作者:中国人民银行科技司司长/李伟
随着移动互联网、大数据、人工智能等技术的蓬勃发展,信息科技逐步从支撑支付业务向引领方向转变,有效提升了支付服务效率,满足了公众多样化的支付需求。与此同时,支付风险隐患相伴而生,特别是近期电信网络欺诈引发的支付安全问题日益突出,危害了人民群众生命财产安全。
人民银行认真贯彻落实党中央、国务院决策部署,积极与相关部门通力协作,多措并举,全面加强支付安全管理,着力提升电信网络欺诈风险防范能力。
综合施策,筑牢支付安全管理制度防线
在技术管理方面,人民银行印发《关于进一步加强银行卡风险管理的通知》(银发〔2016〕170号),从遏制信息泄露源头和防范风险传导入手,建立线上线下支付交易一体化的安全防范体系。
一是加强支付敏感信息全生命周期安全管理,强化交易密码保护机制,定期开展内部审计和外部安全评估,有效防范敏感信息泄露。
二是严格手机客户端软件安全管理,提升线上支付业务开通身份认证和交易验证强度,借助信息化手段加强异常交易分析,全面提高线上交易风险防控水平。
三是加快金融IC卡应用推广进度,加强银行卡磁条交易风险控制,落实伪卡欺诈风险责任转移规则,净化银行卡使用环境,切实防范线下伪卡欺诈交易风险。
在业务管理方面,人民银行印发《关于加强支付结算管理防范电信网络新型违法犯罪有关事项的通知》(银发〔2016〕261号),从强化账户管理和阻断资金转移通道着手,构筑治理电信网络欺诈的支付结算防线。
一是严格落实账户实名制,加强单位开户、异常个人开户的审慎核实,打压买卖账户和假冒开户的违规行为。
二是采取延迟到账、限时撤销、交易背景调查等措施加强转账管理,健全涉案账户紧急止付和快速冻结机制,及时拦截可疑资金转移。
三是加大对无证机构的打击力度,加强商户黑名单管理,建立非法从事支付结算的惩戒机制,铲除电信网络诈骗的滋生土壤。
狠抓落实,切实保障人民群众的信息和资金安全
以上制度安排既有利于加强支付安全管理,更有助于治理电信网络诈骗,相关规定能否发挥更大作用,关键是要狠抓落实。
一是强化受理终端安全管理。
针对受理终端非法改装、磁道信息侧录、二维码支付风险等问题,应综合运用大数据分析和密码识别技术,建立受理终端事前入网身份识别、事中交易数据校验、事后风险防范多层次的管理机制。
在入网环节,将终端序列号和密钥预置于安全模块中,结合受理终端注册管理机制,从源头保障终端合法性。
在交易环节,利用大数据分析和交易行为建模,逐笔校验海量跨机构交易报文与终端注册记录的一致性,有效甄别移机、切机、二清、套码等违规行为。
在风控环节,健全风险信息共享机制,提高欺诈交易追溯效率,对异常交易及时采取调查核实、风险提示、延迟结算、拒绝服务等措施,配合公安部、工信部等部门做好电信网络欺诈防范工作。
二是持续加固业务系统安全。
针对拖库、撞库等攻击方式造成的敏感信息泄露,各商业银行、非银行支付机构及电商企业应全面摸底影响支付敏感信息保护、业务连续性、交易安全强度等方面的薄弱环节,将排查工作制度化、常态化,对发现的风险实施清单管控,及时采取措施排除隐患,控制线上线下交易风险传导。
不断提升业务系统网络安全能力,加强DDos等网络攻击的风险防控,综合利用IP地址、浏览器缓存等识别异常交易,形成制度健全、指标量化、反应敏捷的业务系统动态监控体系,持续做好风险监测预警,主动采取补救、加固措施。
三是打造可信手机支付执行环境。
针对手机木马病毒、虚假短信、伪基站等欺诈手段,鼓励手机厂商综合运用SE、TEE等新技术提供硬件级安全保护,提升支付敏感信息防护能力和支付交易安全强度。商业银行、非银行支付机构应从木马病毒防范、信息加密保护、运行环境监测等方面提升客户端软件安全防控能力,定期开展外部安全评估,确保其符合国家及金融行业标准。设置客户端软件可信标识,并通过多种渠道告知客户正确地识别和访问方法,有效防范钓鱼欺诈。
四是严格规范跨机构支付接口。
针对非银行支付机构与银行多头连接、篡改或隐匿交易信息等问题,应严格执行《网络支付报文结构及要素技术规范》(银发〔2016〕222号印发),统一使用金融机构编码,采用数字签名、加密传输等措施,从收付款方、商户、渠道、订单等方面完整刻画真实交易,确保支付指令的完整性和真实性。准确记录备付金、网络路由等信息,采用唯一交易流水号和交易终端编码,保障资金的可追溯性和支付指令的一致性。采用支付标记替代支付账户、银行卡号等敏感信息,从源头控制信息泄露和欺诈交易风险。
五是加快推进账户分类管理。
针对账户买卖、冒名开户和虚构代理关系开户等突出问题,商业银行、非银行支付机构应认真落实账户开立、使用、变更、撤销等环节的制度规定,科学合理开展客户风险评级,审慎确定账户功能、支付渠道和支付限额,实施动态分类管理。细化账户业务规程和身份信息核验方式,强化内部管理,切实保障账户分类管理制度的贯彻落实,引导客户运用账户分类机制合理存放和使用资金,避免财产损失。(本文刊登于《中国信息安全》2017年第2期)