群英荟萃 “数说”移动金融安全产业发展

实习编辑 11人阅读 分享 举报 04-20 标签：移动金融 金融安全 信息安全 支付安全 技术风险

1个回答

11月15日，由北京移动金融产业联盟、移动支付网共同主办的2018第三届中国移动金融安全大会在深圳召开。 会议主题为“科技赋能，数据安全”，来自中国人民银行、中国密码动物学会、中国信息通信研究院、中国农业银行、招商银行、中国银联、银行卡检验所的代表参加中心、清华大学、金杜律师事务所、邦邦安全、IFAA等产学研机构就风险管理、数据安全、金融科技、移动安全等话题进行深入分析，全面探讨互联网金融的未来中国移动金融安全。

本次会议吸引了500余名行业各界专业人士参会。 上午，深圳市商用密码行业协会首席执行官李震主持了“主题演讲与数据安全论坛”。

主题论坛：金融安全政策、应用与体系

首先，北京移动金融产业联盟秘书长班廷伦代表主办方致辞。 他结合相关政策导向，从四个方面阐述了对移动金融安全的看法。 他认为：1、个人信息保护是金融安全的基础； 2、开放合作是提升金融安全的必由之路； 三、金融安全是整体金融安全的重要组成部分。 产业链很重要； 四、金融科技政策为金融安全发展指明方向。

他表示，金融科技方兴未艾，将为金融发展注入活力。 联盟作为移动金融领域的第三方交流合作平台，将继续发挥桥梁和纽带作用，遵守国家和央行相关政策，团结行业各方，推动移动金融发展。金融业。

神秘动物学在普通人眼中是一门神秘的学科。 人们常常听到它的名字却没有意识到，感觉密码技术离自己的生活很遥远。 事实上，密码是解决网络安全最有效、最可靠、最经济的手段。 随着互联网的快速发展，它们已经渗透到我们生活的各个角落，金融领域也不例外。

中国密码动物学会密码学评估专业委员会主任委员李大伟为我们分享了“商用密码学在金融安全中的应用与评估”的主题。

首先，李大伟简单介绍了商用加密的特点。 密码具有真实性、保密性、完整性和不可否认性，是保证安全的核心技术。 我国的加密技术水平总体处于世界前列。 随后他向我们介绍了国家有关密码的相关规定，并详细讲解了各金融行业的密码要求。 他强调密码测试，因为密码测试是执行密码标准、维护密码市场的核心环节。 最后，李大伟介绍了区块链与密码学的关系。 从密码学工程师的角度来看，区块链是解决分布式账本不可篡改、不可伪造问题的密码学应用。 此外，移动金融是目前最重要的金融服务，与之配套的移动金融安全系统也是当前研究的重点。

中国农业银行技术产品管理局高级专员金鑫以《移动金融安全体系建设探讨》为题，与我们分享了他对金融安全的见解。 如今的移动金融正在向生态方向发展，聚焦金融产品，深度探索生态场景。 在安全方面，移动金融安全广泛采用生物识别技术，需要芯片级安全。

面对移动金融的变化，风控也有了新的要求。 数据驱动的云智能风控成为焦点。 移动金融安全体系也从传统的终端+业务安全转向终端+云+网络安全。

数据安全论坛：金融安全基于数据安全

现在是大数据时代。 有人说，有了数据，就拥有了一切，但只有善于利用数据，才能赢得一切。 招商银行大数据卓越中心曾政在《大数据时代商业银行治理》中与我们分享了他在数据治理方面的经验。 我国商业银行过去几十年积累了大量数据，但对数据的利用往往效率低下，无法提取最大价值。

曾峥认为，完善大数据时代的数据治理，首先需要进行组织建设，形成统一、自上而下、分工明确、密切配合的组织架构。 然后提供标准化流程，从数据信息来源、质量、使用效率、计算能力四个方面开展工作。 她认为，确保用户隐私和数据使用安全是释放数据价值的基石。

清华大学网络与信息安全研究室高级安全顾问魏可为我们分享了主题“PCI DSS合规性与网络信息安全体系建设”。 魏科认为，网络信息安全的目标是保护数据/隐私：保护网络就是保护数据传输，保护主机和应用安全就是保护数据处理，保护数据中心和IT基础设施就是保护数据存储。 魏克表示，合规是实现信息保护的基本途径。

随后以PCI DSS为例进行了介绍，并详细解释了PCI DSS合规性的各个方面。 魏克认为，当前网络信息安全领域的对抗是不对称的。 与进攻方相比，防守方在数量、能力、决心上都相差甚远，难以匹敌。 他认为，保护信息安全需要了解网络的基本概念——CIA，首先培养安全意识，其次建立基本的网络信息安全管理理念。 他强调，数据分类和网络安全建设都很重要。

随着时代的发展，企业的工作形式也在发生变化。 虽然办公室还是需要一套桌椅，但是这套桌椅可以在任何地方。 移动设备上的企业数据的安全性变得越来越重要。 北亚区高级业务总监丁海从人员、工作场所、工作流程三个方面以“如何保护移动终端上的企业数据安全”为主题进行演讲，分享了最新的企业数据安全防护解决方案。

在人员方面，使用自带设备、新应用、新设备提供随时随地的无限制访问已成为趋势。 希望所有终端都可以通过单一面板进行管理，带来无拘无束的用户体验。 在工作场所方面，用户正在变得远程和移动，从使用笔记本电脑转向使用手机工作是一个关键趋势。 鼎海表示，它打造了一款可无缝访问的可移动桌面设备，支持各种智能移动设备，让工作场所不再局限于会议室。 在工作流程方面，希望通过安全协作，使APP之间安全兼容，实现内容的无缝共享，保证账户和数据的安全。

移动金融的发展离不开数据的利用。 利用大数据、云计算等技术可以提高效率、降低成本，让金融服务更加灵活普惠。 然而，数据的使用需要合规、合法。 北京金杜律师事务所宁宣峰的分享主题为“从中国网络安全法和欧洲通用数据保护条例看移动金融行业的数据合规”。 宁宣峰认为，当前移动金融行业发展存在三个关键合规问题：1、个人敏感信息处理合规问题； 2、跨境业务的法律适用及数据流动风险控制问题的认定； 3、业务外包场景中的数据传输和数据安全问题。

敏感个人信息处理中的合规问题主要与个人信息的收集和使用有关。 对于个人敏感信息，《个人信息安全规范》和欧盟GDPR都有更严格的处理规则。 在数据使用方面，当数据共享不可避免时，如何控制合规风险就显得尤为重要。

移动安全联盟秘书长杨正军主持下午的“交易安全与合规发展论坛”。 产业链上下游各方从不同角度分析了当前移动金融交易安全与合规发展问题。

金融科技让交易安全便捷

支付领域的交易安全一直备受关注。 随着金融科技的发展，安全由各种技术创新定义。 金融科技在先进科技的支持下，让交易变得安全、便捷。

中国信息通信研究院泰尔终端实验室高级项目主任翟世军介绍了移动终端系统漏洞长期存在的三大原因：

首先，系统漏洞数量较多，大部分漏洞修复需要依赖操作系统厂商和芯片厂商发布的官方补丁； 同时，系统碎片化严重，大多数设备厂商都会定制开发原生系统，甚至是操作系统和芯片厂商。 ，无法控制所有终端的漏洞修复和版本更新。

其次，操作系统的稳定性对于终端厂商来说至关重要。 系统稳定性差会带来大量投诉和撤单，给设备制造商造成重大损失。 新的系统版本或安全更新需要经过广泛的测试。 将推送给用户。 由于人力和成本原因，操作系统的安全更新无法及时到达最终用户。

第三，设备制造商产品线众多，碎片化严重。 有些产品是由解决方案提供商设计和生产的。 他们缺乏相应的开发和维护团队，无法对所有在售型号进行错误修复。

邦邦安全高级安全顾问赵千里也较为详细地分析了终端应用运行的风险，包括终端设备不可信、运行环境不可信、运行方式不可信和本地逻辑不可信四个方面。

基于这种情况，邦邦安全还推出了集感知、拦截、溯源于一体的移动威胁感知平台，让金融机构通过主动防御来防范各种风险。 从技术和理念的角度来看，棒棒安全将防御战线向前推进，从攻击技术的源头上识别和检测各种攻击，将防御从预防坏事转变为识别坏人。

金融科技正在让交易变得更加安全。 生物识别技术是一种能够平衡安全性和便利性的技术。 这也是近年来移动金融行业的热门话题。 但与苹果相比，生态系统存在产业链长、碎片化严重等问题。 由蚂蚁金服、中国信息通信研究院、华为、三星、中兴等单位联合成立的互联网金融身份认证联盟（“IFAA”），解决了生态系统中存在的上述问题。

IFAA营销负责人姚庆宇表示，今年双十一期间，在IFAA的助力下，支付宝生物支付比例超过60%。 经过三年的发展，IFAA拥有超过200家联盟成员，支持36个手机品牌、380多个手机型号，覆盖超过12亿台设备，指纹+人脸用户总数超过3亿。

面对当前的交易安全问题，特别是当短信验证码的安全性逐渐降低的情况下，它们已经不再适合用于支付验证。 沃通电子认证服务有限公司CEO王高华带来了一种新的支付验证思路——通过加密电子邮件完成。 他认为加密电子邮件可以解决四个方面的安全问题。

（1）通过加密邮件发送各种验证码，替代不安全的短信验证码；

（2）通过加密邮件找回账户密码或重置账户密码；

（3）通过加密电子邮件向用户发送电子账单等，并附有身份认证签名信息，帮助用户有效识别欺诈电子邮件；

（4）通过加密电子邮件为用户提供在线客户服务。

面对可能存在的交易安全，良好的风险控制将大大减少损失，甚至提前消除支付风险。 盒子科技副总裁严俊岭结合实际场景，生动地分析了当前风控中遇到的问题。

同时，她认为风险控制的发展分为三个阶段。 首先，传统风险管理依赖人工审核，造成信息孤岛、主观判断、效率低下。 二是大数据风险管理，基于大数据分析和机器学习，可以完成实时响应，但需要复杂的网络。 第三是现在的人工智能风险管理，结合了生物识别、云计算、AI、区块链等技术，全方位保障信息安全，就像战国时期，多种技术结合起来满足风险控制要求。 ，这也是风控未来的发展方向。

说到金融科技，就不得不提到人工智能。 能鑫安技术总监马小龙分析了人工智能与身份认证相结合的五大优势，包括：

合规创新让一切步入正轨

金融科技的快速发展给人们的生活带来了便利，但也出现了许多违法违规行为。 如何让金融科技在合规下自由运行，发挥其最大的服务作用，也是本次大会讨论最深入的话题。

宏业远图副总经理徐胜贵从146号文入手，洞察了当前支付通证化实施的监管要求。 排查工作依据中，第一个标准规范是《支付通证化技术规范》，要求商业银行、支付机构、清算机构对数据安全和交易安全进行全面检查。 此外，2016年央行发布的170号文件是第一个要求应用支付通证化技术的文件。

监管要求就是市场机会。 徐胜贵认为，推广支付通证化技术有三大意义：一是从源头控制信息泄露风险； 第二，降低交易欺诈风险； 三是推动产业创新发展。 在此前提下，每一个垂直场景都可以找到支付通证化的一席之地。

中国银联移动POS产品负责人郭伟向观众介绍了一款“黑科技”产品，可以将手机变成POS，实现安全支付。

郭伟介绍，在中国人民银行的指导下，中国银联依据中国人民银行《智能终端支付可信环境技术规范》，参考PCI最新移动POS安全规范，与国内外主流手机厂商及相关产业链合作，设计开发移动POS产品及系统。

目前，移动POS的适用场景主要是小微商户、农村市场、国际市场。 值得一提的是国际市场。 郭伟介绍，海外卡组织也在布局基于SPOC+ Tap On Phone的移动POS领域。 未来移动POS将在全球范围内普及。

对于银联来说，从硬件产品到软件产品，基于TEE安全的移动POS可以帮助银联推动整个收单行业降低部署和维护成本，从而提高服务质量，为中小企业节省资金流转成本。

在金融科技主导全球的同时，央行监管机构也对支付安全感到担忧。 银行卡检测中心高级专家郑铮详细分析了146号文件《关于开展支付安全风险专项排查的通知》，总结了本次检查的重点项目。

主要包括4个方面：

1.持续监管完善：强化安全风险防控机制，开展异常交易检测，完善事前事中机制，持续优化风险策略，强化联动处置，防范处置群体性事件。

2、检测认证、整改加固：按照国家、行业、协会、银行卡组织的相关标准和要求，开展检测认证，开展差距识别和整改，提高金融支付安全风险防控机制。

3.支付安全标准体系。各行业部门组织指导信息安全相关国家标准、行业标准、协会标准、企业标准的制定，协同构建金融支付安全标准体系。

4、检测政策要求：人民银行、公安部、工信部等监管部门将出台金融支付风险相关文件，部署防控工作，维护金融支付风险底线。不存在系统性风险。