范志杰:农业银行在移动支付安全领域的探索与实践
2017/10/10 19:57:24

文/中国农业银行科技与产品管理局 范志杰

7月1日,贵阳与蚂蚁金服签署合作协议,成为继杭州、武汉、福州、天津之后的全国第五个“无现金城市”。几个月前,支付宝“五年内推动中国进入无现金社会”的豪言壮语正在慢慢实现,“无现金社会”俨然已成山雨欲来风满楼之势。另一篇是,今年五月中旬,在世界范围内爆发的勒索病毒让人们心有余悸,虽然这一起在PC端的病毒风暴已经平息,然而在移动端又起波澜。就在上个月,360手机卫士发现了一款手机病毒,与PC端的勒索病毒有异曲同工之妙,通过冒充时下最热门手游“ 王者荣耀 ”的辅助程序来诱骗用户安装,然后加密手机中用户的所有文件,并且向用户索要赎金!

一、中国移动支付市场高速蓬勃发展

互联网以“开放、协助、平等、分享”为核心理念,自推出以来,就在全球得到了迅猛发展和广泛应用,更促使我国移动互联业务呈现出持续爆发式增长态势。截至2016年末,我国互联网用户规模达7.31亿,其中手机网民达到6.95亿,占比95%。受益于移动互联网的环境改善和各行业服务的互联网化,贴近百姓生活的各类服务呈现出“三化”(互联网化、移动化和自助化)的发展趋势,移动金融的创新发展得到了极大的推动。支付作为金融中最基础的服务,成为移动金融创新最为活跃的领域。相对国外而言,我国移动支付起步相对较晚,但发展非常迅速,目前,已经毫无悬念的领先世界。据相关统计数据显示,2016年我国银行业金融机构共处理移动支付业务257.1亿笔,金额157.55万亿元,同比分别增长85.82%和45.59%。第三方支付机构共处理移动支付业务970.51亿笔,金额51.01万亿元,同比分别增长143.47%和132.29%,预计2017年整体交易规模将保持超过100%的增长速度。

近年来,中国移动金融产业的商业模式、技术形态逐渐形成具有中国特色的“中国模式”,不管身处大型商业中心还是巷子里的小商铺,随处可见微信支付、支付宝、Apple Pay的身影,无论是最发达的美国、日本还是欧洲,都无法像中国这样依靠手机完成近乎零现金的日常生活。中国已经成为影响国际移动金融产业发展方向的重要力量。

二、支付安全成为影响移动支付发展的关键因素

近日,人民银行发布相关报告显示,2016年银行卡发卡量、存款、转账等各项服务均高速增长,但取现业务却出现了下降。与之相对应的是,据中国互联网络信息中心发布的报告显示,截至2016年年底,中国手机网上支付用户规模达到4.69亿,年增长率为31.2%;手机网上支付的使用比例由57.7%提升至67.5%;有50.3%的网民在线下实体店购物时使用手机支付,手机已经不仅仅是个人钱包和支付介质,更是成为了个人的财富中心。用数字货币取代纸质货币的“无现金社会”已渐行渐近,用户大量使用现代支付技术时,安全比快捷更为重要。然而目前,由于社交媒体盗用、支付二维码被偷梁换柱、短信木马链接、支付密码撞库、骗取验证码等手段而造成的电信诈骗层出不穷,已经成为许多人使用移动支付时的隐忧。尤其是过去一年,移动安全问题正在集中爆发,给老百姓的人身财产安全造成的损失远远大于PC时代。中国银联发布的《2016移动支付安全调查报告》显示,2016年,不仅遭受欺诈的用户比例有所上升,受损金额也持续走高,约有25%的被调查者表示曾经遭遇过电信网络诈骗,并遭受过损失,较上年上升了11%;木马链接短信和骗取短信验证码等欺诈手法,也是常见的支付欺诈方式,遭遇这两类手法的持卡人比例达到63%和51%。可以说,在数据传输、数据存储、身份鉴权三个信息安全防护基本要素中,每一步都出现了不同程度的安全问题,支付安全已经成为了影响移动支付发展的一大障碍。面对日趋严峻的安全形势,监管部门高度重视,从支付牌照的收紧,到96费改执行,再到二维码支付的开闸放水,可以看到,监管部门出台的每一项政策都是对此前的行业乱象的大力度整顿,每每都能击中移动支付市场的要害,也都极大地促进了行业的良性发展。作为“无现金社会”重要一极的移动支付产业链相关各方,移动支付能否惠及更多社会群体,如何在监管部门的引导下,在保障足够安全的前提下,推动移动金融行业持续健康发展成为新的课题。

三、农业银行在移动支付安全领域的实践

自商业银行诞生之日起,支付业务就是商业银行的核心业务,支付也主要是通过商业银行办理。但随着第三方支付机构的崛起,商业银行支付业务的市场份额被蚕食,失去了传统的主导地位。目前,越来越多的商业银行已经意识到移动支付市场的规模之大、增速之快、覆盖之广,纷纷以此为切入点,将支付服务融入客户生产、生活场景,在移动端为客户提供更加贴心的移动支付金融服务,构建以支付为核心的移动金融服务生态。长久以来,移动支付战争都在围绕场景展开,谁得场景谁就能掌控用户。随着支付战争的不断升级,支付场景也不断向垂直领域深挖。可以说,以占据场景的移动支付战争上半场趋于结束,以安全为主战场的下半场正悄然开始。农业银行作为一家国有大型商业银行,风险控制和安全保障是其传统优势。农业银行牢牢把握移动支付的重要机遇和自身优势,有效应对市场环境的深刻变革,为用户带来更加安全快捷的支付服务体验,开展能够满足客户需求的特色支付业务,同时不断加强与同业、移动运营商和第三方支付服务机构的合作,打造自身主导的消费场景,共同推动移动支付产业的蓬勃发展。

1. 安全牢固的基础环境

随着消费活动的移动化,移动金融基础环境的安全性成为影响相关行业服务创新发展的重要因素,面对更为复杂的应用场景,单一环节的安全解决方案已不再适应发展需要,需要全方位、立体化的安全保护。农业银行从移动终端、网络传输、安全认证三个方面不断加强移动支付安全的建设,构筑了安全牢固的基础环境。一是电子渠道交易采用SSL协议或类SSL协议进行加密,保护数据在网络传输过程中不会被截取及窃听,保障了交易数据的合法性、完整性和安全性。二是对掌银客户端进行了安全加固,能够有效实现防钓鱼、防病毒、防篡改等功能,为客户提供安全的使用环境。三是采取基本认证(静态密码)和扩展认证(3K认证体系:K宝、K令、K码)相结合的安全认证方式,极大提升了电子渠道交易的安全性和客户体验。

2. 多层级的安全控制

银行业务的“三化”趋势,加速了金融服务的创新步伐,安全保障成为创新能否落地的必要条件,安全与便捷的对立统一需要在细分领域找到新的平衡点,应用安全方案面临更为复杂的应用场景,进入分级、多元化的创新性发展阶段,按照业务类型进行安全分级的要求越来越迫切。农业银行采用“强认证,高限额”策略,以客户为维度,根据不同的交易渠道和安全认证介质对交易的安全等级进行划分,并实施差别化的额度控制。同时,还可以根据监管部门要求,通过电子银行综合管理系统实现交易限额的灵活配置。值得一提的是,农业银行基于软Token(手机令牌)技术推出了一款小额便捷支付产品——手机快e付,在安全性方面具有较现有快捷支付方式相比更高的安全性,涵盖近场和远程、线上和线下各类应用场景,客户体验也更加良好,大力推动了农业银行移动支付的业务发展。

3、动态的风险管理系统

现在的网络威胁不断变化,并且越来越不可预测。因此需要采用灵活的风险管理系统,应对新情况并部署适应性强的安全策略。动态风险管理系统可以识别不寻常的用户交易模式,评估交易的风险并进行干预以阻止交易,在农业银行取得了良好的应用效果。一是根据电信反欺诈相关要求,客户通过电子渠道对黑名单账户进行金融性交易时,电子渠道将实时进行阻断。同时,对客户电子银行的交易信息进行记录,做到有备可查。二是电子银行在线交易监控系统实现对风险交易的实时分析及预警,同时对客户在电子银行关联操作进行了分析与监控,实现了由单一渠道监控向多渠道监控的转变。

4、加强行业合作共赢

金融服务的互联网化给安全行业带来了新的挑战,单一化的产品解决方案不再适应各行业的发展需要,新秩序、新常态下的移动支付安全挑战绝非一己之力能够应对,唯有开放合作,集合各个产业链伙伴的安全力量,才是有效的解决之道。农业银行在不断强化自身安全研发能力及创新能力的同时,按照“强强联手”的发展理念,不断提升与外部机构合作服务的能力,将支付等金融服务面向移动运营商、手机厂商、互联网企业等产业链合作伙伴开放,聚焦发展、优势互补,积极参与广泛的多方合作,积极参与移动支付产业联盟建设,倡导并坚持开放合作,打通产业间的壁垒,持续推动建立安全生态防护体系。目前,农业银行已经实现了商业银行支付平台与清算机构、卡组织及第三方支付机构移动支付系统的对接,通过平台对接、数据共享等方式实现与合作伙伴之间的客户导流,融入更丰富的移动支付服务内涵,为客户和商户提供高质量、更便捷、更安全的移动支付服务。

2017年11月15日,移动支付网与北京移动金融产业联盟在深圳举办《2017第二届中国移动金融安全大会》,深度探讨在金融科技时代,终端安全、数据安全以及不同场景之下的安全应用。

详情见:http://www.mpaypass.com.cn/MFSC2017/

本文转载目的在于知识分享,版权归原作者和原刊所有。如有侵权,请及时联系我们删除。

展开全文
相关阅读
资讯查询取消