“清華五道口全球金融論壇”于2014年5月10日至12日在北京舉行。上圖為中國金融認證中心總經理季小杰。(圖片來源：新浪財經 張健 攝)

　　新浪財經訊 “清華五道口全球金融論壇”于2014年5月10日至12日在北京舉行。中國金融認證中心總經理季小杰表示紙質憑證無法滿足互聯網金融發展需要，以線上供應鏈融資為例，大量合同、訂單等憑證都需要實現電子化，在其他業態也有類似需求，電子憑證發展滯后將阻礙互聯網金融發展。。

　　以下為演講實錄：

　　季小杰：各位領導，各位嘉賓，大家下午好，剛才各位領導把互聯網金融的各種形態都給大家做了個介紹，接下來我講的話題是信息安全方面的。首先，做一個自我介紹，中國金融認證中心成立于2000年，是由中國人民銀行[微博]和國家信息安全管理機構批準的國家級的權威的安全認證機構，也是我國重要的金融基礎設施，是電子認證行業的龍頭企業，也是金融行業信息安全的代表性企業。中國電子銀行網是由中國金融認證中心聯合60家商業銀行創建的電子銀行類，垂直類的門戶網站，也是目前互聯網金融的第一大門戶網站。

　　我們知道互聯網金融區別于傳統金融，它具有服務方式的虛擬化，業務邊界的模糊化，經營環境的開放化，以及市場運行的透明化等特征，這些特征在互聯網支付，P2P等業務形態中都有存在。隨著互聯網金融的快速發展，新技術，新業務形態的不斷出現，互聯網金融也面臨著日益嚴峻的信息安全風險挑戰。僅在今年短短4個月時間內，就先后出現了"攜程漏洞門"、"二維碼支付欺詐"、"OpenSSL'心臟出血'漏洞"等一系列信息安全風險事件。根據國家互聯網應急中心數據顯示，2014年2月，境內感染網絡病毒的終端數為220萬余個；境內被篡改網站數量為12428個；信息系統安全漏洞為699個。安全事件的頻現將互聯網金融的信息安全風險推向了風口浪尖，如何有效防范此類風險事件成為業內廣泛探討的焦點。

　　下面，我就從網絡信任體系建設、數據安全保護和電子憑證的應用等三方面談一下我對互聯網金融安全的理解。如果我們把互聯網金融看成一座全新的現代化智能大廈，那么網絡信任體系就是這座大廈的框架結構、數據安全保護就是這座大廈的根基、電子憑證的廣泛應用就是這座大廈的現代化配套設施，三者缺一不可！

　　首先我想談談網絡信任體系對互聯網金融的重要意義。

　　互聯網金融與傳統金融的最大區別就是他的互聯網屬性，網絡身份的確認、線上融資信用風險、假冒網站、交易欺詐等一系列問題，都是源于網絡的虛擬化而帶來的信任問題。我認為互聯網金融的健康發展依賴于完善的網絡身份認證體系和征信體系，而這兩者正是構成網絡信任體系的重要組成部分。如何才能建立滿足互聯網金融發展的網絡信任體系呢？

　　一是可以基于銀行領域成熟的網絡身份認證體系進一步完善互聯網金融認證體系。我國政府十分重視網絡信任體系的建設，早在2006年就已經下發了《關于網絡信任體系建設若干意見的通知》。經過多年來的不斷努力，銀行業以電子認證為主要手段，結合豐富的網點資源已經在網上銀行用戶實名認證方面取得了顯著成果。

　　具體操作上，我認為，一方面可以將這些資源延伸到新興的互聯網金融領域，對交易主體進行身份認證；另一方面可以進一步拓展電子認證服務的應用范圍，電子認證方面的技術成熟、政策支持，將對身份認證體系的完善起到巨大的促進作用。

　　二是基于現有的銀行業征信體系，整合資源建立全社會的征信體系。目前，盡管銀行業的個人和企業征信體系已經建成，但在這以外，還有大量的征信信息散落在其他金融機構、互聯網公司等處。我們可以借鑒發達國家的先進經驗設計全社會征信體系的總體架構，探索征信產業的發展模式、建立征信相關數據的共享機制、研究科學的信用評價指標，逐步形成全社會的征信體系。在這一過程中，金融機構和互聯網企業應持開放的態度，促進資源共享。

　　接下來我想談談數據安全問題。

　　海量的金融數據在存儲和傳輸過程中，一旦發生泄漏、盜取或被非法添加和竄改等事件，都可能會使各方蒙受巨大損失，甚至可能影響國家金融經濟體系的穩定。多年來，銀行業主管部門十分重視信息安全的監管和指導，一些大型商業銀行也在信息安全防護工作方面，投入了大量的資金和精力，積累了豐富的經驗。很多互聯網金融企業尚在發展初期，就不得不面對這些棘手的信息安全問題，尤其是數據安全問題。

　　數據安全在技術方面主要體現在3個方面，一是后臺數據庫安全。后臺數據庫安全要解決核心數據資源面臨的"越權使用、權限濫用、權限盜用"等安全威脅；二是數據傳輸安全，數據傳輸安全可以通過結合數字證書等安全認證機制和傳輸加密機制來保障數據傳輸安全；三是數據容災備份，備份是數據安全的一項基礎安全防護措施。

　　數據安全不單純是一個技術問題，我認為需要從如下幾個方面做好工作：

　　第一，充分借鑒銀行業在信息安全管理方面的經驗，針對業務模式的特點，參考或采用現有的互聯網信息安全體系，例如計算機系統安全等級保護測評等，制定配套的管理規范、技術標準、技術手段，以此來加強互聯網金融企業的數據安全管理水平。

　　第二，信息安全服務機構是中堅力量。專業化的信息服務機構應該對互聯網金融中的各類業務形態及其特征進行研究，提供適用于互聯網金融的咨詢測評等產品，形成專業的信息安全服務方案，滿足互聯網金融企業的信息安全需求。

　　第三，互聯網金融企業自身是關鍵環節。應該加強信息安全風險防范意識，完善風險管理體系，加強防御手段，定期對系統進行風險評估，在涉及關鍵業務環節采用自主可控的信息安全軟硬件產品。

　　最后我想談談互聯網金融中可靠電子憑證的應用問題。

　　傳統的紙質憑證無法滿足互聯網金融的發展需要。以線上供應鏈融資為例，大量的合同、訂單、倉單、提貨單等各類憑證都需要實現電子化，在互聯網支付、P2P等其他業態中同樣有類似的需求，電子憑證發展滯后必將阻礙互聯網金融的發展。

　　在目前的技術發展條件下，基于電子簽名的方案是解決電子憑證有效性的有效途徑。我國在2005年頒布了《電子簽名法》，確立了電子簽名的法律地位。之后相關主管部門還相繼出臺了一系列涉及管理、應用等方面的規范標準。這些法律規范為電子簽名在互聯網金融中的使用奠定了良好的法律基礎。

　　所以，一是要大力推廣可靠電子簽名應用。目前，基于第三方電子認證服務的電子簽名在網上銀行中已有較成熟的運用，而我們要做的就是將電子簽名進一步向供應鏈融資、網絡微貸、P2P、眾籌等其他業務形態中推廣。

　　其次，進一步規范電子簽名應用規范。根據互聯網金融各種業態的具體業務模式，研究制定電子簽名應用規范，確保電子簽名的可靠性。

　　三是完善電子憑證司法鑒定體系。各種互聯網金融業務形態都會產生頻繁的網上交易活動，這必然會出現交易糾紛。完善現有的電子憑證司法鑒定體系有助于保障各方的權益。

　　總之，互聯網金融信息安全的風險控制并不是一個簡單問題，它既需要國家層面的政策支持、引導，又需要金融機構、互聯網企業、信息技術服務企業等參與主體的通力合作。我們只有保持對互聯網金融信息安全隱患的高度敏感，時刻關注信息安全技術的發展，才能在信息安全管理中獲得主動權。

　　CFCA作為金融領域信息安全的代表性企業，希望通過本次論壇和大家充分交流，共享經驗，共同促進互聯網金融的健康發展，謝謝大家。