央行《关于开展支付安全风险专项排查工作通知》2018「146」解读

前期，中国银联发布《2018移动支付安全大调查分析报告》，据报告统计分析当前我国手机支付用户规模已达到5.7亿，而安全隐患问题仍是用户最担心的问题，最需要改善的也仍然是移动支付安全性。国家也将网络安全等级保护制度打造成新时期的基本国策和基本制度，等保2.0更是针对移动终端安全要求进行了详细描述。

为切实落实国家网络安全制度要求，进一步加强支付领域网络与信息安全管理，有效防范支付风险切实保障消费者合法权益，2018年8月27日，人民银行发布146号文《关于开展支付安全风险专项排查工作的通知》（以下简称146号文）正式开展支付安全风险专项检查，针对金融机构支付APP进行全面检测与排查，旨在进一步加强支付领域网络与信息安全管理。

146号文件要点解读及最新动态

央行146号文要求商业银行、非银行支付机构、清算机构等从业机构对自身支付业务相关系统进行多达182个要点的排查，其中涉及非银行支付机构的自查点为105个。

纵览整个146号文件，主要是从四个方面展开的：

1、客户端应用软件安全：身份验证信息管理、客户端数据录入/传输安全、客户端应用软件自身安全等。

2、支付系统安全管理：物理安全、网络安全、主机安全、应用安全、数据安全、业务连续性等。

3、支付交易安全管理：交易安全基本要求、银行卡受理终端安全管理、银行卡交易安全、条码支付交易安全、线上交易业务开通身份认证安全管理、支付交易安全强度、交易验证与确认、交易过程安全、基于大数据技术的风险防控等。

4、Ⅱ、Ⅲ类银行账户相关：Ⅱ、Ⅲ类银行账户系统账户管理基本要求、密钥管理要求、账户管理安全要求、密码功能、线上/线下交易处理功能、交易限制、开户风险监控、交易风险监控、交易欺诈监控等。

前三部分主要针对商业银行、非银行付机构、清算机构，最后一部分仅针对商业银行。对于广大用户和安全从业人员来说，第一部分又是重中之重。因为金融移动APP安全是用户账户、资金安全的基础。若客户端存在漏洞或安全隐患，极易被反编译、篡改或进行二次打包，对用户的支付安全造成严重的安全威胁，导致用户信息泄漏甚至财产损失。而此次金融行业的安全排查将全面对支付APP进行风险检查及问题整改，制定安全标准规范，提升APP自身安全防御能力。

本次检查的重点项目主要包括4个方面：

1、持续性监管改进：强化安全风险防控机制，开展异常交易检测，完善事前、事中机制，持续优化风险策略，加强联动处置，预防处理群体事件。

2、检测认证整改加固：按国家、行业、协会、银行卡组织相关标准要求，开展检测认证、开展差距识别与整改，完善金融支付安全风险防控机制。

3、支付安全标准体系：各行业部门组织，指导制定信息安全相关国家标准、行业标准、协会标准、企业标准，协同构建金融支付安全标准体系。

4、检测政策要求：人民银行、公安部、工信部等监管部门会针对金融支付风险发布相关文件，部署防控工作，守住不发生系统性风险的底线。

146号文件下发以后，各地紧锣密鼓，积极组织展开自查摸底，部署专项检查工作。

自查行动关键节点：

1、从业机构应在2018年9月30日前向人民银行报送《客户端应用软件明细表》；

2、从业机构应对照《支付安全风险专项排查列表》逐项对本机构支付安全隐患进行自查，对发现的问题及时整改，并建立问题清单管控和动态跟踪机制。对于短期内无法完成整改的问题，要采取补偿措施，明确整改计划和方案，按期整改。2018年10月31日前，形成自查报告报送人民银行；

3、人民银行在2018年11月至12月进行全面核实和抽样检查。

4、人民银行分支机构要对整体情况及主要问题进行认真全面分析总结，形成书面报告，于2019年3月1日前报送人民银行总行。对于未完成整改的问题，要求从业机构作为2019年内部审计和外部安全评估的重点，持续监督整改。

文件背景解析

146号文排查工作主要针对前期已暴露的安全问题和安全隐患，从移动互联网支付安全调查报告统计分析可见，2018年用户使用频率持续提升，有80.1%的用户每天使用移动支付，说明移动支付模式用户习惯已逐步形成。调研组重点针对用户基本属性、用户使用偏好、用户满意度等内容开展延续性调查工作，发现2018年移动支付领域呈现以下特点。

1、移动支付已广泛应用于日常生活

2、个人隐私泄露和存在安全隐患是用户担心的主要问题

3、业务场景下主要安全风险问题

根据相关机构调研显示，2018年国内金融行业数字化转型基本完成，超过90%的金融业务已经基于网络空间进行。与此同时，企业在数据、网络与系统方面都面临新的安全威胁，25%的受访企业表示遭遇过重大安全事故，而100%的受访者都表示出现过安全问题。

业务场景下的自动化攻击（Bots）逐渐成为业内重要关注点。据统计，金融行业网站流量中超过70%由自动化工具发起，而攻击流量中约90%都是自动化工具，对自动化攻击的防护已经成为金融反欺诈的核心。

从漏洞数量来说，互联网金融明显少于传统金融，而从漏洞利用难易度来看，互联网金融显得更为脆弱。金融机构遭遇的热门漏洞按照威胁程度排行，命令执行、SQL注入及弱口令排名靠前；从数量上看，逻辑漏洞，命令执行和XSS漏洞分列前三。

支付安全问题受重视程度与日俱增，引起了社会各界的广泛关注。

2018年10月25日，金标委发布《支付信息保护技术规范》（送审稿），该规范根据敏感程度对支付信息进行等级划分，按敏感程度从低到高分为C1、C2、C3、C4四个类别。

《支付信息保护技术规范》规定了支付信息在收集、传输、存储、使用、销毁等生命周期各环节的技术保护要求及安全策略、访问控制、安全运行、监测评估等保障性要求。同时，将支付信息在信息收集、保存、使用、委托处理、共享与转让、公开披露、事件处置等行为准则纳入信息生命周期管理技术要求与安全保障性要求中，从技术、行为、保障三个层面对个人金融信息提出技术类规范要求。

2018年10月29日，央行发布《非银行支付机构支付业务设施技术要求》（JR/T 0122—2018）、《非银行支付机构支付业务设施检测规范》（共6部分）（JR/T 0123—2018）金融行业标准。《非银行支付机构支付业务设施技术要求》规定了非银行支付机构支付业务设施的技术标准符合性和系统安全性相应级别的基本要求和增强要求，为非银行支付机构支付业务设施认证、检测提供了依据。《非银行支付机构支付业务设施检测规范》（共6部分）基于《非银行支付机构支付业务设施技术要求》编制。检测目标是在系统版本确定的基础上，对非银行支付机构提供的支付业务设施的功能、风险监控、性能、安全性进行测试，客观、公正地评估设施是否符合中国人民银行对支付业务设施的技术标准要求。旨在进一步完善金融支付领域安全技术基础。

央行在此背景下发布的146号文《关于开展支付安全风险专项排查工作的通知》主要为针对金融机构支付APP进行全面检测与排查，排查内容包括移动客户端应用软件：敏感信息保护、安全漏洞防护、信息传输安全等方面存在的隐患。支付业务系统：系统安全、交易安全、数据保护、业务连续性、账户管理、内控管理等方面存在的风险，而146号文发布的目的就是为了有效的防范交易欺诈，需以相关政策及本次排查工作要求为指引进行分析、加固，进一步提升、完善支付安全体系。

几维安全针对146号文件的解决方案

几维安全通过对文件的详细解读和对支付安全相关场景、现状深入分析研究，将支付安全风险归结为用户信息泄漏、感染病毒/木马、算法秘钥泄漏和核心模块破解。

针对移动支付安全风险和安全管理要求研发出新一代保护技术和端到端的产品体系，以代码虚拟化为基础，可提供全平台终端（Android、iOS、IoT、Linux、MacOS、Windows）高强度防护的能力，实现了在有效提高防护能力的同时，也解决了传统技术固有的兼容性问题。

结语及展望

2018年,金融行业信息安全工作取得了重大进展。无线安全、数据安全、业务安全等是当前金融机构安全工作关注的重点，而漏洞众测、攻防演练等方式成为安全建设的有效支撑手段。

未来一段时间，监管与政策将继续完善，而大数据，威胁情报、态势感知、人工智能等近年来热门技术将在金融行业及金融安全领域发挥关键作用。另一方面，安全技术发展虽然蓬勃，不少金融机构依然面临基础性困境，如信息安全意识仍然不足、安全人才依旧匮乏等多种问题。研究显示，金融机构过去一年遭遇的安全问题主要集中在Web应用安全、移动应用安全以及业务安全领域。这意味着，应用安全依然是金融安全工作今年来最值得关注的重点。