4月20—21日，由移动支付网和北京移动金融产业联盟联合主办的2017中国移动金融发展大会在北京顺利召开。在《金融支付论坛》上，银行卡检测中心副总经理孟飞宇分析了当前移动支付发展面临的风险，提出了几点移动支付安全风险防范的建议。

一、风险概要

移动支付应用体系结构分三个层次，一个是支付终端层，第二个是服务接入层，第三个是业务系统层，各层次所面临的风险也不是不一样的。

首先，支付终端面临的风险主要包括手机操作系统存在安全漏洞、支付应用软件自身缺少安全校对机制、感染手机木马病毒等;服务接入层需要防范DNS劫持、钓鱼网站、恶意WIFI、会话劫持中间人攻击等风险;业务系统层面临交易指令伪造，拖库撞库、内部管理控制等风险。;

孟飞宇指出，移动支付所面临的风险隐蔽性强、针对性高、手段专业且影响面广，一般用户很难发现和应对;相反的，一些具备专业技能的不法之徒，可以有针对性的组合多种攻击手段，锁定受害人并窃取敏感信息，进而威胁受害人账户资金安全;同时还有可能针对支付后台系统和数据库进行渗透攻击，，从而一次性获得海量的用户数据，造成更大范围的影响。

二、防范措施

面对当前移动支付面临的风险，孟飞宇提出要根据监管政策要求进一步建立健全支付安全标准体系，然后依据标准体系形成规范的检测认证机制，进而护航移动支付产业的快速、健康、可持续发展。具体建议包括：

1.服务对象层(用户、商户)

提高用户风险防范意识，养成既注重方便快捷又注重安全风险的良好支付习惯，能够主动识别伪WiFi、欺骗性网站、客户端软件木马、恶意二维码等影响支付安全的因素。

提高商户风险预见能力，加强风险防范责任意识，不使用改装的支付受理终端，采用安全性较高的支付方式，必要时提示用户潜在的支付风险。

2.服务运营层(受理机构、转接清算机构、账户管理机构、渠道运营商)

严格把控产品的选型、验收、抽查等环节，选择符合国家和金融行业相关标准的支付产品，对产品质量和标准符合性进行验收把关，并定期对受理终端改造等行为进行抽检，为商户和用户提供安全、放心的支付渠道。

不断加强系统安全防护能力，依据系统的安全等级定期开展风险评估，使系统具备常见入侵攻击手段的防范能力，严防商户、用户信息泄露。

提升系统开发人员的安全技术水平，具备防范常见入侵攻击的开发能力，提高代码质量。

规范技术人员外包管理，与外包人员签订保密协议，建立完善的信息保护机制，确保信息泄露风险可控。

定期对商户、用户进行风险提示，引导商户和用户采用安全的支付方式，从官方渠道获取支付应用，掌握风险应对方法。

3.技术支撑层(移动终端厂商、受理终端厂商、卡商、芯片商等)

严格按照国家和金融行业相关标准生产制造受理终端、卡片、芯片等支付产品，不断提升产品的安全防护能力。

加强与产业下游企业的互动协同，以安全需求为导向设计生产支付产品，合力提升信息保护和移动支付安全。

4.检测认证层(检测机构、认证机构)

严格按照国家和金融行业相关标准要求对移动支付产品的标准符合性与安全性进行检测认证，为支付产业把好质量关。积极与产业上下游的企业和机构开展合作，共同研究更加有效的移动支付安全防护方案。