支付安全:銀行不堪之重

由于支付牌照的發放，備方在安全領域的技術自有一套自己的理論，這樣在金融信息的安全領域，統一的安全標準仍是呼之未出，令人拭目以待。

CSDN的密碼泄露事件在業內引起層層波瀾，所有存在密碼和大量數據信息的網站都受到了質疑。雖然清者自清濁者自濁，但仍令公眾對于互聯網業的安全狀態產生了懷疑，很多網站遭受了不白之冤。但真正必須關注安全的就是在互聯網領域越涉越深的銀行，更是要對安全問題倍加關注。

支付牌照又發放了第三批，除了原有的第三方支付，運營商也加入了這個大軍。各行各業各自為改，帶來了千思萬慮盡如空，信息領域的安全問題仍需要統一標準，以避免目前狀態的政出多門，讓不法之人有可乘之機。

互聯網安全的諜影

上海嘉定的唐某在網上發過一個帖子，說的是他的工行牡丹靈通卡在2011年底發現自己卡內少了8300元，到當地工行查詢后，發現是因為通過廣州銀聯網上支付在京東商城上的兩筆交易。由于唐某的卡并未被盜，也沒有開通網上支付，所以要求工行歸還錢款。咨詢警方之后，也認為是銀行的問題。向工行投訴之后卻一直沒有答復。

在電子商務迅速滲入公眾的生活后，電子支付領域的安全問題是就一直沒能充分解決，這也是目前銀行業的信息化推廣應用過程中所遇到的最大難題。雖然目前各大銀行一直在竭力解決這個問題，又有長期以來在安全領域的努力作為基礎，但作為消費者，這是他們選擇與否的關鍵。實際上，在完全上網之前。銀行業作為國計民生的基礎，在信息安全上是有充分準備的，但在網上聯通之后，由于與外網對接，銀行業原有的修筑如小城堡的內部網絡的安全不得不面對外界的沖擊，如何在網絡時代迎接安全的挑戰成為銀行業難以回避的問題。

而作為在互聯網業務上漸行漸遠的金融行業，自有以來一直因為安全問題的困擾阻礙著廣大企業和個人投入其中。但作為數據處理集約化發展的信息技術，需要為銀行業的信息安全提供更可靠的保障，是在安全成為人們揖隴對象的時候，解決問題的最佳方法。

中國金融認證中心(CFCA)的應用開發部總經理張行先生向記者介紹到，作為金融行業的信息安全領域，需要面對的安全問題主要有四種：第一種就是盜用賬號，這也是最普遍存在的安全問題，一旦賬戶被不法分子盜用，產生不白之冤的交易，造成資金損失，會對用戶的利益和銀行的聲譽都將造成重大的影響；第二種就是破壞數據的完整性。這里需要的是防止交易信息被篡改，買一樣東西花三樣的錢，這也是一般人家難以承受的；第三是打破金融數據的機密性，這里需要做的是防止敏感數據被泄漏，否則會對用戶的；第四是交易的抗抵賴性，例如：網上銀行已授權交易被惡意抵賴。這四類問題是金融行業在信息安全領域必須解決的。而在實際的交易中，欺詐行為則成為用戶最常遭遇的安全問題。

舉例來說，在用戶中招木馬的情況下，由于銀行為了交易進行的應用上的便利，面對有些小額支付，比如幾百塊的交易，銀行會在安全性采取一定的退步，不再進行嚴格的身份認證，從而給盜號者帶來機會，同時由于作為公安機關的定案，對小額的欺詐行為并不能實現立案，這更為不法者帶來積少成多的致富機會。幾百塊錢雖然對任何一家財大氣粗的銀行都不過九百牛一毛，但對于大多數普通用戶來說，都是一個值得關注的損失，資金意義的嚴重不對稱也是銀行和用戶之間造成極大矛盾的根源所在。畢竟對于銀行而言，如果用戶從取款機中錯誤多取了幾百元以后，還是會認為是盜竊的。這種嚴重的失衡才是銀行聲譽損失的根源。

大型企業和政府特別是有大量資金流的金融機構更成為黑客的愛好，近日還有外媒報道日本政府部門受到的攻擊，即使日常辦公還沒有造成嚴重問題，但這樣的攻擊發生在金融機構就有些不敢想象了。

誰來保護網絡安全

面對網絡人侵為電子支付帶來的重重問題，廣大支付的提供商和管理者們對之兵來將敵水來土堰，采取了包括政策、技術和銀行等層面的諸多措施，這里也可謂是八仙過海各顯神通，都拿出了自己的一套參差有差的方案。

首先在政策層面，主要是人民銀行等金融管理機構對于安全領域下發的行政命令，這里邊最重要的是對于保密工作的法律保障。比如每個銀行對于用戶信息都有保護的義務，這也是每一家銀行的權利。但行政命令的發布雖然具有強制意義，可以嚴格劃定權利和義務的范圍，但由于命令本身的嚴格性，反而會在實際的工作中帶來一些不便，比如跨行操作的不利，由于數據保密有人民銀行的法律保護，往往造成公安部門和銀行本身在犯罪調查中的層層設防戛然而止難以繼續，要通過上一級管理機關的協助才能完成。這一點上，張行先生介紹在銀行間有一個類似于聯盟性質的組織，通過合法協議可以實現跨行間的數據調取，為金融犯罪的調查打開了合作的大門。

其次是在技術方面。這也是包括銀行在內的安全領域各方面的業者在此能夠做的最多的也可以更主動的方面。正如張行先生談到的，銀行推出的支付業務，其業務層面的主導權在于接受的企業，而銀行更多的努力方向則是技術方面的安全支持。

在安全的保障方面，銀行業一直是重中之重。因為金融關系國計民生，如果安全不能保障，對于國家和社會的影響是十分巨大的。而在進人互聯網業務之后，各家銀行都采取了自己所擅長的方式。

中國銀行使用了動態口令，根據專門的算法把隨機數字組合，使得生成的密碼只用一次，讓交易雙方更能確定對方的存在，這樣就不會出現文章開頭的那種銀行不能確定用戶真實性而造成的用戶的悲劇了。

工商銀行和招商銀行等大部分銀行，則主要用Usbkey來保障自己用戶進行的合法交易，兩家Usbkey的生產者都是專業廠商捷德公司，但這種利用技術手段解決技術風險，雖然可以對保證客戶資金安全方面發揮重要作用，但卻不能避免黑客冒用客戶的名義或者進行信息的篡改。但對于業務層面的風險，尤其對于客戶端存在的業務風險，這些手段則力有不逮。

作為安全解決方案提供商的中國金融認證中心開發了交易監控及反欺詐系統，通過技術手段來解決業務風險。該系統利用交易監控的手段，實時采集用戶每筆交易的特征信息，并將這些交易特征信息與用戶的習慣交易特征、一般用戶的群體交易特征和欺詐交易的欺詐特征進行匹配分析，再利用風險評價模型體系的評估，確定當前交易的風險級別，根據不同的風險級別，對當前交易進行放行、加強短信認證、語音外呼認證、以及阻斷的不同處理，從而有效地防止欺詐交易的發生。該系統是一套集數據采集、機器自學習，數據挖掘、交易風險評價和智能控制于一體的一套高級智能決策系統，目前該系統在北京銀行、上海農商銀行成功上線實施，并取得了良好的監控效果，既有效降低了用戶交易風險，又提升了用戶滿意度，杭州銀行、徽商銀行、河北銀行等也與CFCA簽訂了合作協議，進行該系統的實施。于發現的異常交易情況對用戶進行提醒，從而為客戶帶來信賴程度的提高。

至于第三方支付和安全軟件的生產商，都出身數據領域，可以在金融業的互聯網業務中占據先機。

360作為免費安全軟件的代表，在不太重視知識產權的中國占有了市場的大多數。繼與中國反釣魚聯盟達成合作之后，奇虎360與易寶支付簽署了戰略合作協議，在第三方支付和安全軟件之間建立深度合作，憑借360的“云安全”惡意網址庫與易寶支付的對接，實現了對網址的實時關注，隨時對用戶進行安全預警，可以對用戶面對的各類欺詐陷阱進行遏制從而對風險控制防范能力大大提高。而卡巴斯基也與Corero—Network，Securicy簽署了技術合作協議，利用反惡意軟件數據流掃描技術建立不斷更新的惡意軟件特征庫，進一步幫助為其客戶提供快速響應，通過企業級安全防護新品對于支付領域的企業解決棘手的安全問題也提供了安全解決方案，保護企業用戶從容應對，免遭各類最新威脅的侵害。新產品緊密地整合了基于特征的反病毒技術、主動防御技術以及云保護技術，能夠提供幾近實時的復合式防御。

同時，云計算的發展也為金融領域的信息安全帶來巨大推進作用。在中央數據服務器之外，用戶數據存儲在伺處難以知曉，因此盜取目標的確定本身就成為問題。在云計算實現的合作中，數據的處理被集中由更專業的人士解決，云服務提供商可以在物理服務器、托管服務器和虛擬服務器的安全保障上做出更專業也更大的投資。作為專業的云服務供應商，其安全技術也會更加專業，同時涉及面更廣，應對災難的能力更強，這樣帶來的安全系數遠超過企業內部的數據中心，特別是資金不是那么富裕的中小企業。同時，由于是專業的云服務供應商，其在安全體系上的分工將更加細化，這也增強了其對漏洞、問題的處理能力。在身份管理和登陸方案上，云服務提供商也可建立更為有效的制度。

作為銀行本身來說，其保密的措施更多的在于服務器端。無論是服務器證書，防火墻，還是網絡安全、網絡措施，包括建立網銀客戶，都是從基礎安全到擴展服務安全，把部署在服務器端的監控用來識別每一筆交易，實現一對一服務，對于常用登陸地點，常用收款賬戶，有發現異常之后，予以報告，實現客戶的賬號安全保障。

安全領域的盟主

支付企業對于安全的保護措施雖然五花八門，各有特點，但正是這種五花八門，給電子銀行的安全帶來了標準難于統一的問題。

對于統一的安全標準，可以說具有領袖潛質的，應該是那些超然于各大銀行之外的第三方機構。

首先我們可以看到的是，作為銀行本身來說，招行早在2006年就開始拓展自己的互聯網業務，在支付領域多有進取，但由于各行之間的競爭關系帶來的壁壘問題，銀行本身發展的支付業務很難擴展開來，也難使自己的支付體系在整個金融行業樹立自己的地位。同樣道理，銀行推出的安全標準除非具有非常明顯的優勢，也很難獲得其他銀行的認同。張行先生則認為銀行自己對此進行監督有失公平，應該有第三方的監督機構。

目前，有不少商業銀行本身對于業績更多關注，忽視安全，急功近利，只希望做大業務量，對于安全領域的問題則是越少越好，這才帶來了系統安全的紕漏。這也就意味著更需要專業的安全服務機構，對安全問題進行關注，這也可以減少業務部門在這一方面不夠專業的過多投入。

可以發現網站密碼泄露往往在于本身對于業績更多，忽視安全，急功近利，只希望做好業務，只要流量做得快，對于安全領域的問題則是越少越好，這才帶來了網站安全的紕漏。這也就意味著更需要專業的安全服務機構，對安全問題進行關注，這也可以減少業務部門在這一方面不夠專業的過多投入。

銀行作為業務部門，雖然處于金融安全的重要意義，必須對安全解決方案進行關注。但畢竟不是專業的數據處理機構。從客戶端到服務器網狀的整體解決方案，在實施過程中，需要第三方提供網銀安全評估，并且定期或受委托進行安全檢查，并能從主機、制度角度提供解決問題，這都是非常必要的，在這一方面，擁有十多年經驗的中國金融認證中心在從第三方認證機構到安全解決方案提供商的轉變中進行了大量的工作。身為金融行業的認證機構自然可以作為一個具有領袖潛質的單位。

由于第三方支付提供商在網絡中早已混出自己的一片天地，而新投入其中的運營商在數據業務中根基已深，在安全領域的技術自有一套自己的理論。至于本就是安全軟件廠商的奇虎360、金山、卡巴斯基等自然也不會放棄自己安全專家的身份，希望建立自己在支付行業的安全領域之中樹立領袖的位置。這樣在金融信息的安全領域，統一的安全標準仍是呼之未出，令人拭目以待。

在安全領域作為專業廠商的安全軟件生產商也是安全標準的潛在制定者。和第三方支付平臺一樣，獨立于各銀行之外的安全廠商，有可能在銀行業資深的博弈過程中找到一個制衡點，實現銀行之間的安全平臺，以實現對于金融行業信息安全標準的統一。

讓上帝的歸于上帝，讓凱撒的歸于凱撒。