11月15日，由北京移动金融产业联盟、移动支付网联合主办的2018第三届中国移动金融安全大会在深圳召开。会议以“科技赋能，数说安全”为主题，来自中国人民银行、中国密码学会、中国信通院、农业银行、招商银行、中国银联、银行卡检测中心、清华大学、金杜律师事务所、梆梆安全、IFAA等产学研机构围绕着风险管理、数据安全、金融科技、移动端安全等话题进行深度解析，全方位探讨中国移动金融安全的未来。

本次大会吸引了产业各界超500位专业人士参加。深圳市商用密码行业协会执行长李振主持上午的《主旨及数据安全论坛》。

主旨论坛：金融安全的政策、应用与体系

首先，北京移动金融产业联盟秘书长班廷伦代表主办方发表与会致辞。他结合相关政策导向从四个方面对移动金融的安全发表了看法，他认为：1、个人信息保护是金融安全的基础；2、开放合作是提升金融安全的必要途径；3、金融安全是整个产业链的事情；4、金融科技政策为金融安全发展指明方向。

他表示，金融科技方兴未艾，将为金融发展注入活力。而联盟作为移动金融领域的第三方交流合作平台，将持续发挥桥梁纽带作用，顺应国家和央行相关政策，联合产业各方推动金融产业发展。

密码在普通人眼里是一门神秘的学科，人们往往闻其名而不得其实，觉得密码技术离自己的生活很远。事实上，密码作为解决网络安全最有效、最可靠、最经济的手段，随着互联网的快速发展已经深入我们生活的每个角落，金融领域也不例外。

中国密码学会密码测评专业委员会主任委员李大为以《商用密码在金融安全中的应用和评测》为主题向我们进行了分享。

首先，李大为简明扼要地介绍了商用密码的特点。密码拥有真实性、机密性、完整性、非否认性，是保证安全的核心技术，我国密码技术水平总体处于世界前列。随后向我们介绍了国家对密码的相关法规，并详细解释了金融各行业对密码的要求。他重点强调了密码检测，因为密码检测是执行密码标准和维护密码市场的核心环节。最后，李大为介绍了区块链与密码之间的关系。从密码工程师的视角来看，区块链是解决不可篡改和不可伪造的分布式账本的密码应用。此外，移动金融是当前最重要的金融服务，与之匹配的移动金融安全体系也是当下的研究重点。

中国农业银行科技与产品管理局资深专员金鑫以《移动金融安全体系建设的探讨》为题向我们分享了在金融安全方面的见解。当今的移动金融在往生态化的方向发展，以金融产品为中心，深耕生态场景。在安全方面，移动金融安全广泛使用了生物特征识别技术，并要求有芯片级安全保障。

面对移动金融的变化，风控也有着新要求，以数据驱动的云端智能风控成为重点，移动金融安全体系也由传统的终端+服务安全变成了终端+云端+网络安全。

数据安全论坛：金融安全以数据安全为基

现在是大数据时代，有人说拥有数据就拥有了一切，但是只有善于利用数据才能赢得一切。招商银行大数据卓越中心曾征以《大数据时代商业银行的治理之道》向我们分享了数据治理的心得。我国的商业银行在几十年间积累了大量的数据，但是在数据运用上面往往缺乏效率，不能挖掘出最大价值。

曾征认为，要完善大数据时代下的数据治理需要先进行组织建设，形成统一、自上而下、分工明确、合作紧密的组织构架。随后提供规范的流程，从数据信息来源、质量、使用效率、计算能力四个方面开展工作。她认为，确保用户隐私和数据使用安全是发挥数据价值的基石。

清华大学网络与信息安全研究室高级安全顾问魏克以《PCI DSS合规和网络信息安全体系建设》为题向我们进行了主题分享。魏克认为，网络信息安全的目标是保护数据/隐私：保护网络是为了保护数据传输，保护主机、应用安全是为了保护数据处理，保护数据中心和IT基础设施是为了保护数据保存。魏克表示，实现信息的保护，合规是基础途径。

随后魏克以PCI DSS为例进行了介绍，详细讲解了PCI DSS合规的每一面。魏克认为，现在网络信息安全领域的对抗是非对称的。防守方与攻击方相比，无论是从数量、能力还是决心都相差甚远，很难匹敌。他认为，保护信息安全需要理解网络基本概念——CIA，首先进行安全意识的培养，其次建立基本的网络信息安全管理理念，他强调数据分类和网络安全的构建都很重要。

随着时代的发展，企业工作的形态也在发生变化，办公虽然依旧需要一套桌椅，但是这套桌椅却可能在任何一个地方，移动端的企业数据安全越来越重要。BlackBerry北亚区高级业务总监丁海以《如何在移动终端保护企业数据安全》为主题，从人员、工作场地、工作流三个方面进行演讲，分享了BlackBerry的企业数据安全保护方案。

在人员方面，使用自携设备、新APP和新设备，随时随地无限制的访问已经成为趋势，BlackBerry希望可以通过单窗格管理所有终端，带来无拘无束的用户体验。在工作场地方面，用户远程化、流动化，从使用笔记本电脑转向使用手机办公是关键趋势。丁海表示，BlackBerry打造了可移动的桌面设备，可以进行无缝访问，支持各种智能移动设备，使工作场所不再局限于会议室。在工作流方面，BlackBerry希望通过安全协作，使BlackBerry APP与Microsoft APP安全兼容实现内容的无缝共享，并保证账户和数据安全。

移动金融的发展离不开对数据的使用，运用大数据、云计算等技术可以提高效率、降低成本，使金融服务更具有灵活性、普惠性，但是数据的使用需要合规合法。北京金杜律师事务所宁宣凤以“从中国《网络安全法》和欧洲《一般数据保护条例》看移动金融行业数据合规”为主题进行了分享。宁宣凤认为当下移动金融行业发展有三个重点合规问题：1、个人敏感信息处理合规问题；2、跨境业务的法律适用识别及数据流动风险控制问题；3、业务外包场景下的数据流转与数据安全问题。

个人敏感信息处理合规问题主要是个人信息的收集与使用问题，对于个人敏感信息，无论是《个人信息安全规范》，还是欧盟GDPR都有更为严谨的处理规则。数据使用方面，在数据共享不可避免的情况下，如何把控合规风险显得尤为重要。

移动安全联盟秘书长杨正军主持下午的《交易安全及合规发展论坛》，来自产业链上下游的各方从不同角度，解析当下移动金融交易安全与合规发展问题。

金融科技，让交易安全兼顾便捷

交易安全始终是支付当中备受关注的，随着金融科技的发展，安全被多样技术创新定义。在先进的技术加持之下，金融科技让交易安全兼顾便捷。

中国信息通信研究院泰尔终端实验室高级项目主管翟世俊介绍了移动终端系统漏洞长期大量存在的三大原因：

一是系统漏洞数量大，大多数漏洞修复需要依赖操作系统厂商和芯片厂商发布的官方补丁；同时Android系统碎片化严重，多数设备厂商会对原生的Android系统进行定制化开发，即便是操作系统和芯片厂商，也无法掌控所有终端的漏洞修复与版本更新。

二是操作系统的稳定性对终端厂商来说至关重要，系统稳定性差将会带来大量的投诉和退机，给设备厂商带来重大损失，新的系统版本或安全更新需经过大量测试才会推送给用户。由于人力和成本的原因，导致操作系统的安全更新无法及时到达终端用户。

三是另外设备厂商产品线众多、碎片化严重，部分产品委托方案商设计生产，缺乏相应的开发维护团队，无法维护所有在售机型的漏洞修复。

梆梆安全高级安全顾问赵千里同时更细化分析了终端应用运行存在的风险，主要包括终端设备不可信、运行环境不可信、操作手段不可信与本地逻辑不可信等四个方面。

根据此情况，梆梆安全也推出了集感知、阻断、溯源于一身的移动威胁感知平台，让金融机构能够通过主动防御的方式，防范各种风险。梆梆安全从技术和理念的角度，把防御战线前移，从攻击技术的源头识别和检测各类攻击，把防御从防坏事到识别坏人。

金融科技正在让交易安全，生物识别就是这样能够兼顾安全与便捷的技术，也是近年来移动金融产业关注的热点，但相比苹果，安卓生态就有产业链长、碎片化严重等问题。由蚂蚁金服、中国信息通信研究院、华为、三星、中兴等单位联合发起成立的互联网金融身份认证联盟（简称“IFAA”），则解决了上述安卓生态中存在的问题。

IFAA市场负责人姚青予介绍，今年双十一，支付宝生物支付比例超过六成，就有IFAA的助力。经过三年发展，IFAA已经拥有200个以上联盟成员，支持36个手机品牌、380多款手机型号，覆盖超12亿设备，指纹+人脸用户总数超过3亿。

面对当下的交易安全问题，特别是短信验证码安全性逐渐降低，已然不适合应用于支付验证的情况下。沃通电子认证服务有限公司CEO王高华带来了新的支付验证思路——通过加密邮件完成。他认为，加密邮件可以解决4个方面的安全问题。

(1)通过加密邮件发送各种验证码，取代不安全的短信验证码；

(2)通过加密邮件找回账户密码或重置账户密码；

(3)通过加密邮件给用户发送电子账单等，并附身份认证签名信息，帮助用户有效识别欺诈邮件；

(4)通过加密邮件为用户提供在线客服。

面对可能的交易安全，做好风控将大大降低损失，甚至可以提前杜绝支付风险。盒子科技副总裁闫俊玲结合实际场景，形象解析了目前风控所遇到的问题。

与此同时，她认为，风控的发展拥有三个阶段。一是传统的风险管理通过人工审核，存在信息孤岛，且主观判断，效率低下。二是大数据风险管理，基于大数据分析、机器学习，能够完成实时响应，但需要复杂网络。三是目前大火的人工智能风险管理，则是结合生物识别、云计算、AI、区块链等技术，全方位保障信息安全，如战国百家齐鸣一般，多种技术复合以达到风控要求，这也是风控的未来发展方向。

提及金融科技，不得不提人工智能。能信安技术总监马小龙则解析了人工智能与身份认证结合的5个优势，其中包括：

• 用户透明：完全后台程序，收集数据和验证过程不需要用户自己进行任何操作。
• 持续认证：它将安全认证由一次性变为持续性的过程。
• 高强度安全：除非入侵者能够非常完美地模仿主人的行为习惯，但是这个是几乎无法办到的。
• 技术兼容性：它作为手机的第二道安全防线，不和其它认证方式冲突，可以同时使用其它手机安全软件或给手机设置密码，以给手机更好的保护。
• 设备普适性：不需要复杂的硬件支持，中低端智能手机也可以使用。

合规创新，让Fintech走向正轨

金融科技的迅猛发展，让人们的生活变得更加便捷，但是也出现了不少违法违规的情况。如何让金融科技在合规之下收放自如，发挥最大的服务作用，也是本届大会讨论最深入的话题。

鸿业远图副总经理徐圣贵，从146号文出发，洞悉了目前监管对支付标记化落地的要求。在排查工作依据中，第一个标准规范就是《支付标记化技术规范》，要求商业银行、支付机构、清算机构，对数据安全、交易安全进行全面排查。此外，央行2016年发的170号文，是央行关于要求应用支付标记化技术的第一个文件。

监管要求，即是市场机遇，徐圣贵认为推广支付标记化技术，具有三大意义：一是从源头控制信息泄露风险；二是降低交易欺诈风险；三是促进行业创新发展。在此前提下，各垂直场景都可以找到支付标记化的用武之地。

中国银联手机POS产品负责人郭伟向观众介绍了一个“黑科技”产品，让手机变成能够实现安全支付的POS。

据郭伟介绍，在人民银行指导下，中国银联根据人行《智能终端支付可信环境技术规范》，并参考PCI关于手机POS的最新安全规范，联合国内外主流手机厂家和相关产业链，设计和研发了手机POS产品和系统。

目前，手机POS的适用场景主要是小微商户、农村市场、国际市场。值得一提的是国际市场，据郭伟介绍，境外卡组织也正基于SPOC+Tap On Phone布局手机POS领域，手机POS未来将在全球盛行。

对于银联，从硬件产品到软件产品，基于TEE安全保障的手机POS，可以帮助银联推动整个收单产业降低部署和维护成本，从而提升服务品质，同时也为中小企业节约资金流通成本。

金融科技冠绝全球的同时，央行监管层也关注支付安全。银行卡检测中心资深专家郑峥详细解析了146号文《关于开展支付安全风险专项排查工作的通知》，并且总结了本次检查的重点项目。

其中主要包括4个方面：

1、持续性监管改进：强化安全风险防控机制，开展异常交易检测，完善事前、事中机制，持续优化风险策略，加强联动处置，预防处理群体事件。

2、检测认证整改加固：按国家、行业、协会、银行卡组织相关标准要求，开展检测认证、开展差距识别与整改，完善金融支付安全风险防控机制。

3、支付安全标准体系：各行业部门组织，指导制定信息安全相关国家标准、行业标准、协会标准、企业标准，协同构建金融支付安全标准体系。

4、检测政策要求：人民银行、公安部、工信部等监管部门会针对金融支付风险发布相关文件，部署防控工作，守住不发生系统性风险的底线。

最后来个彩蛋：如需入官方微信群“移动金融安全大会”，请添加群主微信：18038063793，并备注“姓名+公司+职务+安全大会入群”。