新浪财经讯 中国互联网金融论坛·天津于家堡峰会暨中国互联网金融协会天津基地入驻仪式于12月8日在天津举办。国家金融IC卡安全检测中心、银行卡检测中心总经理渠韶光发表演讲。他表示:互联网金融的上述特征推动了金融服务产品的不断创新,满足了消费者多样化、个性化的金融服务需求。与此同时,网络空间的开放性与不确定性,使得互联网金融相比传统金融面临更加严峻的安全态势。
国家金融IC卡安全检测中心、银行卡检测中心总经理渠韶光发以下为发言实录:
尊敬的各位领导、各位专家:
大家下午好!
非常荣幸参加本次论坛,并有机会与各位领导和专家分享国家金融IC卡安全检测中心在互联网金融网络安全方面的积累和心得,借此机会,将中心在创新研究与技术检测方面的心得体会与在座各位做简要分享。
在产业各方的共同努力下,我国互联网金融迈入了规范化的发展进程,展现出了巨大的市场空间和发展潜力,在提升金融服务质量效率、促进金融创新、深化金融改革等方面发挥了重要的作用。中心专注金融科技的发展和创新,积极跟进并实践落实互联网金融创新的风险防范工作,在对互联网金融的理解认识以及落地跟进方面也有一些心得和体会,当然我们聚焦的是与金融支付安全更相关的内容。借此平台向各位领导和专家作个简要汇报。
大数据、云计算、移动互联、人工智能等新兴技术的迅猛发展,为互联网金融的蓬勃跃动注入了新的活力,对金融服务提质增效起到了积极的促进作用。在科技驱动金融变革的新态势下,互联网金融相比传统金融展现出了较为突出的特征。
第一,移动化。移动互联网的即时性、交互性、广泛性等特点使消费者可以不受空间和时间限制,随时、随地进行网上购物、投资理财。这背后,是移动互联网的深化普及为互联网金融移动化发展奠定的良好基础,据工信部统计数字显示,截至2017年10月,我国移动电话用户总数达14.03亿,移动互联网用户总数达到12.4亿。在互联网金融方面,移动支付已成为主流的支付方式,据最新统计数据显示,我国手机网购用户达到4.80亿,占网络购物的66.4%,手机支付用户规模更是增长迅速,达到5.02亿,占网上支付的69.4%。
第二,智能化。互联网金融充分运用大数据、云计算、人工智能等信息技术的创新成果,为消费者提供相比传统金融更为智慧、精细的金融服务。在市场营销方面,互联网金融利用海量的客户信息和交易数据刻画出用户的立体图像,通过数据挖掘分析洞察客户潜在消费需求,实现精准营销和精细服务;在风险监控方面,互联网金融依托大数据分析技术建立风险数据分析模型,构建分类分级的风险防控体系,对消费者和企业进行更加智能、准确的风险控制和风险提示;在服务决策方面,互联网金融通过机器学习与海量数据分析等大数据及人工智能技术,用机器运算代替人脑思考,对信息进行深度整合挖掘,帮助消费者作出科学、高效、准确决策。
第三,场景化。流量是互联网时代商业模式的核心,随着移动互联网的快速发展,场景应用已成为互联网金融企业流量竞争的关键入口。互联网金融通过场景应用快速聚合大量用户和商户资源,有效提升金融服务产品的用户粘性,使金融和生活乃至实体经济的边界逐渐消融,无论是共享单车、网络约车、网上购物、水电煤缴费,还是购买网络理财、使用手机银行,互联网金融借助场景应用为公众提供了方便、快捷的金融服务。
互联网金融的上述特征推动了金融服务产品的不断创新,满足了消费者多样化、个性化的金融服务需求。与此同时,网络空间的开放性与不确定性,使得互联网金融相比传统金融面临更加严峻的安全态势。
第一点,信息系统的抗攻击能力亟待提升。互联网金融的网络化属性为众多企业和消费者提供了便利,但同时也让互联网金融成为网络攻击的重灾区。据统计,截至2017年10月底,发现针对互联网金融网站攻击185.3万次,每年在全球范围内给各类企业、用户以及金融行业造成高达数百亿元的损失,并有持续快速增长的趋势,针对互联网金融机构的网络犯罪也逐渐显现组织化、产业化的倾向。根据检测统计数据,互联网金融机构的网络安全防护能力相比传统金融该机构还有待进一步加强。
第二点,大数据应用与个人信息保护的矛盾。互联网金融机构愈发重视对金融数据的采集与使用,金融数据透露了消费者的消费轨迹、消费习惯、支付方式等,深度挖掘后便是一幅用户的消费“画像”,涉及用户的行为习惯、消费心理、资金实力等多维度信息。这类数据敏感度较高,数据过度集中也放大了信息滥用和数据盗取风险,一旦出现数据泄露,将对个人信息保护构成严重威胁。
第三点,海量实时交易对传统IT基础架构的挑战。在互联网与金融业务深度融合的大背景下,线下、线上的服务模式呈融合趋势,互联网金融交易更是呈现出瞬时高并发、多频次、大流量等新特征,这就给承载互联网金融业务的信息系统基础架构提出了更高的要求。在刚刚结束的“双十一”购物节中,支付处理峰值被定格在25.6万笔/秒,数据库处理峰值更是高达4200万次/秒,这一数字已远远超过传统金融业务系统的并发处理能力,如果没有高承载能力的弹性IT架构将难以为互联网金融交易提供基础保障。
第四点,移动互联网场景下终端智能化的恶意代码防范问题。据权威漏洞库统计,截至目前安卓操作系统已知漏洞的数量已超过600个,而市面大多智能POS终端均使用安卓操作系统。中心在检测实践中发现,部分智能终端在应用验证、PIN输入、报文交互等环节还存在一定安全隐患,可能导致恶意代码攻击风险,安全防护能力还需进一步加强。
随着《中华人民共和国网络安全法》的正式实施,在政府与行业监管部门的正确指导以及中国互联网金融协会的大力推动下,我国互联网金融网络安全治理体系架构已初步建成。
第一,法律规章顶层设计。在网络安全保护领域,我国网络安全领域立法已有20余年实践。特别是2016年11月出台了《中华人民共和国网络安全法》,为维护网络空间安全和秩序、保障国家安全和发展、保护人民群众合法权益提供了有力法律保障。在互联网金融领域,国务院及人民银行等各部委发布了多项政策制度,推动互联网金融的快速发展。包括2015年国务院印发的《关于积极推进“互联网+”行动的指导意见》,由人民银行等十部门联合印发的《关于促进互联网金融健康发展的指导意见》,以及2016年国务院办公厅印发的《互联网金融风险专项整治工作实施方案》。
第二,标准体系建设。互联网金融领域“国家-行业-企业”三位一体的标准体系已初步在我国落地。在国家标准领域,经过十余年的时间,我国的技术标准已形成覆盖信息安全产品、信息系统、安全管理、检测评估以及新兴技术领域的多维度技术标准体系。在金融行业标准领域,2010年发布了非金融机构支付业务设施检测系列规范。2013年发布了中国金融移动支付系列规范。在企业标准领域,中国银联发布了包括条码支付、支付应用软件、智能POS终端等在内的多项标准,对新兴技术的安全基线提出了明确的要求。此外,在国际标准领域,PCI、GP、FIDO等国际组织也分别发布了数据安全、TEE、生物认证等技术标准,对互联网金融创新技术进行了规范。
第三,检测认证方面。检测认证作为支付技术管理的重要辅助手段,为互联网金融的合规治理提供了有力支撑,在我国非银行支付、移动金融等互联网金融领域得到了有效的应用,涵盖了用户侧、受理侧和系统侧的安全芯片、移动客户端软件、信息系统等多类支付产品。伴随支付方式由传统金融“卡基支付”向互联网金融“账基支付”的转变,检测认证业务重心也呈现出由卡片及终端的标准符合性测试,向APP、密码保护控件等移动支付产品及系统安全性测试转移的趋势。
银行卡检测中心在芯片、终端、信息系统、APP等产品及系统安全检测领域不断开展深入研究与项目建设,2013年在发改委、人民银行、工信息部、密码局的大力支持下建成国家金融IC卡安全检测中心,填补了我国芯片检测领域空白。中心目前是EMV、PCI、GP等国际组织授权的检测实验室,也是中国银联、MasterCard、VISA、Discover等卡组织指定的检测机构。中心还拥有人民银行,公安部、交通部、人社部,教育部等部委及中石化、中石油、中移动、中国联通和中国电信等重点行业领域的授权检测资质。
近年来,中心积极布局互联网金融领域,在前沿技术研究及实验室建设等方面开展了多项工作。
第一方面,全力支撑央行构建移动金融安全可信保障体系。一是全面参与金标委“移动金融”系列标准制修订工作,并作为金融行业授权的全领域检测机构,为行业厂商与用户提供优质高效的检测服务,完成了国内首款华为SE+TEE产品的评估测试,并为Intel、Synaptics等业内知名厂商提供了SE、TEE、指纹模组等安全产品的评估测试。二是顺应行业需求,开展针对二维码展示和识读设备、二维码支付APP的检测业务。三是加大对智能POS等受理终端的检测投入,在原有业务基础上,开展PCI PTS检测服务。四是开展移动APP检测平台等自动化测试工具研发工作,为广大用户提供高效便捷的检测服务。
第二方面,参与互联网金融领域合规保障与案件协办。积极配合行业自律,协助互金协会成员单位进行网络安全等级保护测评工作,配合公安部经侦局落实“打击金融支付犯罪”联合实验室的建设工作。
第三方面,开展数据安全保护等专业技术领域实践。针对支付等业务系统的账户安全问题,提供ADSS(银行卡账户信息安全合规评估)与PCI DSS(支付卡产业联盟数据安全标准)评估服务,紧跟金融行业生物认证、云计算、区块链等技术应用试点,开展相关检测实践。
第四方面,建设专项研究实验室。中心大力开展生物识别、区块链、TEE、IoT等互联网金融领域前沿技术研究,建成了多个专项研究实验室。条码支付实验室、区块链实验室、FIDO生物识别安全检测实验室、智能网联汽车实验室,GP TEE安全检测实验室以及数据安全和隐私保护实验室,为保障互联网金融安全提供了坚实的技术基础。
未来,中心也希望继续配合监管机构及行业协会在互联网金融发展保障中发挥重要作用,一是为互联网金融创新的“监管沙箱”试验提供技术合规与风险验证工作,帮助监管机构更加全面、更加科学和更加有效的甄别技术风险;二是在互联网金融产品及系统的安全合规中发挥把关作用,确保互联网金融产品及系统的技术标准符合性;三是协助开展互联网金融产品及系统的定期抽检和风险排查工作,保障生产环境使用的产品及系统持续符合国家及行业标准的相关要求。
银行卡检测中心经过近20年的发展,在监管部门及产业各方的关心下不断成长、壮大,打造了一支扎实的技术人才队伍,在业内赢得了较好的口碑。在面对金融科技飞速发展的当下,产业各方的同仁也为中心未来的发展提出了很多中肯的意见和建议,正如2015年时任中国人民银行副行长李东荣行长在视察中心时提出的期望和要求,我们深知使命光荣,任重道远,愿与产业各方一道,向建设“国内领先、国际一流”的实验室目标不断迈进,为构筑互联网金融网络安全新生态,推动互联网金融健康发展做出积极贡献。
谢谢大家!
进入【新浪财经股吧】讨论
责任编辑:张文
