“互联网+”时代下 银行信息如何保证安全?

阅读 300  ·  发布日期 2016-05-24 08:55:51  ·  第一财经日报

“互联网+”时代的银行业信息安全保障机制是一个包括监管机构、银行、用户、信息安全服务机构等多方参与、共同推进的系统性工程。

在众多参与方中,银行作为互联网金融服务的核心提供者,如何鉴别参与方的真实身份、保障网络数据传输的私密性、防止信息篡改、追溯用户交易行为、使用电子签名作为可靠的法律凭证,这些环环相扣的逻辑链是银行必须要面对的安全挑战。这需要从多个维度建立一套立体的安全防护体系,包括管理制度安全、物理环境安全、网络安全、系统安全、应用安全等。在体系建设之初,就应该对信息安全进行整体规划、通盘考虑、分步实施,不应采用补丁堆叠的方式。

在“互联网+”时代,银行更需要对“客户身份精准识别和认证”、“保证交易的完整性和合法性”以及“基于大数据实现互联网金融的精准风控”三方面予以重点关注:

客户身份精准识别和认证

人民银行于201512月下发的《中国人民银行关于改进个人银行账户服务,加强账户管理的通知》中再次强调要落实个人银行账户实名制。

传统金融业务在开户时一般采用面对面身份认证的方式,也就是我们常说的“面签”,柜员会鉴别用户证件的真伪、人证是否相符以及是否用户本人真实意愿。如何利用互联网开展金融业务,减少用户面签环节,为客户办理业务提供便利性,在线身份确认这一环节上面临着较大的欺诈风险。

要解决在线身份认证的难题,就必须从多维度来认证用户身份,包括通过基于已标识介质的身份认证与基于大数据的属性认证。目前,银行业通常利用已有的实名认证的身份标识来帮助实现在线的身份认证。

银行业也可以结合大数据对参与方的属性进行识别,便捷、精准地实现客户身份识别和认证。银行业也可以结合大数据应用对参与方的属性进行识别,比如,定位信息、设备指纹、行为规律等。根据不同的应用场景,建立一个分层次、多维度的身份识别体系,便捷、精准地实现客户身份识别和认证。

保证交易的完整性和合法性

保障交易信息在互联网上传输的完整性和合法性成为金融交易的重中之重。传统银行业务通过在纸质协议上的手写签名、签章来保障业务的法律效力。而互联网金融业务的线上操作完全实现了无纸化,没有了手写签名和签章,如何保障交易的法律效力呢?如何防止信息在传输的过程中不被恶意篡改?实践证明,基于数字证书的电子签名技术是解决这两个问题的最好办法。这里提到的数字证书指的是由合法的、权威的、第三方认证授权机构(CA机构)[如中国金融认证中心(CFCA]签发的证书,它是一种包含公钥以及私钥拥有者信息的电子文档。