张行：为互联网金融打造安全环境

　　“第十二届中国国际金融论坛”于2015年10月22日-23日在上海召开。上图为中国金融认证中心副总经理张行。(图片来源：新浪财经)

　　新浪财经讯 “第十二届中国国际金融论坛”于2015年10月22日-23日在上海召开。中国金融认证中心副总经理张行出席并演讲。

　　以下为演讲实录：

　　张行：大家下午好！我是中国金融认证中心的张行，今天很高兴跟大家分享对互联网金融信息安全的想法。金融行业是信息技术高度敏感的行业，在互联网+和金融大时代背景下，银行互联网化已经成为一个不可不走的道路。我首先讲一下技术的话题。

　　第一个进行Gartner分析，全球CRO最关心的技术里面，移动技术是最关心，而信息安全是互联网的基石，今天从两个方面，从移动技术和大数据两块讲一下在互联网金融一些应用和工作当中一些体会。

　　第一，移动金融是互联网+金融主战场，安全问题成为焦点。进行交易的主体分为P2P，P2C，或者分为大额交易，小额交易。频度是大家最关心的问题，高频交易是互联网金融关心的要素。未来消费金融，短期借贷等等成为移动金融主要业务形态。另外是安全易用是我们关注的焦点。

　　首先移动设备的安全认证手段比较薄弱。相对于发展多年的PC安全技术较为薄弱，经过多年的金融机构一些努力和在IT上面的探索已经有一套比较完善安全解决机制。大部分都会采用证书，密码技术作为身份认证以及交易签名。在传统移动金融当中，目前为止大部分移动产品对身份和安全采用用户密码加上手机短信作为鉴别。根据案件来看，大部分都是跟这个有关系。

　　其实生物识别技术，信息存储和传输存在风险，一经盗用难以吊销。现在指纹，人脸识别很难达到百分之百的正确率。前两天看了一个新闻，就是讲赵薇老公房子被卖了，公证处通过人脸识别的关系，在交易关键不能单一采用生物识别技术。第二块由于生物的特征很难改变，人的指纹，脸，一旦泄露很难吊销。

　　前段时间有一个黑客组织讲了一下德国国防部长的指纹泄露案。国防部长跟大家挥手的时候，犯罪分子把他的指纹录了下来。在金融级别生物识别技术有进一步提升的空间，结合要其他认证手段，一起把身份认证这一块东西做好。

　　第三SIM卡，SD卡等一体化安全方案有先天缺陷。有关安全存储部单元可以与外部交互的，不能  完全断开连接，存在黑客可通过攻击操作系统获取信息，控制交易。最后APP广泛安全存在安全隐患。CFCA信息安全实验室从软件安全，应用交易安全，以及APP环境安全三个维度，从统计的结果，移动支付安全的问题比较突出，软件防护能力不足，敏感信息  比较明显。在安桌手机比较突出和明显，但是在苹果手机比较安全，毕竟是一个封闭的生态系统。

　　有鉴于此，CFCA认为可以从三大方向解决以上金融安全问题。移动金融领域将广泛推广电子签名应用，目前电子签名是解决身份认证和交易纠纷最有效的手段。同时对APP进行电子签名，还能波张他的安全性和可追溯性，仅依靠短信验证矛中简单的双因子验证方式无法保证改易的安全性。第二个是分离式的无线签名设备将成未来主流长期实践证明，分离式的签名设备是最为安全的身份认证方式，苹果，谷歌[微博]等厂商都已宣布，由于影响手机做薄，未来的物理  接口有可能被取消，所以分离式无线签名将是未来的主流。第三个将综合使用密码技术，混淆技术以及环境检测等手段，对APP进行整体的安全功能设计。木

　　由于专业性强，技术复杂，建议借助专业的安全公司的力量，对APP符合性验证和抗攻击能力进行测试。这个是在移动金融领域一些工作体会和看法。

　　数据分析是互联网+金融信息安全的有效补充。很多人会问大数据和信息安全有什么关系？其实在我们平常做互联网交易过程的中，我们在客户端装了杀毒软件，我们在进程做了防护，在通信层面都有防护手段，为什么还有那么多的用户蒙受资金损失。

　　其实最近七八年以来，电信诈骗是越来越猖獗。银行觉得不能仅仅依赖纯密码来解决安全的问题，必须从数据里面分析出来那些不太正常的交易，在我们和商业银行做沟通和交流的过程中，以及方案一些过程中。第一个数据整合，现在商业银行虽然核心是一个，以前核心是各地分中心，现在各种渠道，他们交易数据是分散的。哈佛说未来的企业要做重购，尤其提到了统一数据服务功能。只有对数据进行有效的整合，才能获取更加全面的交易数据，最终能够发现风险的问题。

　　09年的时候，我们做交易监控及反欺诈系统，当时跟商业银行实施的过程中，已经发现了很多的问题。最终也形成了一些风险的数据，包括黑名单，交易规则，风控模型。但是做完这套系统之后，局部效果比较明显，但是对整个行业来说，却还是效果一般。为什么说？比如说给中型一个客户，股份制商业银行，去年从事这个系统发现了，因为每天处理2500万的交易，去年发现191笔欺诈交易，这个为客户挽救损失上千万。这个商业银行杜绝了这个现象。有没有这样的机制联防共守，在今年上半年，公安部和人民银行[微博]联合起来，对欺诈进行一个联合防空，委托CFCA来进行，我们把三千多家法人银行连在一起，通过公安部监控的数据和举报的机制，统一通过黑名单的方式下发给各个商业银行。

　　我们了解到电信诈骗，大家有朋友中过招，2014年全国电信诈骗是200亿人民币。在今年的数据东南亚，台湾达到了70多亿人民币。现在通过数据共享的机制，已经有三十多家银行用共享库防止欺诈。未来进一步有效降低欺诈交易，提升犯罪成本。一旦进入黑名单交易，这个嫌疑人再做交易的时候，会被禁止，被杜绝。

　　另外一块手机助手，腾讯360提供的交易，我们统一整理起来，形成一个灰名单。我们做金融交易的时候，警示金融客户。我就讲这么多，因为CFCA做金融行业信息安全队伍和我国金融领域基础设施，打造信息安全的网络。为互联网金融大潮企业提供一些服务。谢谢大家！

　　新浪声明：所有会议实录均为现场速记整理，未经演讲者审阅，新浪网登载此文出于传递更多信息之目的，并不意味着赞同其观点或证实其描述。