中國(guó)金融認(rèn)證中心總經(jīng)理季小杰

鳳凰財(cái)經(jīng)訊 “2015清華五道口全球金融論壇”5月23日-24日在北京舉行。中國(guó)金融認(rèn)證中心總經(jīng)理季小杰談及互聯(lián)網(wǎng)金融安全時(shí)表示，移動(dòng)金融安全問(wèn)題成為各界關(guān)注的焦點(diǎn)，主要表現(xiàn)在四個(gè)方面：

一是，移動(dòng)設(shè)備的安全認(rèn)證手段相對(duì)薄弱；

二是，生物身份識(shí)別技術(shù)一旦被盜用將無(wú)法吊銷；

三是，SIM卡、SD卡可能被黑客攻擊修改簽名；

四是，是APP安全問(wèn)題。

以下為嘉賓發(fā)言實(shí)錄：

季小杰：尊敬各位領(lǐng)導(dǎo)、各位來(lái)賓，下午好，非常高興有這樣一個(gè)機(jī)會(huì)和大家共同探討互聯(lián)網(wǎng)金融創(chuàng)新話題。

伴隨移動(dòng)互聯(lián)網(wǎng)發(fā)展，移動(dòng)金融這兩年發(fā)展迅速，中國(guó)電子銀行網(wǎng)對(duì)2014年銀行年報(bào)中披露手機(jī)銀行情況進(jìn)行了統(tǒng)計(jì)，數(shù)據(jù)顯示手機(jī)銀行數(shù)已經(jīng)達(dá)到4.165億，同比增長(zhǎng)32.64%，另一方面這幾年互聯(lián)網(wǎng)企業(yè)的移動(dòng)金融發(fā)展也非常強(qiáng)勁，生物識(shí)別、NFC都成為熱門技術(shù)，可以預(yù)見基于移動(dòng)終端以客戶為中心的移動(dòng)金融將成為未來(lái)金融服務(wù)的發(fā)展模式。同時(shí)移動(dòng)金融安全問(wèn)題也成為各界關(guān)注的焦點(diǎn)，我們認(rèn)為目前主要有四個(gè)方面的問(wèn)題。

一是與PC平臺(tái)成熟的安全體系相比，移動(dòng)設(shè)備的安全認(rèn)證手段還相對(duì)薄弱，經(jīng)過(guò)金融行業(yè)多年的研究和建設(shè)，基于PC的網(wǎng)上銀行已經(jīng)有比較完善的安全體系，絕大部分銀行采用基于數(shù)字證書安全解決方案，比較起來(lái)目前在移動(dòng)金融中應(yīng)用最廣泛的用戶名密碼+短期動(dòng)態(tài)碼認(rèn)證手段的安全等級(jí)就比較低了，數(shù)據(jù)顯示在移動(dòng)金融的詐騙案件中絕大部分的案件都和密碼、短信動(dòng)態(tài)碼有關(guān)。

二是基于生物特征的生物身份識(shí)別技術(shù)存在著一旦被盜用將無(wú)法吊銷這樣的風(fēng)險(xiǎn)，生物識(shí)別技術(shù)具有使用便捷的優(yōu)點(diǎn)，但目前還存在兩個(gè)問(wèn)題。第一無(wú)論人臉識(shí)別還是指紋識(shí)別等技術(shù)都無(wú)法達(dá)到百分之百準(zhǔn)確率，第二是人的生物特征是不能改變的，但是泄露生物特征的途徑卻有很多，一旦泄露被偽造后將無(wú)法吊銷，這也是目前導(dǎo)致僅依賴生物識(shí)別技術(shù)進(jìn)行身份認(rèn)證的這樣的措施還不適用于大范圍的金融業(yè)務(wù)。

三是SIM卡、SD卡一體化安全方案有先天決先。由于安全存儲(chǔ)單元是隨時(shí)與外部交互，不能完全斷開鏈接，與手機(jī)是結(jié)合在一起的，這就好像一個(gè)一直插在上的一代智能密碼鑰匙，存在黑客可通過(guò)攻擊操作系統(tǒng)來(lái)控制篡改簽名的風(fēng)險(xiǎn)。

四是APP安全問(wèn)題也不容忽視。今年初CFCA信息安全實(shí)驗(yàn)室從軟件安全、應(yīng)用交易安全以及APP環(huán)境安全三個(gè)維度對(duì)受理的APP軟件類的項(xiàng)目的檢測(cè)結(jié)果進(jìn)行了統(tǒng)計(jì)，從統(tǒng)計(jì)結(jié)果上來(lái)看移動(dòng)支付類APP的安全問(wèn)題較突出，存在著應(yīng)用保護(hù)程度不高，軟件盤防護(hù)能力不強(qiáng)以及交易密碼明文處理等問(wèn)題，黑客可以利用這些弱點(diǎn)很方便的進(jìn)行交易偽造。

針對(duì)以上問(wèn)題我們認(rèn)為可以從三方面來(lái)解決移動(dòng)金融的安全問(wèn)題：首先在移動(dòng)金融領(lǐng)域廣泛推廣電子簽名應(yīng)用，今年是《電子簽名法》頒布十周年，這一法律實(shí)施解決了電子發(fā)票、電子合同等電子交易的完整性、真實(shí)性以及抗抵賴性，目前電子簽名是解決身份認(rèn)證和交易糾紛最有效的手段，同時(shí)對(duì)APP進(jìn)行電子簽名還能保障它的安全性和可追溯性。二是分離式無(wú)線簽名設(shè)備將成為未來(lái)的主流，長(zhǎng)期實(shí)踐證明分離式的簽名設(shè)備是最為安全的身份認(rèn)證方式，蘋果和谷歌等廠商都已經(jīng)宣布由于影響手機(jī)做薄未來(lái)的物理借口有可能被取消，所以我們認(rèn)為分離式的無(wú)線簽名將是未來(lái)發(fā)展的主流。三是綜合使用密碼技術(shù)、混淆技術(shù)以及環(huán)境檢測(cè)等手段，對(duì)APP進(jìn)行整體安全功能設(shè)計(jì)，這方面由于專業(yè)性非常向、技術(shù)復(fù)雜，我們也建議借助專業(yè)的安全公司的力量對(duì)APP復(fù)合型驗(yàn)證和抗攻擊性進(jìn)行測(cè)試。

我們知道效率和安全往往是存在一些矛盾的，在日常操作中我們可以根據(jù)實(shí)際的業(yè)務(wù)類型和交易金額來(lái)選擇適合的安全手段。我們作為金融領(lǐng)域信息安全的?？仃?duì)伍和重要的金融安全基礎(chǔ)設(shè)施，中國(guó)金融認(rèn)證中心CFCA始終關(guān)注各項(xiàng)新技術(shù)的發(fā)展和信息安全的趨勢(shì)，我們同時(shí)也致力于營(yíng)造安全可靠的網(wǎng)絡(luò)環(huán)境，為金融發(fā)展保駕護(hù)航。

    我的演講到這里，謝謝大家。