解决支付安全问题 银行该做什么？

背景回顾事件一 一个自称"网银受害者联盟"的民间组织，针对工行的网上银行系统安全问题开始集体维权。事隔两周，工行就网上银行用户关心的问题做出正面回应，但"网银受害者联盟"的集体维权还在继续。事件二 国内杀毒软件厂商江民公布消息，其反病毒中心监测到，
光大证券阳光网提供的多款网上证券交易程序捆绑了木马病毒。用户运行这些安装程序的同时，会下载网银木马，威胁用户工商银行网上银行的账号密码安全。为何互联网支付的安全问题如此突出？易观国际分析：电子支付的内涵是一种信用的产物，外延是"给付对价"或"价值交付"的过程。电子支付根据用户行为与后台运行机制可分为"现场支付----面对面支付"与"远程支付----非面对面支付"两种，互联网支付则属于后者。互联网对传统商务的价值，更多在于解决信息不对称的问题，而在支付方面，用户支付体验将从"面对面"向公开的、虚拟的----"非面对面"转移，这需要一个漫长过程，尤其是中国信用体系尚处于初级阶段。如此，互联网支付的安全性即成为焦点问题。支付安全性包括什么要素？怎样分类？电子支付的安全通常由有效性、真实性、完整性、保密性、不可撤消、不可否认、身份验证等要素组成。对于"非面对面"的互联网支付，这些要素的完备性更高。根据电子支付的外延与内涵，易观国际将互联网支付的安全性区分为硬件与软件两方面：第一 硬件，即技术手段。通常由卡组织、IT厂商、支付渠道服务商（如电信运营商）所提供，如：对称与非对称加密技术、SSL、SET、3D-Secure、NFC无接触式通信的智能卡技术，以及基于数据挖掘的交易监控与分析方案等。第二 软件，即信用管理机制。安全不仅是一种技术手段，更多是通过组织流程管理而形成的信用管理机制。其中包括基于技术手段建立完善的管理制度、处理流程、操作规范，针对可能出现的欺诈、差错、争议，提供有效解决流程与处理办法；合理的责任分配安排（包括用户、商家、支付服务商）；对用户安全支付行为的市场教育等等。银行有什么问题？易观国际
认为，在网上支付安全措施的部署方面，银行将更多的精力放在"硬件"方面，而
忽视"软件"方面的投入。目前网上支付的主要支付工具为银行借记卡[注1]，其本质上是存折的替代品，属于银行传统的负债业务----存款。由于历史上银行为追求单一发卡量，形成了高额成本在短时间内难以消化，同时银行又面临从单一的资产与负债业务，向资产、负债、中间业务多元化业务转型的经营压力，因此造成银行目前对此业务安全"软件"方面的改造或升级的动机不足，风险管理的手段主要依赖于外围的信用管理体系（如央行的个人信用体系），或将责任转移于外部市场与用户。这与主要从事"信用中介"的第三方支付商的服务内容与承担责任大相径庭。银行应
该如何应对？498)this.width=498;' onmousewheel = 'javascript:return big(this)' style="WIDTH: 566px; HEIGHT: 430px" height=411 src="/files/uploadimg/20060918/1008480.jpg" width=526>易观国际建议银行采取如下措施（跨银行的卡组织
同样适用）：在短期内，虽然在网上支付发生的不安全事件，多数由用户自身原因造成[注2]，
但是目前银行在处理网上支付与用户间安全性争端时，对自身责任的缺失尚无足够
认识。银行应该
深入各领域业务层面的支付流，制定相应的管理制度、操作规范、风险处理办法，构建完善的信用管理体系，比如在用户端与商户端之间端建立双认证体系，针对支付过程中欺诈、差错、争议等问题，配套合理的管理手段等等，从而有利于在价值链各成员之间的风险责任合理分配，减少可能带来的损失与争议。在中、长期
来看，由于网上支付这种"非面对面"的支付渠道，其根植土壤是完善的信用管理体系，如果银行依旧只考虑安全"硬件"方面的投入，忽视安全"软件"方面的投入，采用把风险转嫁外部市场或用户的方式，将会
失去未来市场的信任，在下一轮市场竞争中处于被动地位。易观国际认为，在支付电子化的今天，对于任何产业而言，电子支付是经营中重要一环（资金流的核心），而对于任何企业来说，都是一项战略资产，虽然银行是在支付方面拥有"先天"的传统优势，但是在电子支付市场逐渐呈现产业融合的趋势下，安全性既然成为用户使用网上支付的焦点问题，银行就应该深入各领域业务层面的支付流，加大对安全"软件"----信用管理体系建设的投入，向第三方支付服务商学习。否则，将会失去对市场的主动权。 给力(0票)动心(0票)废话(0票)专业(0票)标题党(0票)路过(0票) 原文：解决支付安全问题 银行该做什么？ 返回网络安全首页