季小杰：移动金融安全问题表现在四大方面

中国金融认证中心总经理季小杰

凤凰财经讯 “2015清华五道口全球金融论坛”5月23日-24日在北京举行。中国金融认证中心总经理季小杰谈及互联网金融安全时表示，移动金融安全问题成为各界关注的焦点，主要表现在四个方面：

一是，移动设备的安全认证手段相对薄弱；

二是，生物身份识别技术一旦被盗用将无法吊销；

三是，SIM卡、SD卡可能被黑客攻击修改签名；

四是，是APP安全问题。

以下为嘉宾发言实录：

季小杰：尊敬各位领导、各位来宾，下午好，非常高兴有这样一个机会和大家共同探讨互联网金融创新话题。

伴随移动互联网发展，移动金融这两年发展迅速，中国电子银行网对2014年银行年报中披露手机银行情况进行了统计，数据显示手机银行数已经达到4.165亿，同比增长32.64%，另一方面这几年互联网企业的移动金融发展也非常强劲，生物识别、NFC都成为热门技术，可以预见基于移动终端以客户为中心的移动金融将成为未来金融服务的发展模式。同时移动金融安全问题也成为各界关注的焦点，我们认为目前主要有四个方面的问题。

一是与PC平台成熟的安全体系相比，移动设备的安全认证手段还相对薄弱，经过金融行业多年的研究和建设，基于PC的网上银行已经有比较完善的安全体系，绝大部分银行采用基于数字证书安全解决方案，比较起来目前在移动金融中应用最广泛的用户名密码+短期动态码认证手段的安全等级就比较低了，数据显示在移动金融的诈骗案件中绝大部分的案件都和密码、短信动态码有关。

二是基于生物特征的生物身份识别技术存在着一旦被盗用将无法吊销这样的风险，生物识别技术具有使用便捷的优点，但目前还存在两个问题。第一无论人脸识别还是指纹识别等技术都无法达到百分之百准确率，第二是人的生物特征是不能改变的，但是泄露生物特征的途径却有很多，一旦泄露被伪造后将无法吊销，这也是目前导致仅依赖生物识别技术进行身份认证的这样的措施还不适用于大范围的金融业务。

三是SIM卡、SD卡一体化安全方案有先天决先。由于安全存储单元是随时与外部交互，不能完全断开链接，与手机是结合在一起的，这就好像一个一直插在上的一代智能密码钥匙，存在黑客可通过攻击操作系统来控制篡改签名的风险。

四是APP安全问题也不容忽视。今年初CFCA信息安全实验室从软件安全、应用交易安全以及APP环境安全三个维度对受理的APP软件类的项目的检测结果进行了统计，从统计结果上来看移动支付类APP的安全问题较突出，存在着应用保护程度不高，软件盘防护能力不强以及交易密码明文处理等问题，黑客可以利用这些弱点很方便的进行交易伪造。

针对以上问题我们认为可以从三方面来解决移动金融的安全问题：首先在移动金融领域广泛推广电子签名应用，今年是《电子签名法》颁布十周年，这一法律实施解决了电子发票、电子合同等电子交易的完整性、真实性以及抗抵赖性，目前电子签名是解决身份认证和交易纠纷最有效的手段，同时对APP进行电子签名还能保障它的安全性和可追溯性。二是分离式无线签名设备将成为未来的主流，长期实践证明分离式的签名设备是最为安全的身份认证方式，苹果和谷歌等厂商都已经宣布由于影响手机做薄未来的物理借口有可能被取消，所以我们认为分离式的无线签名将是未来发展的主流。三是综合使用密码技术、混淆技术以及环境检测等手段，对APP进行整体安全功能设计，这方面由于专业性非常向、技术复杂，我们也建议借助专业的安全公司的力量对APP复合型验证和抗攻击性进行测试。

我们知道效率和安全往往是存在一些矛盾的，在日常操作中我们可以根据实际的业务类型和交易金额来选择适合的安全手段。我们作为金融领域信息安全的专控队伍和重要的金融安全基础设施，中国金融认证中心CFCA始终关注各项新技术的发展和信息安全的趋势，我们同时也致力于营造安全可靠的网络环境，为金融发展保驾护航。

    我的演讲到这里，谢谢大家。