人臉識別和指紋識別等生物識別技術(shù)當(dāng)下受熱議，談及移動金融安全的問題，中國金融認證中心總經(jīng)理季小杰表示，目前金融領(lǐng)域僅僅依賴生物識別技術(shù)，還不夠成熟，銀行在做一些相關(guān)應(yīng)用，但并未完全依賴這一技術(shù)，可以疊加其他安全手段，以保證身份真實性以及交易私密性等。

　　中國金融認證中心總經(jīng)理季小杰

　　季小杰有豐富電子認證的管理經(jīng)驗，關(guān)注各項新技術(shù)發(fā)展和信息安全趨勢。5月24日，她在清華五道口全球金融論壇上發(fā)言時介紹，中國電子銀行網(wǎng)對2014年銀行年報中披露手機銀行情況進行統(tǒng)計，數(shù)據(jù)顯示，手機銀行用戶數(shù)已達到4.165億，同比增長32.64%。隨著近年互聯(lián)網(wǎng)企業(yè)的移動金融強勁發(fā)展，生物識別、距離無線通信(NFC)成為熱門技術(shù)，季小杰表示，可以預(yù)見基于移動終端以客戶為中心的移動金融將成為未來金融服務(wù)的發(fā)展模式。

　　同時，她也指出四個方面的移動金融安全問題。首先，與PC平臺成熟的安全體系相比，移動設(shè)備的安全認證手段還相對薄弱。經(jīng)過金融行業(yè)多年的研究和建設(shè)，基于PC的網(wǎng)上銀行已經(jīng)有比較完善的安全體系，絕大部分銀行采用基于數(shù)字證書安全解決方案，比較起來，目前在移動金融中應(yīng)用最廣泛的“用戶名密碼+短期動態(tài)碼”認證手段的安全等級就較低?！皵?shù)據(jù)顯示，在移動金融的詐騙案件中絕大部分的案件都和密碼、短信動態(tài)碼有關(guān)”。

　　其次，盡管有使用便捷的有點，基于生物特征的生物身份識別技術(shù)存在著一旦被盜用將無法吊銷的風(fēng)險。目前存在兩個問題，第一，無論人臉識別還是指紋識別等技術(shù)都無法達到100%準確;第二，盡管人的生物特征不能改變，但泄露生物特征的途徑卻很多，一旦被偽造將無法吊銷，“僅依賴生物識別技術(shù)進行身份認證的措施還不適用于大范圍的金融業(yè)務(wù)”。

　　第三，SIM卡、SD卡一體化安全方案有先天缺陷。季小杰介紹，由于安全存儲單元隨時與外部交互，不能完全斷開鏈接，與手機結(jié)合一起，就像一代智能密碼鑰匙，存在黑客通過攻擊操作系統(tǒng)來控制、篡改簽名的風(fēng)險。

　　此外，APP安全問題也不容忽視。她介紹，2015年初，中國金融認證中心信息安全實驗室從軟件安全、應(yīng)用交易安全以及APP環(huán)境安全三個維度，對受理的APP軟件類項目的檢測結(jié)果進行統(tǒng)計，結(jié)果看移動支付類APP的安全問題較突出，存在著應(yīng)用保護程度不高，軟件盤防護能力不強，交易密碼明文處理等問題，“黑客很容易可以利用這些弱點偽造交易”。

　　針對這些問題，季小杰建議，通過三方面解決移動金融的安全問題。

　　首先，在移動金融領(lǐng)域廣泛推廣電子簽名應(yīng)用。2015年是《電子簽名法》頒布十周年，該法的實施解決了電子發(fā)票、電子合同等電子交易的完整性、真實性以及抗抵賴性問題。季小杰說，目前電子簽名是解決身份認證和交易糾紛最有效的手段，同時對APP進行電子簽名還能保障其安全性和可追溯性。

　　其次，分離式無線簽名設(shè)備將成為未來的主流。她表示，長期實踐證明分離式的簽名設(shè)備是最為安全的身份認證方式。此外，綜合使用密碼技術(shù)、混淆技術(shù)以及環(huán)境檢測等手段，對APP進行整體安全功能設(shè)計，“這方面由于專業(yè)性非常強、技術(shù)復(fù)雜，我們建議借助專業(yè)安全公司的力量對APP復(fù)合型驗證和抗攻擊性進行測試”。

　　季小杰表示，金融領(lǐng)域效率和安全問題需要全社會合作，建議政府主管部門建立信息共享機制，比如黑名單，發(fā)揮專業(yè)安全企業(yè)力量的同時，也建議作為消費者和用戶，本身也應(yīng)該注意用網(wǎng)安全，比如不要下載來路不明軟件，設(shè)置復(fù)雜密碼。