“2014中国互联网金融高层论坛暨第七届中国电子金融年会”于2014年1月16日在北京举办。上图为上海众人网络安全技术有限公司董事长谈剑峰。(图片来源：新浪财经 梁斌 摄)

　　新浪财经讯 “2014中国互联网金融高层论坛暨第七届中国电子金融年会”于2014年1月16日在北京举办。上海众人网络安全技术有限公司董事长谈剑峰在演讲中表示，美国黑客24小时之内就可以将中国金融系统全部瘫痪。我不是危言耸听，真的是这么严重，金融系统的安全很可怕，因为金融系统现在用的系统无非就是两个，一个是IBM[微博]的一个是惠普[微博]的，“棱镜门”事件以后更能清晰的证明。

　　以下是文字实录：

　　谈剑峰：各位朋友，各位领导，下午好！我是从事网络安全行业的，今天讲的话题是互联网金融，我想大家现在也知道，随着互联网金融，移动互联网支付的兴起，其实安全问题是越来越重要，也越来越紧帖我们的金融支付，我今天的话题是针对信息安全，希望能够跟大家分享。首先，我们看这张图，大家都知道，这个是上海的一个房地产的案例，其实这张图，我想表述的意思是现在互联网在中国IT行业，包括互联网在内的现状就是这张图。其实漏洞来自于底层，而我们的操作系统，我们的芯片，我们的核心技术现在全是老外的。金融行业更不用说了，可能今天我有一些话题比较敏感，在座的都是金融行业的朋友，我只是做一个提示和建议，说的不对的地方请你们见笑。

　　其实金融系统的安全更可怕，因为金融系统现在用的系统无非就是两个，一个是IBM的一个是惠普的。“棱镜门”事件以后更清晰的能证明这个图，所谓的漏洞来自底层，我们造房子，造的再漂亮，装修的再美丽有什么用，一旦出现攻击，就是整体坍塌。所以，2012年美国发布过《全球供应链安全国家战略》，金融信息安全、产业链安全实际上就是国家安全。举个例子，06年美国人搞了一次军事网络攻击演习，红方是中国，结果是什么？中国的黑客72小时之内可以将美国金融系统搞瘫痪，后半拉才应该提醒我们注意，美国黑客用24小时之内就可以将中国金融系统全部瘫痪，我不是危言耸听，真的是这么严重。也就是现在别打仗，一旦打仗，不会像以前一样的飞机大炮，先是信息战。金融搞瘫痪了，没钱了还打什么仗。所以，金融系统的安全不是一天两天的事情，也是我们国家层面，从十八届三中全会以后国家成立了国家安全委员会开始对信息安全越来越重视，我觉得这是我们国家正确的方针，正确的方向。所以，接下来我简单讲一下现在安全问题。

　　其实随着云计算、物联网、移动互联网，以及大数据的广泛应用，特别是今天我们的话题叫互联网金融，其实信息安全才是互联网真正的入口。我们谈了很多入口，比如信息入口，腾讯的那个叫信息入口，人与人之间的信息等等这些都是入口，那是在应用层面上，而真正进入互联网安全才是根本。因为互联网上大家经常说一句话，就是互联网上没有安全，“棱镜”事件以后大家更看清楚这一点。那么，信息安全的核心技术是什么？是密码技术。因为是密码技术，所以我们离不开密码技术。那么，在国际上，密码技术是被严格管控的。其实世界上密码技术最先进的国家不是美国，是以色列。美国的密码技术在一定加密算法的级别位数以很低的级别是给我们出口的，很高的级别是不出口的，美国人更不允许我们的加密产品进入到美国。华为中心是做路由设备，就被拒之门外，这一点很证明美国在防什么，怕什么。一样，金殿我们作为金融行业的一分子，更应该重视。

　　这张图我想证明一句话，其实身份认证更是信息安全里面第一道门，现在上网几乎除了看新闻，我看都得用用户名和密码，现在脑子里的密码是不安全的。为什么不安全？2011年有人帐户被盗，两亿多帐户浮出水面，每年黑客的交易量21亿个帐户，很大量的用户名信息被交易，就像我们现在买部车，明天就有人给你发广告，这张图也可以证明这一点，防火墙也好，VPN也好，防护系统也好，这些都是对真正的像国家级攻击，比如APT攻击是被世界上第一个认定为木马黑客攻击能达到战略攻击，也就是作为武器去攻击的。那么，当时APT第一个案例就是伊朗的核电站，这个可能大家有听说过。

　　那么，现在这个道理也一样。就是说，身份是最核心的，真正的像APT这样的国家级的攻击能够绕开你所有的防护直接进入到你的核心，所以身份认证是信息安全的第一道门。国际银行卡组织VIsa、MasterCard和美国运通共同宣布一个针对全球标准的建议性框架，尝试在互联网支付和移动支付时采用OTU认证技术，来代替传统的帐户卡号。采用统一认证的方案及OTP用来确定帐户的身份，在通过认证后，该OTP关联的所有银行卡，均可进行支付。发行卡、运营商、商家等与统一认证机构连接，互联网支付和移动支付的安全，由统一认证机构认证。这是最近IBM公开发布的，就是现在手机的NFC开始兴起，阿里巴巴[微博]推出手机的NFC支付，IBM推出了NFC的双重险的认证方案。叫挑战应答式动态密码，和NFC结合，因为NFC前不久英国已经公布可以破解，在移动支付原有的静态密码体系上增加一个由发卡行的随即挑战码，具备NFC功能的手机以及该发卡行的双页面银行卡，也就是未来的金融IC卡，共同实现安全策略。随机挑战码由发卡行产生。

　　其实现在第三方支付上面安全比较大，最近以支付宝[微博]盗刷事件兴起的很多第三方支付的认证问题，其实我挺理解第三方支付公司的。因为当时是抢地盘的阶段，应用的方便，和边界性和安全永远是矛盾的问题，你要便捷了，安全一定是降低。所以，当时第三方支付要抢占市场，所以把支付的认证弄的很简单，通常都用的是手机短信，我五六年前一直说手机短信不安全，当时很多人反对，特别是金融行业的一些人反对我说的这个话。现在是铺天盖地的案例正式我说的这句话是不是正确。当时方院士写过一篇论文叫手机短信和手机通话就是裸奔，你在手机上面进行交易，数据信息就是裸奔。

　　所以，大家也不用担心，密码器是不是容易被盗，或者是被破解。破解目前为止各位在座的也没有一个案例能够告诉我，哪一个是因为破解密码算法，除了军用级的，我们叫商务级的没有一个案例是用破解密码的算法实现攻击的，所有现在的不管是动态密码，还是其他的方式都是在应用过程中被盗的。比如最简单的UK(音译)，大家知道UK跟电脑接触，电脑很容易中密码，当追了密码，不需要破解密码，直接盗用。这就是过程中的漏洞。所以，金融系统在动态密码上面的挑战是很难的产品。其实所有的身份认证安全性更多的来自于过程中，也就是应用中。所以，不管金融系统也好，还是第三方支付系统也好，要多考虑在应用过程中解决这个问题。

　　这里我举了UK，其实已经银行已经在更换了，过去，包括很多都说UK好，U盾好，数字证书号没错，从理论来说，数字证书有一句话叫做不可抵赖，这是从技术角度来讲。所有应用过程中的漏洞来自这儿，被盗的时候不是破解密码，是应用过程被盗。其实UK证书我可以告诉各位，UK证书在使用过程中没有新的动态密码技术的安全。我举个例子，我去公安部参观的时候，我发现派出所的民警，U盘上班插上，下班都不拔，你要U盾干吗，你不是认证码？认证是在认证的一瞬间要插入，很多人习惯不拔。人民银行统计，金融系统发放的UK最多，U盾最多，总共将近10亿过，78%没人使用。为什么？一、过去的U盾认操作系统，装驱动的问题，即使无驱动以后，它的应用也被狭窄了，因为UK必须有接口，不管读卡器，还是蓝牙，肯定有一个过程传输，只要有这个过程，你就解决不了应用问题。

　　未来互联网的发展，我刚刚说云计算、物联网，特别是今天的主题叫互联网金融，未来的端口绝对不是PC，未来包括整个智慧城市，包括智慧家居，包括可再生的东西群是终端。我今天再用技术来讲，数字的书，PKI体系是70年代美国人搞出来的，请哪位告诉我一个案例，美国你在哪个银行说，他给你发过一个U盾，PKI体系本身在Internet上认证搞出来的，是在内网上认证搞出来的，我们国家从理论的角度上数字证书很安全，就像电子签名法，现在也要与时俱进，现在签名法有一条叫不可抵赖，所以其他的认证技术不能用。UK最大的问题是局限了未来互联网发展的应用和认证，而认证的地方是越来越多。

　　再说一个例子，ATM机，一直是金融业系统的头痛病，老是有监控头，假刷卡器把数据盗走，你不能在ATM机上装一个U盘吧，你装了以后，那个可能就是黑客攻击的一个数据读出口。动态密码技术很件大，本身绝缘，它出来的结果，你给小偷看好了，他也不能用。所以，动态密码技术也是美国人搞出来的，而且普遍在发达国家被广泛使用。动态密码技术最主要能解决的一个问题就是客户端应用认证，各种应用。那么，这个图表上最后一句话，最近“棱镜”事件衍生很多事，RSA算法后门危及通信链路安全。这是动态密码，只要你能有数字键盘的地方就能认证，这是动态密码的优势。现在公安部搞得网络身份证，EID正在跟我们做结合，就是终端口由我们走，然后走到后台再走证书，这种应用场景是相对更安全了。

　　很多人经常问我动态密码什么原理？其实密钥就是身份，你是谁？它是基于时间的，因为时间不可逆，所以它相对是安全的，我为什么说相对？安全技术是没有绝对的。算法就是加减乘除，X就是常量，Y就是变量，X不变，Y在变，密码结构一定在变。金融系统这个现在是没被人民银行作为标准，这个作为人民银行后来发的标准，这个叫挑战应答。为什么？背前面的方法可以被钓鱼，用一分钟的时间被钓鱼网站钓走，这个技术相对更安全。它其实增加了一个变量，就是挑战码，也是就在动态密码器上面你可以输入数据，这个数据是什么？

　　刚才的原理是这个人这分钟用出什么结果，这个我跟某人交易，跟某个系统交易的时候一定会有对方卡号，或者是交易金额，或者是流水单号等等一系列唯一性的数字作为参考，作为加密因子加在这里边。也就是我和某人交易，我们这一分钟该出什么结果，钓鱼网站一样可以钓。你能钓走结果，但是你转不走钱了，因为我已经把对方的特定因子加入到我计算的结果，因为盗号的人最终的目的是把钱转到第三方，你钱转不走，盗了你的密码也没有用，这就是挑战码的原理。这跟刚才我说的IBM的例子差不多，统一身份认证平台，我们在五年前就开始搞了，现在工信部CSIP已经正式发布，对进我们跟几个金融机构也在谈身份认证平台，就是一把钥匙开多把锁，但是这个锁都得是你们家的锁。这个产品是目前我们公司最先进的产品，也是国际上最先进的，是信用怕式的，前不久交行和建行发布可视卡，有点类似，但是那个上面是不带密码的，只是带余额显示，我这个是带密码，这个屏是别人捡去不要紧，因为你脑子密码要开启设备，所以你开启设备是用脑子密码。第二、余额显示，第三个全球第一个可以现实阿拉伯数字，当时做数字是为了军方用的。

　　我刚才听到银联的孙总说的时候，我补一个事，去年还是前年，我记得金融行业一直推崇一个叫指纹认证，或者视网膜认证，我个人建议这个不是安全，非但不是安全，而且非常危险。原因很简单，根据我们看了这张图，大家应该知道，所有的认证，所有的认证体系都逃不过这个，叫服务器端和客户端对比，比对，比对是正确的，就是1，比对不正确就是0，其实给的就是这个信息。指纹是不可再生的，视网膜等是不可再生的，当这个数据库庞大到一定程度的时候，一定成为攻击对象，而这个不是普通黑客来攻击，是国家级的战略攻击，一定是这样的。我想在座的如果有安全部门的人一定知道我在说什么，而且因为这是很多专家在讨论会上讨论的。所以，保密局去年发布一个文，生物认证体系只能用在内网系统里边，比如说枪械库，这些不能用指纹认证。如果将这个做认证，那一定在互联网上加密到什么程度都没用，因为它一定有办法攻击你，当成为国家级的战略攻击，我想巨型机，大家听过前段时间金融系统在换数字证书的算法，IC1024用的时间长了，今年要换1048，因为可以被推算出来。我讲的就这些，谢谢！