自从中国人民银行发布《非银行支付机构网络支付业务管理办法(征求意见稿)》以来,引发了社会大讨论,而争议的焦点就是央行对网络支付安全性的先入为主的担忧。
据媒体的报道,2014年至今,央行金融消费权益保护部门受理的网络支付类投诉占互联网金融类投诉的95.06%。还拿出了两个案例来做证据。
第一个案例,“部分支付机构风险意识薄弱,客户资金和信息安全机制缺失,安全控制措施不到位,对消费者的信息和财产安全构成严重威胁,甚至可能将相关风险引导至消费者的银行账户。今年1月,某支付机构泄露了上千万张银行卡信息,涉及全国16家银行,截至7月31日由于伪卡形成的损失已达3900多万元。”
另外一个案例,“支付机构挪用客户资金事件时有发生。央行提供的案例显示,2015年3月,中国人民银行四川省射洪县支行相继接到商业银行金融重大事项报告,称客户赵某个人银行结算账户累计有21.9万元资金被盗划。赵某5张银行卡存款账户资金被连续盗划20余次,期间被屏蔽了手机动账短信提示。调查发现,赵某个人身份信息被不法分子盗取,资金通过上海某网络支付机构划至北京一家公司账户。”
不过,上述两个案例只是说明信息泄露的风险,之所以用户的钱被划走,主要原因是信息安全而非支付中的漏洞。从媒体报道出来的信息来看,在支付环节,网络支付并没有特别的风险发生,潜在的威胁还是主要存在于信息和隐私保护。
所以,如果要保护网络支付安全,必须从网络端、客户端以及支付流程中寻找解决问题的方法,而不是简单的通过限制用户的使用。
网络支付安全要依赖网络管理上的大数据应用
在网络层面,在大数据的背景下,全网的视角看安全和单点来看安全,是不一样的。据报道,华为使用基于controller的技术方案可以看到全网的东西,用大数据分析的方法去发现一些潜在的威胁,由此建立更高的安全防范。华为在美国RSA2014安全峰会上阐释“用大数据分析铸就安全敏捷网络“的理念,并发布了下一代Anti-DDoS解决方案,提供T级DDoS防护性能,同时宣布T级高性能数据中心防火墙,成功通过了美国NSS实验室的测试,成为业界首款经过第三方认证的T级数据中心防火墙产品。这两款业界领先的高性能产品,引领安全进入T级防护时代,为“大数据”的安全保驾护航。
华为还提出了一个新的技术叫沙箱,就像一个病毒培养皿,它可以模拟一个LINUX的环境,模拟一个Windows的环境,一个Android的环境,一个IOS苹果的环境。如果发现可疑应用就会把这个应用就放到里面,让它在一个假环境里跑,监视他的各种行为,如果它去攻击Office,几个送到假Office的响应就告警,最后分析出来的确是个潜在的攻击或者危险。网络用户把数据送到沙箱里面去观测,自动观测、自动分析,然后自动告警。这样可以把非常潜在的初级阶段的威胁抓出来,更好地保护网络。
用户在应用端的安全更需要大数据理念
另外的风险来自普通的用户,用户的重要信息可能丢失,可能被盗,在极端的情况下,涉及用户资金的账号密码、身份证件等都可能同时被其他人获取。如此,还能保护用户的信息及资金安全吗?
在这方面,网络支付企业也在利用大数据的方法进行信息保护的探索,即便在极端情况下也要保护用户的资金安全。
其实,我们经常在影视剧上看到战场上曾经出现过的声东击西的经典方法,一只主力部队准备偷袭战场,为了掩盖调动的信息,往往会仅留下总部的发报员,继续在原地进行伪装的收发电报和指挥,这种方法也确实在战争中成功应用,究其原因就是,每个发报员都会有自己独特的指法、速度,形成“指纹”,敌方的监听部门会根据收发特点来识别军队番号和行动路线,这实际上就是一种大数据的应用。
依据这样的原理,我们每个人在使用PC或手机等登录账号、输入密码、点击链接等也会形成自己的习惯动作,这些动作形成的大数据信息也会被记录和分析,如果哪一天哪一次系统突然发现这些动作都出现了异常,就会采取拦截措施,通过一系列的新增信息核对步骤来保证交易的安全,特殊条件下会中止交易并与资金所有人进行直接沟通核实。
不过,网络支付安全永远是个相对的概念,不可能有绝对的安全,安全感是建立在对比与不断提升的基础上的。只要通过不懈的努力,加上有效的监管,我们相信互联网支付一定会获得健康稳定的发展,老百姓也能享受到安全的支付体验。
【每日一文,坚持十年,欢迎业界读者沟通交流,请微博 @马继华 或加微信公众号“北国骑士”】
免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。
