“第十二屆中國國際金融論壇”于2015年10月22日-23日在上海召開。上圖為中國金融認證中心副總經(jīng)理張行。(圖片來源：新浪財經(jīng))

　　新浪財經(jīng)訊 “第十二屆中國國際金融論壇”于2015年10月22日-23日在上海召開。中國金融認證中心副總經(jīng)理張行出席并演講。

　　以下為演講實錄：

　　張行：大家下午好！我是中國金融認證中心的張行，今天很高興跟大家分享對互聯(lián)網(wǎng)金融信息安全的想法。金融行業(yè)是信息技術高度敏感的行業(yè)，在互聯(lián)網(wǎng)+和金融大時代背景下，銀行互聯(lián)網(wǎng)化已經(jīng)成為一個不可不走的道路。我首先講一下技術的話題。

　　第一個進行Gartner分析，全球CRO最關心的技術里面，移動技術是最關心，而信息安全是互聯(lián)網(wǎng)的基石，今天從兩個方面，從移動技術和大數(shù)據(jù)兩塊講一下在互聯(lián)網(wǎng)金融一些應用和工作當中一些體會。

　　第一，移動金融是互聯(lián)網(wǎng)+金融主戰(zhàn)場，安全問題成為焦點。進行交易的主體分為P2P，P2C，或者分為大額交易，小額交易。頻度是大家最關心的問題，高頻交易是互聯(lián)網(wǎng)金融關心的要素。未來消費金融，短期借貸等等成為移動金融主要業(yè)務形態(tài)。另外是安全易用是我們關注的焦點。

　　首先移動設備的安全認證手段比較薄弱。相對于發(fā)展多年的PC安全技術較為薄弱，經(jīng)過多年的金融機構一些努力和在IT上面的探索已經(jīng)有一套比較完善安全解決機制。大部分都會采用證書，密碼技術作為身份認證以及交易簽名。在傳統(tǒng)移動金融當中，目前為止大部分移動產(chǎn)品對身份和安全采用用戶密碼加上手機短信作為鑒別。根據(jù)案件來看，大部分都是跟這個有關系。

　　其實生物識別技術，信息存儲和傳輸存在風險，一經(jīng)盜用難以吊銷。現(xiàn)在指紋，人臉識別很難達到百分之百的正確率。前兩天看了一個新聞，就是講趙薇老公房子被賣了，公證處通過人臉識別的關系，在交易關鍵不能單一采用生物識別技術。第二塊由于生物的特征很難改變，人的指紋，臉，一旦泄露很難吊銷。

　　前段時間有一個黑客組織講了一下德國國防部長的指紋泄露案。國防部長跟大家揮手的時候，犯罪分子把他的指紋錄了下來。在金融級別生物識別技術有進一步提升的空間，結合要其他認證手段，一起把身份認證這一塊東西做好。

　　第三SIM卡，SD卡等一體化安全方案有先天缺陷。有關安全存儲部單元可以與外部交互的，不能  完全斷開連接，存在黑客可通過攻擊操作系統(tǒng)獲取信息，控制交易。最后APP廣泛安全存在安全隱患。CFCA信息安全實驗室從軟件安全，應用交易安全，以及APP環(huán)境安全三個維度，從統(tǒng)計的結果，移動支付安全的問題比較突出，軟件防護能力不足，敏感信息  比較明顯。在安桌手機比較突出和明顯，但是在蘋果手機比較安全，畢竟是一個封閉的生態(tài)系統(tǒng)。

　　有鑒于此，CFCA認為可以從三大方向解決以上金融安全問題。移動金融領域將廣泛推廣電子簽名應用，目前電子簽名是解決身份認證和交易糾紛最有效的手段。同時對APP進行電子簽名，還能波張他的安全性和可追溯性，僅依靠短信驗證矛中簡單的雙因子驗證方式無法保證改易的安全性。第二個是分離式的無線簽名設備將成未來主流長期實踐證明，分離式的簽名設備是最為安全的身份認證方式，蘋果，谷歌[微博]等廠商都已宣布，由于影響手機做薄，未來的物理  接口有可能被取消，所以分離式無線簽名將是未來的主流。第三個將綜合使用密碼技術，混淆技術以及環(huán)境檢測等手段，對APP進行整體的安全功能設計。木

　　由于專業(yè)性強，技術復雜，建議借助專業(yè)的安全公司的力量，對APP符合性驗證和抗攻擊能力進行測試。這個是在移動金融領域一些工作體會和看法。

　　數(shù)據(jù)分析是互聯(lián)網(wǎng)+金融信息安全的有效補充。很多人會問大數(shù)據(jù)和信息安全有什么關系？其實在我們平常做互聯(lián)網(wǎng)交易過程的中，我們在客戶端裝了殺毒軟件，我們在進程做了防護，在通信層面都有防護手段，為什么還有那么多的用戶蒙受資金損失。

　　其實最近七八年以來，電信詐騙是越來越猖獗。銀行覺得不能僅僅依賴純密碼來解決安全的問題，必須從數(shù)據(jù)里面分析出來那些不太正常的交易，在我們和商業(yè)銀行做溝通和交流的過程中，以及方案一些過程中。第一個數(shù)據(jù)整合，現(xiàn)在商業(yè)銀行雖然核心是一個，以前核心是各地分中心，現(xiàn)在各種渠道，他們交易數(shù)據(jù)是分散的。哈佛說未來的企業(yè)要做重購，尤其提到了統(tǒng)一數(shù)據(jù)服務功能。只有對數(shù)據(jù)進行有效的整合，才能獲取更加全面的交易數(shù)據(jù)，最終能夠發(fā)現(xiàn)風險的問題。

　　09年的時候，我們做交易監(jiān)控及反欺詐系統(tǒng)，當時跟商業(yè)銀行實施的過程中，已經(jīng)發(fā)現(xiàn)了很多的問題。最終也形成了一些風險的數(shù)據(jù)，包括黑名單，交易規(guī)則，風控模型。但是做完這套系統(tǒng)之后，局部效果比較明顯，但是對整個行業(yè)來說，卻還是效果一般。為什么說？比如說給中型一個客戶，股份制商業(yè)銀行，去年從事這個系統(tǒng)發(fā)現(xiàn)了，因為每天處理2500萬的交易，去年發(fā)現(xiàn)191筆欺詐交易，這個為客戶挽救損失上千萬。這個商業(yè)銀行杜絕了這個現(xiàn)象。有沒有這樣的機制聯(lián)防共守，在今年上半年，公安部和人民銀行[微博]聯(lián)合起來，對欺詐進行一個聯(lián)合防空，委托CFCA來進行，我們把三千多家法人銀行連在一起，通過公安部監(jiān)控的數(shù)據(jù)和舉報的機制，統(tǒng)一通過黑名單的方式下發(fā)給各個商業(yè)銀行。

　　我們了解到電信詐騙，大家有朋友中過招，2014年全國電信詐騙是200億人民幣。在今年的數(shù)據(jù)東南亞，臺灣達到了70多億人民幣。現(xiàn)在通過數(shù)據(jù)共享的機制，已經(jīng)有三十多家銀行用共享庫防止欺詐。未來進一步有效降低欺詐交易，提升犯罪成本。一旦進入黑名單交易，這個嫌疑人再做交易的時候，會被禁止，被杜絕。

　　另外一塊手機助手，騰訊360提供的交易，我們統(tǒng)一整理起來，形成一個灰名單。我們做金融交易的時候，警示金融客戶。我就講這么多，因為CFCA做金融行業(yè)信息安全隊伍和我國金融領域基礎設施，打造信息安全的網(wǎng)絡。為互聯(lián)網(wǎng)金融大潮企業(yè)提供一些服務。謝謝大家！

　　新浪聲明：所有會議實錄均為現(xiàn)場速記整理，未經(jīng)演講者審閱，新浪網(wǎng)登載此文出于傳遞更多信息之目的，并不意味著贊同其觀點或證實其描述。