支付安全:銀行不堪之重

由于支付牌照的發(fā)放，備方在安全領(lǐng)域的技術(shù)自有一套自己的理論，這樣在金融信息的安全領(lǐng)域，統(tǒng)一的安全標(biāo)準(zhǔn)仍是呼之未出，令人拭目以待。

CSDN的密碼泄露事件在業(yè)內(nèi)引起層層波瀾，所有存在密碼和大量數(shù)據(jù)信息的網(wǎng)站都受到了質(zhì)疑。雖然清者自清濁者自濁，但仍令公眾對(duì)于互聯(lián)網(wǎng)業(yè)的安全狀態(tài)產(chǎn)生了懷疑，很多網(wǎng)站遭受了不白之冤。但真正必須關(guān)注安全的就是在互聯(lián)網(wǎng)領(lǐng)域越涉越深的銀行，更是要對(duì)安全問(wèn)題倍加關(guān)注。

支付牌照又發(fā)放了第三批，除了原有的第三方支付，運(yùn)營(yíng)商也加入了這個(gè)大軍。各行各業(yè)各自為改，帶來(lái)了千思萬(wàn)慮盡如空，信息領(lǐng)域的安全問(wèn)題仍需要統(tǒng)一標(biāo)準(zhǔn)，以避免目前狀態(tài)的政出多門，讓不法之人有可乘之機(jī)。

互聯(lián)網(wǎng)安全的諜影

上海嘉定的唐某在網(wǎng)上發(fā)過(guò)一個(gè)帖子，說(shuō)的是他的工行牡丹靈通卡在2011年底發(fā)現(xiàn)自己卡內(nèi)少了8300元，到當(dāng)?shù)毓ば胁樵兒螅l(fā)現(xiàn)是因?yàn)橥ㄟ^(guò)廣州銀聯(lián)網(wǎng)上支付在京東商城上的兩筆交易。由于唐某的卡并未被盜，也沒(méi)有開通網(wǎng)上支付，所以要求工行歸還錢款。咨詢警方之后，也認(rèn)為是銀行的問(wèn)題。向工行投訴之后卻一直沒(méi)有答復(fù)。

在電子商務(wù)迅速滲入公眾的生活后，電子支付領(lǐng)域的安全問(wèn)題是就一直沒(méi)能充分解決，這也是目前銀行業(yè)的信息化推廣應(yīng)用過(guò)程中所遇到的最大難題。雖然目前各大銀行一直在竭力解決這個(gè)問(wèn)題，又有長(zhǎng)期以來(lái)在安全領(lǐng)域的努力作為基礎(chǔ)，但作為消費(fèi)者，這是他們選擇與否的關(guān)鍵。實(shí)際上，在完全上網(wǎng)之前。銀行業(yè)作為國(guó)計(jì)民生的基礎(chǔ)，在信息安全上是有充分準(zhǔn)備的，但在網(wǎng)上聯(lián)通之后，由于與外網(wǎng)對(duì)接，銀行業(yè)原有的修筑如小城堡的內(nèi)部網(wǎng)絡(luò)的安全不得不面對(duì)外界的沖擊，如何在網(wǎng)絡(luò)時(shí)代迎接安全的挑戰(zhàn)成為銀行業(yè)難以回避的問(wèn)題。

而作為在互聯(lián)網(wǎng)業(yè)務(wù)上漸行漸遠(yuǎn)的金融行業(yè)，自有以來(lái)一直因?yàn)榘踩珕?wèn)題的困擾阻礙著廣大企業(yè)和個(gè)人投入其中。但作為數(shù)據(jù)處理集約化發(fā)展的信息技術(shù)，需要為銀行業(yè)的信息安全提供更可靠的保障，是在安全成為人們揖隴對(duì)象的時(shí)候，解決問(wèn)題的最佳方法。

中國(guó)金融認(rèn)證中心(CFCA)的應(yīng)用開發(fā)部總經(jīng)理張行先生向記者介紹到，作為金融行業(yè)的信息安全領(lǐng)域，需要面對(duì)的安全問(wèn)題主要有四種：第一種就是盜用賬號(hào)，這也是最普遍存在的安全問(wèn)題，一旦賬戶被不法分子盜用，產(chǎn)生不白之冤的交易，造成資金損失，會(huì)對(duì)用戶的利益和銀行的聲譽(yù)都將造成重大的影響；第二種就是破壞數(shù)據(jù)的完整性。這里需要的是防止交易信息被篡改，買一樣?xùn)|西花三樣的錢，這也是一般人家難以承受的；第三是打破金融數(shù)據(jù)的機(jī)密性，這里需要做的是防止敏感數(shù)據(jù)被泄漏，否則會(huì)對(duì)用戶的；第四是交易的抗抵賴性，例如：網(wǎng)上銀行已授權(quán)交易被惡意抵賴。這四類問(wèn)題是金融行業(yè)在信息安全領(lǐng)域必須解決的。而在實(shí)際的交易中，欺詐行為則成為用戶最常遭遇的安全問(wèn)題。

舉例來(lái)說(shuō)，在用戶中招木馬的情況下，由于銀行為了交易進(jìn)行的應(yīng)用上的便利，面對(duì)有些小額支付，比如幾百塊的交易，銀行會(huì)在安全性采取一定的退步，不再進(jìn)行嚴(yán)格的身份認(rèn)證，從而給盜號(hào)者帶來(lái)機(jī)會(huì)，同時(shí)由于作為公安機(jī)關(guān)的定案，對(duì)小額的欺詐行為并不能實(shí)現(xiàn)立案，這更為不法者帶來(lái)積少成多的致富機(jī)會(huì)。幾百塊錢雖然對(duì)任何一家財(cái)大氣粗的銀行都不過(guò)九百牛一毛，但對(duì)于大多數(shù)普通用戶來(lái)說(shuō)，都是一個(gè)值得關(guān)注的損失，資金意義的嚴(yán)重不對(duì)稱也是銀行和用戶之間造成極大矛盾的根源所在。畢竟對(duì)于銀行而言，如果用戶從取款機(jī)中錯(cuò)誤多取了幾百元以后，還是會(huì)認(rèn)為是盜竊的。這種嚴(yán)重的失衡才是銀行聲譽(yù)損失的根源。

大型企業(yè)和政府特別是有大量資金流的金融機(jī)構(gòu)更成為黑客的愛(ài)好，近日還有外媒報(bào)道日本政府部門受到的攻擊，即使日常辦公還沒(méi)有造成嚴(yán)重問(wèn)題，但這樣的攻擊發(fā)生在金融機(jī)構(gòu)就有些不敢想象了。

誰(shuí)來(lái)保護(hù)網(wǎng)絡(luò)安全

面對(duì)網(wǎng)絡(luò)人侵為電子支付帶來(lái)的重重問(wèn)題，廣大支付的提供商和管理者們對(duì)之兵來(lái)將敵水來(lái)土堰，采取了包括政策、技術(shù)和銀行等層面的諸多措施，這里也可謂是八仙過(guò)海各顯神通，都拿出了自己的一套參差有差的方案。

首先在政策層面，主要是人民銀行等金融管理機(jī)構(gòu)對(duì)于安全領(lǐng)域下發(fā)的行政命令，這里邊最重要的是對(duì)于保密工作的法律保障。比如每個(gè)銀行對(duì)于用戶信息都有保護(hù)的義務(wù)，這也是每一家銀行的權(quán)利。但行政命令的發(fā)布雖然具有強(qiáng)制意義，可以嚴(yán)格劃定權(quán)利和義務(wù)的范圍，但由于命令本身的嚴(yán)格性，反而會(huì)在實(shí)際的工作中帶來(lái)一些不便，比如跨行操作的不利，由于數(shù)據(jù)保密有人民銀行的法律保護(hù)，往往造成公安部門和銀行本身在犯罪調(diào)查中的層層設(shè)防戛然而止難以繼續(xù)，要通過(guò)上一級(jí)管理機(jī)關(guān)的協(xié)助才能完成。這一點(diǎn)上，張行先生介紹在銀行間有一個(gè)類似于聯(lián)盟性質(zhì)的組織，通過(guò)合法協(xié)議可以實(shí)現(xiàn)跨行間的數(shù)據(jù)調(diào)取，為金融犯罪的調(diào)查打開了合作的大門。

其次是在技術(shù)方面。這也是包括銀行在內(nèi)的安全領(lǐng)域各方面的業(yè)者在此能夠做的最多的也可以更主動(dòng)的方面。正如張行先生談到的，銀行推出的支付業(yè)務(wù)，其業(yè)務(wù)層面的主導(dǎo)權(quán)在于接受的企業(yè)，而銀行更多的努力方向則是技術(shù)方面的安全支持。

在安全的保障方面，銀行業(yè)一直是重中之重。因?yàn)榻鹑陉P(guān)系國(guó)計(jì)民生，如果安全不能保障，對(duì)于國(guó)家和社會(huì)的影響是十分巨大的。而在進(jìn)人互聯(lián)網(wǎng)業(yè)務(wù)之后，各家銀行都采取了自己所擅長(zhǎng)的方式。

中國(guó)銀行使用了動(dòng)態(tài)口令，根據(jù)專門的算法把隨機(jī)數(shù)字組合，使得生成的密碼只用一次，讓交易雙方更能確定對(duì)方的存在，這樣就不會(huì)出現(xiàn)文章開頭的那種銀行不能確定用戶真實(shí)性而造成的用戶的悲劇了。

工商銀行和招商銀行等大部分銀行，則主要用Usbkey來(lái)保障自己用戶進(jìn)行的合法交易，兩家Usbkey的生產(chǎn)者都是專業(yè)廠商捷德公司，但這種利用技術(shù)手段解決技術(shù)風(fēng)險(xiǎn)，雖然可以對(duì)保證客戶資金安全方面發(fā)揮重要作用，但卻不能避免黑客冒用客戶的名義或者進(jìn)行信息的篡改。但對(duì)于業(yè)務(wù)層面的風(fēng)險(xiǎn)，尤其對(duì)于客戶端存在的業(yè)務(wù)風(fēng)險(xiǎn)，這些手段則力有不逮。

作為安全解決方案提供商的中國(guó)金融認(rèn)證中心開發(fā)了交易監(jiān)控及反欺詐系統(tǒng)，通過(guò)技術(shù)手段來(lái)解決業(yè)務(wù)風(fēng)險(xiǎn)。該系統(tǒng)利用交易監(jiān)控的手段，實(shí)時(shí)采集用戶每筆交易的特征信息，并將這些交易特征信息與用戶的習(xí)慣交易特征、一般用戶的群體交易特征和欺詐交易的欺詐特征進(jìn)行匹配分析，再利用風(fēng)險(xiǎn)評(píng)價(jià)模型體系的評(píng)估，確定當(dāng)前交易的風(fēng)險(xiǎn)級(jí)別，根據(jù)不同的風(fēng)險(xiǎn)級(jí)別，對(duì)當(dāng)前交易進(jìn)行放行、加強(qiáng)短信認(rèn)證、語(yǔ)音外呼認(rèn)證、以及阻斷的不同處理，從而有效地防止欺詐交易的發(fā)生。該系統(tǒng)是一套集數(shù)據(jù)采集、機(jī)器自學(xué)習(xí)，數(shù)據(jù)挖掘、交易風(fēng)險(xiǎn)評(píng)價(jià)和智能控制于一體的一套高級(jí)智能決策系統(tǒng)，目前該系統(tǒng)在北京銀行、上海農(nóng)商銀行成功上線實(shí)施，并取得了良好的監(jiān)控效果，既有效降低了用戶交易風(fēng)險(xiǎn)，又提升了用戶滿意度，杭州銀行、徽商銀行、河北銀行等也與CFCA簽訂了合作協(xié)議，進(jìn)行該系統(tǒng)的實(shí)施。于發(fā)現(xiàn)的異常交易情況對(duì)用戶進(jìn)行提醒，從而為客戶帶來(lái)信賴程度的提高。

至于第三方支付和安全軟件的生產(chǎn)商，都出身數(shù)據(jù)領(lǐng)域，可以在金融業(yè)的互聯(lián)網(wǎng)業(yè)務(wù)中占據(jù)先機(jī)。

360作為免費(fèi)安全軟件的代表，在不太重視知識(shí)產(chǎn)權(quán)的中國(guó)占有了市場(chǎng)的大多數(shù)。繼與中國(guó)反釣魚聯(lián)盟達(dá)成合作之后，奇虎360與易寶支付簽署了戰(zhàn)略合作協(xié)議，在第三方支付和安全軟件之間建立深度合作，憑借360的“云安全”惡意網(wǎng)址庫(kù)與易寶支付的對(duì)接，實(shí)現(xiàn)了對(duì)網(wǎng)址的實(shí)時(shí)關(guān)注，隨時(shí)對(duì)用戶進(jìn)行安全預(yù)警，可以對(duì)用戶面對(duì)的各類欺詐陷阱進(jìn)行遏制從而對(duì)風(fēng)險(xiǎn)控制防范能力大大提高。而卡巴斯基也與Corero—Network，Securicy簽署了技術(shù)合作協(xié)議，利用反惡意軟件數(shù)據(jù)流掃描技術(shù)建立不斷更新的惡意軟件特征庫(kù)，進(jìn)一步幫助為其客戶提供快速響應(yīng)，通過(guò)企業(yè)級(jí)安全防護(hù)新品對(duì)于支付領(lǐng)域的企業(yè)解決棘手的安全問(wèn)題也提供了安全解決方案，保護(hù)企業(yè)用戶從容應(yīng)對(duì)，免遭各類最新威脅的侵害。新產(chǎn)品緊密地整合了基于特征的反病毒技術(shù)、主動(dòng)防御技術(shù)以及云保護(hù)技術(shù)，能夠提供幾近實(shí)時(shí)的復(fù)合式防御。

同時(shí)，云計(jì)算的發(fā)展也為金融領(lǐng)域的信息安全帶來(lái)巨大推進(jìn)作用。在中央數(shù)據(jù)服務(wù)器之外，用戶數(shù)據(jù)存儲(chǔ)在伺處難以知曉，因此盜取目標(biāo)的確定本身就成為問(wèn)題。在云計(jì)算實(shí)現(xiàn)的合作中，數(shù)據(jù)的處理被集中由更專業(yè)的人士解決，云服務(wù)提供商可以在物理服務(wù)器、托管服務(wù)器和虛擬服務(wù)器的安全保障上做出更專業(yè)也更大的投資。作為專業(yè)的云服務(wù)供應(yīng)商，其安全技術(shù)也會(huì)更加專業(yè)，同時(shí)涉及面更廣，應(yīng)對(duì)災(zāi)難的能力更強(qiáng)，這樣帶來(lái)的安全系數(shù)遠(yuǎn)超過(guò)企業(yè)內(nèi)部的數(shù)據(jù)中心，特別是資金不是那么富裕的中小企業(yè)。同時(shí)，由于是專業(yè)的云服務(wù)供應(yīng)商，其在安全體系上的分工將更加細(xì)化，這也增強(qiáng)了其對(duì)漏洞、問(wèn)題的處理能力。在身份管理和登陸方案上，云服務(wù)提供商也可建立更為有效的制度。

作為銀行本身來(lái)說(shuō)，其保密的措施更多的在于服務(wù)器端。無(wú)論是服務(wù)器證書，防火墻，還是網(wǎng)絡(luò)安全、網(wǎng)絡(luò)措施，包括建立網(wǎng)銀客戶，都是從基礎(chǔ)安全到擴(kuò)展服務(wù)安全，把部署在服務(wù)器端的監(jiān)控用來(lái)識(shí)別每一筆交易，實(shí)現(xiàn)一對(duì)一服務(wù)，對(duì)于常用登陸地點(diǎn)，常用收款賬戶，有發(fā)現(xiàn)異常之后，予以報(bào)告，實(shí)現(xiàn)客戶的賬號(hào)安全保障。

安全領(lǐng)域的盟主

支付企業(yè)對(duì)于安全的保護(hù)措施雖然五花八門，各有特點(diǎn)，但正是這種五花八門，給電子銀行的安全帶來(lái)了標(biāo)準(zhǔn)難于統(tǒng)一的問(wèn)題。

對(duì)于統(tǒng)一的安全標(biāo)準(zhǔn)，可以說(shuō)具有領(lǐng)袖潛質(zhì)的，應(yīng)該是那些超然于各大銀行之外的第三方機(jī)構(gòu)。

首先我們可以看到的是，作為銀行本身來(lái)說(shuō)，招行早在2006年就開始拓展自己的互聯(lián)網(wǎng)業(yè)務(wù)，在支付領(lǐng)域多有進(jìn)取，但由于各行之間的競(jìng)爭(zhēng)關(guān)系帶來(lái)的壁壘問(wèn)題，銀行本身發(fā)展的支付業(yè)務(wù)很難擴(kuò)展開來(lái)，也難使自己的支付體系在整個(gè)金融行業(yè)樹立自己的地位。同樣道理，銀行推出的安全標(biāo)準(zhǔn)除非具有非常明顯的優(yōu)勢(shì)，也很難獲得其他銀行的認(rèn)同。張行先生則認(rèn)為銀行自己對(duì)此進(jìn)行監(jiān)督有失公平，應(yīng)該有第三方的監(jiān)督機(jī)構(gòu)。

目前，有不少商業(yè)銀行本身對(duì)于業(yè)績(jī)更多關(guān)注，忽視安全，急功近利，只希望做大業(yè)務(wù)量，對(duì)于安全領(lǐng)域的問(wèn)題則是越少越好，這才帶來(lái)了系統(tǒng)安全的紕漏。這也就意味著更需要專業(yè)的安全服務(wù)機(jī)構(gòu)，對(duì)安全問(wèn)題進(jìn)行關(guān)注，這也可以減少業(yè)務(wù)部門在這一方面不夠?qū)I(yè)的過(guò)多投入。

可以發(fā)現(xiàn)網(wǎng)站密碼泄露往往在于本身對(duì)于業(yè)績(jī)更多，忽視安全，急功近利，只希望做好業(yè)務(wù)，只要流量做得快，對(duì)于安全領(lǐng)域的問(wèn)題則是越少越好，這才帶來(lái)了網(wǎng)站安全的紕漏。這也就意味著更需要專業(yè)的安全服務(wù)機(jī)構(gòu)，對(duì)安全問(wèn)題進(jìn)行關(guān)注，這也可以減少業(yè)務(wù)部門在這一方面不夠?qū)I(yè)的過(guò)多投入。

銀行作為業(yè)務(wù)部門，雖然處于金融安全的重要意義，必須對(duì)安全解決方案進(jìn)行關(guān)注。但畢竟不是專業(yè)的數(shù)據(jù)處理機(jī)構(gòu)。從客戶端到服務(wù)器網(wǎng)狀的整體解決方案，在實(shí)施過(guò)程中，需要第三方提供網(wǎng)銀安全評(píng)估，并且定期或受委托進(jìn)行安全檢查，并能從主機(jī)、制度角度提供解決問(wèn)題，這都是非常必要的，在這一方面，擁有十多年經(jīng)驗(yàn)的中國(guó)金融認(rèn)證中心在從第三方認(rèn)證機(jī)構(gòu)到安全解決方案提供商的轉(zhuǎn)變中進(jìn)行了大量的工作。身為金融行業(yè)的認(rèn)證機(jī)構(gòu)自然可以作為一個(gè)具有領(lǐng)袖潛質(zhì)的單位。

由于第三方支付提供商在網(wǎng)絡(luò)中早已混出自己的一片天地，而新投入其中的運(yùn)營(yíng)商在數(shù)據(jù)業(yè)務(wù)中根基已深，在安全領(lǐng)域的技術(shù)自有一套自己的理論。至于本就是安全軟件廠商的奇虎360、金山、卡巴斯基等自然也不會(huì)放棄自己安全專家的身份，希望建立自己在支付行業(yè)的安全領(lǐng)域之中樹立領(lǐng)袖的位置。這樣在金融信息的安全領(lǐng)域，統(tǒng)一的安全標(biāo)準(zhǔn)仍是呼之未出，令人拭目以待。

在安全領(lǐng)域作為專業(yè)廠商的安全軟件生產(chǎn)商也是安全標(biāo)準(zhǔn)的潛在制定者。和第三方支付平臺(tái)一樣，獨(dú)立于各銀行之外的安全廠商，有可能在銀行業(yè)資深的博弈過(guò)程中找到一個(gè)制衡點(diǎn)，實(shí)現(xiàn)銀行之間的安全平臺(tái)，以實(shí)現(xiàn)對(duì)于金融行業(yè)信息安全標(biāo)準(zhǔn)的統(tǒng)一。

讓上帝的歸于上帝，讓凱撒的歸于凱撒。