标准缺位移动支付陷安全瓶颈

    随着争议多年的移动支付标准问题尘埃落定，安全问题对行业发展的阻碍日益突出，引起了从芯片、终端到商业银行、支付企业和安全厂商在内整个产业链的广泛关注。

金山安全公司技术总监、助理总裁林凯在接受《中国企业报》记者采访时表示，目前移动支付的安全防控主要是身份认证和通讯加密，支付环境的安全防范比较薄弱，传统的黑名单方式也难以跟上急剧增长的病毒增长，对于潜在的高级持续性攻击（IPT）更是大打折扣，解决这些问题需要包括支付企业、安全厂商在内整个产业链的共同努力和通力合作。

移动支付安全问题亟待解决

根据艾瑞咨询的统计数据，2012年，中国移动支付市场交易规模达1511.4亿元，同比增长高达89.2%。未来几年，这一领域仍将保持40%左右的年增长率。

中国支付网主编刘刚认为，随着标准问题争议结束，下一阶段影响移动支付商用发展的因素还有很多，日益突出的移动支付的安全问题是迫在眉睫的问题。近期的调查结果显示，93%的消费者表示，支付是否安全是影响其考虑使用移动支付服务的重要因素。

财付通上述人士认为，随着智能手机以及移动支付的普及，越来越多的手机病毒将会涌现出来，用户的财产、隐私都将受到威胁。有案例表明，招商银行、建设银行、浦发银行等多款银行类应用都曾遭遇恶意木马篡改。

与传统的针对大众用户的木马等病毒相比，林凯认为，新兴的高级持续定向攻击是移动支付更大的潜在威胁。这是一种更具针对性的、潜伏时长更长的攻击手段，在普及程度加深和价值充分体现之后，移动支付将会成为这类网络攻击的重要目标。

产业链各环节积极应对

考虑到安全问题对产业发展至关重要，整个产业链都一直在这方面进行努力，不仅包括一些支付企业，某些终端芯片厂商及一些传统互联网安全厂商也给予了高度关注。

“面对目前移动支付过程中存在的安全隐患，某些支付企业推出的相关移动支付技术能减少网页的跳转，有效地降低钓鱼网站和病毒的危害。收集的信息全程加密传输，信息保管也进行物理上的隔离，并且严禁用于与用户支付无关的场景。”业内人士指出。

除了技术方面的努力，某些支付企业还通过业务创新来保障用户资金安全。包括对手机交易额设置了上限，例如有些支付企业还开创性地推出了赔付机制，满足条件的用户可以拿到支付企业的全额赔偿，希望最大限度地打消用户使用移动支付的安全担忧。

此外，有些传统互联网安全厂商推出了云私有安全系统，该系统注重支付环境的安全，通过特有的白名单技术，将支付环境的规范化清零，只允许白名单中认可的程序运行，保证支付环境不受到病毒污染，而且对于潜在的IPT攻击更具有效果。

安全标准缺位是根源

就在产业链各环节纷纷为移动支付安全出谋划策的时候，另一个问题浮出了水面，整个行业缺乏统一的安全标准和体系，这给安全制度的推广造成了困难。例如，高级别安全认证工具的推广应用，就因为数字证书应用缺乏统一的硬件标准下的兼容性问题。


“移动支付的安全不是孤立的安全，总的来讲包括终端安全和业务安全，终端安全又包括设备安全、应用安全和数据安全，每一个环节的安全者需要相应的企业各司其职，同时又需要上下游之间充分沟通和协同，这样才能保证整个体系的安全。”刘刚说。

林凯也表示，移动支付涉及产业链的各个环节，包括银行、公安、手机厂商、运营商、手机安全厂商等应该全产业链联手，包括用户信用意识的建立，共同推进移动支付业务产业发展，金山安全已经与多年移动支付企业展开合作商谈。

财付通相关人士也透露，财付通已联合腾讯手机管家、QQ浏览器，共建安全的移动支付生态圈。财付通还在积极与安全厂商、手机厂商、移动支付提供商等企业进行沟通合作，以完善移动支付生态链的搭建。