人臉識(shí)別和指紋識(shí)別等生物識(shí)別技術(shù)當(dāng)下受熱議，談及移動(dòng)金融安全的問(wèn)題，中國(guó)金融認(rèn)證中心總經(jīng)理季小杰表示，目前金融領(lǐng)域僅僅依賴生物識(shí)別技術(shù)，還不夠成熟，銀行在做一些相關(guān)應(yīng)用，但并未完全依賴這一技術(shù)，可以疊加其他安全手段，以保證身份真實(shí)性以及交易私密性等。

　　中國(guó)金融認(rèn)證中心總經(jīng)理季小杰

　　季小杰有豐富電子認(rèn)證的管理經(jīng)驗(yàn)，關(guān)注各項(xiàng)新技術(shù)發(fā)展和信息安全趨勢(shì)。5月24日，她在清華五道口全球金融論壇上發(fā)言時(shí)介紹，中國(guó)電子銀行網(wǎng)對(duì)2014年銀行年報(bào)中披露手機(jī)銀行情況進(jìn)行統(tǒng)計(jì)，數(shù)據(jù)顯示，手機(jī)銀行用戶數(shù)已達(dá)到4.165億，同比增長(zhǎng)32.64%。隨著近年互聯(lián)網(wǎng)企業(yè)的移動(dòng)金融強(qiáng)勁發(fā)展，生物識(shí)別、距離無(wú)線通信(NFC)成為熱門技術(shù)，季小杰表示，可以預(yù)見(jiàn)基于移動(dòng)終端以客戶為中心的移動(dòng)金融將成為未來(lái)金融服務(wù)的發(fā)展模式。

　　同時(shí)，她也指出四個(gè)方面的移動(dòng)金融安全問(wèn)題。首先，與PC平臺(tái)成熟的安全體系相比，移動(dòng)設(shè)備的安全認(rèn)證手段還相對(duì)薄弱。經(jīng)過(guò)金融行業(yè)多年的研究和建設(shè)，基于PC的網(wǎng)上銀行已經(jīng)有比較完善的安全體系，絕大部分銀行采用基于數(shù)字證書安全解決方案，比較起來(lái)，目前在移動(dòng)金融中應(yīng)用最廣泛的“用戶名密碼+短期動(dòng)態(tài)碼”認(rèn)證手段的安全等級(jí)就較低?！皵?shù)據(jù)顯示，在移動(dòng)金融的詐騙案件中絕大部分的案件都和密碼、短信動(dòng)態(tài)碼有關(guān)”。

　　其次，盡管有使用便捷的有點(diǎn)，基于生物特征的生物身份識(shí)別技術(shù)存在著一旦被盜用將無(wú)法吊銷的風(fēng)險(xiǎn)。目前存在兩個(gè)問(wèn)題，第一，無(wú)論人臉識(shí)別還是指紋識(shí)別等技術(shù)都無(wú)法達(dá)到100%準(zhǔn)確;第二，盡管人的生物特征不能改變，但泄露生物特征的途徑卻很多，一旦被偽造將無(wú)法吊銷，“僅依賴生物識(shí)別技術(shù)進(jìn)行身份認(rèn)證的措施還不適用于大范圍的金融業(yè)務(wù)”。

　　第三，SIM卡、SD卡一體化安全方案有先天缺陷。季小杰介紹，由于安全存儲(chǔ)單元隨時(shí)與外部交互，不能完全斷開鏈接，與手機(jī)結(jié)合一起，就像一代智能密碼鑰匙，存在黑客通過(guò)攻擊操作系統(tǒng)來(lái)控制、篡改簽名的風(fēng)險(xiǎn)。

　　此外，APP安全問(wèn)題也不容忽視。她介紹，2015年初，中國(guó)金融認(rèn)證中心信息安全實(shí)驗(yàn)室從軟件安全、應(yīng)用交易安全以及APP環(huán)境安全三個(gè)維度，對(duì)受理的APP軟件類項(xiàng)目的檢測(cè)結(jié)果進(jìn)行統(tǒng)計(jì)，結(jié)果看移動(dòng)支付類APP的安全問(wèn)題較突出，存在著應(yīng)用保護(hù)程度不高，軟件盤防護(hù)能力不強(qiáng)，交易密碼明文處理等問(wèn)題，“黑客很容易可以利用這些弱點(diǎn)偽造交易”。

　　針對(duì)這些問(wèn)題，季小杰建議，通過(guò)三方面解決移動(dòng)金融的安全問(wèn)題。

　　首先，在移動(dòng)金融領(lǐng)域廣泛推廣電子簽名應(yīng)用。2015年是《電子簽名法》頒布十周年，該法的實(shí)施解決了電子發(fā)票、電子合同等電子交易的完整性、真實(shí)性以及抗抵賴性問(wèn)題。季小杰說(shuō)，目前電子簽名是解決身份認(rèn)證和交易糾紛最有效的手段，同時(shí)對(duì)APP進(jìn)行電子簽名還能保障其安全性和可追溯性。

　　其次，分離式無(wú)線簽名設(shè)備將成為未來(lái)的主流。她表示，長(zhǎng)期實(shí)踐證明分離式的簽名設(shè)備是最為安全的身份認(rèn)證方式。此外，綜合使用密碼技術(shù)、混淆技術(shù)以及環(huán)境檢測(cè)等手段，對(duì)APP進(jìn)行整體安全功能設(shè)計(jì)，“這方面由于專業(yè)性非常強(qiáng)、技術(shù)復(fù)雜，我們建議借助專業(yè)安全公司的力量對(duì)APP復(fù)合型驗(yàn)證和抗攻擊性進(jìn)行測(cè)試”。

　　季小杰表示，金融領(lǐng)域效率和安全問(wèn)題需要全社會(huì)合作，建議政府主管部門建立信息共享機(jī)制，比如黑名單，發(fā)揮專業(yè)安全企業(yè)力量的同時(shí)，也建議作為消費(fèi)者和用戶，本身也應(yīng)該注意用網(wǎng)安全，比如不要下載來(lái)路不明軟件，設(shè)置復(fù)雜密碼。