要文件，导致系统运行不稳定或损坏。系统不稳定会对包括手机支付在内的应用程序和功能造成较大影响，再者手机root后所有软件都能够获取root权限，这无疑给手机病毒带来了更多“发挥空间”，恶意软件将不会直接申请需要使用的权限，所有特定的功能病毒都可以在root权限下完成。此时，恶意软件可以轻易的通过root权限获取手机支付应用私有目录下的信息，例如数据库文件、日志文件、通信内容、按键记录等，而且每个Android软件在安装后都有一个属于自己的程序目录，软件中的所有私有数据都存放在这个目录下，用户与其他软件都没有访问权限。一旦手机root后，这些数据就会全部暴露出来，例如网银账号与密码、IM类软件的聊天记录，这些数据一旦泄露，用户可能面临巨大的损失。此外，键盘监听、截屏攻击、重放攻击无不与手机被root后中了病毒或木马相关。

　　五、关于手机银行信息安全保障体系

　　根据上述分析结果，我们得出了手机银行安全保障的要点，主要集中在以下几个层面：移动终端层，网络层，服务层和业务层面，每个层面安全保障的关注点和安全技术措施也都不一样，所以结合我们以往做手机银行安全的经验及措施，将手机银行的信息安全解决之道进行总结如下：

　　1、移动终端层

　　终端环境安全角度需要对客户端环境进行检测，包括特权检测，如APP下载时检测系统是否被root，提示风险，进行病毒检测，启动APP时扫描手机病毒及木马，同时需要实现应用隔离，保护APP私有数据不被其他软件非法利用，安全控制模块方面主要从硬件合规，安全检测，访问控制及数字签名四个方面在满足金融行业各类规范的同时，避免越权访问，保障交易数据的完整性真实性和抗抵赖性。数据传输采用非公开安全的加密算法。在自身安全方面APP软件必须遵循开发规范，不应暴露任何影响自身安全性的外部接口，同时采取有效的干扰措施增加对代码静态分析的难度。

　　2、网络层

　　安全加密：APP应使用安全协议保证与后台服务端通信的秘密性、完整性和真实性，APP与后台服务端建立连接时应进行双向认证，同时对密钥长度进行安全性限制。目前几乎所有设备都需要连接网络，且WIFI环境越来越好，存在许多免费公共WIFI，钓鱼WIFI也隐藏在其中。针对WIFI钓鱼，在部分路由器支持的前提条件下，需验证路由器是否使用的是默认密码，以及DNS是否被篡改，DMZ服务是否开启，以判断检查路由环境是否正常，杜绝钓鱼等安全隐患。

　　3、服务器层

　　除传统服务器层面安全防护以外，需关注的安全重点在于1、逻辑控制：严格控制水平权限，垂直权限之间的管理，避免出现越权行为的操作。2、会话管理：确保会话表示的唯一性，随机性和不可猜测性，会话过程维持认证状态防止非授权访问，同时，对超时会话自动终止，同时对整个会话过程以及相关攻击行为可以进行审计。3、WEB攻击防范：在服务器端对提交的数据进行有效性，完整性进行安全检查，避免提交的数据被修改，并过滤其中的非法字符，并对输出的数据进行安全处理，周期性进行服务端源代码审查，通过安全加固对安全接口进行安全验证，避免未授权的接口调用。

　　4、业务层

业务层面，主要是针对用户自身账号安全以及交易安全，可采用硬件绑定，图形验证码，短信验证等方式对用户合法性进行验证，针对会话安全可通过认证超时等方式进行安全保障。结合手机支付的业务特点，需要对用户访问的网址进行检测。检测当前系统中具有网页浏览功能的软件及访问的网址，保护用户的上网安全，若发现存在欺诈、钓鱼、木马等恶意网址时

【更多热点请手机下载《爱济南》客户端 山东大小事尽在掌握】