11月15日，由移动支付网、北京移动金融产业联盟共同举办的2017第二届中国移动金融安全大会在深圳召开，福建联迪商用设备有限公司副总裁刘世英与会并以《智能终端的安全防护》为主题发表演讲，深度分析基于开放式操作系统（Android系统）的智能终端的安全防护措施，并介绍防范漏洞威胁的新思路。

随着移动互联网快速发展，移动支付迅速崛起，O2O模式成为线下商户经营的主要形式之一。智能POS的出现，其承载的聚合支付功能让O2O商业模式闭环成为可能，并因此在2016年、2017年得到了迅速的发展。但是，不同于传统银行卡支付终端的安全防护，基于开放的Android智能操作系统进行定制开发的智能POS面临着新威胁——漏洞。

漏洞是指系统存在的代码逻辑错误或缺陷，导致攻击者可在非经授权情况下，通过违反程序设计正常流程，进行非法读写、删除、运行等操作。目前漏洞的主要类型包括以下六个方面存在的漏洞：内核、功能库、系统框架及服务、应用、网络及多媒体、POS定制功能。且Android的漏洞分布零散、数量较多，目前Google公布所有Android版本有400多条漏洞，且每月新增10~20条，此外，Android被各终端厂商定制后呈现碎片化趋势，特别是支付终端的固件都有厂商的签名，漏洞的修复需厂商参与，无法通过通用的渠道进行修复。

据刘世英介绍，目前支付终端厂商和使用智能终端的收单机构对于Android漏洞的应对措施主要包括三个方面：

• 漏洞修复：对于漏洞要正面应对，规范化漏洞的跟踪分析与导入，持续性对漏洞实施修复工作。
• 主动防护：面对不断发现的漏洞，还需换个角度来进行考虑，通过监控利用漏洞进行攻击的目的和行为，在漏洞的攻击路径上进行主动防护，是避免未知漏洞造成危害的可行且有效的方法。
• 漏洞修复通道：漏洞修补和主动防护是根据漏洞情况不断更新的行为，因此建立远程的漏洞修复通道，及时修复漏洞和开发主动防护补丁，是避免漏洞造成危害的关键手段。

在本届移动金融安全大会中，众多分享嘉宾都表示，移动金融的安全并不是一个企业的事，而是需要产业链各方形成合力去守护。刘世英也认同此观点，针对智能POS的安全问题，刘世英呼吁需要共建安全的支付生态，并认为：

所有开放系统都有漏洞存在，漏洞并不可怕，及时修复漏洞才能保证安全。

在智能终端时代，设备安全不是通过认证的静态行为，而是一个在通过认证的基础上，持续进行漏洞修复和增加主动防护措施的动态行为，终端厂商和收单机构都需要转变观念。

建立动态持续的漏洞修复补丁更新通道与机制：终端厂商持续跟踪并发布漏洞补丁；终端厂商根据安全特性研发主动防护措施；收单机构和终端厂商共建OTA远程更新通道，实现补丁的远程更新，及时修复漏洞。