季小杰：移動金融安全問題表現在四大方面

中國金融認證中心總經理季小杰

鳳凰財經訊 “2015清華五道口全球金融論壇”5月23日-24日在北京舉行。中國金融認證中心總經理季小杰談及互聯網金融安全時表示，移動金融安全問題成為各界關注的焦點，主要表現在四個方面：

一是，移動設備的安全認證手段相對薄弱；

二是，生物身份識別技術一旦被盜用將無法吊銷；

三是，SIM卡、SD卡可能被黑客攻擊修改簽名；

四是，是APP安全問題。

以下為嘉賓發言實錄：

季小杰：尊敬各位領導、各位來賓，下午好，非常高興有這樣一個機會和大家共同探討互聯網金融創新話題。

伴隨移動互聯網發展，移動金融這兩年發展迅速，中國電子銀行網對2014年銀行年報中披露手機銀行情況進行了統計，數據顯示手機銀行數已經達到4.165億，同比增長32.64%，另一方面這幾年互聯網企業的移動金融發展也非常強勁，生物識別、NFC都成為熱門技術，可以預見基于移動終端以客戶為中心的移動金融將成為未來金融服務的發展模式。同時移動金融安全問題也成為各界關注的焦點，我們認為目前主要有四個方面的問題。

一是與PC平臺成熟的安全體系相比，移動設備的安全認證手段還相對薄弱，經過金融行業多年的研究和建設，基于PC的網上銀行已經有比較完善的安全體系，絕大部分銀行采用基于數字證書安全解決方案，比較起來目前在移動金融中應用最廣泛的用戶名密碼+短期動態碼認證手段的安全等級就比較低了，數據顯示在移動金融的詐騙案件中絕大部分的案件都和密碼、短信動態碼有關。

二是基于生物特征的生物身份識別技術存在著一旦被盜用將無法吊銷這樣的風險，生物識別技術具有使用便捷的優點，但目前還存在兩個問題。第一無論人臉識別還是指紋識別等技術都無法達到百分之百準確率，第二是人的生物特征是不能改變的，但是泄露生物特征的途徑卻有很多，一旦泄露被偽造后將無法吊銷，這也是目前導致僅依賴生物識別技術進行身份認證的這樣的措施還不適用于大范圍的金融業務。

三是SIM卡、SD卡一體化安全方案有先天決先。由于安全存儲單元是隨時與外部交互，不能完全斷開鏈接，與手機是結合在一起的，這就好像一個一直插在上的一代智能密碼鑰匙，存在黑客可通過攻擊操作系統來控制篡改簽名的風險。

四是APP安全問題也不容忽視。今年初CFCA信息安全實驗室從軟件安全、應用交易安全以及APP環境安全三個維度對受理的APP軟件類的項目的檢測結果進行了統計，從統計結果上來看移動支付類APP的安全問題較突出，存在著應用保護程度不高，軟件盤防護能力不強以及交易密碼明文處理等問題，黑客可以利用這些弱點很方便的進行交易偽造。

針對以上問題我們認為可以從三方面來解決移動金融的安全問題：首先在移動金融領域廣泛推廣電子簽名應用，今年是《電子簽名法》頒布十周年，這一法律實施解決了電子發票、電子合同等電子交易的完整性、真實性以及抗抵賴性，目前電子簽名是解決身份認證和交易糾紛最有效的手段，同時對APP進行電子簽名還能保障它的安全性和可追溯性。二是分離式無線簽名設備將成為未來的主流，長期實踐證明分離式的簽名設備是最為安全的身份認證方式，蘋果和谷歌等廠商都已經宣布由于影響手機做薄未來的物理借口有可能被取消，所以我們認為分離式的無線簽名將是未來發展的主流。三是綜合使用密碼技術、混淆技術以及環境檢測等手段，對APP進行整體安全功能設計，這方面由于專業性非常向、技術復雜，我們也建議借助專業的安全公司的力量對APP復合型驗證和抗攻擊性進行測試。

我們知道效率和安全往往是存在一些矛盾的，在日常操作中我們可以根據實際的業務類型和交易金額來選擇適合的安全手段。我們作為金融領域信息安全的專控隊伍和重要的金融安全基礎設施，中國金融認證中心CFCA始終關注各項新技術的發展和信息安全的趨勢，我們同時也致力于營造安全可靠的網絡環境，為金融發展保駕護航。

    我的演講到這里，謝謝大家。