季小杰：建設網絡信任體系成互聯網金融信息安全要務

中國電子銀行網訊  2014年11月14日，由中國經濟日報社、中國金融認證中心聯合主辦，中經商品交易中心承辦的“2014中國金融安全論壇”在北京舉行。

                              中國金融認證中心總經理   季小杰

在論壇主旨演講中，中國金融認證中心總經理季小杰表示，當前互聯網金融面臨的風險問題，基本可以歸結于業務風險和信息安全風險兩大范疇。在業務范疇，國家的監管機構正在緊密調研，防范和管控風險。而在信息安全方面，互聯網金融的信息安全，當前首要解決的就是網絡信任體系問題。一方面，互聯網金融的互聯網屬性決定了網上交易的雙方互不見面，無法采用原有面對面身份鑒別方式，這就給交易欺詐、非法洗錢等違法事件的發生創造了條件；另一方面，由于缺乏對“物權”的有效鑒別，重復質押、虛假交易等事件時有發生，這一現象已經成為不少金融機構在互聯網上開展業務難以跨越的障礙。我國網絡信任體系建設方案已提出多年，經過近十年的發展，電子銀行領域已經普遍采用電子認證服務等身份認證手段，形成比較完整的互聯網身份認證體系，這一信任體系可以延伸到更為廣泛的互聯網金融市場中。此外，建立包括征信體系、統一權屬登記體系、不良交易信息共享體系在內的互聯網金融網絡信任體系也是行之有效的控制手段。

                  中國金融認證中心與中經商品交易中心舉行簽約儀式

以下是季小杰在本次論壇發言的文字實錄：

尊敬的各位來賓：

上午好！

很高興能借本屆中國金融安全論壇，與各位業界同仁一起討論互聯金融的安全問題。近年來，傳統企業的互聯網轉型如火如荼，隨之衍生出的互聯網金融業務形態也日趨多樣。但互聯網金融在高速發展的同時，也埋藏著巨大的風險隱患。作為經中國人民銀行和國家信息安全管理機構批準成立的國家級權威安全認證機構及國家重要的金融信息安全基礎設施之一，CFCA長期關注互聯網金融的發展，并對如何控制伴隨其中的風險進行了深入思考。

當前互聯網金融面臨的風險問題，基本可以歸結于業務風險和信息安全風險兩大范疇。據我了解，在控制業務風險方面，我國相關的主管部門已經陸續出臺了一些監管措施，并根據實際市場情況，正醞釀一些新的監管措施。例如，今年以來，央行就多次對《支付機構網絡支付業務管理辦法》征求意見，力圖以合理的政策法規來引導互聯網支付產業。與此同時，央行的相關部門也正著手研究銀行電子賬戶的監管方案。這一系列舉措，表明國家有關部門非常重視互聯網金融的業務風險。

在這里，我想重點談談互聯網金融的信息安全風險。

互聯網金融借助互聯網技術，實現金融資源優化配置和應用普及，大大提升了服務效率，改善了用戶體驗，但這也使信息安全問題更快速、更廣泛的被暴露出來。根據國家互聯網應急中心數據顯示，2014年9月，境內感染網絡病毒的終端數為210萬余個；境內被篡改網站數量為11152個；境內網站的仿冒頁面數量為16642個；信息系統安全漏洞1131個，其中高危漏洞172個。安全事件的頻現將互聯網金融的信息安全風險推向了風口浪尖，如何有效防范此類風險事件成為業內廣泛探討的焦點。

互聯網金融的信息安全，首當其沖要解決的就是網絡信任體系問題。一方面，互聯網金融的互聯網屬性決定了網上交易的雙方互不見面，無法采用原有面對面身份鑒別方式，這就給交易欺詐、非法洗錢等違法事件的發生創造了條件；另一方面，由于缺乏對“物權”的有效鑒別，重復質押、虛假交易等事件時有發生，這一現象已經成為不少金融機構在互聯網上開展業務難以跨越的障礙。我國網絡信任體系建設方案已提出多年，經過近十年的發展，電子銀行領域已經普遍采用電子認證服務等身份認證手段，形成比較完整的互聯網身份認證體系，這一信任體系可以延伸到更為廣泛的互聯網金融市場中。此外，建立包括征信體系、統一權屬登記體系、不良交易信息共享體系在內的互聯網金融網絡信任體系也是行之有效的控制手段。

針對以上問題，CFCA陸續推出了一系列解決方案。首先，我想介紹一下互聯網統一身份認證服務。目前，CFCA為近300家銀行提供電子認證服務，已擁有經過銀行審核的有效個人網銀證書數量5500多萬張，企業網銀證書1000多萬張，有效數據包含用戶名稱、證件類型、證件號碼、發證機構等重要的身份識別信息。CFCA已經建成統一身份認證服務平臺，為互聯網金融的從業機構提供可靠的在線身份驗證服務。這一平臺已經在一些公共服務領域，發揮了重要的作用，其中包括人行征信信息查詢平臺、廈門市公共服務平臺等，獲得了各方好評。我認為，在對身份鑒別有更高要求的直銷銀行、網貸平臺、電子商城、B2B電子商務平臺等領域，統一身份認證平臺能體現出更高的價值。CFCA也將對平臺持續優化，使之更符合互聯網金融的市場需求。

在互聯網金融快速發展的大潮下，新的金融服務業態層出不窮，這就給業務風險防控提出更高的要求。在這方面，CFCA已經擁有完整的解決方案，包括為金融機構提供交易監控及反欺詐系統和配合主管部門建設的交易欺詐信息共享平臺，形成完整的交易監控和反欺詐體系。該體系通過實現銀行、主管部門和公安機關等機構間的數據共享和信息交換，構建信息網絡，形成黑名單機制，通過歷史數據分析，總結網絡欺詐規律，形成風險事件統計分析，提高交易的風險識別度。

接下來我想談談數據安全問題，這是信息安全問題中老生常談，但又不可回避的問題。美國的信息安全企業賽門鐵克曾提出，以用戶個人信息為目標，試圖通過網絡竊取用戶信用卡號碼、銀行密碼等的“認證盜竊”將成為信息安全領域的嚴重威脅，惡意黑客等將更多地使用技術手段作為金融犯罪的工具。2005年6月美國信用卡記賬事務處理公司的業務系統中約4000萬用戶數據被竊；今年2月，英國巴克萊銀行被披露2.7萬名客戶的信息遭人盜竊，數據安全無時無刻不在拷問金融機構的信息管理能力?；ヂ摼W金融的信息安全在大數據時代面臨著更大的安全挑戰。由于金融屬于信息密集型產業，且涉及眾多敏感、重要數據。海量的金融數據在存儲和傳輸過程中，一旦發生泄漏、盜取或被非法添加和竄改等事件，都有可能使各方蒙受巨大損失，甚至可能影響國家金融經濟體系的穩定。

關于數據安全問題，我認為，在國家推進信息安全技術體系的同時，專業化的信息服務機構應對互聯網金融中的各類業務形態及其特征進行研究，形成一套專業化的信息安全服務方案。例如，經過市場分析，CFCA發現，在移動互聯網浪潮中，互聯網金融從PC端逐漸向智能手機、平板電腦和無線POS機為代表的各類移動設備轉移，而移動互聯網的安全問題比桌面互聯網更加嚴重，手機病毒木馬僅僅用了兩年的時間就完成了PC機病毒木馬10年的進化發展過程。為解決移動端的數據安全問題，CFCA開發了新一代藍牙Key，該設備在手機端、PC端均可使用，可以有效防范隱私竊取、遠程控制、數據篡改、交易抵賴等各種安全威脅，甚至在手機完全被黑客控制的情況下，用戶也能通過顯示屏檢查交易信息的正確性。若發現錯誤，用戶可立即取消交易。

最后我想談談互聯網金融的信息安全問題中，電子憑證的運用問題。互聯網金融跨區域、虛擬性的業務模式使得目前傳統的紙質憑證已無法滿足互聯網金融發展需要，大量合同、訂單等憑證都需要實現電子化轉換，尤其在互聯網支付、P2P等業務中，電子憑證的需求更加突出。然而除了技術要求，電子憑證是否能被廣泛推廣和使用主要取決于其法律效力是否被認可。電子簽名則為電子憑證的運用提供了有效的解決方案。

我國在2005年頒布了《中國人民共和國電子簽名法》，確立了電子簽名的法律地位。在之后的十年中，為促進和規范電子簽名的使用，相關主管部門又相繼出臺了一系列涉及管理、應用等方面的規范標準。這些法律規范的頒布為電子簽名在互聯網金融中的使用奠定了良好的法律基礎。目前，基于第三方電子認證服務的電子簽名在電子銀行中已有較成熟的運用，而我們要做的就是將電子簽名進一步向供應鏈融資、網絡微貸、P2P、眾籌等其他業務形態中拓展。CFCA將時刻關注信息安全技術的發展，根據互聯網金融的業態特點，為我們的客戶提供切實可行的解決方案。

總之，創新與風險并存，我們在看到互聯網金融帶來的市場潛力和活力的同時，還應保持對其蘊含的安全隱患的高度敏感。只有與時俱進、攻守相長，才能立于信息安全管理的主動地位。最后，預祝本次論壇獲得圓滿成功，謝謝大家。