中國(guó)人(rén)民(mín)銀行科(kē)技司司長李偉:加強支付安全管理(lǐ) 切實防範電信網絡欺詐
随着移動互聯網、大(dà)數據、人(rén)工(gōng)智能等技術(shù)的蓬勃發展,信息科(kē)技逐步從(cóng)支撐支付業務向引領方向轉變,有效提升了支付服務效率,滿足了公衆多樣化的支付需求。與此同時,支付風(fēng)險隐患相(xiàng)伴而生(shēng),特别是近期電信網絡欺詐引發的支付安全問(wèn)題日(rì)益突出,危害了人(rén)民(mín)群衆生(shēng)命财産安全。人(rén)民(mín)銀行認真貫徹落實黨中央、國(guó)務院決策部署,積極與相(xiàng)關部門(mén)通力協作(zuò),多措并舉,全面加強支付安全管理(lǐ),着力提升電信網絡欺詐風(fēng)險防範能力。
綜合施策,築牢支付安全管理(lǐ)制度防線
在技術(shù)管理(lǐ)方面,人(rén)民(mín)銀行印發《關于進一步加強銀行卡風(fēng)險管理(lǐ)的通知》(銀發〔2016〕170号),從(cóng)遏制信息洩露源頭和防範風(fēng)險傳導入手,建立線上線下支付交易一體(tǐ)化的安全防範體(tǐ)系。一是加強支付敏感信息全生(shēng)命周期安全管理(lǐ),強化交易密碼保護機(jī)制,定期開展内部審計(jì)和外部安全評估,有效防範敏感信息洩露。二是嚴格手機(jī)客戶端軟件(jiàn)安全管理(lǐ),提升線上支付業務開通身(shēn)份認證和交易驗證強度,借助信息化手段加強異常交易分(fēn)析,全面提高線上交易風(fēng)險防控水平。三是加快(kuài)金融IC卡應用推廣進度,加強銀行卡磁條交易風(fēng)險控制,落實僞卡欺詐風(fēng)險責任轉移規則,淨化銀行卡使用環境,切實防範線下僞卡欺詐交易風(fēng)險。
在業務管理(lǐ)方面,人(rén)民(mín)銀行印發《關于加強支付結算管理(lǐ)防範電信網絡新型違法犯罪有關事(shì)項的通知》(銀發〔2016〕261号),從(cóng)強化賬戶管理(lǐ)和阻斷資金轉移通道着手,構築治理(lǐ)電信網絡欺詐的支付結算防線。一是嚴格落實賬戶實名制,加強單位開戶、異常個人(rén)開戶的審慎核實,打壓買賣賬戶和假冒開戶的違規行爲。二是采取延遲到賬、限時撤銷、交易背景調查等措施加強轉賬管理(lǐ),健全涉案賬戶緊急止付和快(kuài)速凍結機(jī)制,及時攔截可(kě)疑資金轉移。三是加大(dà)對無證機(jī)構的打擊力度,加強商戶黑(hēi)名單管理(lǐ),建立非法從(cóng)事(shì)支付結算的懲戒機(jī)制,鏟除電信網絡詐騙的滋生(shēng)土(tǔ)壤。
狠抓落實,切實保障人(rén)民(mín)群衆的信息和資金安全
以上制度安排既有利于加強支付安全管理(lǐ),更有助于治理(lǐ)電信網絡詐騙,相(xiàng)關規定能否發揮更大(dà)作(zuò)用,關鍵是要狠抓落實。
一是強化受理(lǐ)終端安全管理(lǐ)。針對受理(lǐ)終端非法改裝、磁道信息側錄、二維碼支付風(fēng)險等問(wèn)題,應綜合運用大(dà)數據分(fēn)析和密碼識别技術(shù),建立受理(lǐ)終端事(shì)前入網身(shēn)份識别、事(shì)中交易數據校(xiào)驗、事(shì)後風(fēng)險防範多層次的管理(lǐ)機(jī)制。在入網環節,将終端序列号和密鑰預置于安全模塊中,結合受理(lǐ)終端注冊管理(lǐ)機(jī)制,從(cóng)源頭保障終端合法性。在交易環節,利用大(dà)數據分(fēn)析和交易行爲建模,逐筆校(xiào)驗海量跨機(jī)構交易報文與終端注冊記錄的一緻性,有效甄别移機(jī)、切機(jī)、二清、套碼等違規行爲。在風(fēng)控環節,健全風(fēng)險信息共享機(jī)制,提高欺詐交易追溯效率,對異常交易及時采取調查核實、風(fēng)險提示、延遲結算、拒絕服務等措施,配合公安部、工(gōng)信部等部門(mén)做好電信網絡欺詐防範工(gōng)作(zuò)。
二是持續加固業務系統安全。針對拖庫、撞庫等攻擊方式造成的敏感信息洩露,各商業銀行、非銀行支付機(jī)構及電商企業應全面摸底影(yǐng)響支付敏感信息保護、業務連續性、交易安全強度等方面的薄弱環節,将排查工(gōng)作(zuò)制度化、常态化,對發現的風(fēng)險實施清單管控,及時采取措施排除隐患,控制線上線下交易風(fēng)險傳導。不斷提升業務系統網絡安全能力,加強DDos等網絡攻擊的風(fēng)險防控,綜合利用IP地址、浏覽器緩存等識别異常交易,形成制度健全、指标量化、反應敏捷的業務系統動态監控體(tǐ)系,持續做好風(fēng)險監測預警,主動采取補救、加固措施。
三是打造可(kě)信手機(jī)支付執行環境。針對手機(jī)木馬病毒、虛假短(duǎn)信、僞基站(zhàn)等欺詐手段,鼓勵手機(jī)廠(chǎng)商綜合運用SE、TEE等新技術(shù)提供硬件(jiàn)級安全保護,提升支付敏感信息防護能力和支付交易安全強度。商業銀行、非銀行支付機(jī)構應從(cóng)木馬病毒防範、信息加密保護、運行環境監測等方面提升客戶端軟件(jiàn)安全防控能力,定期開展外部安全評估,确保其符合國(guó)家及金融行業标準。設置客戶端軟件(jiàn)可(kě)信标識,并通過多種渠道告知客戶正确地識别和訪問(wèn)方法,有效防範釣魚欺詐。
四是嚴格規範跨機(jī)構支付接口。針對非銀行支付機(jī)構與銀行多頭連接、篡改或隐匿交易信息等問(wèn)題,應嚴格執行《網絡支付報文結構及要素技術(shù)規範》(銀發〔2016〕222号印發),統一使用金融機(jī)構編碼,采用數字簽名、加密傳輸等措施,從(cóng)收付款方、商戶、渠道、訂單等方面完整刻畫(huà)真實交易,确保支付指令的完整性和真實性。準确記錄備付金、網絡路(lù)由等信息,采用唯一交易流水号和交易終端編碼,保障資金的可(kě)追溯性和支付指令的一緻性。采用支付标記替代支付賬戶、銀行卡号等敏感信息,從(cóng)源頭控制信息洩露和欺詐交易風(fēng)險。
五是加快(kuài)推進賬戶分(fēn)類管理(lǐ)。針對賬戶買賣、冒名開戶和虛構代理(lǐ)關系開戶等突出問(wèn)題,商業銀行、非銀行支付機(jī)構應認真落實賬戶開立、使用、變更、撤銷等環節的制度規定,科(kē)學合理(lǐ)開展客戶風(fēng)險評級,審慎确定賬戶功能、支付渠道和支付限額,實施動态分(fēn)類管理(lǐ)。細化賬戶業務規程和身(shēn)份信息核驗方式,強化内部管理(lǐ),切實保障賬戶分(fēn)類管理(lǐ)制度的貫徹落實,引導客戶運用賬戶分(fēn)類機(jī)制合理(lǐ)存放(fàng)和使用資金,避免财産損失。
(本文刊登于《中國(guó)信息安全》2017年(nián)第2期)
