标题：信息安全是惠普金融的基石 | 季小杰
时间：2017年6月4日 (下午12:19)
分类：消息汇, 评金融, 首页
标签：季小杰
作者：清华金融评论

[1] 中国金融认证中心总经理季小杰 近年来，大数据、区块链、云计算和人工智能等技术的迅速发展，为金融行业带来了巨大的创新， 6月3日举办的2017清华五道口全球金融论坛上，分论坛三就以“技术驱动下的普惠金融创新”为主题进行探讨。中国金融认证中心总经理季小杰表示，想普惠金融走得更远、更稳，信息安全仍然是基石。 她表示，核实用户的真实身份是所有金融活动的前提和基础。在现有条件下，建立立体、多维度的认证体系是实现线上业务身份识别和验证的有效手段。同时必须保证交易的完整性和合法性，加强信息系统的安全管理问题。并建立共享机制，联防联控安全风险。她建议尽可能大范围地打破行业壁垒，打通 季小杰表示，在科技驱动的普惠金融时代，金融服务不断创新的同时，安全风险也不断增加，CFCA愿意为普惠金融保驾护航，让金融真正地触达普惠。 以下为中国金融认证中心总经理季小杰现场演讲的全文： 各位嘉宾、各位领导，大家下午好！ 正像前几位领导和嘉宾讲的那样，近几年得益于互联网技术、大数据技术、人工智能等技术的发展和成熟，我国掀起了一波又一波互联网金融、普惠金融实践的浪潮。但是在这些新的业务模式和新的服务创新下，却隐藏着不少的安全风险。比如说近几年来我们大家熟知的电信诈骗屡禁不止，据公安部门的统计，去年2016年我国电信诈骗的涉案金额达到了将近200亿元。还有就是网络钓鱼防不胜防，这几年举统计，我们国家境内的钓鱼网站差不多每年有20万个左右。还有就是信息泄漏时有发生，刚才几位领导也都提到过的。我们大家知道，前几年肆虐的比特币勒索病毒，更是在瞬间扩散到上百个国家，造成了巨大的影响和损失。 此类的风险事件都有几个共同的特点。 第一，都是利用科技的手段，高科技化。 第二，金融犯罪的产业化。 第三，资金流转速度非常快，我们知道现在银行的系统都集中了，资金会在瞬间转移到几个银行。 第四，作案地区跨度大，跨地区、跨行业、跨国界，给用户也造成了很大损失。 所以说要想普惠金融走得更远、更稳，信息安全仍然是基石。 下面，我就从几个方面来谈一下我对这方面的看法。 第一，关于用户身份精准识别和认证的问题。 核实用户的真实身份是所有金融活动的前提和基础。一方面任何国家和地区的监管部门都有一个共同的监管原则，就是要了解你的客户。另一方面金融机构自身也需要针对不同用户类型提供差异化的服务，需要精准的识别用户身份。目前认证手段很多，比如说人脸、声闻、口令等等。在现有阶段下，除了数字证书之外，其他单一要素进行身份认证都有一定的问题。今年“3·15”晚会上也报道过人脸识别的风险案例。 2017年美国总统大选的时候，希拉里和助手使用的邮箱系统由于只使用了用户名和口令，没有选择其他的认证手段，导致了邮件泄漏。如果当时加强身份验证，也许今天美国的历史就会改写。 在这方面人民银行也是非常重视账户实名认证的落实问题，也出台了一系列相关的制度和办法。我们认为在现有条件下，立体、多维度地认证体系是实现线上业务身份识别和验证的有效手段。目前CFCA已经和很多的机构合作，建立了基于数字证书、生物识别和大数据在内的统一身份认证平台，可以满足不同场景的身份认证需求。 第二，关于保证交易的完整性和合法性。 近年来互联网和移动互联网极大促进了普惠金融的发展，但是目前也有两个亟待解决的问题。 1、如何保证参与方相关权力。 2、仍然缺失有效的线上证据保全机制。 若想解决上述这两个问题，我认为可以从以下三个方面着手。 1、我国2005年颁布了《电子签名法》以来，电子签名已经得到了广泛的应用，使用公正的第三方认证机构所颁发的数字证书，可以实现线上的身份认证电子签名，从而保障交易的合法性、不可否认性以及防止信息被篡改。 2、为了进一步提升客户体验，应使用基于数字签名技术的无纸化解决方案，来实现电子合同的签署和应用。在合同签署过程中，可以实现人与合同的绑定，人与业务的绑定，业务与合同的绑定，同而可以形成可信度高、可追溯的无纸化凭证要件，提高了效率，同时可以充分保障电子合同的合法性。 3、建立合同签署的时后保全服务体系。主要的目的是及时地对关键的业务数据、关键交易行为进行第三方的鉴定、采集和证据冻结和保全，同时通过权威的第三方同步到我国权威的司法鉴定机构的信息系统中，从而塑造高司法强化的业务运营效果。 第三，加强信息系统的安全管理问题。 现在有5.65亿台主机接入互联网，据预测2020年的时候将会有500亿台设备接入互联网。这些互联网系统会极大的提高效率，但是同时也带来数据隐私和安全风险问题。比如说现在很多的主机系统都以明文的协议和方式提供服务，这样用户名和口令很容易在数据传输的过程中被劫持。为解决这个问题，国际非营利组织CAB建议安全级别高的主机站点应采用EVSSL证书来进行保护。Google也已经宣布在今年10月份左右将没有使用SS证书的站点被标注为不安全站点。目前是国内唯一一家可以发放支持国际所有主流浏览器可信站点证书的CA机构。 安全的管理应该是多维度的，除了数据传输的安全外，系统本身的安全缺陷也可能导致信息被偷或者是本身被劫持。比如说最近在新加坡电信公司遭受了攻击，主机包括一些摄像头被劫持，导致网络瘫痪了两个多小时。所以定期的信息安全系统检测是必须的，能够尽早地发现安全问题，做到防患于未然。 第四，建立共享机制，联防联控安全风险。 互联网业务速度得到极大提高的同时，也给犯罪分子提供了便利，他们利用各个系统的信息孤岛，在很短的时间内完成钱财的转移，单点的防御已经很难适应目前现实的一些情况。所以我们建议尽可能大范围地打破行业壁垒，打通数据孤岛，建立高效的联网系统，实现信息共享，做到异常交易及时报警。 金融主管部门也非常重视经济诈骗问题，比如说人民银行170号文就要求银行和支付机构接入电信诈骗风险管理平台，实现了涉案账号在线的支付冻结。加强了部委间的联动，已经取得了比较好的效果。 总之，在科技驱动的普惠金融时代，金融服务不断创新的同时，安全风险也不断增加。作为我国金融领域信息安全的重要基础设施和金融领域信息安全的风控队伍，CFCA愿意和各界一道，为普惠金融保驾护航，让金融真正地触达普惠。 谢谢！ [1] http://www.thfr.com.cn/wp-content/uploads/2017/06/17.png
上一篇：普惠金融的核心是要让科技降低变动成本 | 陈生强
下一篇：金融科技对资本市场的影响 | 赵立新