黃文筆　陳家益

摘要：隨著信息技術(shù)進(jìn)入移動互聯(lián)網(wǎng)時代，各種應(yīng)用的安全都依賴移動終端的安全。該文介紹互聯(lián)金融在移動終端上的安全現(xiàn)狀，對移動終端面臨的安全進(jìn)行詳細(xì)的分析和研究，針對移動終端上金融服務(wù)如支付寶等移動互聯(lián)網(wǎng)金融APP提出移動終端安全解決方案，給用戶搭建安全、可靠的互聯(lián)網(wǎng)金融環(huán)境。

關(guān)鍵詞：互聯(lián)網(wǎng)金融；移動終端；安全；app

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2018）19-0022-02

Abstract： As information technology enters the age of mobile Internet， Security of all kinds of applications depends on the security of mobile terminals. This paper introduces the security status of interconnected Finance on mobile terminals， Detailed analysis and Research on the security faced by mobile terminals， For mobile terminal financial services such as Alipay mobile internet financial APP proposed mobile terminal security solutions， Set up a safe and reliable internet financial environment for users.

Key words： online finance； mobile terminal； security； app

1 引言

隨著國家“互聯(lián)網(wǎng)+”戰(zhàn)略的蓬勃發(fā)展，移動互聯(lián)網(wǎng)早已融入大家的日常生活中。移動互聯(lián)時代的各種應(yīng)用APP，給用戶帶來便利的同時，也顯示了諸多安全漏洞和隱患。特別是互聯(lián)網(wǎng)金融平臺積極布局各自的移動終端的APP，銀行、證券公司、金融都紛紛推出自己的理財APP，移動終端的安全[1]不僅影響我們的移動終端設(shè)備安全還關(guān)系到我們的資金賬戶安全，讓移動終端的安全形勢更加嚴(yán)峻。

2 移動終端面臨的安全

在移動互聯(lián)網(wǎng)時代，用戶使用移動終端不僅要面對垃圾短信、欺詐短信的騷擾，還要面臨病毒、木馬導(dǎo)致的資金損失，個人隱私泄露等多方面問題。

2.1 移動終端本身缺陷

1） 移動終端擁有其智能性。目前大部分移動終端基于android系統(tǒng)開發(fā)的，android系統(tǒng)獨(dú)有的開發(fā)性，導(dǎo)致移動終端上的應(yīng)用缺乏有效統(tǒng)一監(jiān)管，惡意軟件和流氓軟件滋生。

2） 用戶自身存儲數(shù)據(jù)的安全性。用戶在移動終端上隨意存放個人信息，而所有的應(yīng)用程序都會讀取個人信息。一些不規(guī)范的APP運(yùn)營者會通過對用戶的客戶數(shù)據(jù)分析，掌握其資金使用的喜歡，然后把這些信息整理并出售出去。

2.2 移動應(yīng)用APP自身安全

在眾多應(yīng)用市場里的各式各樣的金融APP，不法分子通過逆向工程，代碼注入等手段，對應(yīng)用進(jìn)行破解并將扣費(fèi)、廣告、竊取隱私等惡意代碼插入到熱門App中，重新打包投放到各應(yīng)用市場中供用戶下載使用，以此牟利。

常見的APP安全因素有：

1） Activity組件安全和劫持

Activity組件是用戶唯一能看見的組件，具有訪問權(quán)限控制，默認(rèn)可以被外部程序訪問（及會被其他應(yīng)用程序進(jìn)行攻擊）。當(dāng)用戶安裝了帶有Activity劫持功能的惡意程序后，惡意程序會遍歷系統(tǒng)運(yùn)行的程序，當(dāng)你的金融類APP在前臺運(yùn)行時，會用釣魚式的Activity覆蓋正常的Activity來欺騙用戶。

2） 移動應(yīng)用WEB端的安全

大多數(shù)投資理財金融類APP都有其WEB平臺，移動APP都是通過web API服務(wù)的方式和服務(wù)器端交互，移動終端的APP安全和WEB安全綁定在一起。Web類應(yīng)用常見的不安全因素如：網(wǎng)絡(luò)層面的攻擊（利用工具和技術(shù)對網(wǎng)絡(luò)系統(tǒng)進(jìn)行攻擊和入侵如DOS、漏洞探測）、WEB應(yīng)用程序攻擊（利用WEB系統(tǒng)漏洞對應(yīng)用程序本身的攻擊如DOS攻擊、SQL注入、跨站攻擊、網(wǎng)站掛馬等手段獲取對WEB服務(wù)器的控制等）、內(nèi)容篡改（網(wǎng)頁內(nèi)容被非法篡改為不合法內(nèi)容）等攻擊方式同樣能對移動終端的應(yīng)用產(chǎn)生巨大的安全隱患。

2.3 移動終端人為使用方面的安全

在移動互聯(lián)網(wǎng)金融時代，出現(xiàn)了大量的“羊毛黨”“黃牛黨”，他們利用移動終端的個人信息在各個互聯(lián)網(wǎng)金融平臺上，通過刷單等手段參加企業(yè)的優(yōu)惠獎勵活動，偽造優(yōu)惠和中獎信息，以此騙取錢財，或者在各個網(wǎng)貸平臺以個人投資凈值作擔(dān)保，發(fā)布凈值標(biāo)，通過低息借入高息借出而賺取利息差。

3 移動終端安全的解決方法

根據(jù)安全體系架構(gòu)，從移動終端安全機(jī)制和網(wǎng)絡(luò)安全機(jī)制出發(fā)，在物理安全、系統(tǒng)安全、應(yīng)用安全和數(shù)據(jù)安全等方面去分析和解決移動終端帶來的安全隱患。

3.1 通過正規(guī)、安全途徑的渠道下載軟件

移動終端的應(yīng)用紛繁復(fù)雜，在任何地方、任何時候都可以通過掃碼下載相關(guān)APP軟件應(yīng)用，這樣病毒、木馬更容易掛載到正常的應(yīng)用軟件中來。因此移動終端的應(yīng)用程序應(yīng)該從知名度高、安全可靠的360手機(jī)助手、百度助手、安卓市場、豌豆莢等應(yīng)用市場或者手機(jī)系統(tǒng)自帶的應(yīng)用商城下載。

3.2 定期升級殺毒軟件病毒庫，并及時更新各類APP應(yīng)用

目前移動終的病毒、木馬日益增多，安裝防病毒軟件不僅可以檢測已知移動終端病毒，而且能夠輕松清除，同時還可以提高系統(tǒng)敏感數(shù)據(jù)的監(jiān)控，及時對系統(tǒng)中的危險操作進(jìn)行提醒。移動終端目前主流殺毒軟件有360安全助手、騰訊手機(jī)管家、金山手機(jī)毒霸、百度手機(jī)衛(wèi)士等。同時及時更新殺毒軟件的病毒庫和更新其他軟件的補(bǔ)丁，及時修復(fù)系統(tǒng)和軟件的缺陷。

3.3 關(guān)閉移動終端的自動定位功能和不要隨意連接公共WIFI網(wǎng)絡(luò)

關(guān)閉一些自己不熟悉功能APP的自動定位功能，不連接任何無密碼的WIFI，時刻留意非常相近、容易迷惑人的WIFI名稱，不在公共場所作網(wǎng)購、網(wǎng)銀、支付等操作，如果萬一需要操作，可以開啟自己的數(shù)據(jù)（3G、4G）流量。

3.4 移動終端丟失后處理措施，保證互聯(lián)網(wǎng)金融的安全

1） 立即通知運(yùn)營商，掛失自己的手機(jī)號。中國電信10000、中國移動 10086 、中國聯(lián)通10010。

2） 凍結(jié)金融賬戶，發(fā)現(xiàn)移動終端丟失時，及時撥打各個金融服務(wù)公司，進(jìn)行賬號鎖定。如撥打支付寶客服95188進(jìn)行綁定解除移動終端與支付寶綁定。然后用別的移動終端或者電腦登錄支付寶賬戶：選擇我的—支付寶頭像—設(shè)置—安全設(shè)置—安全中心—快速掛失。

3） 凍結(jié)與手機(jī)關(guān)聯(lián)的網(wǎng)銀，迅速致電網(wǎng)銀客戶電話。

4） 及時到運(yùn)營商補(bǔ)辦手機(jī)卡，然后重置所有以前相關(guān)的密碼。

4 結(jié)束語

隨著移動互聯(lián)網(wǎng)的應(yīng)用更深入到人們生活的各個方面，移動智能終端安全將隨著應(yīng)用的深入而變得更加復(fù)雜多變，同時也會涉及各個方方面面的安全威脅。在網(wǎng)絡(luò)安全問題上總是遵循“木桶效應(yīng)”的原則，目前解決一部分問題并不代表移動終端安全問題就得到了解決。移動終端設(shè)備的安全是一個生態(tài)圈，需要各方面的力量共同建設(shè)維持，只有企業(yè)、應(yīng)用市場、終端廠商、個人用戶等各方一起攜手提高安全意識、建立移動終端安全的制度，并不斷優(yōu)化移動智能終端的安全生態(tài)鏈，才能保證移動互聯(lián)網(wǎng)金融時代的安全

參考文獻(xiàn)：

[1] 付皓， 戴國華 ， 劉兆元 ，等.移動終端安全問題分析與解決方案研究[J].移動通信，2012，36（9） ：68-72.

[2] 中國互聯(lián)網(wǎng)協(xié)會.互聯(lián)網(wǎng)金融信息安全分析[J].互聯(lián)網(wǎng)天地，2014，10：8-19.

[3] 張寶燕.移動終端應(yīng)用安全淺析[J].百度文庫.

[4] 田萃，王興廣，趙蘇爽.中國移動互聯(lián)網(wǎng)金融安全生態(tài)系統(tǒng)頂層設(shè)計[J].財政金融，2015，5（9）：24-26.

[5] 方東菊.互聯(lián)網(wǎng)金融移動支付技術(shù)與應(yīng)用研究[J].數(shù)字技術(shù)與應(yīng)用，2015（3）：223-223.

[6] 劉越， 徐超，張榆新.移動支付的發(fā)展前景與風(fēng)險監(jiān)管[J].社會科學(xué)研究，2017，1（3）：35-41.

[7] 徐利.移動網(wǎng)絡(luò)金融安全應(yīng)對策略[J].信息安全與通信保密，2015（3）：45-47.

[8] 袁勝.安全是互聯(lián)網(wǎng)金融的生命線[J].中國信息安全，2017（7）：76-77.

[9] 沈薇薇，姚志強(qiáng)，熊金波，等面向移動終端的隱私數(shù)據(jù)安全存儲及自毀方案[J].計算機(jī)應(yīng)用，2015，35（1） ：77-82.

[10] 王志賀，駱釗，謝吉華，等.基于SM2密碼體系的SD卡的電力移動終端安全接入方案[J].中國電力，2014，40（11）：77-82.

[11] 劉江林，袁宏彥.基于決策樹算法的移動終端數(shù)據(jù)安全檢測技術(shù)研究[J].現(xiàn)代電子技術(shù)，2017，40（5）：82-84.

[12] 李瑞軒，董新華，辜希武等移動云服務(wù)的數(shù)據(jù)安全與隱私保護(hù)綜述[J].通信學(xué)報，2013，34（12）：158-166.

[13] 陳友良.安全生產(chǎn)標(biāo)準(zhǔn)化管理信息系統(tǒng)設(shè)計與實(shí)現(xiàn)[J].計算機(jī)技術(shù)與發(fā)展，2016，26（6）：179-182.

[14] 胡千，景鳳宣，謝曉堯.基于CA的移動終端安全支付系統(tǒng)的研究與設(shè)計[J].貴州大學(xué)學(xué)報：自然科學(xué)版，2011，29（3）：93-96.

[15] 冒海霞，陳天洲，戴鴻君.高強(qiáng)度的移動通信安全中間件架構(gòu)[J].計算機(jī)應(yīng)用研究，2006（8）：91-94.

[16] 李芳社.用虛擬化技術(shù)應(yīng)對智能手機(jī)的安全[J].現(xiàn)代電子技術(shù)，2013，36（6） ：76-78.

[17] 曹基宏，李謝華，許名松，等.可信移動終端完整信任鏈模型的研究與設(shè)計[J].計算機(jī)工程與設(shè)計，2012，33（3）：911-915.

[18] 徐海浪，袁家斌.面向移動終端的云監(jiān)控研究[J].計算機(jī)科學(xué)，2012，39（8）：55-58.

[19] 隋曉芹，劉培順.安全高效的移動終端數(shù)字簽名方案[J].計算機(jī)系統(tǒng)應(yīng)用，2016，25（12）：272-275.

[20] 王佩光，范葉平.移動終端安全操作系統(tǒng)在行業(yè)應(yīng)用的展望討[J].微型電腦應(yīng)用，2016，32（12）：78-80.

[21] 葛唯唯，劉淵.面向Android系統(tǒng)安全分析的在線學(xué)習(xí)算法研究[J].計算機(jī)應(yīng)用研究，2015，32（9）：2774-2778.

[22] 羅軍舟，吳文甲，楊明.移動互聯(lián)網(wǎng)：終端、網(wǎng)絡(luò)與服務(wù)[J].計算機(jī)學(xué)報，2011，34（11）：2029-2051.