移動金融信息安全隱患與對策研究

劉超

摘 要 在當前移動互聯(lián)網(wǎng)行業(yè)與金融行業(yè)的快速發(fā)展與深度融合態(tài)勢下，越來越多依托于移動通信技術(shù)的第三方支付、融資、P2P借貸等金融模式誕生。人們在享受移動金融帶給生活的便利性的同時，還需要注重移動金融信息安全防范，避免自身資產(chǎn)遭遇安全風險?；诖?，文章將首先針對移動金融信息安全隱患展開分析，并提出具體的應對策略。

關(guān)鍵詞 移動金融;信息安全;隱患;對策

在當前移動互聯(lián)網(wǎng)時代中，移動金融信息安全備受人們關(guān)注，盡管我國移動金融行業(yè)發(fā)展迅猛，但是信息安全問題依舊被眾多投資人忽略，只有保障金融信息安全，才能促進金融行業(yè)進一步的發(fā)展與創(chuàng)新。在當前我國金融信息化建設(shè)進程中，移動金融規(guī)模的逐步擴張也帶來了一系列的信息安全風險，唯有做好積極應對才能適應新形勢發(fā)展需求。

1 移動金融信息安全隱患分析

1.1 移動智能終端方面

智能終端操作系統(tǒng)需要為開發(fā)者提供接口，因此也就為木馬、蠕蟲等代碼攻擊提供了入口，我們以安卓系統(tǒng)為例，早在2013年Bluebox公司曾曝光了該系統(tǒng)的簽名漏洞，會導致黑客對手機應用進行篡改，從而實現(xiàn)控制手機、竊取賬號等操作[1]。此外，各種新病毒也不斷滋生，并且在攻擊性、復雜性、偽裝性方面有了進化，會對支付寶、微信支付等支付及購物類應用有所篡改，而手機下載了這類經(jīng)過篡改的應用或是掃描帶有病毒的二維碼，都有感染病毒的可能性。同時，由于通信信道的開放性，容易讓攻擊者竊取使用者的身份信息，獲得最高使用權(quán)限，從而達到獲取利益的目的。

1.2 交易過程方面

通過第三方支付或是金融服務機構(gòu)為人們進行金融服務時，也有可能遭到非法攻擊。因為移動金融服務主要在移動互聯(lián)網(wǎng)中進行，而針對互聯(lián)網(wǎng)所展開的攻擊存在多種形式，并且移動互聯(lián)網(wǎng)相較于傳統(tǒng)的面對面服務而言，更容易受到攻擊。一方面存在于金融服務機構(gòu)內(nèi)部業(yè)務流程當中，我們以線上信貸業(yè)務為例，所有的金融服務過程中都需要與用戶之間進行信息交互與識別，接收用戶個人信息及特征信息，若提供金融服務機構(gòu)內(nèi)部信息安全保障體系不完善，產(chǎn)生了技術(shù)漏洞或信息泄漏事件，一旦遭到惡意攻擊，勢必加大了資金風險，制約金融業(yè)務進一步發(fā)展。另一方面存在于交易過程當中，發(fā)起攻擊者能夠?qū)鬏斨械慕灰仔畔⒔厝。鄹闹笤賯魉徒o消費者或是服務機構(gòu)，從而導致雙方出現(xiàn)經(jīng)濟損失。之所以會出現(xiàn)大量賬戶被盜、欺詐短信、釣魚網(wǎng)站等移動金融信息安全風險，原因主要以下幾點：①賬戶密碼過于簡單，容易被黑客破解;②手機驗證短信容易被攔截;③通過偽基站偽裝成銀行或是電信運營商官方號碼去迷惑用戶，導致大量欺詐短信、釣魚網(wǎng)站讓消費者防不勝防。

1.3 網(wǎng)絡安全基礎(chǔ)設(shè)施方面

在萬物互聯(lián)的時代，移動金融信息安全風險進一步放大，同時移動金融服務自身的信息化、全球化特點，也導致一旦有信息安全風險發(fā)生，會難以遏制地大面積蔓延。從網(wǎng)絡基礎(chǔ)設(shè)施層面來看，包含支付平臺、接入網(wǎng)絡、智能終端、網(wǎng)絡硬件、安全設(shè)備等等，但其中有許多產(chǎn)品多次被曝光存在留有安全后門的情況。相較于傳統(tǒng)金融業(yè)務系統(tǒng)在局域網(wǎng)中運行有所不同，移動金融信息由于其業(yè)務支撐平臺、服務應用場景、清算系統(tǒng)等均處在互聯(lián)網(wǎng)中，其中存儲了海量用戶賬戶信息，所以受攻擊的可能性非常大，并且在網(wǎng)絡攻防中，防御者安全體系存在滯后現(xiàn)象，導致各種安全隱患頻繁出現(xiàn)。

2 解決移動金融信息安全隱患的對策

2.1 提高安全標準，保障應用安全

為了有效防范移動金融服務在網(wǎng)絡及移動通信等技術(shù)層面存在的風險，需要結(jié)合具體安全風險去采用安全技術(shù)。其一，手機支付軟件應用要重視對安全防護方面的研發(fā);其二，手機安全廠商需將安全防護工作貫穿于整個產(chǎn)業(yè)鏈;其三，加大身份識別技術(shù)創(chuàng)新，優(yōu)化移動支付流程，減少通過掃描二維碼可能出現(xiàn)的安全風險，阿里巴巴公司的支付寶聲波支付便是保證支付效率與安全的創(chuàng)新技術(shù)[2]。因此，國家需要提高行業(yè)技術(shù)安全標準，在移動金融基礎(chǔ)設(shè)施方面加大投入。

2.2 完善安全檢測體系，修復系統(tǒng)漏洞

對移動金融服務流程進行優(yōu)化完善，對暴露出的系統(tǒng)漏洞及時修復，第一時間遏制不法分子的惡意攻擊。因此，在對移動金融產(chǎn)品的研發(fā)設(shè)計中，首先要考慮技術(shù)安全方面，對支付交易過程中的各處細節(jié)予以安全保障，切不可為了易用性而舍棄煩瑣的用戶驗證環(huán)節(jié)，這樣可能給攻擊者留下“機會”。同時，還需針對移動金融軟件實施嚴苛的技術(shù)準入制度，筆者認為可由專門的信息安全機構(gòu)或是委托第三方具有安全檢測資質(zhì)的企業(yè)對該類軟件展開安全性檢測。此外，第三方支付機構(gòu)及金融機構(gòu)還應完善移動支付保險制度，為用戶在移動金融服務中出現(xiàn)的損失提供補償。

2.3 完善法律法規(guī)，保證監(jiān)管實效

作為行業(yè)監(jiān)管機構(gòu)需要對法律法規(guī)予以完善，保證制度的預見性及可行性，強化金融服務機構(gòu)與第三方支付機構(gòu)的協(xié)商溝通，保證監(jiān)管實效性。從當前工作進展來看，我國已出臺相應的政策法規(guī)，不過因為移動金融業(yè)務尚處在發(fā)展階段，許多新技術(shù)、新方法不斷涌現(xiàn)，會導致監(jiān)管機構(gòu)應對不暇。所以，還需要結(jié)合社會發(fā)展態(tài)勢對相關(guān)制度不斷完善，鼓勵消費者、企業(yè)、協(xié)會共同參與到法律制度完善工作中。而且在推出新業(yè)務時還要向監(jiān)管部門備案，方便監(jiān)管機構(gòu)監(jiān)測工作開展，避免新應用與當前規(guī)范存在矛盾之處[3]。同時還需要加強數(shù)據(jù)監(jiān)管，尤其是服務平臺的流動數(shù)據(jù)需要向監(jiān)管部門透明，通過數(shù)據(jù)監(jiān)管去實現(xiàn)對移動金融軟件的支付交易行為管理。

3 結(jié)束語

綜上所述，移動金融是當前互聯(lián)網(wǎng)時代金融業(yè)務關(guān)注的方向，但從目前實際情況來看，移動金融信息安全還存在一定隱患，其中風險主要存在移動終端、交易過程及網(wǎng)絡安全基礎(chǔ)設(shè)施等方面。所以，唯有從安全技術(shù)、操作流程、法律制度等層面著手去提供有效支持，才能保證移動金融信息安全性，推動移動金融的穩(wěn)健發(fā)展。

參考文獻

[1] 朱哲良.移動金融軟件安全防護措施的漏洞[J].電子技術(shù)與軟件工程，2019，（2）：179.

[2] 盧弋.產(chǎn)用聯(lián)合研發(fā)，強化移動金融安全[J].金融電子化，2017， （8）：61.

[3] 路艦.移動金融信息安全隱患與對策研究[J].金融科技時代，2015， （10）：71-73.