加强安全保障体系建设
移动支付的安全不仅涉及智能终端安全、通信安全、支付平台安全等技术安全,也涉及资金安全。我国移动支付面临的技术安全威胁正在不断增加,移动支付的安全形势不容乐观,这主要表现在三个方面。
(1)移动网络的安全形势严峻
通过网络植入于手机中的恶意软件、木马程序很有可能篡改、泄露客户信息资料,导致资金损失。
(2)移动数据传输的保密性问题突出
采用钓鱼网站、密码短信拦截、交易确认信息拦截、中间数据切取等方式,盗取客户资金的案例频现,支付机构资金诈骗时间屡有发生。
(3)个人信息保护机制尚不健全
个人手机号码、账号等敏感信息的保护机制不完善,垃圾短信和欺诈短信泛滥,以手机为载体的诈骗形式层出不穷。
因此,在加强安全保障体系的建设方面,可以从以下两方面人手。
(一)加快国家级可信服务管理平台建设
可信服务管理平台(TSM)是一个可实现基于安全模块的各类应用发行、管理等功能的开放服务平台。TSM 平台采用机构注册方式,保障应用的发行方和相关检测机构符合技术安全资质,通过对支付应用的生命周期管理,规范应用发行,确保应用符合标准、安全可信、联网通用,通过数字证书与密钥管理,实现移动支付应用的安全身份认证。
要构建、开放、平等、共赢的国家级可信服务管理平台,还需要各监管部门的协调和指导,加快出台平台整合的政策,加大对跨部门平台建设的扶持力度,实现各地方和机构 TSM 系统的互联互通、各平台资源的整合优化和业务统一监管,使各参与方深入合作,为广大客户提供跨行业一站式的安全可信的服务体验。
(二)加强安全单元的应用和载体管理
安全单元(SE)是负责交易关键数据安全存储和运算、支持多应用动态管理和运行安全的部件。承载 SE的介质被称为安全载体。移动支付标准明确的安全载体有SIM 卡、SD 卡、内置 SE的全终端、双界面 SIM 卡。加强这些应用和载体管理的主要需做好以下两个方面的工作。
(1)加强安全应用功能的有效管理
加强移动支付密钥管理系统和证书认证体系的建设,完善密钥发放和认证、检测等相关配套产业链体系,规范 SE 安全应用功能的使用,提高移动支付交易的安全性。
(2)积极拓展 SE的多应用管理功能
SE的多应用功能能够在SE 发行后,动态加载新的应用供用户使用,支持多应用共存,确保不同应用间互不影响,安全运行,有效解决诸如移动支付应用中的一卡多账户问题。