季小杰-中国电子银行网.PPTVIP

移动金融将成金融服务新趋势 安全问题成关注焦点 季小杰 2015年05月 移动金融将成为未来金融服务模式 根据中国电子银行网对2014年银行年报中披露的10家上市银行的手机银行情况统计，手机银行用户总数达4.165亿，同比增长32.64% 问题一：与PC平台成熟的安全体系相比，移动设备安全认证手段相对薄弱。 移动金融安全问题 数字签名 高安全等级 用户名密码 短信动态码 低安全等级 + 问题二：基于生物特征的身份识别技术，存在一旦被盗用，将无法吊销的问题。 移动金融安全问题 问题三：SIM卡、SD卡等的一体化安全方案有先天缺陷。 移动金融安全问题 问题四：APP的安全问题不容忽视。 移动金融安全问题 应用保护程度不高 软键盘防护能力不足 交易密码明文处理 …… 应用交易 安全 软件安全 环境安全 一：移动金融领域将广泛推广电子签名应用 建议 电子交易： APP： 完整性 真实性 抗抵赖性 安全性 可追溯性 二：分离式无线签名设备将成未来主流 建议 分离式无线签名将是未来的主流 三：综合使用密码技术、混淆技术以及环境检测等手段， 对APP进行整体的安全功能设计。 建议 APP整体安全功能设计 作为金融领域信息安全的专控队伍和重要的金融安全基础设施，CFCA始终关注各项新技术的发展和信息安全趋势，致力于营造安全、可靠的网络环境，为金融发展保驾护航。 尊敬的各位领导、各位来宾下午好， 很高兴能有机会在这里与互联网金融界的同仁一起讨论互联网金融创新问题。 * * 伴随着移动互联网的发展，移动金融近两年发展迅速。就拿手机银行来说，中国电子银行网对2014年银行年报中披露的10家上市银行的手机银行的情况进行了统计，数据显示，手机银行用户总数达4.165亿，同比增长32.64%。 另一方面，这几年互联网企业移动金融发展强劲，生物识别、NFC等在移动支付方面已经成为热门技术。可以预见，基于移动终端、以客户为中心的移动金融将成为未来金融服务模式的趋势。 同时，移动金融的安全问题成为关注的焦点。我们认为主要表现为以下四个方面： 第一，与PC平台成熟的安全体系相比，移动设备的安全认证手段相对薄弱。经过金融行业多年的努力研究和建设，基于PC的网上银行已经有了很成熟的安全体系，绝大部分都采用基于数字证书的安全解决方案。目前，在移动金融应用最广泛的用户名密码+短信动态码认证手段的安全等级就比较低了。数据显示，在移动金融的诈骗案件中，绝大部分的案件都和密码及短信动态码有关。 第二，基于生物特征的身份识别技术，存在一旦被盗用，将无法吊销的问题。生物识别技术具有使用便捷的优点，但是也存在两个问题：一是人脸识别、指纹识别等技术都无法达到100%的准确率；二是人的生物特征是不能改变的，但是泄漏生物特征的途径有很多，一旦泄漏被伪造后将无法吊销。导致目前仅依赖生物识别技术进行身份认证还不适用于大范围的金融业务。 第三，SIM卡、SD卡等的一体化安全方案有先天缺陷。由于安全存储单元随时可以与外部交互的，不能完全断开连接，与手机是结合在一起的，这就好像一个一直插在电脑上的第一代智能密码钥匙，存在黑客可通过攻击操作系统来控制、篡改签名信息的风险。 第四，APP的安全问题不容忽视。今年初，CFCA信息安全实验室从软件安全、应用交易安全，以及APP环境安全三个维度，对受理的APP软件类项目的检测结果进行了统计。从统计结果来看，移动支付类APP的安全问题较突出，存在的应用保护程度不高、软键盘防护能力不足、交易密码明文处理等问题。黑客利用这些弱点，可以很方便的进行交易伪造。 针对以上问题，我们认为可以从三方面解决移动金融安全问题： 首先，移动金融领域将广泛推广电子签名应用。今年是《电子签名法》颁布10周年，这一法律的实施，解决了电子发票、电子合同等电子交易的完整性、真实性和抗抵赖性。目前，电子签名是解决身份认证和交易纠纷最有效的手段。同时，对APP进行电子签名，还能保障它的安全性和可追溯性。 二是，分离式无线签名设备将成未来主流。长期实践证明，分离式的签名设备是最为安全的身份认证方式。苹果、谷歌等厂商都已宣布，由于影响手机做薄，未来的物理接口有可能被取消。所以，分离式无线签名将是未来的主流。 三是，将综合使用密码技术、混淆技术以及环境检测等手段，对APP进行整体的安全功能设计。由于专业性强、技术复杂，建议借助专业的安全公司的力量，对APP符合性验证和抗攻击能力进行测试。 当然，效率与安全往往存在一些矛盾。在日常操作中，可以根据实际的业务类型和交易金额选择适合的安全手段。 作为金融领域信息安全的专控队伍和重要的金融安全基础设施，CFCA始终关注各项新技术的发展和信息安全趋势，致力于营造安全、可靠的网络环境，为金融发展保驾护航。 最后，预祝本届论坛取得圆满成功！