iso27001认证为移动互联网金融信息安全做保障

工业和信息化部赛迪研究（research)院研究员王涛介绍，移动互联网金融存在安全风险由多种因素(factor)导致。首先是移动终端（Terminal)不可靠。在移动互联网金融环境中，移动终端集交易和身份验证两种功能于一身，但移动终端系统漏洞较多，容易给黑客以可乘之机，而且移动终端对U盾等安全性(security)较高的硬件设备支持较差，自身又存在随身携带、容易丢失等特性，导致其安全性较低。

　　与此同时，为了抢占移动终端入口，各方不遗余力地推广带有支付、交易等功能的移动应用，但这些移动应用发布渠道众多，应用开发者身份的真实性、应用完整性等难以保证，应用开发过程重用户体验而轻安全保障(起保障作用的事物)，成为泄露用户信息、破坏交易安全的重大威胁。ISO27001认证由英国标准协会（BSI）于1995年2月提出，并于1995年5月修订而成的，1999年BSI重新修改了该标准。分为两个部分：BS7799-1，信息安全管理实施规则BS7799-2，信息安全管理体系规范。如年年初，支付宝认证被曝存在安全缺陷，黑客可利用漏洞（weak points)登录他人支付宝账号进行操作；另一大移动支付平台微信也被曝存在安全漏洞，用户绑定的银行卡面临信息泄露的风险。
　　此外，在移动互联网金融安全涉及的许多核心技术上，我国缺乏安全可控技术，大量用户的终端安全和金融安全意识较差，在应用安装、金融交易等方面缺乏必要的警惕性，这些因素都严重威胁着移动互联网金融安全。
　　着力形成长效治理机制
　　面对移动互联网金融存在的安全问题(Emerson)，我国应该如何应对？
　　工业和信息化部赛迪研究院研究员冯伟建议，首先要提高参与移动互联网金融各方的安全意识，建立风险信息共享机制。终端用户要有必要的安全意识，不随意下载来源不明的应用，不在不安全的网络环境下进行交易；同时要提高开发者的安全意识，加强移动应用上架前安全检测与上架后漏洞通报机制，将安全作为应用开发中的首要问题(Emerson)加以考虑，在及时采用最新安全技术的同时，加强安全检测、监测（Food Monitor)；加强与电信运营商、金融服务(fú wù)提供商、零售商等相关各方的信息共享与安全事件通报机制，提高安全意识，促进其加强自身业务安全保护，及时处理安全漏洞。
　　除了上述措施，根本上还需要相关部门加强移动互联网金融监管，形成长效治理机制。ISO27001认证由英国标准协会（BSI）于1995年2月提出，并于1995年5月修订而成的，1999年BSI重新修改了该标准。分为两个部分：BS7799-1，信息安全管理实施规则BS7799-2，信息安全管理体系规范。年以来，我国相关主管部门对移动互联网安全高度重视，继工业和信息化部、公安部、国家工商总局联合开展移动互联网应用程序(procedure)开发者第三方签名认证试点工作之后，年10月底，国家网信办宣布将出台APP应用程序发展管理办法。在加强移动互联网金融安全监管方面，既要建立多部门联动的监管机制，也要形成移动互联网金融长效治理机制，针对终端、应用制定更为严格的监管制度(institution)，包括建立更加严格的开发者身份认证与应用安全审查制度，开展移动终端安全检测，建立移动互联网金融应用备案、强制保险、事后追责制度等。
　　此外，美国利用各种手段对他国网络空间进行监控已是尽人皆知，在当前芯片、操作系统等移动互联网关键技术都被美国把持的情况(Condition)下，维护我国移动互联网安全十分困难（difficult)。因此，打破国外技术垄断，建立自主可控的移动互联网生态环境才能从根本上保证移动互联网金融安全。一方面，要制定扶持国内企业、帮助提升移动终端技术能力与国产化水平的政策，通过资金支持、人才资源优化等多种方式，鼓励实现芯片、操作系统等领域的技术突破。另一方面，通过政府采购标准制定、推动产业合作等方式，给国内企业创造成长空间，逐步（step by step)完善国产软硬件产品(Product)的生态环境，提高我国移动互联网金融本质安全。
　　出门前，用手机里的打车软件叫好出租；坐在车上用手机还了这个月的信用卡(贷记卡)，再预订一张电影票，然后抽空到朋友圈里抢个红包……在不知不觉中，移动互联网金融已经成为大多数人日常生活中的普遍工具。
　　然而，随着人们在享受移动互联网金融(finance)带来便捷的同时，移动互联网金融的安全问题(Emerson)日益显现，威胁着人们的账户和信息安全。
　　移动互联网金融(finance)迅猛发展
　　有人说，如果把称作互联网金融元年，那么或将迎来移动互联网金融元年。
　　近年来，随着我国移动互联网的迅速发展和普及，移动互联网金融取得了巨大进展。移动支付、掌上银行等各类移动应用积极抢占用户手机入口，用户人数增长迅速。
　　中国互联网络信息中心（CNNIC）年7月发布的《中国互联网络发展状况统计报告》显示，截至年6月，我国手机支付用户规模达2.05亿，比年初增长63.4％，是整体网上支付市场用户规模增长速度的5.2倍；网民手机支付的使用比例由25.1％提升至38.9％。据微信和支付宝官方数据显示，除夕当天，微信红包收发总量达10.1亿次，央视春晚微信摇一摇互动总量达110亿次，峰值（peak）达8.1亿次/分钟。移动互联网金融发展速度可见一斑。
　　由于移动互联网金融业务方便快捷，用户可随时随地在线支付、理财，因而迅速为商家和用户所接受，已经成为日常生活中的普遍工具。CNNIC统计数据显示，在使用互联网的人群中，手机银行普及率达59.3％，第三方支付的普及率高达94.4％。其中，网上购买商品和手机缴费充值是消费者使用移动支付的主要业务，普及率分别为81.87％和77.87％。
　　鉴于移动互联网金融的巨大潜力，相关行业巨头纷纷抢滩登陆，试图占领先(率先)机。年10月20日，苹果ApplePay移动支付系统正式启用，苹果公司(Company)联合了摩根大通、花旗集团等银行机构（organization)，维萨、万事达和美国运通三大信用卡公司，以及麦当劳、沃尔格林等零售商共同行动，构建其移动互联网金融生态系统；腾讯、阿里巴巴、百度等一些有实力的公司凭借各自的平台基础和业务优势，联合上下游（比喻落后的地位)企业，纷纷抢占移动互联网金融市场(shì chǎng)。
　　安全问题(Emerson)日益严重
　　然而，伴随着移动互联网金融(finance)的发展，安全问题(Emerson)日益严重。一方面，移动互联网上诈骗信息泛滥，腾讯移动安全实验室的统计数据显示，年上半年用户举报垃圾短信达2.76亿，较翻了一倍有余。另一方面，移动互联网上金融犯罪手段不断翻新升级，犯罪分子通过技术方法伪造移动基站和WiFi热点以及进行号码伪装等，具有极强的隐蔽性和迷惑性，用户稍不注意就会上当受骗。
　　移动终端特别是移动智能终端作为移动互联金融应用的载体，如今也成为黑客攻击的主要目标之一。ISO27001认证由英国标准协会（BSI）于1995年2月提出，并于1995年5月修订而成的，1999年BSI重新修改了该标准。分为两个部分：BS7799-1，信息安全管理实施规则BS7799-2，信息安全管理体系规范。卡巴斯基年10月24日发布的调查报告称，8月至年7月间，有大约60％针对安卓手机的恶意软件，设计初衷就是窃取钱财或银行账户资料。