4G时代移动手机支付的安全策略

　　一、引言。

　　2013年12月4日，工信部正式向中国移动、中国电信、中国联通颁发了三张TD-LTE制式的4G牌照，意味着中国正式进入4G时代。毋庸置疑，这一快速网络通道的打通，为移动支付的发展提供了更为广阔的发展机会与技术基础，但同时也对移动支付的安全提出了更高的要求。

　　二、我国移动支付发展现状。

　　移动支付，也作手机支付，是指用户通过移动终端发出数字化指令为其消费的商品或服务进行账单支付的方式。移动支付业务最早出现于20世纪90年代初的美国，随后在韩国和日本得到大规模的应用，并取得了惊人的业绩。中国的移动支付概念可以追溯到1999年，但之后发展较慢，直到2011年移动支付业务应用仍然较少，市场规模也较小。之后，随着移动互联网的狂飙突进及智能手机的普及，移动支付逐渐蓬勃壮大，移动支付近年来的发展速度没有辜负业界的厚望。据中国支付清算协会日前发布的《中国支付清算行业运行报告（2014）》显示，2013年支付机构共处理移动支付业务37.77亿笔，金额1.19万亿元，分别较上年增长78.75%和556.75%,呈现井喷之势。

　　移动支付包括近场支付和远程支付两种方式，其中近场支付包括NFC手机支付和RF-SIM支付两种方式，远程支付主要是基于移动互联网的在线支付方式，实现方式分为短信、WAP、手机客户端等方式。在政策和市场的强力驱动下，移动支付产业链上群雄并起，电信运营商、金融机构、终端设备厂商、互联网巨头、第三方支付企业等纷纷根据自身优势和诉求展开业务布局，推动产业发展壮大。目前主要有银行主推的手机银行模式，第三方支付企业主推的平台支付模式，移动运营商主推的手机钱包模式以及金融机构与移动运营商合作的手机智能金融卡植入模式。

　　移动支付作为一种新兴的支付方式，其随时、随地、随身支付的特性赢得了广大消费者的青睐。如今，消费者越来越不愿使用传统而繁琐的银行账户和现金支付方式，更为便捷的移动支付逐渐成为首选。移动支付的功能不断推陈出新，逐渐渗透到购物、理财、生活服务、工作等领域，未来移动支付可能将更成熟地应用到医疗、社保及公积金等体系中。因此，怎样让消费者用得放心、安全才是最本质的，安全性成了移动支付的生命线。

　　三、移动支付存在的安全问题。

　　从支付宝手机钱包，到微信支付，再到微博支付、易信支付等，炙手可热的移动支付受到各界的追捧，但移动支付安全事屡见不鲜。360手机卫士官方微博发起的用户调查显示，98%的网友最担心安全问题，对手机支付仍有顾虑。目前，影响移动支付安全的主要因素有以下几个方面。

　　（一）无线网络的安全威胁。

　　无线网络自身存在诸多不安全因素。无线局域网络由于是通过无线信号来传送数据的，无线信道具有开放性传输的特点，信号在发出之后就无法控制其在空间中的扩散，容易遭受非法入侵和恶意攻击。任何拥有适当无线接收设备的人，均可以通过窃听无线信道而获得传输消息，甚至可肆意增加、删除、修改消息。非法接入、带宽盗用、假冒AP、WEP破解工具等，这些安全问题一直伴随着无线网络。

　　（二）移动终端的安全隐患。

　　与传统的PC操作系统不同，移动终端的操作系统呈现显着碎片化现象，因而漏洞也层出不穷，如签名漏洞、提权漏洞、挂马漏洞、静默安装/卸载漏洞、短信欺诈漏洞、后台发送消息漏洞、后台拨打电话漏洞等。如今，智能手机正在成为消费者的掌上信息中心，且手机与资费挂钩，使之更易被黑客利用，通过传播手机病毒、恶意软件来恶意扣费和窃取隐私。由于网络“钓鱼”等现象的持续泛滥，正在严重威胁到用户手机支付账户、手机银行的财产安全。

　　（三）用户安全防范意识薄弱。

　　移动终端用户没有形成保护手机安全的意识和习惯，这无疑为手机安全事故的发生埋下了种子。首先，一半以上的智能手机用户没有设置密码，也未安装防毒软件。其次，很多手机用户随意下载软件，殊不知下载渠道不安全是手机安全短板之一。再者，用户轻易对手机进行“越狱”,或毫无防范得扫描二维码。用户安全防范意识薄弱，无疑给恶意应用可乘之机。

　　（四）法律法规的不完善。

　　多年来，移动支付一直处于政策法律监管的灰色地带。目前，我国针对电子支付领域仅有《电子签名法》、《电子支付指引》、《电子银行安全评估指引》等几部法律法规，且这些法律法规立法层级不高、法律体系不全、执行效力不强。如此一来，不可避免地造成责任不清，无法可依。因此，尽快制定健全的法律法规体系迫在眉睫。

　　四、移动支付的安全策略。

　　（一）尽快建立移动支付安全标准和产品。

　　手机支付目前还没有一个统一的安全标准，各家企业采用自己的方式进行安全设置。这种状况不仅给用户带来了很大不便，也埋下了安全隐患。因此，央行要尽快建立移动支付安全标准和产品，积极推进金融标准化战略实施，并在金融基础标准、网银安全和移动支付等重点方面加大制标和贯标力度。同时，推进具有自主知识产权的国产银行密码算法体系研究剂建设，这不仅关系到个人的账户安全，更涉及国家层面的利益。

　　（二）加强各环节的安全防范。

　　在整个移动支付的过程中参与者众多。因此，要明确移动支付产业链各环节风险点，引导各方做好产品全生命周期风险防控。比如，从移动运营商来讲，要严防用户的SIM卡被复制或冒领，可采用实名认证和指纹认证等技术相结合的手段，同时在移动终端上安装金融级安全芯片和加密软件。在具体交易过程中，银行和第三方支付服务提供商可通过限额、机卡捆绑、身份验证、多重密码、动态验证等技术手段，有效降低风险。

　　（三）加强用户安全防范意识。

　　手机用户应加强自我保护意识，在享受手机给我们带来便利的同时，也应该提高安全防范意识，如对手机进行加密，安装防毒软件等。更重要的是，使用正规的、经过安全认证的渠道下载手机软件。在平时的使用中，不随意打开陌生人发来的链接、不轻易扫描二维码等，定期进行手机体检和查杀病毒。此外，相关机构还可以定期举行宣传教育活动，以提高手机用户的安全意识。只有提高安全防范意识，才能更好地保障个人隐私和财产安全。

　　（四）完善法律法规制度建设。

　　完善的移动支付法律法规有利于防范金融风险、维护金融稳定、改善金融服务，推动金融创新，因此我国应加快研究制定移动支付国家标准，为我国移动支付业务健康、快速发展保驾护航。

　　目前世界上比较有代表性的电子支付方面的法律法规，包括美国的《电子资金划拨法》和《统一电子交易法》、欧盟的《欧洲电子商务提案》、英国的《2002电子商务规则》等，这些发达国家的成功实践为我国移动支付法律法规体系的建设和完善提供了有益的参考借鉴。

　　五、结语。

　　4G时代的开启，对移动支付而言，既是机遇，又是挑战。安全问题是制约我国移动支付业务发展的瓶颈，只有解决了安全问题，4G时代的移动支付业务才能更上一层楼。