4月20—21日，由移動支付網和北京移動金融產業聯盟聯合主辦的2017中國移動金融發展大會在北京順利召開。在《金融支付論壇》上，銀行卡檢測中心副總經理孟飛宇分析了當前移動支付發展面臨的風險，提出了幾點移動支付安全風險防范的建議。

　　一、風險概要

　　移動支付應用體系結構分三個層次，一個是支付終端層，第二個是服務接入層，第三個是業務系統層，各層次所面臨的風險也不是不一樣的。

　　首先，支付終端面臨的風險主要包括手機操作系統存在安全漏洞、支付應用軟件自身缺少安全校對機制、感染手機木馬病毒等;服務接入層需要防范DNS劫持、釣魚網站、惡意WIFI、會話劫持中間人攻擊等風險;業務系統層面臨交易指令偽造，拖庫撞庫、內部管理控制等風險。;

　　孟飛宇指出，移動支付所面臨的風險隱蔽性強、針對性高、手段專業且影響面廣，一般用戶很難發現和應對;相反的，一些具備專業技能的不法之徒，可以有針對性的組合多種攻擊手段，鎖定受害人并竊取敏感信息，進而威脅受害人賬戶資金安全;同時還有可能針對支付后臺系統和數據庫進行滲透攻擊，，從而一次性獲得海量的用戶數據，造成更大范圍的影響。

　　二、防范措施

　　面對當前移動支付面臨的風險，孟飛宇提出要根據監管政策要求進一步建立健全支付安全標準體系，然后依據標準體系形成規范的檢測認證機制，進而護航移動支付產業的快速、健康、可持續發展。具體建議包括：

　　1.服務對象層(用戶、商戶)

　　提高用戶風險防范意識，養成既注重方便快捷又注重安全風險的良好支付習慣，能夠主動識別偽WiFi、欺騙性網站、客戶端軟件木馬、惡意二維碼等影響支付安全的因素。

　　提高商戶風險預見能力，加強風險防范責任意識，不使用改裝的支付受理終端，采用安全性較高的支付方式，必要時提示用戶潛在的支付風險。

　　2.服務運營層(受理機構、轉接清算機構、賬戶管理機構、渠道運營商)

　　嚴格把控產品的選型、驗收、抽查等環節，選擇符合國家和金融行業相關標準的支付產品，對產品質量和標準符合性進行驗收把關，并定期對受理終端改造等行為進行抽檢，為商戶和用戶提供安全、放心的支付渠道。

　　不斷加強系統安全防護能力，依據系統的安全等級定期開展風險評估，使系統具備常見入侵攻擊手段的防范能力，嚴防商戶、用戶信息泄露。

　　提升系統開發人員的安全技術水平，具備防范常見入侵攻擊的開發能力，提高代碼質量。

　　規范技術人員外包管理，與外包人員簽訂保密協議，建立完善的信息保護機制，確保信息泄露風險可控。

　　定期對商戶、用戶進行風險提示，引導商戶和用戶采用安全的支付方式，從官方渠道獲取支付應用，掌握風險應對方法。

　　3.技術支撐層(移動終端廠商、受理終端廠商、卡商、芯片商等)

　　嚴格按照國家和金融行業相關標準生產制造受理終端、卡片、芯片等支付產品，不斷提升產品的安全防護能力。

　　加強與產業下游企業的互動協同，以安全需求為導向設計生產支付產品，合力提升信息保護和移動支付安全。

　　4.檢測認證層(檢測機構、認證機構)

　　嚴格按照國家和金融行業相關標準要求對移動支付產品的標準符合性與安全性進行檢測認證，為支付產業把好質量關。積極與產業上下游的企業和機構開展合作，共同研究更加有效的移動支付安全防護方案。

<menuitem id="zjj55"></menuitem>

<menuitem id="zjj55"></menuitem>

<big id="zjj55"></big>

責任編輯：韓希宇