论文部分内容阅读
本文从移动支付状况和开展专项排查的意义、移动终端中支付客户端软件质量亟待提高、金融消费者所用手机的安全功能有待加强等方面分析,提出了具有普遍性的移动支付风险防控、化解建议。
现今,移动支付业务已在支付业务中占据重要位置。然而,由于移动支付呈现出全社会参与、资金流动与沉淀的节点遍及金融机构内外的特点,给支付业务带来了一定的风险。
一、移动支付状况和开展专项排查的意义
近年来,我国经济增长促进了支付结算业务发展,人民银行顺势而为,积极推动了支付行业的变革进步。一是2012年之后连续出台了十余项移动支付金融行业标准。二是2011年起,对社会上符合条件的非银行机构颁发《支付业务许可证》。在通信行业,到2013年年底,我国手机网民占网民数的八成多,成为第一上网终端,奠定了移动支付的用户基础环境。这些因素相互作用,使得我国的移动支付交易规模迎来了爆发式的增长。从人民银行的支付体系运行总体情况数据来看,金融机构的移动支付增长迅速且明显快于网上上支付,非金融机构的网络支付业务也快速发展且业务量远高于金融机构的移动支付业务量。
由于移动支付为全社会参与,安全风险的聚集和变化快,因而不宜及时被发现和处置。为了更深入地掌握移动支付全领域的安全态势,人民银行于2018年通过《中国人民银行办公厅关于开展支付安全风险专项排查工作的通知》文件,组织所有参与者开展支付安全专项排查工作,对五大內容进行历时近6个月的排查、整改。
二、支付风险专项排查结果与问题分析
(一)移动终端中支付客户端软件质量亟待提高
一些金融机构开发的手机APP虽然功能上满足应用要求,但安全方面还需改进。一是在用户身份验证环节,为有效提醒客户避免使用常用密码。这些与常用软件、各类网站、个人身份信息相同或相似的用户名和密码组合,会被轻易破解冒用。二是使用移动终端时,当用户切换到其它APP再返回时,没有有效验证用户身份。三是手机重新设置支付密码时,未校验与以往密码是否相同。四是个别未对软件自身做防逆向保护措施。五是个别行在用户切换APP后,未清除缓存信息。
(二)金融消费者所用手机的安全功能有待加强
金融消费者所使用的手机五花八门、系统各异,系统中各类APP繁杂,为了图方便不注重安全防护,对手机安全类软件往往存在嫌慢不安装、安装也不用、扫描但不清理等现象。一些手机厂商没有尽到社会责任,对软件预装、恶意推广、广告推送等现象佯装不知、放任自流。一些手机APP滥用已装软件的权限,蒙骗用户安装其他软件,尤其是不少手机APP厂商捆绑自家的互联网金融产品,使金融消费者不出家门就受到不良金融广告信息的骚扰和蒙蔽。
(三)移动支付的商业银行端管控措施应彻底提高
一些金融机构没有持续强化移动支付基础设施安全建设,产品上线安全标准低、上线后不积极改进。例如,一些从业机构在服务的金融消费者手机客户端与服务器之间未建立安全的信息传输通道,使用公网进行数据传输时未通过密钥、证书等密码技术手段进行双向认证,不使用安全套接字层或传输安全、互联网协议安全等协议。还有个别行客户端与服务器之间仅采用单向认证方式,存在明显的安全漏洞。
(四)基础设安全标准应提升
个别清算机构提供的通用移动支付客户端接口中未用更加严格的标准,使得应用他们产品的商业银行普遍存在安全问题,而这些商业银行本身技术水品低,没有能力发现漏洞,修补安全漏洞的要求也不能及时得到解决。
(五)移动支付信息保护工作欠缺
个别第三方支付机构支付信息的信息保护有欠缺,没有全面开展信息安全等级保护工作,未制定数据隐私保护策略,敏感数据未加密存储,未落实双因素系统用户登录等。
三、防控移动支付风险隐患的政策建议
(一)从严监管,指导从业机构提升移动支付客户端软件质量
人民银行等金融行业监管机构,应从防范系统性风险高度认识移动支付全产业链监管责任。支付、科技、消费者权益保护、金融稳定等部门应各司其职,指导金融机构、清算机构、第三方支付公司持续提升移动支付客户端软件质量,追踪国内、国际移动互联网和传统互联网中支付风险热点事件,建立移动支付风险大数据信息库,确保任何时候移动支付客户端软件都安全可控。
(二)齐抓共管,打造良好的金融消费者移动支付金融生态环境
人民银行应与互联网信息管理部门(国家网信办、工信部)、信息安全部门(公安部、密码局)等政府部门紧密沟通,形成快速、安全的移动支付行业执法机制。同时,经常联系移动通信运营商、信息安全组织、金融科技公司、金融媒体以及IT厂商,了解设计移动支付相关的新技术、新设备、新服务、新舆情,引导移动支付全产业安全、高效发展,形成和谐的移动支付金融环境,打击破坏移动支付安全的产业链。
(三)健全机制,促进从业机构的支付系统全部选用高安全标准技术
当前我国移动支付产业已进入高速发展的阶段,产业释放出的红利足以支撑从业机构全面选用高安全标准的技术。人民银行应指导金融机构、清算机构、第三方支付公司在系统建设、升级改造等方面树立审慎的建设理念,学习和运用先进的技术标准,对于过时的、落后的应用系统,应尽快升级改造,避免安全风险。(作者单位:中国人民银行陇南中心支行)
现今,移动支付业务已在支付业务中占据重要位置。然而,由于移动支付呈现出全社会参与、资金流动与沉淀的节点遍及金融机构内外的特点,给支付业务带来了一定的风险。
一、移动支付状况和开展专项排查的意义
近年来,我国经济增长促进了支付结算业务发展,人民银行顺势而为,积极推动了支付行业的变革进步。一是2012年之后连续出台了十余项移动支付金融行业标准。二是2011年起,对社会上符合条件的非银行机构颁发《支付业务许可证》。在通信行业,到2013年年底,我国手机网民占网民数的八成多,成为第一上网终端,奠定了移动支付的用户基础环境。这些因素相互作用,使得我国的移动支付交易规模迎来了爆发式的增长。从人民银行的支付体系运行总体情况数据来看,金融机构的移动支付增长迅速且明显快于网上上支付,非金融机构的网络支付业务也快速发展且业务量远高于金融机构的移动支付业务量。
由于移动支付为全社会参与,安全风险的聚集和变化快,因而不宜及时被发现和处置。为了更深入地掌握移动支付全领域的安全态势,人民银行于2018年通过《中国人民银行办公厅关于开展支付安全风险专项排查工作的通知》文件,组织所有参与者开展支付安全专项排查工作,对五大內容进行历时近6个月的排查、整改。
二、支付风险专项排查结果与问题分析
(一)移动终端中支付客户端软件质量亟待提高
一些金融机构开发的手机APP虽然功能上满足应用要求,但安全方面还需改进。一是在用户身份验证环节,为有效提醒客户避免使用常用密码。这些与常用软件、各类网站、个人身份信息相同或相似的用户名和密码组合,会被轻易破解冒用。二是使用移动终端时,当用户切换到其它APP再返回时,没有有效验证用户身份。三是手机重新设置支付密码时,未校验与以往密码是否相同。四是个别未对软件自身做防逆向保护措施。五是个别行在用户切换APP后,未清除缓存信息。
(二)金融消费者所用手机的安全功能有待加强
金融消费者所使用的手机五花八门、系统各异,系统中各类APP繁杂,为了图方便不注重安全防护,对手机安全类软件往往存在嫌慢不安装、安装也不用、扫描但不清理等现象。一些手机厂商没有尽到社会责任,对软件预装、恶意推广、广告推送等现象佯装不知、放任自流。一些手机APP滥用已装软件的权限,蒙骗用户安装其他软件,尤其是不少手机APP厂商捆绑自家的互联网金融产品,使金融消费者不出家门就受到不良金融广告信息的骚扰和蒙蔽。
(三)移动支付的商业银行端管控措施应彻底提高
一些金融机构没有持续强化移动支付基础设施安全建设,产品上线安全标准低、上线后不积极改进。例如,一些从业机构在服务的金融消费者手机客户端与服务器之间未建立安全的信息传输通道,使用公网进行数据传输时未通过密钥、证书等密码技术手段进行双向认证,不使用安全套接字层或传输安全、互联网协议安全等协议。还有个别行客户端与服务器之间仅采用单向认证方式,存在明显的安全漏洞。
(四)基础设安全标准应提升
个别清算机构提供的通用移动支付客户端接口中未用更加严格的标准,使得应用他们产品的商业银行普遍存在安全问题,而这些商业银行本身技术水品低,没有能力发现漏洞,修补安全漏洞的要求也不能及时得到解决。
(五)移动支付信息保护工作欠缺
个别第三方支付机构支付信息的信息保护有欠缺,没有全面开展信息安全等级保护工作,未制定数据隐私保护策略,敏感数据未加密存储,未落实双因素系统用户登录等。
三、防控移动支付风险隐患的政策建议
(一)从严监管,指导从业机构提升移动支付客户端软件质量
人民银行等金融行业监管机构,应从防范系统性风险高度认识移动支付全产业链监管责任。支付、科技、消费者权益保护、金融稳定等部门应各司其职,指导金融机构、清算机构、第三方支付公司持续提升移动支付客户端软件质量,追踪国内、国际移动互联网和传统互联网中支付风险热点事件,建立移动支付风险大数据信息库,确保任何时候移动支付客户端软件都安全可控。
(二)齐抓共管,打造良好的金融消费者移动支付金融生态环境
人民银行应与互联网信息管理部门(国家网信办、工信部)、信息安全部门(公安部、密码局)等政府部门紧密沟通,形成快速、安全的移动支付行业执法机制。同时,经常联系移动通信运营商、信息安全组织、金融科技公司、金融媒体以及IT厂商,了解设计移动支付相关的新技术、新设备、新服务、新舆情,引导移动支付全产业安全、高效发展,形成和谐的移动支付金融环境,打击破坏移动支付安全的产业链。
(三)健全机制,促进从业机构的支付系统全部选用高安全标准技术
当前我国移动支付产业已进入高速发展的阶段,产业释放出的红利足以支撑从业机构全面选用高安全标准的技术。人民银行应指导金融机构、清算机构、第三方支付公司在系统建设、升级改造等方面树立审慎的建设理念,学习和运用先进的技术标准,对于过时的、落后的应用系统,应尽快升级改造,避免安全风险。(作者单位:中国人民银行陇南中心支行)