人臉識別和指紋識別等生物識別技術當下受熱議，談及移動金融安全的問題，中國金融認證中心總經理季小杰表示，目前金融領域僅僅依賴生物識別技術，還不夠成熟，銀行在做一些相關應用，但并未完全依賴這一技術，可以疊加其他安全手段，以保證身份真實性以及交易私密性等。

　　中國金融認證中心總經理季小杰

　　季小杰有豐富電子認證的管理經驗，關注各項新技術發展和信息安全趨勢。5月24日，她在清華五道口全球金融論壇上發言時介紹，中國電子銀行網對2014年銀行年報中披露手機銀行情況進行統計，數據顯示，手機銀行用戶數已達到4.165億，同比增長32.64%。隨著近年互聯網企業的移動金融強勁發展，生物識別、距離無線通信(NFC)成為熱門技術，季小杰表示，可以預見基于移動終端以客戶為中心的移動金融將成為未來金融服務的發展模式。

　　同時，她也指出四個方面的移動金融安全問題。首先，與PC平臺成熟的安全體系相比，移動設備的安全認證手段還相對薄弱。經過金融行業多年的研究和建設，基于PC的網上銀行已經有比較完善的安全體系，絕大部分銀行采用基于數字證書安全解決方案，比較起來，目前在移動金融中應用最廣泛的“用戶名密碼+短期動態碼”認證手段的安全等級就較低。“數據顯示，在移動金融的詐騙案件中絕大部分的案件都和密碼、短信動態碼有關”。

　　其次，盡管有使用便捷的有點，基于生物特征的生物身份識別技術存在著一旦被盜用將無法吊銷的風險。目前存在兩個問題，第一，無論人臉識別還是指紋識別等技術都無法達到100%準確;第二，盡管人的生物特征不能改變，但泄露生物特征的途徑卻很多，一旦被偽造將無法吊銷，“僅依賴生物識別技術進行身份認證的措施還不適用于大范圍的金融業務”。

　　第三，SIM卡、SD卡一體化安全方案有先天缺陷。季小杰介紹，由于安全存儲單元隨時與外部交互，不能完全斷開鏈接，與手機結合一起，就像一代智能密碼鑰匙，存在黑客通過攻擊操作系統來控制、篡改簽名的風險。

　　此外，APP安全問題也不容忽視。她介紹，2015年初，中國金融認證中心信息安全實驗室從軟件安全、應用交易安全以及APP環境安全三個維度，對受理的APP軟件類項目的檢測結果進行統計，結果看移動支付類APP的安全問題較突出，存在著應用保護程度不高，軟件盤防護能力不強，交易密碼明文處理等問題，“黑客很容易可以利用這些弱點偽造交易”。

　　針對這些問題，季小杰建議，通過三方面解決移動金融的安全問題。

　　首先，在移動金融領域廣泛推廣電子簽名應用。2015年是《電子簽名法》頒布十周年，該法的實施解決了電子發票、電子合同等電子交易的完整性、真實性以及抗抵賴性問題。季小杰說，目前電子簽名是解決身份認證和交易糾紛最有效的手段，同時對APP進行電子簽名還能保障其安全性和可追溯性。

　　其次，分離式無線簽名設備將成為未來的主流。她表示，長期實踐證明分離式的簽名設備是最為安全的身份認證方式。此外，綜合使用密碼技術、混淆技術以及環境檢測等手段，對APP進行整體安全功能設計，“這方面由于專業性非常強、技術復雜，我們建議借助專業安全公司的力量對APP復合型驗證和抗攻擊性進行測試”。

　　季小杰表示，金融領域效率和安全問題需要全社會合作，建議政府主管部門建立信息共享機制，比如黑名單，發揮專業安全企業力量的同時，也建議作為消費者和用戶，本身也應該注意用網安全，比如不要下載來路不明軟件，設置復雜密碼。