支付安全:銀行不堪之重

由于支付牌照的發(fā)放，備方在安全領(lǐng)域的技術(shù)自有一套自己的理論，這樣在金融信息的安全領(lǐng)域，統(tǒng)一的安全標準仍是呼之未出，令人拭目以待。

CSDN的密碼泄露事件在業(yè)內(nèi)引起層層波瀾，所有存在密碼和大量數(shù)據(jù)信息的網(wǎng)站都受到了質(zhì)疑。雖然清者自清濁者自濁，但仍令公眾對于互聯(lián)網(wǎng)業(yè)的安全狀態(tài)產(chǎn)生了懷疑，很多網(wǎng)站遭受了不白之冤。但真正必須關(guān)注安全的就是在互聯(lián)網(wǎng)領(lǐng)域越涉越深的銀行，更是要對安全問題倍加關(guān)注。

支付牌照又發(fā)放了第三批，除了原有的第三方支付，運營商也加入了這個大軍。各行各業(yè)各自為改，帶來了千思萬慮盡如空，信息領(lǐng)域的安全問題仍需要統(tǒng)一標準，以避免目前狀態(tài)的政出多門，讓不法之人有可乘之機。

互聯(lián)網(wǎng)安全的諜影

上海嘉定的唐某在網(wǎng)上發(fā)過一個帖子，說的是他的工行牡丹靈通卡在2011年底發(fā)現(xiàn)自己卡內(nèi)少了8300元，到當?shù)毓ば胁樵兒螅l(fā)現(xiàn)是因為通過廣州銀聯(lián)網(wǎng)上支付在京東商城上的兩筆交易。由于唐某的卡并未被盜，也沒有開通網(wǎng)上支付，所以要求工行歸還錢款。咨詢警方之后，也認為是銀行的問題。向工行投訴之后卻一直沒有答復(fù)。

在電子商務(wù)迅速滲入公眾的生活后，電子支付領(lǐng)域的安全問題是就一直沒能充分解決，這也是目前銀行業(yè)的信息化推廣應(yīng)用過程中所遇到的最大難題。雖然目前各大銀行一直在竭力解決這個問題，又有長期以來在安全領(lǐng)域的努力作為基礎(chǔ)，但作為消費者，這是他們選擇與否的關(guān)鍵。實際上，在完全上網(wǎng)之前。銀行業(yè)作為國計民生的基礎(chǔ)，在信息安全上是有充分準備的，但在網(wǎng)上聯(lián)通之后，由于與外網(wǎng)對接，銀行業(yè)原有的修筑如小城堡的內(nèi)部網(wǎng)絡(luò)的安全不得不面對外界的沖擊，如何在網(wǎng)絡(luò)時代迎接安全的挑戰(zhàn)成為銀行業(yè)難以回避的問題。

而作為在互聯(lián)網(wǎng)業(yè)務(wù)上漸行漸遠的金融行業(yè)，自有以來一直因為安全問題的困擾阻礙著廣大企業(yè)和個人投入其中。但作為數(shù)據(jù)處理集約化發(fā)展的信息技術(shù)，需要為銀行業(yè)的信息安全提供更可靠的保障，是在安全成為人們揖隴對象的時候，解決問題的最佳方法。

中國金融認證中心(CFCA)的應(yīng)用開發(fā)部總經(jīng)理張行先生向記者介紹到，作為金融行業(yè)的信息安全領(lǐng)域，需要面對的安全問題主要有四種：第一種就是盜用賬號，這也是最普遍存在的安全問題，一旦賬戶被不法分子盜用，產(chǎn)生不白之冤的交易，造成資金損失，會對用戶的利益和銀行的聲譽都將造成重大的影響；第二種就是破壞數(shù)據(jù)的完整性。這里需要的是防止交易信息被篡改，買一樣?xùn)|西花三樣的錢，這也是一般人家難以承受的；第三是打破金融數(shù)據(jù)的機密性，這里需要做的是防止敏感數(shù)據(jù)被泄漏，否則會對用戶的；第四是交易的抗抵賴性，例如：網(wǎng)上銀行已授權(quán)交易被惡意抵賴。這四類問題是金融行業(yè)在信息安全領(lǐng)域必須解決的。而在實際的交易中，欺詐行為則成為用戶最常遭遇的安全問題。

舉例來說，在用戶中招木馬的情況下，由于銀行為了交易進行的應(yīng)用上的便利，面對有些小額支付，比如幾百塊的交易，銀行會在安全性采取一定的退步，不再進行嚴格的身份認證，從而給盜號者帶來機會，同時由于作為公安機關(guān)的定案，對小額的欺詐行為并不能實現(xiàn)立案，這更為不法者帶來積少成多的致富機會。幾百塊錢雖然對任何一家財大氣粗的銀行都不過九百牛一毛，但對于大多數(shù)普通用戶來說，都是一個值得關(guān)注的損失，資金意義的嚴重不對稱也是銀行和用戶之間造成極大矛盾的根源所在。畢竟對于銀行而言，如果用戶從取款機中錯誤多取了幾百元以后，還是會認為是盜竊的。這種嚴重的失衡才是銀行聲譽損失的根源。

大型企業(yè)和政府特別是有大量資金流的金融機構(gòu)更成為黑客的愛好，近日還有外媒報道日本政府部門受到的攻擊，即使日常辦公還沒有造成嚴重問題，但這樣的攻擊發(fā)生在金融機構(gòu)就有些不敢想象了。

誰來保護網(wǎng)絡(luò)安全

面對網(wǎng)絡(luò)人侵為電子支付帶來的重重問題，廣大支付的提供商和管理者們對之兵來將敵水來土堰，采取了包括政策、技術(shù)和銀行等層面的諸多措施，這里也可謂是八仙過海各顯神通，都拿出了自己的一套參差有差的方案。

首先在政策層面，主要是人民銀行等金融管理機構(gòu)對于安全領(lǐng)域下發(fā)的行政命令，這里邊最重要的是對于保密工作的法律保障。比如每個銀行對于用戶信息都有保護的義務(wù)，這也是每一家銀行的權(quán)利。但行政命令的發(fā)布雖然具有強制意義，可以嚴格劃定權(quán)利和義務(wù)的范圍，但由于命令本身的嚴格性，反而會在實際的工作中帶來一些不便，比如跨行操作的不利，由于數(shù)據(jù)保密有人民銀行的法律保護，往往造成公安部門和銀行本身在犯罪調(diào)查中的層層設(shè)防戛然而止難以繼續(xù)，要通過上一級管理機關(guān)的協(xié)助才能完成。這一點上，張行先生介紹在銀行間有一個類似于聯(lián)盟性質(zhì)的組織，通過合法協(xié)議可以實現(xiàn)跨行間的數(shù)據(jù)調(diào)取，為金融犯罪的調(diào)查打開了合作的大門。

其次是在技術(shù)方面。這也是包括銀行在內(nèi)的安全領(lǐng)域各方面的業(yè)者在此能夠做的最多的也可以更主動的方面。正如張行先生談到的，銀行推出的支付業(yè)務(wù)，其業(yè)務(wù)層面的主導(dǎo)權(quán)在于接受的企業(yè)，而銀行更多的努力方向則是技術(shù)方面的安全支持。

在安全的保障方面，銀行業(yè)一直是重中之重。因為金融關(guān)系國計民生，如果安全不能保障，對于國家和社會的影響是十分巨大的。而在進人互聯(lián)網(wǎng)業(yè)務(wù)之后，各家銀行都采取了自己所擅長的方式。

中國銀行使用了動態(tài)口令，根據(jù)專門的算法把隨機數(shù)字組合，使得生成的密碼只用一次，讓交易雙方更能確定對方的存在，這樣就不會出現(xiàn)文章開頭的那種銀行不能確定用戶真實性而造成的用戶的悲劇了。

工商銀行和招商銀行等大部分銀行，則主要用Usbkey來保障自己用戶進行的合法交易，兩家Usbkey的生產(chǎn)者都是專業(yè)廠商捷德公司，但這種利用技術(shù)手段解決技術(shù)風(fēng)險，雖然可以對保證客戶資金安全方面發(fā)揮重要作用，但卻不能避免黑客冒用客戶的名義或者進行信息的篡改。但對于業(yè)務(wù)層面的風(fēng)險，尤其對于客戶端存在的業(yè)務(wù)風(fēng)險，這些手段則力有不逮。

作為安全解決方案提供商的中國金融認證中心開發(fā)了交易監(jiān)控及反欺詐系統(tǒng)，通過技術(shù)手段來解決業(yè)務(wù)風(fēng)險。該系統(tǒng)利用交易監(jiān)控的手段，實時采集用戶每筆交易的特征信息，并將這些交易特征信息與用戶的習(xí)慣交易特征、一般用戶的群體交易特征和欺詐交易的欺詐特征進行匹配分析，再利用風(fēng)險評價模型體系的評估，確定當前交易的風(fēng)險級別，根據(jù)不同的風(fēng)險級別，對當前交易進行放行、加強短信認證、語音外呼認證、以及阻斷的不同處理，從而有效地防止欺詐交易的發(fā)生。該系統(tǒng)是一套集數(shù)據(jù)采集、機器自學(xué)習(xí)，數(shù)據(jù)挖掘、交易風(fēng)險評價和智能控制于一體的一套高級智能決策系統(tǒng)，目前該系統(tǒng)在北京銀行、上海農(nóng)商銀行成功上線實施，并取得了良好的監(jiān)控效果，既有效降低了用戶交易風(fēng)險，又提升了用戶滿意度，杭州銀行、徽商銀行、河北銀行等也與CFCA簽訂了合作協(xié)議，進行該系統(tǒng)的實施。于發(fā)現(xiàn)的異常交易情況對用戶進行提醒，從而為客戶帶來信賴程度的提高。

至于第三方支付和安全軟件的生產(chǎn)商，都出身數(shù)據(jù)領(lǐng)域，可以在金融業(yè)的互聯(lián)網(wǎng)業(yè)務(wù)中占據(jù)先機。

360作為免費安全軟件的代表，在不太重視知識產(chǎn)權(quán)的中國占有了市場的大多數(shù)。繼與中國反釣魚聯(lián)盟達成合作之后，奇虎360與易寶支付簽署了戰(zhàn)略合作協(xié)議，在第三方支付和安全軟件之間建立深度合作，憑借360的“云安全”惡意網(wǎng)址庫與易寶支付的對接，實現(xiàn)了對網(wǎng)址的實時關(guān)注，隨時對用戶進行安全預(yù)警，可以對用戶面對的各類欺詐陷阱進行遏制從而對風(fēng)險控制防范能力大大提高。而卡巴斯基也與Corero—Network，Securicy簽署了技術(shù)合作協(xié)議，利用反惡意軟件數(shù)據(jù)流掃描技術(shù)建立不斷更新的惡意軟件特征庫，進一步幫助為其客戶提供快速響應(yīng)，通過企業(yè)級安全防護新品對于支付領(lǐng)域的企業(yè)解決棘手的安全問題也提供了安全解決方案，保護企業(yè)用戶從容應(yīng)對，免遭各類最新威脅的侵害。新產(chǎn)品緊密地整合了基于特征的反病毒技術(shù)、主動防御技術(shù)以及云保護技術(shù)，能夠提供幾近實時的復(fù)合式防御。

同時，云計算的發(fā)展也為金融領(lǐng)域的信息安全帶來巨大推進作用。在中央數(shù)據(jù)服務(wù)器之外，用戶數(shù)據(jù)存儲在伺處難以知曉，因此盜取目標的確定本身就成為問題。在云計算實現(xiàn)的合作中，數(shù)據(jù)的處理被集中由更專業(yè)的人士解決，云服務(wù)提供商可以在物理服務(wù)器、托管服務(wù)器和虛擬服務(wù)器的安全保障上做出更專業(yè)也更大的投資。作為專業(yè)的云服務(wù)供應(yīng)商，其安全技術(shù)也會更加專業(yè)，同時涉及面更廣，應(yīng)對災(zāi)難的能力更強，這樣帶來的安全系數(shù)遠超過企業(yè)內(nèi)部的數(shù)據(jù)中心，特別是資金不是那么富裕的中小企業(yè)。同時，由于是專業(yè)的云服務(wù)供應(yīng)商，其在安全體系上的分工將更加細化，這也增強了其對漏洞、問題的處理能力。在身份管理和登陸方案上，云服務(wù)提供商也可建立更為有效的制度。

作為銀行本身來說，其保密的措施更多的在于服務(wù)器端。無論是服務(wù)器證書，防火墻，還是網(wǎng)絡(luò)安全、網(wǎng)絡(luò)措施，包括建立網(wǎng)銀客戶，都是從基礎(chǔ)安全到擴展服務(wù)安全，把部署在服務(wù)器端的監(jiān)控用來識別每一筆交易，實現(xiàn)一對一服務(wù)，對于常用登陸地點，常用收款賬戶，有發(fā)現(xiàn)異常之后，予以報告，實現(xiàn)客戶的賬號安全保障。

安全領(lǐng)域的盟主

支付企業(yè)對于安全的保護措施雖然五花八門，各有特點，但正是這種五花八門，給電子銀行的安全帶來了標準難于統(tǒng)一的問題。

對于統(tǒng)一的安全標準，可以說具有領(lǐng)袖潛質(zhì)的，應(yīng)該是那些超然于各大銀行之外的第三方機構(gòu)。

首先我們可以看到的是，作為銀行本身來說，招行早在2006年就開始拓展自己的互聯(lián)網(wǎng)業(yè)務(wù)，在支付領(lǐng)域多有進取，但由于各行之間的競爭關(guān)系帶來的壁壘問題，銀行本身發(fā)展的支付業(yè)務(wù)很難擴展開來，也難使自己的支付體系在整個金融行業(yè)樹立自己的地位。同樣道理，銀行推出的安全標準除非具有非常明顯的優(yōu)勢，也很難獲得其他銀行的認同。張行先生則認為銀行自己對此進行監(jiān)督有失公平，應(yīng)該有第三方的監(jiān)督機構(gòu)。

目前，有不少商業(yè)銀行本身對于業(yè)績更多關(guān)注，忽視安全，急功近利，只希望做大業(yè)務(wù)量，對于安全領(lǐng)域的問題則是越少越好，這才帶來了系統(tǒng)安全的紕漏。這也就意味著更需要專業(yè)的安全服務(wù)機構(gòu)，對安全問題進行關(guān)注，這也可以減少業(yè)務(wù)部門在這一方面不夠?qū)I(yè)的過多投入。

可以發(fā)現(xiàn)網(wǎng)站密碼泄露往往在于本身對于業(yè)績更多，忽視安全，急功近利，只希望做好業(yè)務(wù)，只要流量做得快，對于安全領(lǐng)域的問題則是越少越好，這才帶來了網(wǎng)站安全的紕漏。這也就意味著更需要專業(yè)的安全服務(wù)機構(gòu)，對安全問題進行關(guān)注，這也可以減少業(yè)務(wù)部門在這一方面不夠?qū)I(yè)的過多投入。

銀行作為業(yè)務(wù)部門，雖然處于金融安全的重要意義，必須對安全解決方案進行關(guān)注。但畢竟不是專業(yè)的數(shù)據(jù)處理機構(gòu)。從客戶端到服務(wù)器網(wǎng)狀的整體解決方案，在實施過程中，需要第三方提供網(wǎng)銀安全評估，并且定期或受委托進行安全檢查，并能從主機、制度角度提供解決問題，這都是非常必要的，在這一方面，擁有十多年經(jīng)驗的中國金融認證中心在從第三方認證機構(gòu)到安全解決方案提供商的轉(zhuǎn)變中進行了大量的工作。身為金融行業(yè)的認證機構(gòu)自然可以作為一個具有領(lǐng)袖潛質(zhì)的單位。

由于第三方支付提供商在網(wǎng)絡(luò)中早已混出自己的一片天地，而新投入其中的運營商在數(shù)據(jù)業(yè)務(wù)中根基已深，在安全領(lǐng)域的技術(shù)自有一套自己的理論。至于本就是安全軟件廠商的奇虎360、金山、卡巴斯基等自然也不會放棄自己安全專家的身份，希望建立自己在支付行業(yè)的安全領(lǐng)域之中樹立領(lǐng)袖的位置。這樣在金融信息的安全領(lǐng)域，統(tǒng)一的安全標準仍是呼之未出，令人拭目以待。

在安全領(lǐng)域作為專業(yè)廠商的安全軟件生產(chǎn)商也是安全標準的潛在制定者。和第三方支付平臺一樣，獨立于各銀行之外的安全廠商，有可能在銀行業(yè)資深的博弈過程中找到一個制衡點，實現(xiàn)銀行之間的安全平臺，以實現(xiàn)對于金融行業(yè)信息安全標準的統(tǒng)一。

讓上帝的歸于上帝，讓凱撒的歸于凱撒。