首页 > 独家新闻  > 正文

CFCA马春旺:安全保障让移动金融走的更快更稳

    来源:中国电子银行网

  2015年12月10日,由中国密码学会主办,北京商用密码行业协会协办的“2015年全国商用密码展览会”在北京展览馆隆重开幕,展会为期三天,共有来自全国的211家企业参展。中国金融认证中心技术支持部总经理马春旺出席展会现场并发表演讲。

CFCA马春旺:安全保障让移动金融走的更快更稳

  各位领导、各位嘉宾下午好,很高兴联盟给我这样一个机会在这里与大家交流。我是来自中国金融认证中心技术部马春旺。我今天跟大家分享的内容是“移动安全在金融领域的应用”。

  我今天分享的内容有三个方面:移动金融安全面临的问题和挑战、移动金融安全解决之道、对未来移动金融安全的思考。

  首先我简单分析一下移动金融安全面临的问题和挑战。移动金融已经逐步融入到我们的生活中,越来越多的人使用手机进行转账、缴费、消费等。我国移动互联网手机用户超过5亿,5大行的手机银行客户也近2亿。与此同时,我国手机病毒也随着应用的普及快速增长。数据显示中国手机病毒增长超过400%,已经进入高发期。移动金融也属于互联网金融,所以它有着互联网金融共同的安全问题,同时由于移动金融终端环境的不同,所以也有新的问题。

CFCA马春旺:安全保障让移动金融走的更快更稳

  从业务方面来看,移动金融主要面临四个方面的问题:如何确保交易参与各方的身份可信、交易环境安全如何保障、交易结果是否具有法律效力、是否具备交易行为风险分析的能力。在虚拟的网络环境中,无论是传统互联网业务还是移动互联网业务,身份认证始终是主 要的安全需求之一,而且现在已经成为影响互联网金融发展的关键因素。对于PC平台来说,终端环境的防护,无论是从操作系统层面还是从防病毒软件方面、应用自身的防护方面都是比较成熟的,而对于移动终端设备,尤其是基于安卓系统的移动终端,由于其系统的开放性,给移动金融带了很多新的安全风险。对于交易的法律效力问题,可以通过电子签名服务解决,对于PC平台来说这是很成熟的了,但对于移动平台来说,虽然说目前技术很多,但真正广泛应用的还不多。欺诈对于互联网业务也是个很大的风险,我们通过很多技术堵住了一些安全漏洞,但如何通过行为分析防止欺诈也是很关键的。

  以上是从业务层面分析了移动金融的安全问题。这也就给我们这些技术人员提出了需求,当然也是提供了商业机会。那么,我也从技术角度分析一下移动金融面临的典型安全问题。首先是如何更好地把电子签名技术在移动金融业务中用起来,用以解决身份认证问题和交易的法律效力问题。移动金融自身也面临很多安全问题,比如容易被反编译从而加入恶意代码重新发布,很多应用商店对应用审查不严,从而发布了嵌入恶意代码的金融应用,发布假APP,甚至有些应用商店自己也有一些恶意行为。由于安卓操作系统的开放性,也容易被植入恶意程序,甚至你打开一条彩信,病毒就到了你的手机里边。对于传输的安全、钓鱼网站、诈骗案件这些风险,在移动金融中相对于PC平台是有增无减的。

  针对移动金融面临的这些安全问题,我也把我们的一些解决方案跟大家简单分享一下。

  CFCA的方案主要从四个方面解决安全问题:

  1)人员可信: 网络身份认证、移动终端数字证书介质;

  2)环境可信:客户端安全、服务器安全

  3)行为可信:监测欺诈交易行为 、对交易行为进行签名

  4)合规合法:遵循相关法律法规,如电子签名法,并可司法落地。

  首先针对人员可信,CFCA从两个方面做了工作:

  提供基于网银证书、银行卡、身份证等方式的可靠的实名鉴证服务,广泛用于金融网销、P2P借贷平台、互联网支付等场景。作为基础的互联网身份认证权威库,认证数据包括:8000万个人网银证书,1200万企业证书,银行卡认证方面支持超过200家的商业银行机构,同时还支持全国公民身份信息。

  目前CFCA的网络身份认证平台已经给很多互联网应用提供服务。以人民银行征信中心为例。随着我国信用体系建设的进一步深入,社会公众信用意识不断提高,了解本人信用状况的需求量日益增加。为方便社会公众便捷地获取本人信用信息,进一步拓宽个人征信系统服务渠道,中国人民银行征信中心建设了基于互联网运行的个人信用信息服务平台(以下简称平台)。个人在网上查询征信信息要确保

  • 查询申请由本人提交。只有经过严格的身份验证,才能提交信用信息查询申请。

  • 确保查询结果由本人查看。只有持有身份验证码,才能查看信用信息。

  • 确保信息保存安全。从获得可以查询的反馈通知之日起,信用信息仅在平台的互联网端存放7天,到期后会自动删除。

  目前支持认证方式包括:通过CFCA数字证书确认个人身份;通过带有银联标识的银行卡确定个人身份;通过在线回答问题方式确认个人身份。

  提供多种可以在移动端应用数字签名的产品和方案。

CFCA马春旺:安全保障让移动金融走的更快更稳

  我们都知道,证书存储介质经历了几个阶段。2009年之前,网银数字证书载体主要已一代Key为主,2009年以后随着黑色产业链的发展,对Key有了更高安全性要求——“所见即所签”,二代Key由此在金融领域应用,一定程度上杜绝了木马病毒。发展到2011,2012年左右,手机银行等相金融服务的开展,使得证书载体逐步向解决PC、手机、移动跨平台和易用性转变。2013年,CFCA针对移动端安全认证,推出了优蓝蓝牙型智能密码钥匙。

  另外一方面,金融IC卡大面积推广,而金融IC卡采用java平台,可以在一张IC卡上实现多应用,同时目前推的IC卡都是双界面卡,支持NFC通讯。目前国内发行的主流手机品牌基本都已经支持NFC协议。我们可以把金融IC卡作为X509证书的载体,通过NFC机制,把电子签名服务应用与移动金融上。

  移动客户端面临的安全威胁包含:

  钓鱼网站:钓鱼网站通过伪装成业务系统,窃取用户提交的账号、密码等私密信息,给用户造成重大损失

  网络监听、报文篡改:黑客通过网络监听,监视用户网络状态、信息传输,甚至拦截并篡改报文,获取用户私密信息

  权限控制、审计追踪:系统必须具备系统管理员权限控制、审计追踪功能,防止管理员越权操作和违规操作

  结合近几年CFCA帮助金融客户构建手机银行安全的经验,我们提出构建多维度的网银客户端安全环境包含:

  应用层面的安全:如防键盘钩子,防录屏等一些安全手段。

  客户端APP加固: 清场、静态代码加固、APP异常行为监控

  APP监测:监测手机应用商店上的假APP

  针对站点安全、和代码(APP)的安全认证,CFCA是国内第一批通过Webtrust认证,遵循全球统一鉴证标准。推出国产服务器证书的电子认证机构。同时,积极响应国家对国产化的要求,支持国密SM2等多种算法 。确保金融领域服务器认证、代码签名安全。

  目前有很多技术手段可以解决操作系统、网络、应用的安全问题,弥补安全漏洞。但是欺诈案件也给金融业务带来了很大的风险,给客户造成经济损失。欺诈案件从传统的安全角度来看,银行业务系统会认为是一笔正常的交易,登录系统的身份是真实的,用于交易的动态口令、短信验证码也是真实的。为了应对这种情况,防患于未然,我们提供了交易监控及反欺诈系统,通过交易行为的分析,寻找异常交易,进行拦截或报警。

CFCA马春旺:安全保障让移动金融走的更快更稳

  CFCA的交易监控和反欺诈系统在金融领域有广泛的应用。系统中采用了先进大数据分析技术,同时数据分析模型也是通过多年的经验积累不断优化后。目前CFCA也申请了国家项目,作为金融领域的欺诈信息共享平台,汇聚了多个渠道的信息,为金融领域提供服务。

  无纸化是IT发展的必然趋势,业务无纸化可以节省大量的纸张,节省单据保管所产生的成本,环保,符合国家倡导。无纸化传统的安全方案可以通过USBKey数字证书+数字签名解决。移动端无纸化电子单据安全问题如何解决是移动展业开展面临的“最后一公里。”主要面临的问题就是“电子单据的签名方式”、“签名方式或行为是否具备法律效力”

  通过手写技术和PKI技术相结合,提供有法律效力的的无纸化安全方案,可用于移动营销无纸化和柜面无纸化。拿金融移动展业场景来看,业务员使用移动设备为客户办理相关业务,通过有效的终端身份鉴证和符合电子签名法的手写数字签名确保业务的合法性。

  以上介绍了CFCA目前在移动金融安全所研究的一些成果和案例。随着金融业务的创新和发展,接下来谈一下对于未来金融移动安全的思考。

  随着云技术的发展,使得电子签名的提供方式在未来也将发生改变。传统签名产品和技术如何适应云环境?移动互联网时代用户对于电子签名的需求发生着变化:用户期望签名简单易用,体验良好,使用成本低,可按需签名。传统的签名需要安装一系列的客户端、驱动程序,使用USBKey等,对于小白用户来讲有些复杂。业务方面,期望符合法律效率,安全合规且推广简单。

  CFCA提供了一个权威、安全及开放的第三方基础签名服务平台。该平台可以面向互联网应用提供数据签名服务和互联网认证服务。把手机作为安全认证载体,无需携带其他外设,随时随地、安全便捷的使用电子签名服务。有效的分担金融客户的业务风险,推动金融互联网应用的创新发展。

分享>

相关推荐

切换至PC版
302 Found

302 Found


Powered by Tengine
tengine