央行《關於開展支付安全風險專項排查工作的通知》（2018【146】）解讀

前期，中國銀聯釋出《2018移動支付安全大調查分析報告》，據報告統計分析當前我國手機支付使用者規模已達到5.7億，而安全隱患問題仍是使用者最擔心的問題，最需要改善的也仍然是移動支付安全性。國家也將網路安全等級保護制度打造成新時期的基本國策和基本制度，等保2.0更是針對移動終端安全要求進行了詳細描述。

為切實落實國家網路安全制度要求，進一步加強支付領域網路與資訊保安管理，有效防範支付風險切實保障消費者合法權益，2018年8月27日，人民銀行釋出146號文《關於開展支付安全風險專項排查工作的通知》（以下簡稱146號文）正式開展支付安全風險專項檢查，針對金融機構支付APP進行全面檢測與排查，旨在進一步加強支付領域網路與資訊保安管理。

146號檔案要點解讀及最新動態  

央行146號文要求商業銀行、非銀行支付機構、清算機構等從業機構對自身支付業務相關係統進行多達182個要點的排查，其中涉及非銀行支付機構的自查點為105個。

縱覽整個146號檔案，主要是從四個方面展開的：

1、客戶端應用軟體安全：身份驗證資訊管理、客戶端資料錄入/傳輸安全、客戶端應用軟體自身安全等。

2、支付系統安全管理：物理安全、網路安全、主機安全、應用安全、資料安全、業務連續性等。

3、支付交易安全管理：交易安全基本要求、銀行卡受理終端安全管理、銀行卡交易安全、條碼支付交易安全、線上交易業務開通身份認證安全管理、支付交易安全強度、交易驗證與確認、交易過程安全、基於大資料技術的風險防控等。

4、Ⅱ、Ⅲ類銀行賬戶相關：Ⅱ、Ⅲ類銀行賬戶系統賬戶管理基本要求、金鑰管理要求、賬戶管理安全要求、密碼功能、線上/線下交易處理功能、交易限制、開戶風險監控、交易風險監控、交易欺詐監控等。

前三部分主要針對商業銀行、非銀行付機構、清算機構，最後一部分僅針對商業銀行。對於廣大使用者和安全從業人員來說，第一部分又是重中之重。因為金融移動APP安全是使用者賬戶、資金安全的基礎。若客戶端存在漏洞或安全隱患，極易被反編譯、篡改或進行二次打包，對使用者的支付安全造成嚴重的安全威脅，導致使用者資訊洩漏甚至財產損失。而此次金融行業的安全排查將全面對支付APP進行風險檢查及問題整改，制定安全標準規範，提升APP自身安全防禦能力。

本次檢查的重點專案主要包括4個方面：

1、持續性監管改進：強化安全風險防控機制，開展異常交易檢測，完善事前、事中機制，持續最佳化風險策略，加強聯動處置，預防處理群體事件。

2、檢測認證整改加固：按國家、行業、協會、銀行卡組織相關標準要求，開展檢測認證、開展差距識別與整改，完善金融支付安全風險防控機制。

3、支付安全標準體系：各行業部門組織，指導制定資訊保安相關國家標準、行業標準、協會標準、企業標準，協同構建金融支付安全標準體系。

4、檢測政策要求：人民銀行、公安部、工信部等監管部門會針對金融支付風險釋出相關檔案，部署防控工作，守住不發生系統性風險的底線。

146號檔案下發以後，各地緊鑼密鼓，積極組織展開自查摸底，部署專項檢查工作。

自查行動關鍵節點：

1、從業機構應在2018年9月30日前向人民銀行報送《客戶端應用軟體明細表》；

2、從業機構應對照《支付安全風險專項排查列表》逐項對本機構支付安全隱患進行自查，對發現的問題及時整改，並建立問題清單管控和動態跟蹤機制。對於短期內無法完成整改的問題，要採取補償措施，明確整改計劃和方案，按期整改。2018年10月31日前，形成自查報告報送人民銀行；

3、人民銀行在2018年11月至12月進行全面核實和抽樣檢查。

4、人民銀行分支機構要對整體情況及主要問題進行認真全面分析總結，形成書面報告，於2019年3月1日前報送人民銀行總行。對於未完成整改的問題，要求從業機構作為2019年內部審計和外部安全評估的重點，持續監督整改。

檔案背景解析     

146號文排查工作主要針對前期已暴露的安全問題和安全隱患，從移動網際網路支付安全調查報告統計分析可見，2018年使用者使用頻率持續提升，有80.1%的使用者每天使用移動支付，說明移動支付模式使用者習慣已逐步形成。調研組重點針對使用者基本屬性、使用者使用偏好、使用者滿意度等內容開展延續性調查工作，發現2018年移動支付領域呈現以下特點。

1、移動支付已廣泛應用於日常生活

2、個人隱私洩露和存在安全隱患是使用者擔心的主要問題

3、業務場景下主要安全風險問題

根據相關機構調研顯示，2018年國內金融行業數字化轉型基本完成，超過90%的金融業務已經基於網路空間進行。與此同時，企業在資料、網路與系統方面都面臨新的安全威脅，25%的受訪企業表示遭遇過重大安全事故，而100%的受訪者都表示出現過安全問題。

業務場景下的自動化攻擊（Bots）逐漸成為業內重要關注點。據統計，金融行業網站流量中超過70%由自動化工具發起，而攻擊流量中約90%都是自動化工具，對自動化攻擊的防護已經成為金融反欺詐的核心。

從漏洞數量來說，網際網路金融明顯少於傳統金融，而從漏洞利用難易度來看，網際網路金融顯得更為脆弱。金融機構遭遇的熱門漏洞按照威脅程度排行，命令執行、SQL隱碼攻擊及弱口令排名靠前；從數量上看，邏輯漏洞，命令執行和XSS漏洞分列前三。

支付安全問題受重視程度與日俱增，引起了社會各界的廣泛關注。

2018年10月25日，金標委釋出《支付資訊保護技術規範》（送審稿），該規範根據敏感程度對支付資訊進行等級劃分，按敏感程度從低到高分為C1、C2、C3、C4四個類別。

《支付資訊保護技術規範》規定了支付資訊在收集、傳輸、儲存、使用、銷燬等生命週期各環節的技術保護要求及安全策略、訪問控制、安全執行、監測評估等保障性要求。同時，將支付資訊在資訊收集、儲存、使用、委託處理、共享與轉讓、公開披露、事件處置等行為準則納入資訊生命週期管理技術要求與安全保障性要求中，從技術、行為、保障三個層面對個人金融資訊提出技術類規範要求。

2018年10月29日，央行釋出《非銀行支付機構支付業務設施技術要求》（JR/T 0122—2018）、《非\\銀行支付機構支付業務設施檢測規範》（共6部分）（JR/T 0123—2018）金融行業標準。《非銀行支付機構支付業務設施技術要求》規定了非銀行支付機構支付業務設施的技術標準符合性和系統安全性相應級別的基本要求和增強要求，為非銀行支付機構支付業務設施認證、檢測提供了依據。《非銀行支付機構支付業務設施檢測規範》（共6部分）基於《非銀行支付機構支付業務設施技術要求》編制。檢測目標是在系統版本確定的基礎上，對非銀行支付機構提供的支付業務設施的功能、風險監控、效能、安全性進行測試，客觀、公正地評估設施是否符合中國人民銀行對支付業務設施的技術標準要求。旨在進一步完善金融支付領域安全技術基礎。

央行在此背景下發布的146號文《關於開展支付安全風險專項排查工作的通知》主要為針對金融機構支付APP進行全面檢測與排查，排查內容包括移動客戶端應用軟體：敏感資訊保護、安全漏洞防護、資訊傳輸安全等方面存在的隱患。支付業務系統：系統安全、交易安全、資料保護、業務連續性、賬戶管理、內控管理等方面存在的風險，而146號文釋出的目的就是為了有效的防範交易欺詐，需以相關政策及本次排查工作要求為指引進行分析、加固，進一步提升、完善支付安全體系。

幾維安全針對146號檔案的解決方案   

幾維安全透過對檔案的詳細解讀和對支付安全相關場景、現狀深入分析研究，將支付安全風險歸結為使用者資訊洩漏、感染病毒/木馬、演算法秘鑰洩漏和核心模組破解。

針對移動支付安全風險和安全管理要求研發出新一代保護技術和端到端的產品體系，以程式碼虛擬化為基礎，可提供全平臺終端（Android、iOS、IoT、Linux、MacOS、Windows）高強度防護的能力，實現了在有效提高防護能力的同時，也解決了傳統技術固有的相容性問題。

結語及展望     

2018年,金融行業資訊保安工作取得了重大進展。無線安全、資料安全、業務安全等是當前金融機構安全工作關注的重點，而漏洞眾測、攻防演練等方式成為安全建設的有效支撐手段。

未來一段時間，監管與政策將繼續完善，而大資料，威脅情報、態勢感知、人工智慧等近年來熱門技術將在金融行業及金融安全領域發揮關鍵作用。另一方面，安全技術發展雖然蓬勃，不少金融機構依然面臨基礎性困境，如資訊保安意識仍然不足、安全人才依舊匱乏等多種問題。研究顯示，金融機構過去一年遭遇的安全問題主要集中在Web應用安全、移動應用安全以及業務安全領域。這意味著，應用安全依然是金融安全工作今年來最值得關注的重點。