統(tǒng)未開放安裝來路不明的應(yīng)用程序而無法感染系統(tǒng)，確保使用者手機(jī)敏感數(shù)據(jù)的安全。另外，還需提高警覺、安裝防毒軟件及關(guān)閉自動安裝應(yīng)用程序功能。

常見的移動網(wǎng)絡(luò)惡意程序技術(shù)。一些惡意短信或者微信信息會引誘受害者開啟內(nèi)含惡意程序的網(wǎng)絡(luò)鏈接，自動下載安裝惡意程序后，再將小額付款的驗證碼信息轉(zhuǎn)接到詐騙集團(tuán)，暗中進(jìn)行交易。而超鏈接通常將導(dǎo)向攻擊者所擁有的云端空間，并包含一個惡意的APK文件，一旦使用者點擊下載安裝該App，惡意程序就會于背景環(huán)境下運作，當(dāng)攻擊者使用受害手機(jī)號進(jìn)行小額付款時，所傳送至受害者手機(jī)中的短信認(rèn)證碼即會遭竊取，使其得以順利完成小額付款交易。值得注意的是，即使使用者手機(jī)并未root（取得管理者權(quán)限），一旦點擊超鏈接就會開始安裝。

當(dāng)前，互聯(lián)網(wǎng)技術(shù)在不斷地提升，SEO（搜索引擎優(yōu)化）是其中較火爆的一種，黑客利用SEO將惡意網(wǎng)站排在搜索結(jié)果靠前的位置，當(dāng)用戶通過搜索引擎搜索對應(yīng)的關(guān)鍵詞后就有可能遭受此類攻擊。另外，也有一些攻擊者直接購買搜索推廣鏈接來植入病毒，這主要是由于搜索引擎廠商審查不嚴(yán)格所造成的。

移動設(shè)備安全防護(hù)的措施

移動網(wǎng)絡(luò)下個人信息需要多項安全保護(hù)措施，以下將依軟件下載與使用、數(shù)據(jù)保護(hù)、連線功能設(shè)置及密碼設(shè)置等類別，分別提出防護(hù)建議。其中，連線功能設(shè)置與密碼設(shè)置系通過移動設(shè)備內(nèi)置功能即可達(dá)成。

軟件下載與使用。一是僅安裝來自可信任來源的軟件。在移動網(wǎng)絡(luò)中下載軟件前，除針對欲安裝軟件進(jìn)行安全性的基本評估（檢視要求權(quán)限、使用者評論等）外，應(yīng)盡可能確保軟件來自于合法的官方軟件商店，如蘋果App Store、谷歌 Play Store等，切勿從無法驗證可靠性的來源下載安裝軟件，避免安裝已遭植入非正當(dāng)意圖的軟件，導(dǎo)致移動設(shè)備數(shù)據(jù)遭竊、被安裝后門程序及對移動設(shè)備產(chǎn)生損害的風(fēng)險。

安裝來自第三方應(yīng)用商店或來源不明的 App應(yīng)謹(jǐn)慎為之，例如原須付費使用的App免費提供下載，外表看似相同，卻無法確認(rèn)是否埋藏惡意程序。謹(jǐn)慎選擇欲下載安裝的軟件，否則輕則浪費金錢，買到無用軟件，重則“引狼入室”，誤裝惡意程序。以近來新聞為例，谷歌 Play Store下載率第一，獲得4.7顆星評等的付費防毒軟件Virus Shield竟是詐欺軟件，其宣稱的防護(hù)功能均屬無效，唯一用途只是將屏幕上的“×”符號改成“√”。

二是注意軟件權(quán)限。移動網(wǎng)絡(luò)上的軟件在安裝或在第一次使用時，大都會詢問使用者是否可讀取軟件權(quán)限，部分軟件會要求讀取移動設(shè)備的地理位置 （GPS）、通訊錄、通話次數(shù)及系統(tǒng)工具等敏感數(shù)據(jù)。

三是軟件定期更新修補(bǔ)程序。移動網(wǎng)絡(luò)上的軟件（如瀏覽器）或操作系統(tǒng)，可能因漏洞而遭受黑客攻擊，如瀏覽網(wǎng)頁時被轉(zhuǎn)址到惡意網(wǎng)站或“釣魚網(wǎng)站”，造成敏感數(shù)據(jù)外泄或被植入惡意程序等安全問題。因此，移動設(shè)備上的軟件或操作系統(tǒng)應(yīng)定期自動或手動安裝更新修補(bǔ)程序。

四是安裝安全防護(hù)軟件。為避免下載已知的惡意程序與瀏覽惡意網(wǎng)站，可通過安裝安全防護(hù)軟件，如防毒軟件，以監(jiān)測已知的惡意程序與惡意網(wǎng)站。企業(yè)可以利用移動設(shè)備管理系統(tǒng)（Mobile Device Management，MDM）管理移動設(shè)備。MDM主要目的在于限制移動設(shè)備可以從事的行為，甚至可遠(yuǎn)端變更與清除移動設(shè)備的內(nèi)容，如機(jī)關(guān)單位可通過MDM發(fā)送短信，也可進(jìn)行要求移動設(shè)備設(shè)置密碼、限制密碼長度、加密移動設(shè)備內(nèi)的檔案、使用軟件權(quán)限等各類政策。

個人數(shù)據(jù)保護(hù)。一是數(shù)據(jù)備份與加密防護(hù)。將移動設(shè)備內(nèi)的數(shù)據(jù)進(jìn)行備份有利于移動設(shè)備在毀損或遺失時進(jìn)行數(shù)據(jù)恢復(fù)。而使用移動設(shè)備原廠提供的云端備份服務(wù)時，需謹(jǐn)慎檢視與選擇欲備份的數(shù)據(jù)項目。無論使用官方廠商或第三方提供的移動設(shè)備云端服務(wù)，如iCloud、Dropbox、Google Drive、Microsoft SkyDrive等，仍應(yīng)謹(jǐn)慎選擇使用的數(shù)據(jù)項目與應(yīng)用范圍，以避免將手機(jī)敏感數(shù)據(jù)誤送到云端。而對于儲存于移動設(shè)備內(nèi)的敏感數(shù)據(jù)，可通過安裝加密軟件予以防護(hù)。

二是遠(yuǎn)端定位與數(shù)據(jù)刪除。移動設(shè)備遭竊或遺失時，筆者建議不要在移動設(shè)備中留存重要數(shù)據(jù)。

三是廢棄移動設(shè)備的數(shù)據(jù)處理。移動設(shè)備于報廢、販賣、捐贈或回收等行為時，應(yīng)完整清除其上所有數(shù)據(jù)，并恢復(fù)為移動設(shè)備的出廠設(shè)置。

移動系統(tǒng)安全機(jī)制。安卓系統(tǒng)在Linux核心上進(jìn)一步強(qiáng)化了安全機(jī)制，層層安全管制措施構(gòu)筑起“銅墻鐵壁”。強(qiáng)化的安全機(jī)制包括應(yīng)用程序UID數(shù)據(jù)隔離、虛擬機(jī)器沙盒保護(hù)、系統(tǒng)資源存取權(quán)限管制，以及組件間通訊授權(quán)標(biāo)簽管制。

一是對每一個應(yīng)用程序指定一個唯一的UID（使用者識別碼）。安卓系統(tǒng)建置在Linux核心上，并且將Linux核心以使用者為區(qū)別的UID數(shù)據(jù)隔離機(jī)制，擴(kuò)充成對每一個應(yīng)用程序指定一個唯一的 UID，來達(dá)成對手機(jī)上眾多應(yīng)用程序間彼此隔離的目的。應(yīng)用程序基本上不能存取不同 UID 的其他應(yīng)用程序的程序碼及數(shù)據(jù)，除非應(yīng)用程序開通了一個存取通道。

二是用虛擬機(jī)器提供沙盒保護(hù)。安卓系統(tǒng)上每一個應(yīng)用程序被限制執(zhí)行在個別的 DVM （Dalvik Virtual Machine，虛擬機(jī)器）環(huán)境內(nèi)，如同沙盒般被安全地隔離保護(hù)。即使應(yīng)用程序設(shè)計不夠妥當(dāng)，也不會危害到其它應(yīng)用程序及系統(tǒng)。應(yīng)用程序若要存取其它資源則需在擁有權(quán)限的情況下呼叫系統(tǒng) API。

三是系統(tǒng)資源存取權(quán)限管制。系統(tǒng)資源存取權(quán)限管制是一個相當(dāng)重要的安全課題，安卓系統(tǒng)要求應(yīng)用程序要在安卓.Manifest.xml設(shè)定檔內(nèi)宣告需求的權(quán)限，并且在安裝時獲得使用者的同意，才能依照權(quán)限呼叫系統(tǒng)API存取對應(yīng)資源。例如取得，安卓.permission.INTERNET權(quán)限，才能存取網(wǎng)際網(wǎng)絡(luò);取得安卓.permission.RECEIVE_BOOT_COMPLETED 權(quán)限，才能在手機(jī)開機(jī)時該應(yīng)用程序即自動被啟動執(zhí)行。

四是組件間通訊授權(quán)標(biāo)簽管制。安卓系統(tǒng)把Linux核心的程序間通訊（IPC）進(jìn)一步細(xì)分到組件間通訊（ICC），并且用授權(quán)標(biāo)簽來管制，未獲授權(quán)者無法得到組件服務(wù)。例如，某應(yīng)用程序的內(nèi)容提供者組件，它開放數(shù)據(jù)庫存取服 務(wù) 并 且 規(guī) 定 授 權(quán) 標(biāo) 簽 為 “com.act.mab.db”，則 其 它 應(yīng) 用 程 式 必 須 設(shè) 定 正 確 的 URI（content：//com.act.mab.db）之后，才能經(jīng)由組件間通訊管道來存取該數(shù)據(jù)庫。

信息加解密方法?；诓僮飨到y(tǒng)信息安全應(yīng)用程序大體分為信息加密過程和信息解密過程。應(yīng)用可以從文本文件或者短消息中讀取數(shù)據(jù)信息，將其加密在用戶指定的圖像之中，并創(chuàng)建對應(yīng)的書簽信息。當(dāng)使用信息解密功能時，從圖像中將加密的數(shù)據(jù)解密出來，并根據(jù)解密的信息，創(chuàng)建文本文件或者是短消息，以實現(xiàn)所需功能（圖2）。

信息加密過程的主要工作包括：信息選擇、圖像載體選擇、加密算法執(zhí)行、判斷結(jié)束并標(biāo)記、書簽信息創(chuàng)建或更新（圖3）。

信息解密過程的主要工作包括： 圖像載體選擇、信息選擇、解密算法執(zhí)行、判斷結(jié)束并標(biāo)記、書簽信息更新（圖4）。

一是圖案鎖定原理及解密。在安卓設(shè)備上，用戶可以通過設(shè)置鎖定圖案作為密碼對設(shè)備用戶界面進(jìn)行鎖定。鎖定界面有9點組成，鎖定圖案需滿足三個條件：至少3點、最多9點、無重復(fù)。這種解鎖方式在安卓存儲時使用的是明文轉(zhuǎn)換后的散列方式存儲。安卓設(shè)備圖案鎖定的加密存儲過程：圖案輸入—>轉(zhuǎn)換明文—>SHA-1散列—>存儲。針對圖形鎖定，可以采用預(yù)計算密碼表方式進(jìn)行暴力破解，在得到圖案存儲文件gesture.key的基礎(chǔ)上（需要具有root權(quán)限），使用月50MB的密碼表在1秒內(nèi)即可完成所有圖形鎖定的破解。

二是字符密碼加密機(jī)破解。除了采用圖形設(shè)定設(shè)備之外，安卓還允許用戶使用4～16位的數(shù)字PIN碼或者文本字符作為鎖定密碼。每一位密碼范圍為94字符，包括52個大小寫英文字母、10個數(shù)字、30個除空格外的標(biāo)點符號，在這種要求下輸入的字符，加入Salt后進(jìn)行SHA-1和MD5散列，之后，將散列結(jié)果存儲于～/data/system/password.key文件中。安卓設(shè)備字符密碼加密過程：字符輸入—>加入Salt—>SHA-1+MD5散列—>合并散列存儲。

由于在SHA-1前先被加入了Salt值，所以暴力破解或預(yù)計算密碼表的方式需提供Salt值。在安卓操作系統(tǒng)中，字符型密碼使用的Salt值存儲于手機(jī)設(shè)備的settings.db數(shù)據(jù)庫中，該文件位于～/data/data/com.安卓.providers.settings/，該數(shù)據(jù)庫中的secure表，存儲了字符密碼加密使用的Salt。同時，解密還需password.key文件中所包含的散列值，該文件存儲于～/data/system/password.key。在該key文件中，包含了72字節(jié)的16進(jìn)制字符串。

三是存儲加密解密。除了屏幕鎖定，新版安卓操作系統(tǒng)還支持安卓設(shè)備內(nèi)置存儲空間進(jìn)行加密，這種加密方式基于dmcrypt，運行于block device層，這樣的加密默認(rèn)只能對ext4分區(qū)進(jìn)行，所以在安卓3.0及以上的版本中才提供這種功能，存儲加密要求首先設(shè)置至少6位且包含至少1位數(shù)字的字符型密碼。

在安卓存儲加密中，主密鑰采用AES 128位加密，主密鑰在加入Salt值之后被存儲于分區(qū)尾部或獨立的文件中。

存儲解密時，首先需要將安卓設(shè)備進(jìn)行完整的物理轉(zhuǎn)儲（可采用JTAG等方式），之后從分區(qū)尾部查找Salt值及加密后的主密鑰，使用帶Salt的PBKDF暴力破解的方式對密碼進(jìn)行測試，使用得出的密鑰與SHA-256計算后的VI對主密鑰進(jìn)行解密，之后可使用真正主密鑰對完整鏡像進(jìn)行解密。

其他措施。一是避免修改或破解移動設(shè)備的安全措施。移動設(shè)備會內(nèi)建一些保護(hù)措施以加強(qiáng)其安全性，例如不能安裝非官方App等，使用者可通過破解方式取得移動設(shè)備上的最高權(quán)限，以完全掌控移動設(shè)備功能。但此行為將因內(nèi)建保護(hù)措施被規(guī)避，造成移動設(shè)備面臨安全上的威脅。因此，建議不要破解移動設(shè)備的安全措施?？杀?Root （安卓平臺） 或 Jailbreak（iOS 平臺，簡稱 JB） 破解的移動設(shè)備即表示系統(tǒng)存在已知的安全漏洞，完成破解后，可取得系統(tǒng)最高權(quán)限，移動設(shè)備便處于未受保護(hù)的狀態(tài)，伴隨而來的可能是惡意程序的“恣意妄為”。

二是網(wǎng)絡(luò)使用行為。移動設(shè)備逐漸成為黑客攻擊的主要目標(biāo)之一，建議不要利用移動設(shè)備進(jìn)行重要交易，倘若無法避免，則應(yīng)通過平時收藏的書簽或知名搜尋引擎，直接點擊進(jìn)入官網(wǎng)。并且，不要相信不明網(wǎng)站、不明短信及社群網(wǎng)站所分享的鏈接，甚至廣告鏈接都謹(jǐn)慎點擊，以降低誤觸零時差攻擊與惡意Java Script 攻擊的風(fēng)險。此外，應(yīng)盡量避免通過移動設(shè)備上的通訊軟件討論重要信息或交換檔案，并且避免加入來歷不明的聯(lián)絡(luò)人，以免遭受社交工程詐騙上當(dāng)?shù)娘L(fēng)險。

三是安全問題征兆。以下5個征兆，可能是在提醒你該檢視移動設(shè)備（一般為手機(jī)）的安全情形：

其一，電池壽命變短。安全威脅會讓移動設(shè)備電池比平常更加耗電，通常的原因是不斷顯現(xiàn)的惡意廣告會讓電池過度耗電。不管是隱藏在執(zhí)行程序中或是偽裝成普通App的惡意軟件，異常的電池表現(xiàn)或許提示移動設(shè)備存在有安全威脅。

其二，通話經(jīng)常不尋常中斷。安全威脅有可能影響移動設(shè)備的通話功能，會造成不尋常的通話中斷。用戶可以先打電話給電信商，確定是否為線路問題，如果不是則可能被竊聽通話，或遭遇其它可疑安全威脅。

其三，電信費用異常。安全威脅可能讓受感染移動設(shè)備自動發(fā)送短信，用戶如果覺得賬單異常，應(yīng)確認(rèn)移動設(shè)備是否已存在安全威脅。

其四，自動下載軟件。安全威脅會在用戶不知情的狀況下，偷偷下載軟件，檢查上網(wǎng)費用賬單就可知道是否存在異常;另外，可以設(shè)置下載限額，避免因為安全威脅過度下載軟件而導(dǎo)致高額的通訊連網(wǎng)費用。

其五，移動設(shè)備效能變差。安全威脅會企圖通過移動設(shè)備讀、寫或散播信息，因此極可能導(dǎo)致嚴(yán)重的效能問題。試圖想像，每天數(shù)次重新啟動安全威脅，會占去過多的效能，因此當(dāng)發(fā)現(xiàn)移動設(shè)備效能變差時，可能是安全威脅已經(jīng)存在的線索之一。此時，可借由檢查 RAM使用量或CPU負(fù)載量，得知安全威脅是否存在。

就如同電腦系統(tǒng)，任何有效的技術(shù)防御措施仍須搭配可行的管理規(guī)定并落實執(zhí)行，才能減少安全威脅的持續(xù)存在，甚或防止對外散布與啟動。但同時，任何的管理措施都會帶來不便，在安全威脅的打擾及清靜的移動設(shè)備使用環(huán)境兩者中應(yīng)選擇后者。

總結(jié)針對前述移動設(shè)備完全常見對策，對應(yīng)的預(yù)防或修正措施建議（表1）。

綜上所述，隨著移動網(wǎng)絡(luò)的蓬勃發(fā)展，移動應(yīng)用方興未艾。相較于傳統(tǒng)的網(wǎng)絡(luò)使用方式，移動網(wǎng)絡(luò)無疑更加快速且便利。如何在提供便利快捷服務(wù)的同時，又兼顧安全，降低新興科技帶來的風(fēng)險，建立適宜的移動交易環(huán)境，是移動網(wǎng)絡(luò)必須持續(xù)面對與克服的管理挑戰(zhàn)。對企業(yè)與使用者而言，移動網(wǎng)絡(luò)都是一種高成本效益卻極為便利的應(yīng)用服務(wù)。不論移動產(chǎn)業(yè)如何發(fā)展或變化，提供既便利又安全的使用環(huán)境永遠(yuǎn)是企業(yè)的首要目標(biāo)。針對移動網(wǎng)絡(luò)產(chǎn)業(yè)未來可能面臨的各種挑戰(zhàn)，企業(yè)必須在便利與安全之間權(quán)衡取舍，不論抉擇為何，務(wù)須建立完善的風(fēng)險管理機(jī)制，持續(xù)強(qiáng)化網(wǎng)絡(luò)環(huán)境的安全防護(hù)。這不僅是贏取使用者信任與忠誠的最大利器，也是勝出移動網(wǎng)絡(luò)的成功關(guān)鍵。

執(zhí)筆人：陳晨（供職于杭州銀行南京分行）

責(zé)任編輯：葛辛晶