近日,从媒体获悉,2018年9月20号,“山西省银行业金融机构大数据应用与移动支付新技术应用交流会”于太原召开,会议由人民银行太原中支科技处组织,科技处有关负责人对山西省“手机盾”科技创新项目进行了简要介绍,全省人民银行科技人员、银行业金融机构科技和电子银行部门负责人及中国银联山西分公司等近百余人参加,围绕移动金融创新应用—“手机盾”展开经验推广和交流。
此次“山西省手机盾移动金融创新应用”项目是由人民银行太原中心支行发起,商业银行晋商银行和晋城银行,手机厂商华为技术有限公司,移动安全方案商北京扬帆伟业安全科技有限公司共同合作完成。采用以“TEE+SE”为核心技术,通过手机盾应用服务实现对移动金融交易的可靠电子签名,来提升移动端金融安全。该项目的基础环境,华为TEE+SE于2017年即通过中金国盛认证和银行卡检测中心检测,其TEE—iTrustee更是国内首家获得CC EAL2+安全认证(TEE目前能获得的最顶级安全认证)。平台方扬帆伟业提供的手机盾平台遵循人民银行《移动终端支付可信环境技术规范》,具备《条码支付安全技术规范》A级风险防范能力,并通过了中金国盛、银行卡检测中心、中国信息安全测评中心、中国人民解放军信息安全测评认证中心的检测认证。项目的成功说明已经打通了完整的产业链,并形成了一整套移动终端新的安全管理体系。
山西人行开始对手机盾应用经验的全面推广,是在人民银行发布146号文件,开展安全风险大排查的背景下进行的。基于”TEE+SE”的手机盾在手机银行上的应用,应该说是对移动金融安全的一次全面提升,构建的TEE+SE安全环境完全向金融机构开放,SE的控制权也由商业银行完全掌控,保证了银行存储在SE中数据的不会被第三方获得,大大提升了银行对用户隐私信息的保护。移动金融安全性的全面提升是金融业务在PC时代的终结,人们真正跨入了移动终端时代。
近年来,金融安全形势较为严峻,软件木马、诈骗短信、诈骗电话、钓鱼网站,都严重地威胁着老百姓的资金安全。尤其2016年8月21日,因被诈骗电话骗走上大学的费用9900元的山东学生徐玉玉,最终导致心脏骤停,不幸离世。引起了社会对于金融安全的高度关注。
在PC时代,为了保证电子银行用户的资金安全,人民银行颁布的《网上银行系统信息安全通用规范》成为网上银行风险控制,安全管理的指导性文件。并在全国几千家商业银行共同努力下,从安全教育,用户使用,系统建设,构建起了以USBkey为核心的一整套安全防御体系,大大地降低了用户在网上进行资金交易的风险。然而近10年过去了,时代已经发生了巨大的变化,老百姓手机不离身,以前只能在电脑上开展的业务,现在全部转移到手机端。为了防控风险,人民银行先后发布文件,对银行业的风险防范从业务和技术上都进行指导,如《关于加强支付结算管理防范电信网络新型违法犯罪有关事项的通知》、《关于进一步加强银行卡风险管理的通知》等。由于商业银行在移动端还没有构建起一整套的方便、快捷的高安全的风险防控体系,大额交易还只能在PC端通过USBkey进行。大大限制了移动金融业务的发展。
2016年12月,央行科技司李伟司长在出席反电信网络诈骗联合大会上提出“打造可信手机支付执行环境。针对手机木马病毒、虚假短信、伪基站等欺诈手段,鼓励手机厂商综合运用SE-TEE等新技术,提供硬件级的安全保护。提升支付敏感信息防护能力和支付交易的安全强度。商业银行、非银行支付机构要从木马病毒防范、信息加密保护、运行环境监测等方面提升客户端软件的安全防控能力,定期开展外部安全评估,确保其符合国家及金融行业标准。设置客户端软件可信标识,并通过多种渠道告知客户正确的识别和访问方法,有效防范钓鱼欺诈。”之后的2017年,华为MATE10发布,并公布了基于“TEE+SE”的手机盾安全方案,开始应用于商业银行大额交易。据悉,采用了手机盾方案后,建设银行和徽商银行同步上线手机大额转账业务,建设银行将用户交易额度提升至500万元。应该说这是一次移动安全的革命,将以前只能在PC端开展的大额转账业务移植到了手机端。2017年底人民银行颁布《移动终端可信执行环境技术规范》将移动终端安全进行分级定义,规范的颁布首次从安全的角度系统性的对移动终端安全体系进行划分。从政策层面为金融机构开展移动支付业务的风险防范提供了参考。
从时间上来看,2018年初,山西省人民银行开展的“山西省手机盾移动金融创新应用”应该是依据《移动终端可信执行环境技术规范》进行应用的一次尝试。是从规范执行、检测认证体系的建立和在手机银行开展大额交易的安全应用的一次系统性规划。此次试点的成功开展,应该说对于全国金融行业构建起以“TEE+SE”为核心的移动终端安全体系有着重大的示范意义。为“TEE+SE”的手机盾技术在全国的推广铺平了道路。如果该安全体系在全国普及,那么人民银行科技司李伟司长在2016年12月份的“打造可信手机支付执行环境”安全体系的构想将开始变成现实。那么下一步就是如何解决“设置客户端软件可信标识,并通过多种渠道告知客户正确的识别和访问方法,有效防范钓鱼欺诈。”的问题。
由于可信标识的缺失,老百姓目前还无法对手机终端的安全性没有直观的认识,笔者通过调研发现,自从华为发布基于“TEE+SE”手机盾安全方案以来,市场上很多采用纯软件方式提供的安全方案,也打着“手机盾”品牌进行大肆宣传,误导消费者,这应该引起相关部门的高度重视。可信标识体系的建立同样是个系统工程,这涉及到安全宣传、客户教育、安全技术等多个方面,是要全社会的共同努力。相信不远的将来我们能够拥有真正的移动金融可信环境,移动金融将进入全新时代。
免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。