中国电子银行网讯 2014年11月14日,由中国经济日报社、中国金融认证中心联合主办,中经商品交易中心承办的“2014中国金融安全论坛”在北京举行。
中国金融认证中心总经理 季小杰
在论坛主旨演讲中,中国金融认证中心总经理季小杰表示,当前互联网金融面临的风险问题,基本可以归结于业务风险和信息安全风险两大范畴。在业务范畴,国家的监管机构正在紧密调研,防范和管控风险。而在信息安全方面,互联网金融的信息安全,当前首要解决的就是网络信任体系问题。一方面,互联网金融的互联网属性决定了网上交易的双方互不见面,无法采用原有面对面身份鉴别方式,这就给交易欺诈、非法洗钱等违法事件的发生创造了条件;另一方面,由于缺乏对“物权”的有效鉴别,重复质押、虚假交易等事件时有发生,这一现象已经成为不少金融机构在互联网上开展业务难以跨越的障碍。我国网络信任体系建设方案已提出多年,经过近十年的发展,电子银行领域已经普遍采用电子认证服务等身份认证手段,形成比较完整的互联网身份认证体系,这一信任体系可以延伸到更为广泛的互联网金融市场中。此外,建立包括征信体系、统一权属登记体系、不良交易信息共享体系在内的互联网金融网络信任体系也是行之有效的控制手段。
中国金融认证中心与中经商品交易中心举行签约仪式
以下是季小杰在本次论坛发言的文字实录:
尊敬的各位来宾:
上午好!
很高兴能借本届中国金融安全论坛,与各位业界同仁一起讨论互联金融的安全问题。近年来,传统企业的互联网转型如火如荼,随之衍生出的互联网金融业务形态也日趋多样。但互联网金融在高速发展的同时,也埋藏着巨大的风险隐患。作为经中国人民银行和国家信息安全管理机构批准成立的国家级权威安全认证机构及国家重要的金融信息安全基础设施之一,CFCA长期关注互联网金融的发展,并对如何控制伴随其中的风险进行了深入思考。
当前互联网金融面临的风险问题,基本可以归结于业务风险和信息安全风险两大范畴。据我了解,在控制业务风险方面,我国相关的主管部门已经陆续出台了一些监管措施,并根据实际市场情况,正酝酿一些新的监管措施。例如,今年以来,央行就多次对《支付机构网络支付业务管理办法》征求意见,力图以合理的政策法规来引导互联网支付产业。与此同时,央行的相关部门也正着手研究银行电子账户的监管方案。这一系列举措,表明国家有关部门非常重视互联网金融的业务风险。
在这里,我想重点谈谈互联网金融的信息安全风险。
互联网金融借助互联网技术,实现金融资源优化配置和应用普及,大大提升了服务效率,改善了用户体验,但这也使信息安全问题更快速、更广泛的被暴露出来。根据国家互联网应急中心数据显示,2014年9月,境内感染网络病毒的终端数为210万余个;境内被篡改网站数量为11152个;境内网站的仿冒页面数量为16642个;信息系统安全漏洞1131个,其中高危漏洞172个。安全事件的频现将互联网金融的信息安全风险推向了风口浪尖,如何有效防范此类风险事件成为业内广泛探讨的焦点。
互联网金融的信息安全,首当其冲要解决的就是网络信任体系问题。一方面,互联网金融的互联网属性决定了网上交易的双方互不见面,无法采用原有面对面身份鉴别方式,这就给交易欺诈、非法洗钱等违法事件的发生创造了条件;另一方面,由于缺乏对“物权”的有效鉴别,重复质押、虚假交易等事件时有发生,这一现象已经成为不少金融机构在互联网上开展业务难以跨越的障碍。我国网络信任体系建设方案已提出多年,经过近十年的发展,电子银行领域已经普遍采用电子认证服务等身份认证手段,形成比较完整的互联网身份认证体系,这一信任体系可以延伸到更为广泛的互联网金融市场中。此外,建立包括征信体系、统一权属登记体系、不良交易信息共享体系在内的互联网金融网络信任体系也是行之有效的控制手段。
针对以上问题,CFCA陆续推出了一系列解决方案。首先,我想介绍一下互联网统一身份认证服务。目前,CFCA为近300家银行提供电子认证服务,已拥有经过银行审核的有效个人网银证书数量5500多万张,企业网银证书1000多万张,有效数据包含用户名称、证件类型、证件号码、发证机构等重要的身份识别信息。CFCA已经建成统一身份认证服务平台,为互联网金融的从业机构提供可靠的在线身份验证服务。这一平台已经在一些公共服务领域,发挥了重要的作用,其中包括人行征信信息查询平台、厦门市公共服务平台等,获得了各方好评。我认为,在对身份鉴别有更高要求的直销银行、网贷平台、电子商城、B2B电子商务平台等领域,统一身份认证平台能体现出更高的价值。CFCA也将对平台持续优化,使之更符合互联网金融的市场需求。
在互联网金融快速发展的大潮下,新的金融服务业态层出不穷,这就给业务风险防控提出更高的要求。在这方面,CFCA已经拥有完整的解决方案,包括为金融机构提供交易监控及反欺诈系统和配合主管部门建设的交易欺诈信息共享平台,形成完整的交易监控和反欺诈体系。该体系通过实现银行、主管部门和公安机关等机构间的数据共享和信息交换,构建信息网络,形成黑名单机制,通过历史数据分析,总结网络欺诈规律,形成风险事件统计分析,提高交易的风险识别度。
接下来我想谈谈数据安全问题,这是信息安全问题中老生常谈,但又不可回避的问题。美国的信息安全企业赛门铁克曾提出,以用户个人信息为目标,试图通过网络窃取用户信用卡号码、银行密码等的“认证盗窃”将成为信息安全领域的严重威胁,恶意黑客等将更多地使用技术手段作为金融犯罪的工具。2005年6月美国信用卡记账事务处理公司的业务系统中约4000万用户数据被窃;今年2月,英国巴克莱银行被披露2.7万名客户的信息遭人盗窃,数据安全无时无刻不在拷问金融机构的信息管理能力。互联网金融的信息安全在大数据时代面临着更大的安全挑战。由于金融属于信息密集型产业,且涉及众多敏感、重要数据。海量的金融数据在存储和传输过程中,一旦发生泄漏、盗取或被非法添加和窜改等事件,都有可能使各方蒙受巨大损失,甚至可能影响国家金融经济体系的稳定。
关于数据安全问题,我认为,在国家推进信息安全技术体系的同时,专业化的信息服务机构应对互联网金融中的各类业务形态及其特征进行研究,形成一套专业化的信息安全服务方案。例如,经过市场分析,CFCA发现,在移动互联网浪潮中,互联网金融从PC端逐渐向智能手机、平板电脑和无线POS机为代表的各类移动设备转移,而移动互联网的安全问题比桌面互联网更加严重,手机病毒木马仅仅用了两年的时间就完成了PC机病毒木马10年的进化发展过程。为解决移动端的数据安全问题,CFCA开发了新一代蓝牙Key,该设备在手机端、PC端均可使用,可以有效防范隐私窃取、远程控制、数据篡改、交易抵赖等各种安全威胁,甚至在手机完全被黑客控制的情况下,用户也能通过显示屏检查交易信息的正确性。若发现错误,用户可立即取消交易。
最后我想谈谈互联网金融的信息安全问题中,电子凭证的运用问题。互联网金融跨区域、虚拟性的业务模式使得目前传统的纸质凭证已无法满足互联网金融发展需要,大量合同、订单等凭证都需要实现电子化转换,尤其在互联网支付、P2P等业务中,电子凭证的需求更加突出。然而除了技术要求,电子凭证是否能被广泛推广和使用主要取决于其法律效力是否被认可。电子签名则为电子凭证的运用提供了有效的解决方案。
我国在2005年颁布了《中国人民共和国电子签名法》,确立了电子签名的法律地位。在之后的十年中,为促进和规范电子签名的使用,相关主管部门又相继出台了一系列涉及管理、应用等方面的规范标准。这些法律规范的颁布为电子签名在互联网金融中的使用奠定了良好的法律基础。目前,基于第三方电子认证服务的电子签名在电子银行中已有较成熟的运用,而我们要做的就是将电子签名进一步向供应链融资、网络微贷、P2P、众筹等其他业务形态中拓展。CFCA将时刻关注信息安全技术的发展,根据互联网金融的业态特点,为我们的客户提供切实可行的解决方案。
总之,创新与风险并存,我们在看到互联网金融带来的市场潜力和活力的同时,还应保持对其蕴含的安全隐患的高度敏感。只有与时俱进、攻守相长,才能立于信息安全管理的主动地位。最后,预祝本次论坛获得圆满成功,谢谢大家。
