中国电子银行网讯,2014年12月3日,由中国金融认证中心(CFCA)举办的“第十届中国电子银行年会暨中国移动金融发展论坛”在京举行。CFCA在年会上发布了《2014中国电子银行调查报告》和《互联网金融研究报告》。中国人民银行、银监会、公安部、中央网信办、清华大学五道口金融学院等单位部门领导莅临年会并发表致辞,100多位商业银行电子银行的负责人出席本届年会。参会嘉宾就移动金融、电子银行等话题进行深入交流探讨。
北京娜迦信息科技发展有限公司CEO朱研先生参加本次年会活动,并做了题为《安全的移动支付与良好的用户体验并行之道》的发言。
朱研在发言中表示,对安全应用解决提供方来说,在保护过程之中和保护使用过程后,运行的产品没有任何影响,兼容性良好,而且Windows平台、Android平台、iOS平台全部兼容,这只是非常基本的需求,要让用户感觉不到与之前有什么区别是最高的检验标准。 反观现在观察市场上一些安全产品的类型,绝大多数安全保护产品都是以SDK形式进行保护或参与到编码中。需要被介入到开发过程当中,这样影响到整个产品从安装、实施到上线的开发成本以及实施过程。有没有一种技术或产品只是需要把APP经过一个外部处理就可以让用户获得所需要的安全功能呢?
娜迦的研发人员发现,在计算机链接器技术里可以实现这个功能,假如这个功能能够比较好的适应整个APP上线过程,首先可以降低开发成本,第二可以提高开发效率,上线速度,增加产品生命周期。还有轻量化低成本的方式,实现轻量化的移动互联安全解决方案。
以下是朱研在本次年会上的发言实录:
主持人:接下来我们要请出的是北京娜迦信息科技发展有限公司CEO朱研先生为大家带来的演讲是“安全的移动支付与良好的用户体验并行之道”。
朱研:大家下午好!我今天给大家带来的演讲是“安全的移动支付与良好的用户体验并行之道”。用户体验对我们开发商来说分为两种,一种是终端用户的安全体验,二是安全项目实施过程中的体验。
第一,终端用户的安全体验之如何保证终端用户透明无影响。
我们对市场上的产品进行测试和收到的一些用户,收集的信息总结起来发现,金融增加了某些安全应用后造成启动缓慢,运行失败,给用户造成了比较差的产品体验。这种反映在终端用户感受里会只追求产品提供方的责任,而不知道这个问题到底出在什么环节?有可能是安全产品提供方,也有可能是第三方的外包做APP的生产商,所以,这个问题对于应用提供商来说非常冤枉。
我们发现在某些安全工具启动过程中,特别是增加到APP运行环节当中,会使应用运行速度变慢,甚至增加了安全认证的步骤,这样给用户造成一定程度的困扰。对我们安全应用解决提供方来说,在保护过程之中和保护使用过程后,运行是没有任何影响,非常高的兼容性,而且Windows平台、Android平台、iOS平台全部兼容,这只是非常基本的需求,要让用户感觉不到与之前有什么区别是最高的检验标准,虽然做到这点很难,但这是我们安全服务提供商追求的目标。
第二,如何少介入或不介入金融客户开发就能提供部分或全部安全功能。
现在我们观察市场上一些安全产品的类型,绝大多数安全保护产品都是以SDK形式进行保护或参与到编码中。需要被介入到开发过程当中,这样会影响到整个产品从安装、实施到上线的开发成本以及实施的过程。从金融领域现状来看,移动客户端的开发以外包居多,安全加固的需求是由客户方提出来的,而不是由开发商,如果要满足开发需求而需要介入到开发中,那么实施成本不仅由安全服务提供商来承担,一部分甚至一半成本需要由行方承担。
我们进行了一些摸底调查,获取的大致数据中,SDK开发成本中二次开发成本占到50%,沟通成本占了一大部分,剩下的是学习成本和技术成本,(PPT,图)整个饼图可以看做是时间成本,从开发到上线,到生产周期的更迭都是非常重要的一点。上线时间的拖延增加,会大大增加它的整体成本。我自己在思考,有没有一种技术或产品在APP上线之前需要增加安全功能,只是需要把这个APP经过一个外部处理就可以让用户获得所需要的安全功能。
我们经过自己的研究然后发现,在计算机链接器技术里可以实现这个功能,假如这个功能能够比较好的适应整个APP上线过程,首先可以降低开发成本,第二可以提高开发效率,上线速度,增加产品生命周期。还有轻量化低成本的方式,实现轻量化的移动互联安全解决方案。
NAGA(北京娜迦信息)现在对于在计算机基础课程里有两个重大的方向,一是编译器,二是链接器。链接器,可能大家接触的频率不高,但链接的功能很强大,链接器就是把两个库,两个代码通过一个link合成一个,这一个程序就拥有了两个库和两个链接器的功能,这样的技术我们现在在尝试着应用到APP保护整个行列当中。这会实现一定的安全功能,今后我们会让它尽量扩展到所有的安全点上,而且未来甚至不是安全功能,一些常规的需求多可以用这个技术来实现,既省去二次开发的烦恼,又加快了产品的更新换代,缩短了升级的周期。
第三,金融安全服务禁区。
很多合作行方会问我,你们做移动安全的,会不会接触我们的数据,保留我们的数据,会不会主动获取用户和我们的数据?我解释了非常多,无论从技术上还有商业上都有很多说辞。这点我可以给大家说一下,虽然我们服务过程中安全产品或多或少会用到用户端或服务端的数据,但这些数据都属于客户和行方的,无论这些数据是敏感还是很正常的数据,我们作为一个负责任的安全服务提供商,在没有用户授权的前提下坚决不做任何收集用户信息的行为,这也是我们安全服务提供商对自己的一个承诺。
谢谢大家!
