标题：“互联网+”时代下的银行信息安全
时间：2016年3月30日 (上午11:35)
分类：封面专题, 封面专题-总29期, 总29期, 清华金融评论杂志文章
标签：无
作者：清华金融评论

[1] 文/中国金融认证中心总经理季小杰本文编辑/孙雪强在“互联网+”时代，更要重视信息安全体系建设与风险控制能力建设。本文认为，银行需要对“客户身份精准识别和认证”“保证交易的完整性和合法性”以及“基于大数据实现互联网金融的精准风控”三方面予以重点关注。 2015年7月，国务院印发《关于积极推进“互联网+”行动的指导意见》中明确了普惠金融在“互联网+”行动中的重要地位。“互联网+金融”的创新将围绕多元化金融服务、线上线下紧密结合、金融服务资源优化配置等重点领域，为公众提供公平、高效、优质、便捷的服务。这一蓝图规划突破了传统银行业务区域化、条块化的服务模式，形成了对传统银行业态的巨大挑战。近年来，以腾讯、阿里、京东为代表的互联网企业引领金融创新趋势，使得银行业充分认识到了“互联网+金融”变革中的机遇。在政府的高度重视和市场的推波助澜下，新业态金融服务各显神通。银行积极应对新形势，在网上银行、手机银行、直销银行、网上信贷、互联网消费金融等业务上推陈出新，力求抓住机遇快速突破，实现弯道超车。在“互联网+”时代，银行提供的金融服务有以下四方面特点： 1. 与用户的生活场景深度绑定。网上银行、手机银行、直销银行打破时间界限，将金融服务的触角延伸到指尖，人们可以随时参与理财、借贷等金融活动。 2. 信息传播更广泛。银行业务竞争打破原有空间界限，可以跨地区甚至跨国界开展金融服务。 3. 金融数据规模海量化。伴随银行新业态与用户的深度绑定，交易数据量呈几何级数增长。 4. 数据处理由本地升入云端。海量数据的快速堆积给本地化计算处理带来了前所未有的压力，数据处理在云端已成为银行信息处理的必然趋势，同时由于互联网的开放性，更增加了对安全的要求。 “互联网+”时代的银行业信息安全保障机制是一个包括监管机构、银行、用户、信息安全服务机构等多方参与、共同推进的系统性工程。其中，监管机构需要制定相应的法律法规，从宏观上指导银行业信息安全的建设工作，例如央行制定的《金融领域电子认证规范》和《网上银行信息安全通用规范》等指导性文件；银行则需按照相关监管要求，从保护业务安全与用户个人隐私两个角度统筹考虑，结合实际情况建设、更新信息系统；同时，银行应共同倡导用户提高金融信息的安全认知，加强用户安全教育，培养用户安全意识，使用户充分做好个人终端的信息安全防护工作；信息安全服务机构要利用自身的专业优势，深度介入银行业信息安全系统的建设工作，为银行业提供安全咨询，做好用户终端防护的信息安全综合解决方案。通过各方的共同努力，着力打造“互联网+”时代的银行信息安全防护体系。在众多参与方中，银行作为互联网金融服务的核心提供者，如何鉴别参与方的真实身份、保障网络数据传输的私密性、防止信息篡改、追溯用户交易行为、使用电子签名作为可靠的法律凭证，这些环环相扣的逻辑链是银行必须要面对的安全挑战。这需要从多个维度建立一套立体的安全防护体系，包括管理制度安全、物理环境安全、网络安全、系统安全、应用安全等。在体系建设之初，就应该对信息安全进行整体规划、通盘考虑、分步实施，不应采用补丁堆叠的方式。在“互联网+”时代，银行更需要对“客户身份精准识别和认证”“保证交易的完整性和合法性”以及“基于大数据实现互联网金融的精准风控”三方面予以重点关注：客户身份精准识别和认证人民银行于2015年 12月下发的《中国人民银行关于改进个人银行账户服务，加强账户管理的通知》中再次强调要落实个人银行账户实名制。传统金融业务在开户时一般采用面对面身份认证的方式，也就是我们常说的“面签”，柜员会鉴别用户证件的真伪、人证是否相符以及是否用户本人真实意愿。如何利用互联网开展金融业务，减少用户面签环节，为客户办理业务提供便利性，在线身份确认这一环节上面临着较大的欺诈风险。要解决在线身份认证的难题，就必须从多维度来认证用户身份，包括通过基于已标识介质的身份认证与基于大数据的属性认证。目前，银行业通常利用已有的实名认证的身份标识来帮助实现在线的身份认证，比如,基于银行的网银证书实现个人身份认证和企业身份认证；通过身份证信息与国家的人口信息库结合实现个人身份认证；通过身份证信息、生物特征信息与国家的人口信息库结合实现增强型个人身份认证；通过银行卡信息实现的个人身份认证。银行业也可以结合大数据对参与方的属性进行识别，便捷、精准地实现客户身份识别和认证。银行业也可以结合大数据应用对参与方的属性进行识别，比如，定位信息、设备指纹、行为规律等。根据不同的应用场景，建立一个分层次、多维度的身份识别体系，便捷、精准地实现客户身份识别和认证。保证交易的完整性和合法性保障交易信息在互联网上传输的完整性和合法性成为金融交易的重中之重。传统银行业务通过在纸质协议上的手写签名、签章来保障业务的法律效力。而互联网金融业务的线上操作完全实现了无纸化，没有了手写签名和签章，如何保障交易的法律效力呢？如何防止信息在传输的过程中不被恶意篡改？实践证明，基于数字证书的电子签名技术是解决这两个问题的最好办法。这里提到的数字证书指的是由合法的、权威的、第三方认证授权机构（CA机构）［如中国金融认证中心（CFCA）］签发的证书，它是一种包含公钥以及私钥拥有者信息的电子文档。在网络环境中通过数字证书可以对传输的信息进行加密和解密、签名和签验，实现互联网金融交易中的身份认证问题，并确保网上传递信息的机密性、完整性、不可否认性。使用数字证书，可以完美地解决互联网金融交易中的四个主要安全问题，并以《电子签名法》和《电子认证服务管理办法》为依据，为互联网金融交易参与方提供有效的法律保障。基于大数据实现互联网金融的精准风控互联网金融的核心在于风险控制。如果仅是将传统金融服务模式和风控模式简单地搬到线上，那对机构来说仅仅是迈开了互联网金融的第一步。近年来，随着中国互联网金融的快速发展，网络加速下的资金流转不但方便了我们的生活，也推升了风控漏洞的监管成本。人工对信息整合能力的低效加剧了信息不对称下的欺诈风险，各类黑天鹅事件更是在行业内不绝于耳。应用“大数据”实现征信服务，建立一套快速、智能、精确的一体化信用评价解决方案，已成为破解互联网金融风控难题的关键。 “大数据”之“大”首先在于数量之大。未来银行通过绑定用户数据、收集用户交易信息、打通数据壁垒、整合用户线上数据资源，共享例如位置信息、学历信息、社交信息等多种用户信息，银行将实现从财富、安全、守约、消费、社交等多个维度进行用户画像绘制，建立用户信用报告，评估信用风险，更加全面地反映个人、家庭、企业的金融状况，完成对风险事件的及时预判。然而，“大数据”之 “大”更在于数据变化的不确定性之大。用户历史信用报告并非精准风控的核心。建立智能分类、判定模型、深度挖掘的分析体系，掌控用户未来变化才是实现精准风控的王道。随着用户数据采集频率的提高，可穿戴设备、通讯监测网络以及“万物互联”物联网的技术突破，单一用户相关的高维度数据量会呈几何级数增长，数据收集的成本费用将远远超出用户使用金融服务的利润。如何用低维度采样数据降低金融交易风险至可控水平是未来银行应用大数据的难题。人工智能、深度挖掘技术对历史、现状数据的综合分析，包括精确分类、主动识别以及趋势预测技术，将对普惠金融的实现甚至银行业态产生革命性影响。银行业态将由传统人工审核转向自助量化交易。因此，在千变万化的海量数据中准确把握趋势与规律、精确控制风险与深度挖掘数据，将成为决定银行金融安全与服务能力的重要因素。总之，互联网金融是顺应我国未来经济社会发展形势的必然趋势，它具有以往传统银行业态所不能比拟的优点，在“互联网+金融”时代快速发展的同时，更要重视信息安全体系建设与风险控制能力建设，只有这样才能保证银行在普惠金融的道路上走得更远更稳。 [1] http://www.thfr.com.cn/wp-content/uploads/2016/03/77380843_opt.jpeg
上一篇：从渠道到平台：网络银行战略转型之路
下一篇：互联网银行2.0：典型案例与思考