中國網(wǎng)財經(jīng)5月24日訊 “2015清華五道口全球金融論壇”5月23日-24日在京舉行。24日下午舉行的互聯(lián)網(wǎng)金融的創(chuàng)新與監(jiān)管的討論上，中國金融認證中心總經(jīng)理季小杰表示，這幾年互聯(lián)網(wǎng)企業(yè)移動金融發(fā)展強勁，生物識別、NFC等在移動支付方面已經(jīng)成為熱門技術(shù)?？梢灶A(yù)見，基于移動終端、以客戶為中心的移動金融將成為未來金融服務(wù)模式的趨勢。同時，季小杰認為，可以從廣泛推廣電子簽名應(yīng)用、推廣分離式無線簽名設(shè)備、綜合使用密碼技術(shù)混淆技術(shù)以及環(huán)境檢測等手段對APP進行整體的安全功能設(shè)計等三個方面，來解決移動金融安全問題。

　　演講全文如下：

　　尊敬的各位領(lǐng)導、各位來賓下午好，

　　很高興能有機會在這里與互聯(lián)網(wǎng)金融界的同仁一起討論互聯(lián)網(wǎng)金融創(chuàng)新問題。

　　伴隨著移動互聯(lián)網(wǎng)的發(fā)展，移動金融近兩年發(fā)展迅速。就拿手機銀行來說，中國電子銀行網(wǎng)對2014年銀行年報中披露的10家上市銀行的手機銀行的情況進行了統(tǒng)計，數(shù)據(jù)顯示，手機銀行用戶總數(shù)達4.165億，同比增長32.64%。

　　另一方面，這幾年互聯(lián)網(wǎng)企業(yè)移動金融發(fā)展強勁，生物識別、NFC等在移動支付方面已經(jīng)成為熱門技術(shù)。可以預(yù)見，基于移動終端、以客戶為中心的移動金融將成為未來金融服務(wù)模式的趨勢。

　　同時，移動金融的安全問題成為關(guān)注的焦點。我們認為主要表現(xiàn)為以下四個方面：

　　第一，與PC平臺成熟的安全體系相比，移動設(shè)備的安全認證手段相對薄弱。經(jīng)過金融行業(yè)多年的努力研究和建設(shè)，基于PC的網(wǎng)上銀行已經(jīng)有了很成熟的安全體系，絕大部分都采用基于數(shù)字證書的安全解決方案。目前，在移動金融應(yīng)用最廣泛的用戶名密碼+短信動態(tài)碼認證手段的安全等級就比較低了。數(shù)據(jù)顯示，在移動金融的詐騙案件中，絕大部分的案件都和密碼及短信動態(tài)碼有關(guān)。

　　第二，基于生物特征的身份識別技術(shù)，存在一旦被盜用，將無法吊銷的問題。生物識別技術(shù)具有使用便捷的優(yōu)點，但是也存在兩個問題：一是人臉識別、指紋識別等技術(shù)都無法達到100%的準確率；二是人的生物特征是不能改變的，但是泄漏生物特征的途徑有很多，一旦泄漏被偽造后將無法吊銷。導致目前僅依賴生物識別技術(shù)進行身份認證還不適用于大范圍的金融業(yè)務(wù)。

　　第三，SIM卡、SD卡等的一體化安全方案有先天缺陷。由于安全存儲單元隨時可以與外部交互的，不能完全斷開連接，與手機是結(jié)合在一起的，這就好像一個一直插在電腦上的第一代智能密碼鑰匙，存在黑客可通過攻擊操作系統(tǒng)來控制、篡改簽名信息的風險。

　　第四，APP的安全問題不容忽視。今年初，CFCA信息安全實驗室從軟件安全、應(yīng)用交易安全，以及APP環(huán)境安全三個維度，對受理的APP軟件類項目的檢測結(jié)果進行了統(tǒng)計。從統(tǒng)計結(jié)果來看，移動支付類APP的安全問題較突出，存在的應(yīng)用保護程度不高、軟鍵盤防護能力不足、交易密碼明文處理等問題。黑客利用這些弱點，可以很方便的進行交易偽造。

　　針對以上問題，我們認為可以從三方面解決移動金融安全問題：

　　首先，移動金融領(lǐng)域?qū)V泛推廣電子簽名應(yīng)用。今年是《電子簽名法》實施10周年，這一法律的實施，解決了電子發(fā)票、電子合同等電子交易的完整性、真實性和抗抵賴性。目前，電子簽名是解決身份認證和交易糾紛最有效的手段。同時，對APP進行電子簽名，還能保障它的安全性和可追溯性。

　　二是，分離式無線簽名設(shè)備將成未來主流。長期實踐證明，分離式的簽名設(shè)備是最為安全的身份認證方式。蘋果、谷歌等廠商都已宣布，由于影響手機做薄，未來的物理接口有可能被取消。所以，分離式無線簽名將是未來的主流。

　　三是，將綜合使用密碼技術(shù)、混淆技術(shù)以及環(huán)境檢測等手段，對APP進行整體的安全功能設(shè)計。由于專業(yè)性強、技術(shù)復雜，建議借助專業(yè)的安全公司的力量，對APP符合性驗證和抗攻擊能力進行測試。

　　當然，效率與安全往往存在一些矛盾。在日常操作中，可以根據(jù)實際的業(yè)務(wù)類型和交易金額選擇適合的安全手段。

　　作為金融領(lǐng)域信息安全的?？仃犖楹椭匾慕鹑诎踩A(chǔ)設(shè)施，CFCA始終關(guān)注各項新技術(shù)的發(fā)展和信息安全趨勢，致力于營造安全、可靠的網(wǎng)絡(luò)環(huán)境，為金融發(fā)展保駕護航。

　　最后，預(yù)祝本屆論壇取得圓滿成功！謝謝大家！