安全無小事，無論是在哪個行業(yè)、任何場景下。而在金融支付領域，安全又多了更深的含義。作為保障用戶個人財產和隱私的最后一道防線，安全支付是維護社會健康發(fā)展的根本。因此，不論是銀行卡支付、手機二維碼支付，還是NFC支付對安全都有很高的要求。但隨著支付場景的不斷拓展和豐富，開放性也漸漸受到關注。如何兼顧安全與開放性，成為很多業(yè)內人最大的困惑。而智能POS的出現，不僅帶來了全新的啟發(fā)，更憑借極高的兼容性和安全性獲得各方的認可，成為時下主流的金融受理終端。

目前絕大多數智能pos產品采用了硬件物理防護+系統深度定制+應用程序封閉式管理的安全體系架構，并將自身安全防護機制拆分成安全區(qū)域和應用區(qū)域。安全區(qū)域作為了一個獨立的封閉環(huán)境，擁有極高的安全等級，能有效防止黑客入侵，核心支付程序及相關隱私數據的運行處理都在該區(qū)域完成。除此以外的商用程序及相關數據的處理在應用區(qū)域進行，以此提高處理能力、方便聯網通訊。這樣既提供了開放的可拓展能力，又實現多層級的安全保障。

有意思的是，上述的雙系統解決方案如今已廣泛運用在智能手機內，但在2006年由OMTP（Open Mobile Terminal Platform）工作組提出時，僅作為一種安全理念，卻無法實現。直到OMTP和GP（GlobalPlatform）組織深入溝通后，采用了GP終端工作組的STIP(Secure Terminal Interoperability Platform)規(guī)范作為雙系統之中安全區(qū)域的技術實現。之后ARM公司也加入了這個聯合工作小組，基于STIP的方案，結合自身硬件技術實現，演進為如今的TEE（Trust Execution Environment）標準和TrustZone產品，最終應用到每一臺智能手機之中。

上?；坫y作為行業(yè)老兵，專家團隊在安全支付領域深耕多年，在國內外創(chuàng)造了多項創(chuàng)新成就，早在2004年就獲得了世界上第一款手持移動POS的PCI安全認證，這是Visa和MasterCard首次針對POS硬件安全聯手制定統一的全球標準。而且因為團隊很早就洞察到開放平臺在金融終端行業(yè)的必然趨勢和巨大潛力，所以在Visa等組織的推薦下，受邀加入GP，成為終端工作組的重要成員，同時，也作為STIP規(guī)范制定的核心成員之一，參與了相關標準的起草工作和其后與OMTP的交流工作。因為在多應用管理、分發(fā)平臺和安全加密協議等方面的突出貢獻，曾受到過多次表彰，并作為唯一一支來自中國的技術團隊，被推舉為GP組織的年度之星。在這一過程中，慧銀專家團隊逐漸認識到在軟硬件一體化、平臺化的發(fā)展趨勢下，支付安全也必須擴大其涵蓋范圍才能提供真正意義上的安全保障。

世事輪回，10年前，源于POS行業(yè)的安全技術架構助力智能手機行業(yè)完成雙系統安全機制；10年后，Android和TEE在智能手機上的廣泛應用又推動了POS行業(yè)從傳統技術架構向智能POS演進。

但是，手機的TEE解決方案過于依賴芯片，其核心技術掌握在芯片廠商手中，服務商只能通過調用芯片廠商提供的標準API接口，構建系統級的安全體系，并不能做到從底層硬件到軟件交互的全方位安全保障。特別是針對智能POS這樣的商用化終端，不能只依賴于TEE的安全性和雙系統架構。

從嚴格意義上講，普通的智能POS雙系統架構有別于TEE，基于TEE的安全理念，采用應用處理芯片+安全芯片的形式重構了雙系統架構，雖然從物理層面進一步加強了安全保護，但不可否認，仍然遺留下“不同區(qū)域存在安全防護差異”的事實，而針對安全防護薄弱區(qū)域的攻擊，既可以采用構造釣魚式用戶界面的方式以較低的成本達到攻擊目的，或通過不斷提權的方式，最終攻破整個安全體系。

“全域安全”，補齊最后一塊安全短板

正所謂千里之堤，潰于蟻穴。雖然智能POS作為安全技術的集大成者，并通過了各項權威安全認證，但也無法杜絕任何潛在的安全風險。只要存在安全短板，那么隨時都有可能會動搖安全的根基。為了補齊短板，就必須用創(chuàng)新的方式構建更符合智能POS商業(yè)運用的安全體系架構。

因此，慧銀在研發(fā)智能POS時，提出了“全域安全”這一概念。為了提升整體安全性，將應用處理器和安全芯片的安全級別設定為同一安全等級。專家團隊將原有的核心安全區(qū)域覆蓋范圍，擴大至整個POS前后端以及相關商業(yè)應用環(huán)境之中，所有程序、服務、數據都將會得到最高安全級別的保護。針對未知的系統漏洞，設計了一套主動監(jiān)測，動態(tài)防御，遠程更新的機制，通過動態(tài)調節(jié)加密虛擬環(huán)境的方式控制風險，為修復漏洞或應對其他情況爭取必要的時間。

“全域安全”是慧銀技術實力的體現，也是團隊堅持理想推動安全創(chuàng)新的結果，更是我們對全球合作伙伴的承諾。當然，在安全方面，我們做的遠遠不夠，還有更多問題和挑戰(zhàn)需要解決。上至監(jiān)管部門、銀行、支付機構，下至設備廠商、服務提供商，只有產業(yè)鏈各方共同努力，參與到相關體系和規(guī)范的建立和完善的工作中，才能實現整個行業(yè)的全域安全。

安全是一種信仰，因此絕不能妥協，必須堅持到底！