“2014中國互聯網金融高層論壇暨第七屆中國電子金融年會”于2014年1月16日在北京舉辦。上圖為上海眾人網絡安全技術有限公司董事長談劍峰。(圖片來源：新浪財經 梁斌 攝)

　　新浪財經訊 “2014中國互聯網金融高層論壇暨第七屆中國電子金融年會”于2014年1月16日在北京舉辦。上海眾人網絡安全技術有限公司董事長談劍峰在演講中表示，美國黑客24小時之內就可以將中國金融系統全部癱瘓。我不是危言聳聽，真的是這么嚴重，金融系統的安全很可怕，因為金融系統現在用的系統無非就是兩個，一個是IBM[微博]的一個是惠普[微博]的，“棱鏡門”事件以后更能清晰的證明。

　　以下是文字實錄：

　　談劍峰：各位朋友，各位領導，下午好！我是從事網絡安全行業的，今天講的話題是互聯網金融，我想大家現在也知道，隨著互聯網金融，移動互聯網支付的興起，其實安全問題是越來越重要，也越來越緊帖我們的金融支付，我今天的話題是針對信息安全，希望能夠跟大家分享。首先，我們看這張圖，大家都知道，這個是上海的一個房地產的案例，其實這張圖，我想表述的意思是現在互聯網在中國IT行業，包括互聯網在內的現狀就是這張圖。其實漏洞來自于底層，而我們的操作系統，我們的芯片，我們的核心技術現在全是老外的。金融行業更不用說了，可能今天我有一些話題比較敏感，在座的都是金融行業的朋友，我只是做一個提示和建議，說的不對的地方請你們見笑。

　　其實金融系統的安全更可怕，因為金融系統現在用的系統無非就是兩個，一個是IBM的一個是惠普的。“棱鏡門”事件以后更清晰的能證明這個圖，所謂的漏洞來自底層，我們造房子，造的再漂亮，裝修的再美麗有什么用，一旦出現攻擊，就是整體坍塌。所以，2012年美國發布過《全球供應鏈安全國家戰略》，金融信息安全、產業鏈安全實際上就是國家安全。舉個例子，06年美國人搞了一次軍事網絡攻擊演習，紅方是中國，結果是什么？中國的黑客72小時之內可以將美國金融系統搞癱瘓，后半拉才應該提醒我們注意，美國黑客用24小時之內就可以將中國金融系統全部癱瘓，我不是危言聳聽，真的是這么嚴重。也就是現在別打仗，一旦打仗，不會像以前一樣的飛機大炮，先是信息戰。金融搞癱瘓了，沒錢了還打什么仗。所以，金融系統的安全不是一天兩天的事情，也是我們國家層面，從十八屆三中全會以后國家成立了國家安全委員會開始對信息安全越來越重視，我覺得這是我們國家正確的方針，正確的方向。所以，接下來我簡單講一下現在安全問題。

　　其實隨著云計算、物聯網、移動互聯網，以及大數據的廣泛應用，特別是今天我們的話題叫互聯網金融，其實信息安全才是互聯網真正的入口。我們談了很多入口，比如信息入口，騰訊的那個叫信息入口，人與人之間的信息等等這些都是入口，那是在應用層面上，而真正進入互聯網安全才是根本。因為互聯網上大家經常說一句話，就是互聯網上沒有安全，“棱鏡”事件以后大家更看清楚這一點。那么，信息安全的核心技術是什么？是密碼技術。因為是密碼技術，所以我們離不開密碼技術。那么，在國際上，密碼技術是被嚴格管控的。其實世界上密碼技術最先進的國家不是美國，是以色列。美國的密碼技術在一定加密算法的級別位數以很低的級別是給我們出口的，很高的級別是不出口的，美國人更不允許我們的加密產品進入到美國。華為中心是做路由設備，就被拒之門外，這一點很證明美國在防什么，怕什么。一樣，金殿我們作為金融行業的一分子，更應該重視。

　　這張圖我想證明一句話，其實身份認證更是信息安全里面第一道門，現在上網幾乎除了看新聞，我看都得用用戶名和密碼，現在腦子里的密碼是不安全的。為什么不安全？2011年有人帳戶被盜，兩億多帳戶浮出水面，每年黑客的交易量21億個帳戶，很大量的用戶名信息被交易，就像我們現在買部車，明天就有人給你發廣告，這張圖也可以證明這一點，防火墻也好，VPN也好，防護系統也好，這些都是對真正的像國家級攻擊，比如APT攻擊是被世界上第一個認定為木馬黑客攻擊能達到戰略攻擊，也就是作為武器去攻擊的。那么，當時APT第一個案例就是伊朗的核電站，這個可能大家有聽說過。

　　那么，現在這個道理也一樣。就是說，身份是最核心的，真正的像APT這樣的國家級的攻擊能夠繞開你所有的防護直接進入到你的核心，所以身份認證是信息安全的第一道門。國際銀行卡組織VIsa、MasterCard和美國運通共同宣布一個針對全球標準的建議性框架，嘗試在互聯網支付和移動支付時采用OTU認證技術，來代替傳統的帳戶卡號。采用統一認證的方案及OTP用來確定帳戶的身份，在通過認證后，該OTP關聯的所有銀行卡，均可進行支付。發行卡、運營商、商家等與統一認證機構連接，互聯網支付和移動支付的安全，由統一認證機構認證。這是最近IBM公開發布的，就是現在手機的NFC開始興起，阿里巴巴[微博]推出手機的NFC支付，IBM推出了NFC的雙重險的認證方案。叫挑戰應答式動態密碼，和NFC結合，因為NFC前不久英國已經公布可以破解，在移動支付原有的靜態密碼體系上增加一個由發卡行的隨即挑戰碼，具備NFC功能的手機以及該發卡行的雙頁面銀行卡，也就是未來的金融IC卡，共同實現安全策略。隨機挑戰碼由發卡行產生。

　　其實現在第三方支付上面安全比較大，最近以支付寶[微博]盜刷事件興起的很多第三方支付的認證問題，其實我挺理解第三方支付公司的。因為當時是搶地盤的階段，應用的方便，和邊界性和安全永遠是矛盾的問題，你要便捷了，安全一定是降低。所以，當時第三方支付要搶占市場，所以把支付的認證弄的很簡單，通常都用的是手機短信，我五六年前一直說手機短信不安全，當時很多人反對，特別是金融行業的一些人反對我說的這個話。現在是鋪天蓋地的案例正式我說的這句話是不是正確。當時方院士寫過一篇論文叫手機短信和手機通話就是裸奔，你在手機上面進行交易，數據信息就是裸奔。

　　所以，大家也不用擔心，密碼器是不是容易被盜，或者是被破解。破解目前為止各位在座的也沒有一個案例能夠告訴我，哪一個是因為破解密碼算法，除了軍用級的，我們叫商務級的沒有一個案例是用破解密碼的算法實現攻擊的，所有現在的不管是動態密碼，還是其他的方式都是在應用過程中被盜的。比如最簡單的UK(音譯)，大家知道UK跟電腦接觸，電腦很容易中密碼，當追了密碼，不需要破解密碼，直接盜用。這就是過程中的漏洞。所以，金融系統在動態密碼上面的挑戰是很難的產品。其實所有的身份認證安全性更多的來自于過程中，也就是應用中。所以，不管金融系統也好，還是第三方支付系統也好，要多考慮在應用過程中解決這個問題。

　　這里我舉了UK，其實已經銀行已經在更換了，過去，包括很多都說UK好，U盾好，數字證書號沒錯，從理論來說，數字證書有一句話叫做不可抵賴，這是從技術角度來講。所有應用過程中的漏洞來自這兒，被盜的時候不是破解密碼，是應用過程被盜。其實UK證書我可以告訴各位，UK證書在使用過程中沒有新的動態密碼技術的安全。我舉個例子，我去公安部參觀的時候，我發現派出所的民警，U盤上班插上，下班都不拔，你要U盾干嗎，你不是認證碼？認證是在認證的一瞬間要插入，很多人習慣不拔。人民銀行統計，金融系統發放的UK最多，U盾最多，總共將近10億過，78%沒人使用。為什么？一、過去的U盾認操作系統，裝驅動的問題，即使無驅動以后，它的應用也被狹窄了，因為UK必須有接口，不管讀卡器，還是藍牙，肯定有一個過程傳輸，只要有這個過程，你就解決不了應用問題。

　　未來互聯網的發展，我剛剛說云計算、物聯網，特別是今天的主題叫互聯網金融，未來的端口絕對不是PC，未來包括整個智慧城市，包括智慧家居，包括可再生的東西群是終端。我今天再用技術來講，數字的書，PKI體系是70年代美國人搞出來的，請哪位告訴我一個案例，美國你在哪個銀行說，他給你發過一個U盾，PKI體系本身在Internet上認證搞出來的，是在內網上認證搞出來的，我們國家從理論的角度上數字證書很安全，就像電子簽名法，現在也要與時俱進，現在簽名法有一條叫不可抵賴，所以其他的認證技術不能用。UK最大的問題是局限了未來互聯網發展的應用和認證，而認證的地方是越來越多。

　　再說一個例子，ATM機，一直是金融業系統的頭痛病，老是有監控頭，假刷卡器把數據盜走，你不能在ATM機上裝一個U盤吧，你裝了以后，那個可能就是黑客攻擊的一個數據讀出口。動態密碼技術很件大，本身絕緣，它出來的結果，你給小偷看好了，他也不能用。所以，動態密碼技術也是美國人搞出來的，而且普遍在發達國家被廣泛使用。動態密碼技術最主要能解決的一個問題就是客戶端應用認證，各種應用。那么，這個圖表上最后一句話，最近“棱鏡”事件衍生很多事，RSA算法后門危及通信鏈路安全。這是動態密碼，只要你能有數字鍵盤的地方就能認證，這是動態密碼的優勢。現在公安部搞得網絡身份證，EID正在跟我們做結合，就是終端口由我們走，然后走到后臺再走證書，這種應用場景是相對更安全了。

　　很多人經常問我動態密碼什么原理？其實密鑰就是身份，你是誰？它是基于時間的，因為時間不可逆，所以它相對是安全的，我為什么說相對？安全技術是沒有絕對的。算法就是加減乘除，X就是常量，Y就是變量，X不變，Y在變，密碼結構一定在變。金融系統這個現在是沒被人民銀行作為標準，這個作為人民銀行后來發的標準，這個叫挑戰應答。為什么？背前面的方法可以被釣魚，用一分鐘的時間被釣魚網站釣走，這個技術相對更安全。它其實增加了一個變量，就是挑戰碼，也是就在動態密碼器上面你可以輸入數據，這個數據是什么？

　　剛才的原理是這個人這分鐘用出什么結果，這個我跟某人交易，跟某個系統交易的時候一定會有對方卡號，或者是交易金額，或者是流水單號等等一系列唯一性的數字作為參考，作為加密因子加在這里邊。也就是我和某人交易，我們這一分鐘該出什么結果，釣魚網站一樣可以釣。你能釣走結果，但是你轉不走錢了，因為我已經把對方的特定因子加入到我計算的結果，因為盜號的人最終的目的是把錢轉到第三方，你錢轉不走，盜了你的密碼也沒有用，這就是挑戰碼的原理。這跟剛才我說的IBM的例子差不多，統一身份認證平臺，我們在五年前就開始搞了，現在工信部CSIP已經正式發布，對進我們跟幾個金融機構也在談身份認證平臺，就是一把鑰匙開多把鎖，但是這個鎖都得是你們家的鎖。這個產品是目前我們公司最先進的產品，也是國際上最先進的，是信用怕式的，前不久交行和建行發布可視卡，有點類似，但是那個上面是不帶密碼的，只是帶余額顯示，我這個是帶密碼，這個屏是別人撿去不要緊，因為你腦子密碼要開啟設備，所以你開啟設備是用腦子密碼。第二、余額顯示，第三個全球第一個可以現實阿拉伯數字，當時做數字是為了軍方用的。

　　我剛才聽到銀聯的孫總說的時候，我補一個事，去年還是前年，我記得金融行業一直推崇一個叫指紋認證，或者視網膜認證，我個人建議這個不是安全，非但不是安全，而且非常危險。原因很簡單，根據我們看了這張圖，大家應該知道，所有的認證，所有的認證體系都逃不過這個，叫服務器端和客戶端對比，比對，比對是正確的，就是1，比對不正確就是0，其實給的就是這個信息。指紋是不可再生的，視網膜等是不可再生的，當這個數據庫龐大到一定程度的時候，一定成為攻擊對象，而這個不是普通黑客來攻擊，是國家級的戰略攻擊，一定是這樣的。我想在座的如果有安全部門的人一定知道我在說什么，而且因為這是很多專家在討論會上討論的。所以，保密局去年發布一個文，生物認證體系只能用在內網系統里邊，比如說槍械庫，這些不能用指紋認證。如果將這個做認證，那一定在互聯網上加密到什么程度都沒用，因為它一定有辦法攻擊你，當成為國家級的戰略攻擊，我想巨型機，大家聽過前段時間金融系統在換數字證書的算法，IC1024用的時間長了，今年要換1048，因為可以被推算出來。我講的就這些，謝謝！