正   文

CFCA张行:如何应对“互联网+银行”的安全风险?

  

  编者按

  随着网上银行、手机银行、直销银行的不断涌现和广泛应用,基于互联网的银行业务渠道越来越多,对于互联网安全的保护尤为重要。目前,“互联网+银行”存在四个安全问题:移动设备的安全认证手段较为薄弱、生物识别技术存在信息存储和传输的风险、SIM卡、SD卡等一体化安全方案存在先天缺陷,以及手机APP广泛存在安全隐患,需着力解决。

  注:本文根据张行在“互联网金融报告2016”行业研讨会“银行业的互联网化”专场上演讲改编而成。研讨会时间:2015年10月16日

  金融业是信息技术高度敏感的行业,中国金融认证中心助理总经理张行认为,在“互联网+”与金融脱媒的时代背景下,转型已经成为了金融业尤其是银行业的必经之路。“互联网+银行”意味着效率的提升,但转型不只是技术手段的升级,更是配套体制的改变。

  如何实现银行的互联网化?张行分析,银行的互联网化首先是理念与思维方式的转换,其次是人员组织方式与决策方式的转换,最后才是产品与服务方式的转换,而极致的产品体验更是竞争力所在。

  移动金融将成为金融服务的新趋势

  根据中国电子银行网的分析,目前手机银行的使用频率已超过PC端。2014年移动支付交易规模增长300%,十家上市银行手机银行的装机量同比增长33.4%。移动金融占据了银行互联网的首要结点。

  张行分析,未来移动金融将有三大趋势:

  第一,高频交易将成为移动金融的核心要素。具体体现为,支付行业的发展将从以B2B与B2C为特性进行区分,到以大额与小额进行区分,直到以高频与低频进行区分。通过高频交易形成用户的高度黏性,从而最大化用户价值。

  第二,“消费金融+投资理财+短期借贷”将成为移动金融的主要业务形态。随着移动互联网的进一步发展,围绕用户生活而构建的消费场景越来越丰富,各种新的金融应用层出不穷,用户对移动金融的黏性和使用频率不断提升。同时,移动金融使小额信贷成为可能。小额信贷的贷款人大多是小微企业或个人,单笔贷款金额较小,但笔数多,贷款成本高于大中型企业。张行认为,互联网金融机构可以通过移动金融来批量服务小微客户以降低成本;同时通过传统征信和大数据征信相结合,筛选出具有不同风险偏好的客户,将小微客户信贷打包并转让债权,进一步扶持小微客户发展创新。

  第三,用户规模将是移动金融的关键支撑。由于移动金融小额高频的特点,随着用户数的增加,边际成本将不断降低,需要靠规模经济取胜。张行指出,用户规模和活跃用户数是发展移动金融的关键要素。掌握了移动端的流量入口就占据了发展移动金融的先机。为了构建入口优势,移动金融产品需要以用户为中心,为用户带来优质的支付体验,以增加黏性。

  安全体系将成为构建“互联网+银行”的关键板块

  随着网上银行、手机银行、直销银行的不断涌现和广泛应用,基于互联网的银行业务渠道越来越多。张行强调,互联网安全尤为重要,是银行互联网化的重要基石。

  对于“互联网+银行”目前所存在的安全问题,张行总结主要有以下几点:

  第一,移动设备的安全认证手段较为薄弱。经过十来年的发展,基于PC的网上银行已有了成熟的安全体系,绝大部分采用基于数字证书的安全解决方案。然而,目前在移动金融被广泛应用的用户名密码+短信动态码认证手段的安全等级仍较低。数据显示,在移动金融的诈骗案件中,绝大部分的案件都和密码及短信动态码有关。

  第二,生物识别技术存在信息存储和传输的风险,一经盗用难以吊销。张行分析,虽然生物识别技术的便捷性较好,但存在两个问题,一是人脸识别、指纹识别等技术目前无法达到100%的准确率;二是由于人的生物特征无法改变,一旦泄漏被伪造后将无法吊销。因此,仅依赖于生物识别技术的身份认证暂不适合被大范围地用于开展金融业务。

  第三,SIM卡、SD卡等一体化安全方案存在先天缺陷。由于安全存储单元随时可以与外部进行交互,不能完全断开连接,黑客有机会通过攻击操作系统来控制、调用手机指纹,篡改签名信息。
第四,手机APP广泛存在安全隐患。张行介绍,今年初,中国金融认证中心信息安全实验室对受理的APP软件类项目的检测结果进行了统计。统计结果显示,移动支付类APP的安全问题较为突出,存在应用保护程度不高、软键盘防护能力不足、交易密码明文处理等问题。

  针对以上金融安全问题,张行认为,可以从三大方面入手解决:
第一,在移动金融领域广泛推广电子签名。目前,电子签名是解决身份认证和交易纠纷最有效的手段。对APP进行电子签名,可以保障它的安全性和可追溯性。仅依靠短信验证码等简单的双因子验证方式无法保证交易的安全性。张行说:“电子签名法已颁布十年了,未来将会推广无纸化,大大提升效率。”

  第二,分离式无线签名设备可成为主流。张行表示,长期实践证明,分离式的签名设备是最安全的身份认证方式。苹果、谷歌等厂商均已宣布,由于影响手机做薄,未来可能取消物理接口,而分离式无线签名将成为主流。

  第三,综合使用密码技术、混淆技术以及环境检测等手段,对APP进行整体的安全功能设计。张行建议借助专业安全公司的力量,对APP符合性验证和抗攻击能力进行测试。

  数据资产将成为核心竞争力

  银行与大多数提供基础服务的企业一样,需要靠用户规模取胜。然而,由于用户规模增长所带来的IT成本提升已经严重拉低银行净资产收益率。如果仍采用传统的工作模式,十年之内,传统银行的净资产收益率可能只能勉强与CPI持平。张行指出,银行应该将数据整合,成立统一的数据部门,降低银行综合成本,提高净资产收益率。

  此外,张行提出数据采集与数字分析也至关重要。网络银行的安全保障需要全方位的保护。后台可以基于数据分析建立一套风险监控系统,通过机器学习和神经网络等数据挖掘技术进行智能分析,有效地对网络银行交易数据进行实时风险监控,并依据风险等级进行决策,提供更好的客户体验。

  最后,很多中小型银行由于客户规模较小,数据有限,并不具备大规模获取数据的能力。张行分析,如果银行、公安、法院、互联网企业的失信、欺诈、涉恐名单可以共享,则能够有效抵御风险,防止大量金融风险事件的出现。虽然数据收集能力、数据挖掘和处理能力将决定企业的核心竞争力,但只有当数据成为资产并被有效运用时,才能发挥其最大价值。

客服电话:400-880-9888 销售热线:010-59798680

PC版 微博 微信公众号:CFCA-4008809888