“首届清华五道口全球金融论坛——互联网金融主题论坛”于2014年5月10日在清华大学举办,中国金融认证中心(CFCA)、中国电子银行网作为本次主题论坛的承办单位。作为今年的国内顶级互联网金融论坛,众多业界大佬出席并发表精彩讲话,央行、银监会监管层详解互联网金融监管要义,银行行长与互联网金融新兴代表现场交锋。纵论互联网时代的金融监管与创新,共同展望互联网金融的发展与未来之路。
中国金融认证中心总经理季小杰
中国金融认证中心总经理季小杰出席本次论坛并发言,她指出,互联网金融区别于传统金融,具有虚拟化的服务方式、模糊化的业务边界、开放的经营环境、透明化的市场运行等特点,这些特点在网络微贷、P2P、众筹、网上直销银行等业务形态中都有所体现。
谈到网络信任体系对互联网金融的重要意义,季小杰表示,互联网金融的健康发展依赖于完善的网络身份认证体系和征信体系,这两者正是构成网络信任体系的重要组成部分。关于如何建立满足互联网金融发展的网络信任体系,季小杰提出两点看法:一是可基于银行领域成熟的网络身份认证体系进一步完善互联网金融认证体系;二是基于现有的银行业征信体系,整合资源建立全社会的征信体系。电子凭证能够得到广泛推广的必要条件是它们的法律效力,而基于电子签名的方案是解决电子凭证有效性的有效途径。
以下为现场实录:
很荣幸能有机会在这里与互联网金融界的同仁一起讨论互联网金融下的信息安全问题。互联网金融区别于传统金融,具有虚拟化的服务方式、模糊化的业务边界、开放的经营环境、透明化的市场运行等特点,这些特点在网络微贷、P2P、众筹、网上直销银行等业务形态中都有所体现。
随着互联网金融的快速发展,新技术、新业务形态的不断出现,也使互联网金融面临着日益严峻的信息安全风险挑战。仅在今年短短4个月时间内,就先后出现了“携程漏洞门”、“二维码支付欺诈”、“OpenSSL‘心脏出血’漏洞”等一系列信息安全风险事件。根据国家互联网应急中心数据显示,2014年2月,境内感染网络病毒的终端数为220万余个;境内被篡改网站数量为12428个;信息系统安全漏洞为699个。安全事件的频现将互联网金融的信息安全风险推向了风口浪尖,如何有效防范此类风险事件成为业内广泛探讨的焦点。
下面,我就从网络信任体系建设、数据安全保护和电子凭证的应用等三方面谈一下我对互联网金融安全的理解。如果我们把互联网金融看成一座全新的现代化智能大厦,那么网络信任体系就是这座大厦的框架结构、数据安全保护就是这座大厦的根基、电子凭证的广泛应用就是这座大厦的现代化配套设施,三者缺一不可!
首先我想谈谈网络信任体系对互联网金融的重要意义。
互联网金融与传统金融的最大区别就是他的互联网属性,网络身份的确认、线上融资信用风险、假冒网站、交易欺诈等一系列问题,都是源于网络的虚拟化而带来的信任问题。我认为互联网金融的健康发展依赖于完善的网络身份认证体系和征信体系,而这两者正是构成网络信任体系的重要组成部分。如何才能建立满足互联网金融发展的网络信任体系呢?
一是可以基于银行领域成熟的网络身份认证体系进一步完善互联网金融认证体系。我国政府十分重视网络信任体系的建设,早在2006年就已经下发了《关于网络信任体系建设若干意见的通知》。经过多年来的不断努力,银行业以电子认证为主要手段,结合丰富的网点资源已经在网上银行用户实名认证方面取得了显著成果。
具体操作上,我认为,一方面可以将这些资源延伸到新兴的互联网金融领域,对交易主体进行身份认证;另一方面可以进一步拓展电子认证服务的应用范围,电子认证方面的技术成熟、政策支持,将对身份认证体系的完善起到巨大的促进作用。事实上,已经有不少第三方支付机构依赖银行已有的身份认证体系开展互联网业务。
二是基于现有的银行业征信体系,整合资源建立全社会的征信体系。目前,尽管银行业的个人和企业征信体系已经建成,但在这以外,还有大量的征信信息散落在其他金融机构、互联网公司等处。可以借鉴发达国家的先进经验设计全社会征信体系的总体架构,探索征信产业的发展模式、建立征信相关数据的共享机制、研究科学的信用评价指标,逐步形成全社会的征信体系。在这一过程中,金融机构和互联网企业应持开放的态度,促进资源共享。
接下来我想谈谈数据安全问题。
海量的金融数据在存储和传输过程中,一旦发生泄漏、盗取或被非法添加和窜改等事件,都可能会使各方蒙受巨大损失,甚至可能影响国家金融经济体系的稳定。多年来,银行业主管部门十分重视信息安全的监管和指导,一些大型商业银行也在信息安全防护工作方面,投入了大量的资金和精力,积累了丰富的经验。很多互联网金融企业尚在发展初期,就不得不面对这些棘手的信息安全问题,尤其是数据安全问题。
数据安全在技术方面主要体现在3个方面,一是后台数据库安全,二是数据传输安全,三是数据容灾备份。后台数据库安全要解决核心数据资源面临的“越权使用、权限滥用、权限盗用”等安全威胁;数据传输安全可以通过结合数字证书等安全认证机制和传输加密机制来保障数据传输安全;数据容灾备份是数据安全的一项基础安全防护措施。
数据安全不单纯是一个技术问题,我认为需要从如下几个方面做好工作:
第一,相关监管部门是重要制度保障。主管部门可充分借鉴银行业在信息安全管理方面的经验,针对业务模式的特点,参考或采用现有的互联网信息安全体系,例如计算机系统安全等级保护测评等,制定配套的管理规范、技术标准、技术手段,以此来加强互联网金融企业的数据安全管理水平。
第二,信息安全服务机构是中坚力量。专业化的信息服务机构应该对互联网金融中的各类业务形态及其特征进行研究,提供适用于互联网金融的咨询测评等产品,形成专业的信息安全服务方案,满足互联网金融企业的信息安全需求。
第三,互联网金融企业自身是关键环节。应该加强信息安全风险防范意识,完善风险管理体系,加强防御手段,定期对系统进行风险评估,在涉及关键业务环节采用自主可控的信息安全软硬件产品。
最后我想谈谈互联网金融中可靠电子凭证的应用问题。
传统的纸质凭证无法满足互联网金融的发展需要。以线上供应链融资为例,大量的合同、订单、仓单、提货单等各类凭证都需要实现电子化,在互联网支付、P2P等其他业态中同样有类似的需求,电子凭证发展滞后必将阻碍互联网金融的发展。
电子凭证能够得到广泛推广的必要条件是它们的法律效力。在目前的技术发展条件下,基于电子签名的方案是解决电子凭证有效性的有效途径。我国在2005年颁布了《电子签名法》,确立了电子签名的法律地位。为促进和规范电子签名的使用,相关主管部门还相继出台了一系列涉及管理、应用等方面的规范标准。这些法律规范的颁布为电子签名在互联网金融中的使用奠定了良好的法律基础。
基于现有条件,我认为可以从以下几个方面推进电子凭证在互联网金融中的应用。
首先,大力推广可靠电子签名应用。目前,基于第三方电子认证服务的电子签名在网上银行中已有较成熟的运用,而我们要做的就是将电子签名进一步向供应链融资、网络微贷、P2P、众筹等其他业务形态中推广。
其次,进一步规范电子签名应用规范。根据互联网金融各种业态的具体业务模式,研究制定电子签名应用规范,确保电子签名的可靠性。
再次,完善电子凭证司法鉴定体系。各种互联网金融业务形态都会产生频繁的网上交易活动,这必然会出现交易纠纷。这就需要司法机构完善现有的电子凭证司法鉴定体系,在处理交易纠纷时进行电子凭证的司法鉴定,保障各方的权益。
总之,互联网金融信息安全的风险控制并不是一个简单问题,它即需要国家层面的政策支持、引导,又需要金融机构、互联网企业、信息技术服务企业等每一个参与者的共同努力。我们只有保持对互联网金融信息安全隐患的高度敏感,时刻关注信息安全技术的发展,才能在信息安全管理中获得主动权。CFCA作为金融信息安全领域的代表性企业,希望通过本次论坛和大家充分交流,共享经验,促进互联网金融事业的蓬勃发展,谢谢大家。
手机看中经
经济日报微信
中经网微信
