這次采訪的是深圳市文鼎創(chuàng)數(shù)據(jù)科技有限公司，該公司作為南方地區(qū)為數(shù)不多的線上身份認(rèn)證解決方案提供商，為廣大金融用戶和銀行提供了大量技術(shù)支持和保護(hù)，在金融數(shù)據(jù)安全方面具有一定的話語權(quán)。同時(shí)，該公司的產(chǎn)品早已普及到普通用戶，為普通用戶提供了強(qiáng)大的金融安防護(hù)盾!

受訪人：深圳市文鼎創(chuàng)數(shù)據(jù)科技有限公司營銷總監(jiān) 倪力立

　　用戶心中的金融安全

　　金融安全是整個(gè)貨幣資金融通和金融體系的安全，是全流程、全體系的安全。他與金融風(fēng)險(xiǎn)和金融危機(jī)也是緊密聯(lián)系在一起的。

　　對(duì)于國家來說，金融風(fēng)險(xiǎn)和金融危機(jī)是需要重點(diǎn)防范的方面。因?yàn)橐坏┌l(fā)生，社會(huì)危害是非常大，而金融安全則需要建立在社會(huì)穩(wěn)定的基礎(chǔ)上。這兩者之間的關(guān)系相輔相成，共同構(gòu)建穩(wěn)定的社會(huì)環(huán)境。

　　而在上述的風(fēng)險(xiǎn)和危機(jī)不存在的情況下，企業(yè)和個(gè)人關(guān)心的則是為銀行安全、貨幣安全、股市安全等。而普通用戶更多的是關(guān)心銀行里的貨幣的安全，以及其在流通時(shí)候的安全。

　　病毒，移動(dòng)端的隱患

　　隨著信息技術(shù)的應(yīng)用和電子商務(wù)的快速發(fā)展，金融行業(yè)對(duì)信息技術(shù)的依賴也越來越大，金融安全保障的難度也不斷加大。而互聯(lián)網(wǎng)的應(yīng)用加大了風(fēng)險(xiǎn)的擴(kuò)散效應(yīng)，使得金融業(yè)務(wù)面臨網(wǎng)絡(luò)攻擊、病毒侵?jǐn)_、非法竊取賬戶信息和交易信息等的挑戰(zhàn)。

　　2016年，全球移動(dòng)互聯(lián)網(wǎng)用戶總量將在當(dāng)前基礎(chǔ)上增長兩倍多，即增至29億，其中將近10億來自中國市場，占總數(shù)的34%。第三方安卓商店數(shù)量已經(jīng)有數(shù)百家。與此同時(shí)，移動(dòng)端惡意軟件數(shù)量暴增。2015年上半年，安卓系統(tǒng)安全形勢(shì)持續(xù)嚴(yán)峻，騰訊移動(dòng)安全實(shí)驗(yàn)室上半年數(shù)據(jù)顯示，上半年新增Android病毒包數(shù)達(dá)到596.7萬，同比增長1741%。2015年上半年，安卓系統(tǒng)病毒感染用戶人次達(dá)到1.4億，同比增長58%。其中，手機(jī)支付病毒感染用戶總數(shù)達(dá)到1145.5萬。

　　2015年，隨著移動(dòng)支付產(chǎn)業(yè)的持續(xù)推進(jìn)，互聯(lián)網(wǎng)+概念火爆，移動(dòng)支付迅速發(fā)展，手機(jī)支付病毒盯上了這塊熱門的蛋糕。2015年上半年，手機(jī)支付病毒病毒新增29762個(gè)。支付類病毒多半與竊取隱私相關(guān)，偷取短信、攔截驗(yàn)證碼、上傳轉(zhuǎn)發(fā)隱私數(shù)據(jù)等行為是2015年上半年手機(jī)支付類病毒的典型特征。

　　手機(jī)支付病毒依然是依靠讀取并轉(zhuǎn)發(fā)用戶手機(jī)支付類短信驗(yàn)證碼的病毒行為，再通第三方網(wǎng)絡(luò)支付工具發(fā)起快捷支付，從而實(shí)現(xiàn)對(duì)綁定銀行卡的盜刷。

　　為此，國家發(fā)改委先后發(fā)文，組織和實(shí)施對(duì)于信息安全產(chǎn)業(yè)的產(chǎn)品支持。并建立了以“一行三會(huì)”為主的信息安全保障機(jī)制。

　　銀行如何保障個(gè)人信息安全?

　　首先，金融機(jī)構(gòu)通過基于PKI機(jī)制實(shí)現(xiàn)用戶身份的鑒別，基于PKI技術(shù)的數(shù)字證書已經(jīng)成為保障網(wǎng)絡(luò)金融交易的主要工具。通過PKI技術(shù)加強(qiáng)身份認(rèn)證、嚴(yán)格控制登錄者的操作權(quán)限，實(shí)現(xiàn)對(duì)操作系統(tǒng)和應(yīng)用系統(tǒng)的嚴(yán)格授權(quán)管理和訪問控制機(jī)制。

　　其次，通過采用服務(wù)器證書可實(shí)現(xiàn)對(duì)網(wǎng)站的可信性認(rèn)證，有效防范網(wǎng)站釣魚等金融詐騙。

　　第三，手機(jī)短信驗(yàn)證、安全令牌等安全產(chǎn)品也在一定程度上保障了金融交易安全，并得到了廣泛應(yīng)用。

　　第四，人民銀行針對(duì)RSA1024被破解、云備災(zāi)安全風(fēng)險(xiǎn)、支付空間的漏洞、銀行卡交易信息被截取等方面的風(fēng)險(xiǎn)都開展了研究。

　　PKI機(jī)制，信息安全的守護(hù)者

　　目前在銀行安全中，級(jí)別較高的是PKI技術(shù)，在這里主要談該技術(shù)如何保障個(gè)人用戶的信息和交易安全。

　　PKI是建立在公鑰加密技術(shù)之上的，那么要了解PKI則首先要看一下公鑰加密技術(shù)。加密是保護(hù)數(shù)據(jù)的科學(xué)方法。加密算法在數(shù)學(xué)上結(jié)合了輸入的文本數(shù)據(jù)和一個(gè)加密密鑰，產(chǎn)生加密的數(shù)據(jù)(密文)。通過一個(gè)好的加密算法，通過密文進(jìn)行反向加密過程，產(chǎn)生原文就不是那么容易了，需要一個(gè)解密密鑰來執(zhí)行相應(yīng)的轉(zhuǎn)換。

　　密碼技術(shù)按照加解密所使用的密鑰相同與否，分為對(duì)稱密碼學(xué)和非對(duì)稱密碼學(xué)，前者加解密所使用的密鑰是相同的，而后者加解密所使用的密鑰是不相同的，即一個(gè)秘密的加密密鑰(簽字密鑰)和一個(gè)公開的解密密鑰(驗(yàn)證密鑰)。在傳統(tǒng)密碼體制中，用于加密的密鑰和用于解密的密鑰完全相同，通過這兩個(gè)密鑰來共享信息。這種體制所使用的加密算法比較簡單，但高效快速，密鑰簡短，破譯困難。然而密鑰的傳送和保管是一個(gè)問題。例如，通訊雙方要用同一個(gè)密鑰加密與解密，首先，將密鑰分發(fā)出去是一個(gè)難題，在不安全的網(wǎng)絡(luò)上分發(fā)密鑰顯然是不合適的;另外，任何一方將密鑰泄露，那么雙方都要重新啟用新的密鑰。

　　1976年，美國的密碼學(xué)專家Diffie和Hellman為解決上述密鑰管理的難題，提出一種密鑰交換協(xié)議，允許在不安全的媒體上雙方交換信息，安全地獲取相同的用于對(duì)稱加密的密鑰。在此新思想的基礎(chǔ)上，很快出現(xiàn)了非對(duì)稱密鑰密碼體制，即公鑰密碼體制(PKI)。自1976年第一個(gè)正式的公共密鑰加密算法提出后，又有幾個(gè)算法被相繼提出。如Ralph Merkle猜謎法、Diffie-Hellman指數(shù)密鑰交換加密算法、RSA加密算法、Merkle-Hellman背包算法等。目前，結(jié)合使用傳統(tǒng)與現(xiàn)代加密算法的具體應(yīng)用有很多，例如PGP、RIPEM等加密軟件，是當(dāng)今應(yīng)用非常廣的加密與解密軟件。公共密鑰算法的基本特性是加密和解密密鑰是不同的，其中一個(gè)公共密鑰被用來加密數(shù)據(jù)，而另一個(gè)私人密鑰被用來解密數(shù)據(jù)。這兩個(gè)密鑰在數(shù)字上相關(guān)，但即便使用許多計(jì)算機(jī)協(xié)同運(yùn)算，要想從公共密鑰中逆算出對(duì)應(yīng)的私人密鑰也是不可能的。這是因?yàn)閮蓚€(gè)密鑰生成的基本原理根據(jù)一個(gè)數(shù)學(xué)計(jì)算的特性，即兩個(gè)對(duì)位質(zhì)數(shù)相乘可以輕易得到一個(gè)巨大的數(shù)字，但要是反過來將這個(gè)巨大的乘積數(shù)分解為組成它的兩個(gè)質(zhì)數(shù)，即使是超級(jí)計(jì)算機(jī)也要花很長的時(shí)間。此外，密鑰對(duì)中任何一個(gè)都可用于加密，其另外一個(gè)用于解密，且密鑰對(duì)中稱為私人密鑰的那一個(gè)只有密鑰對(duì)的所有者才知道，從而人們可以把私人密鑰作為其所有者的身份特征。根據(jù)公共密鑰算法，已知公共密鑰是不能推導(dǎo)出私人密鑰的。最后使用公鑰時(shí)，要安裝此類加密程序，設(shè)定私人密鑰，并由程序生成龐大的公共密鑰。使用者向與其聯(lián)系的人發(fā)送公共密鑰的拷貝，同時(shí)請(qǐng)他們也使用同一個(gè)加密程序。之后他人就能向最初的使用者發(fā)送用公共密鑰加密成密碼的信息。僅有使用者才能夠解碼那些信息，因?yàn)榻獯a要求使用者知道公共密鑰的口令，那是惟有使用者自己才知道的私人密鑰。在這些過程當(dāng)中，信息接受方獲得對(duì)方公共密鑰有兩種方法：一是直接跟對(duì)方聯(lián)系以獲得對(duì)方的公共密鑰;另一種方法是向第三方即可靠的驗(yàn)證機(jī)構(gòu)(如Certification Authority，CA)，可靠地獲取對(duì)方的公共密鑰。

　　現(xiàn)在，我們可以看PKI的定義：PKI(Public Key Infrastructure)是一個(gè)用非對(duì)稱密碼算法原理和技術(shù)來實(shí)現(xiàn)并提供安全服務(wù)的具有通用性的安全基礎(chǔ)設(shè)施，是一種遵循標(biāo)準(zhǔn)的利用公鑰加密技術(shù)為網(wǎng)上電子商務(wù)、電子政務(wù)的開展，提供一整套安全的基礎(chǔ)平臺(tái)。PKI，公鑰基礎(chǔ)設(shè)施，顧名思義，PKI技術(shù)就是利用公鑰理論和技術(shù)建立的提供網(wǎng)絡(luò)信息安全服務(wù)的基礎(chǔ)設(shè)施。PKI管理平臺(tái)能夠?yàn)榫W(wǎng)絡(luò)中所有需要采用加密和數(shù)字簽名等密碼服務(wù)的用戶提供所需的密鑰和證書管理，用戶可以利用PKI平臺(tái)提供的安全服務(wù)進(jìn)行安全通信。

　　PKI公開密鑰基礎(chǔ)設(shè)施能夠讓應(yīng)用程序增強(qiáng)自己的數(shù)據(jù)和資源的安全，以及與其他數(shù)據(jù)和資源交換中的安全。使用PKI安全基礎(chǔ)設(shè)施像將電器插入墻上的插座一樣簡單。

　　目前，我國金融機(jī)構(gòu)使用的PKI產(chǎn)品，核心的安全芯片已經(jīng)全部國產(chǎn)化，嵌入式軟件和應(yīng)用軟件均已全部國產(chǎn)化，同樣，在流程中，金融機(jī)構(gòu)的柜面也為這個(gè)技術(shù)保障了初始化的安全。所有這些組合在一起，保障了整個(gè)金融交易系統(tǒng)和流程的安全。

　　安全，防范大于未然

　　移動(dòng)互聯(lián)網(wǎng)應(yīng)用的不斷發(fā)展，用戶對(duì)體驗(yàn)的期望不斷提升。金融安全的保障方案也會(huì)越來越細(xì)分。

　　深圳市文鼎創(chuàng)數(shù)據(jù)科技有限公司營銷總監(jiān)倪力立稱：我們需要關(guān)注其中的兩大趨勢(shì)，首先是標(biāo)準(zhǔn)，國際標(biāo)準(zhǔn)已經(jīng)走在前面。國際FIDO聯(lián)盟(線上快速身份驗(yàn)證聯(lián)盟)已經(jīng)建立并致力于推廣全球統(tǒng)一的在線驗(yàn)證標(biāo)準(zhǔn)。該聯(lián)盟已有200多家分布在全球、涉及整個(gè)產(chǎn)業(yè)鏈的企業(yè)加入，其中包括Google，ARM，Intel，Lenovo等。這個(gè)標(biāo)準(zhǔn)確立后，不僅金融安全，涉及未來的智能家居，自動(dòng)駕駛以及各種人工智能等領(lǐng)域，都可使用該標(biāo)準(zhǔn)進(jìn)行身份認(rèn)證和接入控制，從而保障移動(dòng)互聯(lián)網(wǎng)各種應(yīng)用的安全。我司已經(jīng)成為該組織的成員并獲得了該組織頒發(fā)的產(chǎn)品認(rèn)證。而實(shí)際應(yīng)用該技術(shù)最多、發(fā)售產(chǎn)品規(guī)模最大的中國，在相關(guān)國際標(biāo)準(zhǔn)的制定和引導(dǎo)方面相對(duì)落后。

　　其次，根據(jù)應(yīng)用場景，匹配最佳的用戶體驗(yàn)和安全方案將是未來的趨勢(shì)。其中將包括各種生物因素的認(rèn)證介入，輔助以其他方式達(dá)到既安全又便捷的體驗(yàn)。然而，生物識(shí)別是穩(wěn)定不變的識(shí)別方式，用于識(shí)別個(gè)人是最好的方式之一，但對(duì)于互聯(lián)網(wǎng)化的今天，如果生物數(shù)據(jù)在傳輸過程中被黑客盜取，生物識(shí)別將成為不安全的因素之一，所以生物識(shí)別通常起輔助識(shí)別作用。

　　在軟件安全方面，文鼎創(chuàng)作為研發(fā)制造智能密碼鑰匙、移動(dòng)支付設(shè)備、IC卡、IC卡讀寫設(shè)備以及各類智能卡應(yīng)用系統(tǒng)的科技型企業(yè)，對(duì)設(shè)備安全管理較為嚴(yán)格。據(jù)了解，在設(shè)備研發(fā)過程中，企業(yè)自身技術(shù)團(tuán)隊(duì)會(huì)對(duì)設(shè)備軟件系統(tǒng)進(jìn)行惡意攻擊，尋找軟件漏洞，從而做到軟件系統(tǒng)安全穩(wěn)定。