|
|
|
|
最新提示:
   热点文章
  新闻中心
  市场信息
  人力资源
  企业荣誉
主页 > 市场信息 > 文章内容
移动支付成时代主流 信息安全是一大头
时间:2014-03-18 15:40 来源:未知 作者:admin 点击:

智能机功能越来越强大,就是这强大的功能使得现代人越发的离不开智能机。人们使用智能机除了普通的在线阅读、访问社交网站、玩线上游戏以外,最常见的操作就在线购物以及移动支付了。同时因为电子银行软件登录了移动平台,银行转账等操作不用再专门跑到银行网点操作,大大的便利了人们的生活,这也是人们对移动支付爱不释手的原因之一。但是在便利背后,手机用户在作移动支付操作时也会面临安全威胁。这也是现代人多少都了解的一点。下面就让信息安全领域的专家山丽网安带您深入了解一下移动支付常见的数据安全隐患。

       智能机时代 移动支付面临新考验

       各种媒体宣传都在提醒手机用户,手机不是保险箱,通讯录里不要暴露家庭信息,防止一旦手机丢了之后可能会遭到诈骗。实际上不需要手机丢,我们存储在手机上的信息可能早已被恶意软件窃取。一些问卷调查公司来电,能够直呼机主姓名和工作单位,他们是如何获得的?很可能就是手机里面的一些短信信息、文件信息以及通讯录信息被非法窃取了。例如通过短信信息了解一个人的消费习惯、工作状况以及家庭状况,为某些利益链服务。所以说手机本身它没有太多的安全防护,给我们带来很大的安全隐患。

       目前为了保障金融交易的安全性,金融行业也制定了一些相关标准。《中国金融移动支付技术标准》已经颁布,银行卡检测中心负责牵头撰写了技术保障部分的检测标准,其中结合了多年来对金融行业安全风险和经验的汇总。另外,在人民银行的组织下历时三年才完成的《网上银行信息系统安全通用规范》中也对移动支付、电子支付的安全提出了安全要求。

       移动支付常见数据安全隐患

       1.短信支付:短信支付会有转入、转出、卡号、收款人信息、金额、密码等等信息,这就存在安全风险,这种交易不仅仅有可能被窃取,而且容易被篡改、伪造。这种支付安全风险较大,因为没有经过加密,是明文进行数据交互,所有转入转出的卡号、金额等等都暴露在明文上。

       2.STK:这种方式虽然会采用加密算法,但是交易过程中有可能需要转加密,在转加密的环节就有可能存在安全隐患,这是我们关注的要点。而且这种交易因为在手机上完成,没有任何的额外认证介质,那么这个手机本身是能够被远程控制的,它能够被远程控制来完成一笔交易。我们对一些手机银行的移动支付做安全攻击的实验,在手机上种植木马,手机的所有短信能够被获取。同时我们看到网上银行安全防护措施的一种是动态口令发到手机里,这种机制作为网上银行来讲是可以作为比较有效的安全防护措施,但是作为手机银行或者是移动支付、远程支付来讲就大打折扣。因为这种短信是发到手机上,通过木马程序可以直接分析出短信信息,这同使用静态密码没有什么太大的区别,木马完全可以做到。

       3.IVR:通过提供交易身份验证信息,卡号、手机号、姓名等,上送信息,发起交易。曾经有一种诈骗,通过电话的免提来输入银行卡密码,说我跟你做一笔交易,做一笔交易的前提我要知道你这笔银行卡里面有100万的余额,不需要告知银行密码,但需要通过电话免提的方式查询账户余额让对方听到。当通过免提输入银行卡密码的时候,犯罪分子就使用远程录音方式,获取按键声音,再使用软件统计分析出密码,最后完成诈骗。

       4.WEB:典型的WEB交易流程就是通过手机浏览器来完成交易,这种交易流程可能会遇到中间人攻击,对浏览器这一端会伪造一个服务器,服务器这端伪造一个浏览器来完成交易欺骗的流程,完成交易篡改和伪造。对于网上银行以及手机银行这种安全风险非常大。在撰写网上银行安全标准的时候,我们几乎办了全部的网上银行账户,我们对这些银行做了安全分析,之后我们发现,几乎所有的银行都防止不了中间人篡改。

       移动支付或称最主流手段 数据加密助其安全开道

       因为移动支付的灵活性与快捷性,这一支付手段越来越深入人心,不止是个人用户,很多企业用户也加入到其中来,与客户间的商务合作都启动了移动支付,这其中的原因当然是移动支付可以为企业繁忙的业务节省大量的时间与人力。

       但一旦面对移动支付的安全隐患,个人用户与企业用户是一样的。为保护个人财产安全与企业财产安全,防止犯罪分子通过违法手段获取支付信息而导致的信息泄露,使用强有力的防护措施已变得至关重要,其中最有效的当属国际先进的多模加密技术。

       多模加密技术采用对称加密算法与非对称加密算法相结合的技术,在不同的工作环境之下为用户提供不同的加密模式,灵活且有针对性,同时保证防护质量。以多模加密技术为核心,山丽网安打造了山丽防水墙数据防泄漏系统。该系统通过山丽网安“双核双升”技术更新,不仅具有文件加密的功能,针对企业内部机密文件、企业外发文件、还有文件权限控制的特性。山丽防水墙数据防泄漏系统在用其独有的AUF监控内核为核心和国际先进的加密算法,纳入了成熟的计算机终端管理模式,通过设备资产管理、端口管理、介质管理、外联管理、桌面管理、远程管理,在系统实施后可以达到技术手段的管理效果。

       时代顺应技术发展,移动支付一定会成为日后最主流的支付手段,那么保证这一支付手段的安全就变得举足轻重,从现在开始提高支付手段的安全性,完善维护个人及企业的账户财产安全,主动使用有针对性的加密软件保护本源数据安全是防止重要信息泄露最有效的办法!

 



(责任编辑:admin)