季小杰：科技驱动下的普惠金融创新信息安全仍是基石

字号：大中小

　　2017清华五道口全球金融论坛于6月3日-4日在北京清华大学召开。中国金融认证中心（CFCA）总经理季小杰出席了这次论坛并发言。

中国金融认证中心（CFCA）总经理季小杰

　　季小杰表示，新技术催生了新型的金融创新和普惠金融实践，但新兴业务模式、服务创新下却隐藏着不少安全风险。她指出，要想使普惠金融走得更稳健、走得更远，信息安全仍然是基石。

　　技术给金融行业带来哪些新变化？季小杰认为，近年来，得益于生物识别技术、互联网技术、大数据技术、人工智能等技术的发展和成熟，我国掀起了一波又一波的关于互联网金融、普惠金融实践的浪潮。季小杰如此评价。

　　季小杰同时也指出，在这些新兴的业务模式、服务创新下却隐藏着不少安全风险。她举例说，电信诈骗屡禁不止，仅2016年的涉案金额达到了197.8亿；每年境内的钓鱼网站达20万左右个，防不胜防；近一年来，个人信息泄露等遭受的经济损失人均133元；网络借贷违约找不到真实的借款人，或者借款人拒绝认可借贷事实，难以追偿偿。近期肆虐的比特币勒索病毒更是在转眼间扩散至上百个国家，破坏力之大世所罕见。

　　季小杰认为这类风险事件有，手段高科技化、金融诈骗产业化（电信诈骗分工合作、犯罪已形成上下游产业链）、资金流转速度快、作案地区跨度大（跨行业、跨国界）、给用户造成的损失大等多个方面的特点。所以，要想使普惠金融走得更稳健、走得更远，信息安全仍然是基石。

　　随后，季小杰就如何认证远程用户的身份、如何保证电子交易的合法有效性、如何加强信息系统的安全、如何共建安全防火墙等方面发表了自己的看法。

　　数字证书、生物识别、大数据的统一身份认证平台可满足多场景身份认证需求

　　季小杰认为，核实用户的真实身份是所有金融活动的前提和基础，一方面任何国家的监管部门都有共同的监管原则，即“了解你的客户”，另一方面金融机构自身也需要针对不同用户类型提供差异化的金融服务，精准识别用户身份。

　　据介绍，目前认证手段很多，例如：指纹，人脸，声纹等生物识别手段；还有通过动态口令的，短信验证码等等。但是，除了数字证书之外，其它的单一要素进行身份认证都有一定的问题。今年3.15晚会也有过报道人脸识别的案例。2017年美国总统大选的时候，希拉里和助手使用的邮箱系统，由于除了用户名和口令外，没有选择其他身份认证手段，导致邮件泄露，如果加强身份验证，也许今天美国的历史就会改写

　　人民银行也非常重视账户实名认证的落实问题，出台了一系列的制度和办法。季小杰认为，在现有条件下，立体的、多维度的认证体系是实现线上业务身份识别和验证的有效手段。目前，中国金融认证中心（CFCA）已经与很多机构合作，建立了基于数字证书、生物识别、大数据的统一身份认证平台，可以满足不同场景的身份认证需求。

　　发展普惠金融需兼顾安全和效率

　　而近年来互联网和移动互联网的全面普及为普惠金融发展提供了极大的助力，但普惠金融也存在亟待解决的问题：一个是如何保障交易参与方的相关权利，另一个是仍然缺失有效的互联网线上证据保全机制。这两个问题不解决，会成为未来发展的桎梏。

　　如何解决这些问题？季小杰给出了以下办法。

　　第一：我国自2005年实施《电子签名法》以来，电子签名已经得到了广泛的应用，金融交易方使用权威公正的第三方认证机构所颁发数字证书实现互联网线上身份认证、数字签名，从而保障交易的合法性、不可否认性以及防止信息被非法篡改。

　　第二：为了进一步提升客户体验，应使用基于数字签名技术的无纸化解决方案实现电子合同的签署和应用，在合同签署过程中完成了人与合同的绑定、人与业务的绑定、业务与合同的绑定，最终形成可信度高、可追溯的无纸化凭证要件，提高了效率、并充分保障电子合同的合法性。

　　第三：建立合同签署的事后保全服务体系，其主要目的在于及时的对关键业务数据、关键交易行为进行第三方鉴定、采集和证据冻结和保全，同时通过权威第三方保全同步到我国的权威司法鉴定机构信息系统中，从而塑造高司法强化的业务运营效果。

　　定期检测信息系统将安全隐患扼杀在摇篮之中

　　季小杰在会上引用的数据显示，今天有5.65亿台主机接入互联网。而据预测，到2020年将会有500亿设备连接互联网；这些互联系统会极大的提高效率，但也带来明显的数据隐私和安全风险的问题。现在很多的主机系统间都是以明文协议的方式提供服务，用户名口令及其传递的数据及其容易被中间人捕获，为解决这个问题，国际非盈利组织CAB建议安全级别高的主机站点采用EV SSL证书进行保护。谷歌已经宣布在今年10月份左右将没有SSL证书保护的主机站点标识为不安全站点。目前，CFCA是唯一一家可发放支持国际所有主流系统浏览器全球可信站点证书的中国CA机构。

　　安全管理总是多维度的，除了数据传输的安全外，设备本身的安全缺陷也可能导致信息被偷或者本身被劫持，例如：最近新加坡电信公司遭受DDos攻击，主机包括一些摄像头都被劫持，导致网络瘫痪了2个多小时。所以定期的信息系统安全检测是必需的，能够尽早发现安全问题，将安全隐患扼杀在摇篮之中。

　　建立共享机制，联防联控安全风险

　　互联网的业务、速度得到了极大的提高，很多的电信诈骗，犯罪分子也正是利用了这一点，利用各个系统的信息孤岛，在很短的时间内完成诈骗钱财的转移。季小杰认为，单点的防御已经很难适应目前的电信欺诈，我们需要尽可能大范围地打破行业壁垒，打通数据孤岛，建立高效的联网系统，实现信息共享，做到异常交易及时预警。金融主管部门也非常重视电信诈骗问题，比如：人民银行的170号文件，要求银行和支付机构接入电信诈骗风险管理平台，实现了涉案账户的止付、冻结管理，加强了部委间信息联动，已经取得了比较良好的效果。

　　季小杰在发言的最后指出，在科技驱动的普惠金融时代，金融服务不断创新的同时，信息安全风险也急剧增加，作为我国金融领域重要的信息安全基础设施和金融领域的信息安全专控队伍，CFCA愿意以维护金融安全为己任，为普惠金融的健康发展保驾护航，让金融创新更好地服务于人们的生活，让金融真正触达“普惠”。

责任编辑：韩希宇

季小杰：科技驱动下的普惠金融创新 信息安全仍是基石

季小杰：科技驱动下的普惠金融创新信息安全仍是基石