清华大学金融科技研究院孵化
金融科技与金融创新全媒体

扫描分享

本文共字,预计阅读时间

7月8日,2014中国银行业发展论坛在北京举行。由新浪财经与中国金融认证中心(CFCA)、中国电子银行网共同举办“新金融 新生态”论坛,云集监管层领导、银行业高管、专家学者共论新时期的大变局,探讨互联网金融新局面。

中国金融认证中心(CFCA)助理总经理王梅出席本次会议并发表主旨讲演。王梅女士在演讲中就互联网金融的安全形势发表了自己的看法。王梅指出,“一个充满不安全因素的互联网金融行业是绝对没有生命力的!”

互联网金融行业飞速发展,安全形势却不容乐观,因互联网自身的开放性,各种病毒、木马的威胁,钓鱼网站猖獗、伪造用户身份、漏洞攻击、网上数据被非法篡改和窃取等活动都在威胁着互联网业务的健康发展。针对这些威胁,王梅介绍了一些当前普遍的安全应用措施。但她认为,数字证书的签名交易的安全性能更有保障。因为它可以从互联网强身份认证;交易信息数据防篡改、抗抵赖;敏感数据保密等三个方面保证行业安全健康发展。而这三方面都是基于为网银用户颁发数字证书,为网银系统颁发服务器站点证书,建立SSL安全通道,用数字证书进行交易签名实现的。其他安全手段如OTP令牌、短信验证码也都有自己适用范围,但安全强度不如数字证书。

王梅指出,当前火爆的P2P网贷、第三方支付等互联网金融业务在信息安全建设方面完全可以参考网上银行信息安全来做。中国金融认证中心提出的具有很强针对性解决方案,可及时发现和解决互联网金融业务系统中存在的安全隐患和弊端。

王梅认为,移动支付也是互联网金融发展的重要阵地,而且近几年正逐步取代传统PC平台支付业务。针对移动支付的信息安全保障,她提出三点建议:一是利用“清场助手”实现客户端病毒木马的扫描、查杀,保障客户端环境安全;二是利用客户端APP安全加固服务,来弥补移动平台尤其是Android平台客户端APP先天容易受攻击的弱点,提升其抗攻击能力;三是利用数字证书实现与网上银行相等的安全防护水平,如采用可以直接在手机上使用的数字证书硬件存储设备—蓝牙双接口Key,(同时支持PC机和移动两个平台),能够保障交易签名防篡改、信息加密以及交易不可抵赖性。

王梅最后还就P2P等纯线上理财业务的安全问题介绍了“一证通”解决方案。王梅介绍说,“一证通”是利用大家手中含有中国金融认证中心数字证书的网银UKey(U盾),在 “互联网身份认证平台”上进行有效身份鉴别,实现互联网的线上强身份认证。目前该平台在多直销银行、P2P业务,以及人民银行的征信系统中得到应用。

以下为中国金融认证中心(CFCA)助理总经理王梅发言全文:

尊敬的各位参会嘉宾,大家好!

很荣幸参加本次论坛,刚才大家谈了很多互联网金融业务发展趋势、新的观点和看法,我在这里想请大家关注的是:一个充满不安全因素的互联网金融行业是绝对没有生命力的!

目前,从整个大的互联网信息安全环境来看,是不容乐观的:各种病毒、木马的威胁,钓鱼网站猖獗、伪造用户身份、漏洞攻击、网上数据被非法篡改和窃取等等,网络攻击来自于方方面面,这些都无时不刻的在威胁互联网业务的健康发展。

那么,现在都有哪些信息安全防护手段呢?首先让我们先来回顾一下国内电子银行业务,尤其是网上银行都使用了哪些安全技术手段?众所周知,网上银行是基于互联网的应用,互联网是开放平台,任何人都可以访问,因此,网上银行肯定会面临很多信息安全风险。我国的网上银行信息安全等级还是非常高的,信息安全保障做得也是好的。在各种安全技术保障手段中,网上银行做到了很重要的三点:第一是互联网强身份认证,第二是交易信息数据防篡改、抗抵赖,第三是它实现了敏感数据的保密性。这三点都是基于为网银用户颁发数字证书、为网银系统颁发服务器站点证书,建立SSL安全通道,用数字证书进行交易签名实现的。其他安全手段如OTP令牌、短信验证码也都有自己适用范围,但安全强度不如数字证书。

另外,网上银行中,还有风险分析反欺诈机制、各种客户端安全密码控件以及网银助手等不可或缺的辅助工具和系统共同协作,彼此互补,这才造就了现在较为稳定、安全的网上银行应用环境。

目前,快速发展的P2P网贷、第三方支付等互联网金融业务,在信息安全建设方面完全可以参考网上银行信息安全来做,上述所说的的数字证书、交易监测反欺诈、反欺诈共享平台以及信息安全测评评估为一体的综合解决方案,是中国金融认证中心提出的具有很强针对性解决方案,可及时发现和解决互联网金融业务系统中存在的安全隐患和弊端。

移动支付也是互联网金融发展的重要阵地,而且近几年正逐步取代传统PC平台支付业务。移动支付的信息安全保障可从三方面入手:一是利用“清场助手”实现客户端病毒木马的扫描、查杀,保障客户端环境安全;二是利用客户端APP安全加固服务,来弥补移动平台尤其是Android平台客户端APP先天容易受攻击的弱点,提升其抗攻击能力;三是利用数字证书实现与网上银行相等的安全防护水平,如采用可以直接在手机上使用的数字证书硬件存储设备—蓝牙双接口Key,(同时支持PC机和移动两个平台),能够保障交易签名防篡改、信息加密以及交易不可抵赖性。上述解决办法是中国金融认证中心为解决移动支付信息安全防护而量身定做的产品和服务。

对于互联网金融业务中做纯线上业务企业,如何解决纯线上用户的身份认证及开户问题呢?最后我为大家介绍一下互联网身份认证平台,也是我们的“一证通”业务,就是利用大家手中含有中国金融认证中心数字证书的网银UKey(U盾),在我们的“互联网身份认证平台”上进行有效身份鉴别,实现互联网的线上强身份认证。目前该平台也在多个项目中得到了应用,例如直销银行、P2P业务等,值得一提的是,人民银行的征信系统是最早允许用户使用含有中国金融认证中颁发的数字证书的UKey,登录互联网上的征信系统查询信用信息的。

中国金融认证中心是我国金融信息安全基础设施之一,是权威的第三方电子认证服务机构,经过十几年的发展,在网上银行信息安全建设、第三方支付系统信息安全建设以及P2P等其他互联网金融信息安全建设上具有丰富经验,在互联网金融、移动支付业务上不断进行探索和研究,在未来互联网金融发展的广阔天地中,中国金融认证中心有能力,也愿意同大家共同努力,为中国互联网金融健康发展保驾护航!

谢谢大家!

[Source]

本文系未央网专栏作者发表,属作者个人观点,不代表网站观点,未经许可严禁转载,违者必究!

本文为作者授权未央网发表,属作者个人观点,不代表网站观点,未经许可严禁转载,违者必究!

本文版权归原作者所有,如有侵权,请联系删除。

评论


猜你喜欢

扫描二维码或搜索微信号“iweiyangx”
关注未央网官方微信公众号,获取互联网金融领域前沿资讯。