化解互聯網支付安全難題

信息安全

作者：程彥博

互聯網金融大熱，不僅造就了用戶便捷地進行金融活動的互聯網奇跡，也正在成為威脅用戶資金安全的溫床。

互聯網是創新的搖籃，層出不窮的新技術和新應用為提升用戶體驗而努力，而這些創新是否經得起安全的考驗，特別是在金融、支付等涉及到用戶資金安全的領域，應該引起業界、安全廠商乃至每個用戶的高度關注。

智能手機支付存在安全風險

“目前市場上存在的支付手段多種多樣，包括網銀、第三方支付、手機銀行、微信支付、二維碼支付等。這些支付方式的服務端還是比較安全的，都采用了防火牆、入侵檢測等安全手段。”中國金融認證中心（CFCA）技術支持部總經理馬春旺在接受本報記者采訪時表示。

然而，安全是一個鏈條，服務端的安全不代表整個鏈條的安全。馬春旺介紹，目前的支付安全鏈條上，各種支付手段在身份認證和交易保護環節采用的安全措施上還有差別。“相對來說，網銀所采用的安全措施較全麵，包括數字證書、動態令牌、短信驗證碼、賬號密碼等。而其他支付方式，如快捷支付、手機銀行、微信支付、二維碼支付的安全措施相對薄弱一些，目前主要是采用短信驗證碼的方式。由於智能手機係統的開放性、運營商的業務規則存在漏洞等，導致基於短信驗證碼的安全機製存在很大的安全風險，基於智能手機的支付業務實際上也存在安全風險。”馬春旺認為。

在馬春旺看來，新的支付風險的產生主要有兩方麵原因，一是新的支付方式在推廣初期更重視用戶體驗，在安全和用戶體驗二者之間會向用戶體驗一側傾斜；二是這些支付方式都依托互聯網而產生和發展，具有互聯網速度，尤其是移動互聯網和智能手機的快速發展，更加快了支付業務創新的節奏。相應地，與這些新的支付方式相匹配的安全技術發展就顯得滯後。

安全與便捷的平衡

安全和便捷的對立是互聯網支付領域存在的問題，但是隨著技術的發展，這一問題正在逐步得到解決。目前，一些機構和企業是通過業務規則來平衡安全與便捷的，如一些小額的支付更傾向於便捷，而大額支付則要求更安全。

“通常，CA指代的是USBKEY證書。實際上，CA技術本身並不會影響用戶的體驗，目前采用的USBKEY證書這種應用方式在一定程度上影響了用戶在支付時的使用體驗。這主要是由於USB技術對於硬件設備的依賴性和對於客戶端環境的依賴性，造成了對用戶體驗的影響。”馬春旺介紹，“CFCA正在研發一些新的產品，可以在很大程度上改變這種現狀，在保障支付安全的前提下讓用戶的使用更加便捷。”

“歸根結底，要解決互聯網支付的安全問題，就必須依靠信息安全技術的發展。”馬春旺介紹，CFCA投入了大量的資源研發適用於新的支付方式的安全產品，如藍牙KEY、Mobile KEY等，這些產品可以應用於網銀之外的支付環境，比如手機銀行、微信支付、二維碼支付等，甚至可以應用在ATM和POS的交易中。

“我們知道信息安全包括很多方麵，又涉及很多環節。比如網銀的安全問題就可以分為客戶端安全、網絡傳輸安全、服務端安全三個域，涉及的產品包括客戶端安全軟件、安全傳輸產品、防火牆等服務端的安全設備和軟件。每個安全域都是一個產業鏈，CFCA也在積極與銀行和下遊的設備、芯片廠商通力協作，這樣才能保證為用戶構建一個更為安全的互聯網支付環境。”馬春旺最後告訴記者。