運用生物識別技術保障移動支付信息安全
移動支付在我們生活中日益重要,現在越來越多的人采取無現金支付,人們在出門旅游、購物、住宿等活動中只是簡單的掃描二維碼就能支付相關費用。同以往現金支付相比更加便利、方便,減少了攜帶現金的煩惱和支付零錢的麻煩。但是我們也不得不承認移動支付在我們國家才剛剛起步,發展十分迅速,在發展過程中也伴隨一定問題出現,尤其是信息安全方面的問題。
移動支付總體情況
移動互聯網和智能手機的發展,帶來了移動金融的高速發展,根據《2020中國電子銀行調查報告》顯示,2020年三季度全國個人手機銀行的用戶3.5億,環比增長6.1%,2020年個人網上銀行用戶比例達59%,較2019年增長3個百分點,而個人手機銀行用戶比例依然保持著較高的增長速度,2020年增幅達到8%,用戶比例達到71%,同比增長12%。根據擴散理論,手機銀行已經跨過“起飛點”,進入快速發展快車道。
中國人民銀行發布的《2020年支付系統運行總體情況》顯示:2020年移動支付筆數1232.20億筆,總金額達到432.16萬億元,同比分別增長21.48%和24.50%,遠高于網上支付12.46%和1.86%的增長比例。中國銀聯2020年移動支付安全大調查統計數據顯示,手機支付是最受大眾喜歡的支付方式。
在移動金融高速發展的同時,移動金融的安全環境令人擔憂。《2020中國電子銀行調查報告》顯示:用戶不愿意使用手機的最主要原因是擔心不安全。中國銀聯《2020移動互聯網支付安全調查報告》顯示:移動支付傳統驗證受到冷遇,生物識別受到青睞,到2020年末傳統密碼驗證使用比例比2016年下降25%,動態驗證比2017年下降20%,使用生物識別比例大于48%。
國家計算機病毒應急處理中心2020年發布的《第十九次國家計算機病毒應急處理中心全國計算機病毒和移動終端病毒疫情調查分析報告》中顯示,“信息安全領用問題日趨復雜”,不法分子利用釣魚網站瞄準手機支付用戶群體,通過仿冒移動應用、移動互聯網惡意程序等手段,犯罪分子在境內外對移動客戶進行欺騙和攻擊,移動安全已經成為金融領用重點防范的領域。
移動金融面臨的典型安全問題
近些年移動金融的迅猛發展也面臨著信息安全方面的巨大挑戰,犯罪分子已經從以往的使用暴力手段轉向通過高科技技術進行金融犯罪和詐騙,移動支付面臨:惡意軟件、涉及網絡信息和用戶身份識別的漏洞方面的信息安全挑戰。
1.惡意軟件。在移動終端中,以木馬為代表的遠程控制程序危害范圍最為廣泛,它們多被夾在許多惡意的銀行軟件包中,當詐騙犯竊取用戶信息的時候,這些程序不注入代碼,不在運行程序列表中,不以任何方式操縱對話界面,只是在后臺獲得安卓設備的遠程管理控制權,所以造成動態的惡意軟件檢測工具無法檢測到這些遠程控制程序。尤其是2016年以來,通過遠程控制程序接入技術實現移動支付詐騙的情況越來越多,例如針對金融機構的惡意木馬Dyre、Dridex和Neverquest等。它們利用虛擬網絡控制臺(VNC)與金融機構服務器建立后臺連接,由于虛擬網絡控制臺VNC和RDP遠程管理功能可以用來良性使用,所以部分安全監測軟件對于遠程訪問程序的監測結果傾向于“假陽性”,造成大部分惡意程序逃避了移動應用程序檢測,形成了安全隱患。
2.利用社交網絡信息。金融欺詐中最薄弱的環節是最終用戶,根據《中國網絡詐騙犯罪大數據研究報告》顯示,網絡社交工具和電子商務網站信息泄露事件中,已被公開并證實的個人信息多達11.27億條。利用社交網絡信息通過登錄認證驗證很難被檢測到,常規的安全控制無法阻止欺詐行為的發生。
3.利用用戶身份識別漏洞。目前,手機短信驗證仍然是最普遍的手機銀行驗證形式,出于這個原因,有些設備沒有密碼保護,一旦設備落入不法分子之手,看似可靠的設備將不再安全。
綜上,解決這些問題的一個好方法是使用生物識別技術,分析常規用戶的行為,然后判斷該設備是否由常規用戶所掌握,人臉別就是在這種背景下誕生的一種生物識別技術,對移動金融的信息安全保駕護航。
發揮生物識別技術特性,
提升移動支付的信息安全能
1.在法律法規層面上保障生物識別技術在實踐中的應用。生物識別,是基于人的身體特征信息進行身份識別的一種技術。在移動金融中得到了很好的應用,為了進一步把握生物識別技術在金融領域的應用推廣,國家出臺了一系列政策予以支撐。2015年以來,我國相繼出臺了《關于銀行業金融機構遠程開立人民幣賬戶的指導意見(征求意見稿)》《安全防范視頻監控生物識別系統技術要求》《信息安全技術網絡生物識別認證系統安全技術要求》等法律法規,為生物識別技術在金融等領域的普及奠定了重要基礎。2017年,人工智能首次被寫入全國政府報告;同年7月,國務院發布了《新一代人工智能發展規劃》;12月,工信部出臺了《促進新一代人工智能產業發展三年行動計劃(2018-2020年)》,其中對生物識別有效檢出率、正確識別率的提升做出了明確要求,生物識別獲得的國家政策支持顯而易見。
2.加強隱私保護、保護消費者合法權益。加強生物識別數據采集、傳輸、存儲和使用的全生命周期管理,利用安全芯片、加密算法等技術手段加強人臉、指紋等特性數據的安全保護,防范生物特征信息泄露。督導從業機構強化內控管理,完善生物識別金融應用相關業務規則,明確應急處理、退出機制,通過相應的風險補償措施確保突發事件發生時,消費者合法權益得到有效保障。
3.生物識別是遠程身份確認的關鍵技術保障。身份確認是金融體系中的重要環節,以往金融機構確認客戶身份需要客戶到柜臺進行面對面的確認。手機銀行、移動支付等移動金融安全問題核心是遠程身份確認。目前金融業務客戶端是手機APP方式,使用密碼進行登錄,但密碼登錄的缺點是密碼容易被剽竊,手機容易被黑客程序攻擊,遠程身份僅靠密碼識別極其不安全。而人體的生物特性相比傳統的密碼等,有著長期相對問題,特征不變的特點,個體之間差別明顯,不會遺忘、丟失、失竊,在遠程身份確認的場景下,生物識別技術很好地解決了密碼無法解決的問題。
遠程身份識別需要以下幾方面的技術保障:一是特征應具備較低的敏感性;二是使用簡單方便;三是用戶體驗要好;四是交換靈活,最大限度的降低冒充風險;五是終端設備成本一定要低。
從以上需求來看,人臉、指紋、聲音等具有明顯優勢,其中通過采集生物特征,比對相關數據進行遠程身份確認。以人臉識別為例,應用模型根據對比方法的不同,可將人臉識別技術分為1:1和1:N兩種模式。其中,1:1模式也被稱為人臉驗證,是將人臉和人像數據庫中特定的一張臉進行快速比對、驗證的過程,即證明“你就是你”。1:N模式又被稱為人臉辨別,是將當前人臉與人像數據庫中的N張臉進行比較、匹配的過程,即證明“你是誰”。每個人的人臉具有唯一的生理特征,隱私敏感度低,不易被復制。
生物識別技術有著遠程身份認證場景中得天獨厚的優勢:使用方便,客戶只需對著手機攝像頭眨眨眼、抬抬頭、扭扭臉基本上完成遠程身份確認,使用非常方便和快捷,僅僅一部手機就可以完成,同時數據量非常小不占用額外的帶寬。除人臉識別,還有指紋識別、聲音識別等,可見生物識別是解決移動金融安全的最佳方法。
生物識別技術在我國應用已經初具規模,國家在各個層面上制定了相關的政策和制度,保障生物識別技術發展。人民銀行先后發布多個通知鼓勵有條件的銀行使用生物識別技術用于身份確認,中國銀聯建立了生物識別實驗平臺,可以為銀行提供務,公安部啟動了身份認證提高法律技術保障。這些都為我國的生物識別技術快速發展提供了有力的支持,生物識別技術正在改善我們的生活,使我們衣食住行越來越方便,無現金化和數字化貨幣正逐步走進我們生活。
