由于支付牌照的发放,各方在安全领域的技术自有一套自己的理论,这样在金融信息的安全领域,统一的安全标准仍是呼之未出,令人拭目以待。
本刊记者
孙建昆
CSDN的密码泄露事件在业内引起层层波澜,所有存在密码和大量数据信息的网站都受到了质疑。虽然清者自清浊者自浊,但仍令公众对于互联网业的安全状态产生了怀疑,很多网站遭受了不白之冤。但真正必须关注安全的就是在互联网领域越涉越深的银行,更是要对安全问题倍加关注。
支付牌照又发放了第三批,除了原有的第三方支付,运营商也加入了这个大军。各行各业各自为政,带来了千思万虑尽如空,信息领域的安全问题仍需要统一标准,以避免目前状态的政出多门,让不法之人有可乘之机。
互联网安全的谍影
上海嘉定的唐某在网上发过一个帖子,说的是他的工行牡丹灵通卡在2011年底发现自己卡内少了8300元,到当地工行查询后,发现是因为通过广州银联网上支付在京东商城上的两笔交易。由于唐某的卡并未被盗,也没有开通网上支付,所以要求工行归还钱款。咨询警方之后,也认为是银行的问题。向工行投诉之后却一直没有答复。
在电子商务迅速渗入公众的生活后,电子支付领域的安全问题是就一直没能充分解决,这也是目前银行业的信息化推广应用过程中所遇到的最大难题。虽然目前各大银行一直在竭力解决这个问题,又有长期以来在安全领域的努力作为基础,但作为消费者,这是他们选择与否的关键。实际上,在完全上网之前,银行业作为国计民生的基础,在信息安全上是有充分准备的,但在网上联通之后,由于与外网对接,银行业原有的修筑如小城堡的内部网络的安全不得不面对外界的冲击,如何在网络时代迎接安全的挑战成为银行业难以回避的问题。
而作为在互联网业务上渐行渐远的金融行业,自有以来一直因为安全问题的困扰阻碍着广大企业和个人投入其中。但作为数据处理集约化发展的信息技术,需要为银行业的信息安全提供更可靠的保障,是在安全成为人们担忧对象的时候,解决问题的最佳方法。
中国金融认证中心(CFCA)的应用开发部总经理张行先生向记者介绍到,作为金融行业的信息安全领域,需要面对的安全问题主要有四种:第一种就是盗用账号,这也是最普遍存在的安全问题,一旦账户被不法分子盗用,产生不白之冤的交易,造成资金损失,会对用户的利益和银行的声誉都将造成重大的影响;第二种就是破坏数据的完整性,这里需要的是防止交易信息被篡改,买一样东西花三样的钱,这也是一般人家难以承受的;第三是打破金融数据的机密性,这里需要做的是防止敏感数据被泄漏,否则会对用户的;第四是交易的抗抵赖性,例如:网上银行已授权交易被恶意抵赖。这四类问题是金融行业在信息安全领域必须解决的。而在实际的交易中,欺诈行为则成为用户最常遭遇的安全问题。
举例来说,在用户中招木马的情况下,由于银行为了交易进行的应用上的便利,面对有些小额支付,比如几百块的交易,银行会在安全性采取一定的退步,不再进行严格的身份认证,从而给盗号者带来机会,同时由于作为公安机关的定案,对小额的欺诈行为并不能实现立案,这更为不法者带来积少成多的致富机会。几百块钱虽然对任何一家财大气粗的银行都不过九百牛一毛,但对于大多数普通用户来说,都是一个值得关注的损失,资金意义的严重不对称也是银行和用户之间造成极大矛盾的根源所在。毕竟对于银行而言,如果用户从取款机中错误多取了几百元以后,还是会认为是盗窃的。这种严重的失衡才是银行声誉损失的根源。
大型企业和政府特别是有大量资金流的金融机构更成为黑客的爱好,近日还有外媒报道日本政府部门受到的攻击,即使日常办公还没有造成严重问题,但这样的攻击发生在金融机构就有些不敢想象了。
谁来保护网络安全
面对网络入侵为电子支付带来的重重问题,广大支付的提供商和管理者们对之兵来将敌水来土堰,采取了包括政策、技术和银行等层面的诸多措施,这里也可谓是八仙过海各显神通,都拿出了自己的一套参差有差的方案。
首先在政策层面,主要是人民银行等金融管理机构对于安全领域下发的行政命令,这里边最重要的是对于保密工作的法律保障。比如每个银行对于用户信息都有保护的义务,这也是每一家银行的权利。但行政命令的发布虽然具有强制意义,可以严格划定权利和义务的范围,但由于命令本身的严格性,反而会在实际的工作中带来一些不便,比如跨行操作的不利,由于数据保密有人民银行的法律保护,往往造成公安部门和银行本身在犯罪调查中的层层设防戛然而止难以继续,要通过上一级管理机关的协助才能完成。这一点上,张行先生介绍在银行间有一个类似于联盟性质的组织,通过合法协议可以实现跨行间的数据调取,为金融犯罪的调查打开了合作的大门。
其次是在技术方面。这也是包括银行在内的安全领域各方面的业者在此能够做的最多的也可以更主动的方面。正如张行先生谈到的,银行推出的支付业务,其业务层面的主导权在于接受的企业,而银行更多的努力方向则是技术方面的安全支持。
在安全的保障方面,银行业一直是重中之重。因为金融关系国计民生,如果安全不能保障,对于国家和社会的影响是十分巨大的。而在进入互联网业务之后,各家银行都采取了自己所擅长的方式。
中国银行(601988,股吧)使用了动态口令,根据专门的算法把随机数字组合,使得生成的密码只用一次,让交易双方更能确定对方的存在,这样就不会出现文章开头的那种银行不能确定用户真实性而造成的用户的悲剧了。
工商银行(601398,股吧)和招商银行(600036,股吧)等大部分银行,则主要用Usbkey来保障自己用户进行的合法交易,两家Usbkey的生产者都是专业厂商捷德公司,但这种利用技术手段解决技术风险,虽然可以对保证客户资金安全方面发挥重要作用,但却不能避免黑客冒用客户的名义或者进行信息的篡改。但对于业务层面的风险,尤其对于客户端存在的业务风险,这些手段则力有不逮。
作为安全解决方案提供商的中国金融认证中心开发了交易监控及反欺诈系统,通过技术手段来解决业务风险。该系统利用交易监控的手段,实时采集用户每笔交易的特征信息,并将这些交易特征信息与用户的习惯交易特征、一般用户的群体交易特征和欺诈交易的欺诈特征进行匹配分析,再利用风险评价模型体系的评估,确定当前交易的风险级别,根据不同的风险级别,对当前交易进行放行、加强短信认证、语音外呼认证、以及阻断的不同处理,从而有效地防止欺诈交易的发生。该系统是一套集数据采集、机器自学习,数据挖掘、交易风险评价和智能控制于一体的一套高级智能决策系统,目前该系统在北京银行(601169,股吧)、上海农商银行成功上线实施,并取得了良好的监控效果,既有效降低了用户交易风险,又提升了用户满意度,杭州银行、徽商银行、河北银行等也与CFCA签订了合作协议,进行该系统的实施。于发现的异常交易情况对用户进行提醒,从而为客户带来信赖程度的提高。
至于第三方支付和安全软件的生产商,都出身数据领域,可以在金融业的互联网业务中占据先机。
360作为免费安全软件的代表,在不太重视知识产权的中国占有了市场的大多数。继与中国反钓鱼联盟达成合作之后,奇虎360与易宝支付签署了战略合作协议,在第三方支付和安全软件之间建立深度合作,凭借360的“云安全”恶意网址库与易宝支付的对接,实现了对网址的实时关注,随时对用户进行安全预警,可以对用户面对的各类欺诈陷阱进行遏制从而对风险控制防范能力大大提高。而卡巴斯基也与Corero-Network.S
ecurity签署了技术合作协议,利用反恶意软件数据流扫描技术建立不断更新的恶意软件特征库,进一步帮助为其客户提供快速响应,通过企业级安全防护新品对于支付领域的企业解决棘手的安全问题也提供了安全解决方案,保护企业用户从容应对,免遭各类最新威胁的侵害。新产品紧密地整合了基于特征的反病毒技术、主动防御技术以及云保护技术,能够提供几近实时的复合式防御。
同时,云计算的发展也为金融领域的信息安全带来巨大推进作用。在中央数据服务器之外,用户数据存储在何处难以知晓,因此盗取目标的确定本身就成为问题。在云计算实现的合作中,数据的处理被集中由更专业的人士解决,云服务提供商可以在物理服务器、托管服务器和虚拟服务器的安全保障上做出更专业也更大的投资。作为专业的云服务供应商,其安全技术也会更加专业,同时涉及面更广,应对灾难的能力更强,这样带来的安全系数远超过企业内部的数据中心,特别是资金不是那么富裕的中小企业。同时,由于是专业的云服务供应商,其在安全体系上的分工将更加细化,这也增强了其对漏洞、问题的处理能力。在身份管理和登陆方案上,云服务提供商也可建立更为有效的制度。
作为银行本身来说,其保密的措施更多的在于服务器端。无论是服务器证书,防火墙,还是网络安全、网络措施,包括建立网银客户,都是从基础安全到扩展服务安全,把部署在服务器端的监控用来识别每一笔交易,实现一对一服务,对于常用登陆地点,常用收款账户,有发现异常之后,予以报告,实现客户的账号安全保障。
安全领域的盟主
支付企业对于安全的保护措施虽然五花八门,各有特点,但正是这种五花八门,给电子银行的安全带来了标准难于统一的问题。
对于统一的安全标准,可以说具有领袖潜质的,应该是那些超然于各大银行之外的第三方机构。
首先我们可以看到的是,作为银行本身来说,招行早在2006年就开始拓展自己的互联网业务,在支付领域多有进取,但由于各行之间的竞争关系带来的壁垒问题,银行本身发展的支付业务很难扩展开来,也难使自己的支付体系在整个金融行业树立自己的地位。同样道理,银行推出的安全标准除非具有非常明显的优势,也很难获得其他银行的认同。张行先生则认为银行自己对此进行监督有失公平,应该有第三方的监督机构。
目前,有不少商业银行本身对于业绩更多关注,忽视安全,急功近利,只希望做大业务量,对于安全领域的问题则是越少越好,这才带来了系统安全的纰漏。这也就意味着更需要专业的安全服务机构,对安全问题进行关注,这也可以减少业务部门在这一方面不够专业的过多投入。
可以发现网站密码泄露往往在于本身对于业绩更多,忽视安全,急功近利,只希望做好业务,只要流量做得快,对于安全领域的问题则是越少越好,这才带来了网站安全的纰漏。这也就意味着更需要专业的安全服务机构,对安全问题进行关注,这也可以减少业务部门在这一方面不够专业的过多投入。
银行作为业务部门,虽然处于金融安全的重要意义,必须对安全解决方案进行关注,但毕竟不是专业的数据处理机构。从客户端到服务器网状的整体解决方案,在实施过程中,需要第三方提供网银安全评估,并且定期或受委托进行安全检查,并能从主机、制度角度提供解决问题,这都是非常必要的,在这一方面,拥有十多年经验的中国金融认证中心在从第三方认证机构到安全解决方案提供商的转变中进行了大量的工作。身为金融行业的认证机构自然可以作为一个具有领袖潜质的单位。
由于第三方支付提供商在网络中早已混出自己的一片天地,而新投入其中的运营商在数据业务中根基已深,在安全领域的技术自有一套自己的理论。至于本就是安全软件厂商的奇虎360、金山、卡巴斯基等自然也不会放弃自己安全专家的身份,希望建立自己在支付行业的安全领域之中树立领袖的位置。这样在金融信息的安全领域,统一的安全标准仍是呼之未出,令人拭目以待。
在安全领域作为专业厂商的安全软件生产商也是安全标准的潜在制定者。和第三方支付平台一样,独立于各银行之外的安全厂商,有可能在银行业资深的博弈过程中找到一个制衡点,实现银行之间的安全平台,以实现对于金融行业信息安全标准的统一。
让上帝的归于上帝,让凯撒的归于凯撒。