银联金融认证中心总经理李晓峰：问题突出空间大

govyvy

银联金融认证中心总经理李晓峰：问题突出空间大

来自：MACD论坛(bbs.macd.cn) 作者：govyvy 浏览：2380 回复：1

http://www.sina.com.cn 2006年12月06日 12:33 新浪财经
    2006年12月6日，电子金融网络安全论坛在北京举行，新浪财经独家直播。下为中国银联金融认证中心总经理李晓峰的发言。
　　李晓峰 ： 谢谢主持人，谢谢论坛，各位来宾、各位英国朋友、女士们、先生们，大家好，我来自金融认证中心，中国银联金融认证中心是中国金融领域合法的第三方认证寄给，为中国的网上银行以及电子支付提供第三方的安全认证服务，是国家重要的金融安全基础设施之一，非常荣幸与各位进行交流。
　　因为时间紧，我语速要快一些，翻译小姐可能辛苦一些，发言中不妥的地方请各位见谅，网上支付是安全的吗？我们这样讲，互联网是个开放的网络，是个不安全的网络，基于互联网的网上支付的基础就是不安全的，原来有句话说，“互联网不知道是人还是狗”，这句话说得非常准确，我们知道在实体世界当中有公安司法部门，人与人之间有道德约束，虚拟社会中这些要么不存在，要么不完善，在数字化生存里有句话说，大多数法律是为现实社会准备的，不是虚拟世界。
　　我们网络上攻守双方一直在道高一尺魔高一丈，安全是相对的，不安全是绝对的，我们看一看究竟为什么不安全？我们首先看一下 中国电子商务的发展现状，到场的都是业界的专家和精英，一些数字想像各位在报道上会看得到，有统计说，今年的年中时网民已经突破了1亿2千万，上网计算机已达到5000多万，手机上网1300多万，等等一系列数字表明，一个良好的网络基础设施，为迅猛发展的电子商务构成了一个坚实的基础，有统计表明，04年有18%的人在进行网上支付，到05年这个比例达到了61.5%，今年上半年统计表明这个数字达到73.8%，04年电子交付的金额70多亿人民币，05年达到160亿人民币，近三年来每年都以超过30%的速度在增长。
　　作为电子商务核心的环节，电子支付的环节，多种形式的出现使得电子商务的步伐越来越轻快，在结算中，电子支付与其他相比，使用的比例越来越高，在某些企业已经超过了60%，通过这一方式进行的交易额，占企业总交易额的比重也越来越高，尽管如此我们看到，我们国家的电子商务和电子支付的市场与国外还有很大的差距，潜力也是很大的，提高电子支付的安全和信用水平是电子商务和在线电子商务的发展的重中之重。
　　我们再看一下中国网上银行的发展现状，我可以用四句话概括中国网上银行的发展状况：起步不晚、发展很快、问题突出、空间很大。
　　我们先来看起步不晚，网上银行各位都知道，相信很多人都在用，巴塞尔委员会对网上银行有个定义，通过互联网进行小额的零售服务，目前这个定义已经不重要了，相对于传统的银行业务，中国的网上银行发展得还是很早的，在美国第一家网上银行开业大概八个月之后，中国的国内网上银行开始提供服务，相聚三年左右，01年的时候中国网上银行客户约为200多万，我们看到05年交易额达到了70到万亿，客户达到了2700万左右，今年上半年据不完全统计，交易金额已经超过了40多万亿，目前在140亿家获准开办网上业务的银行中，大概有45家包括农村信用社开办了网说银行业务，注册的企业用户超过了90多万，个人用户超过了3500多万。
　　我们看看空间很大，一个可比较的数字，互联网的用户已经超过了1亿两千多万，我们统计数字，网上银行客户仅仅不到四千多万，发展空间蛮大的，问题突出是安全问题，随着网上银行的发展，各种事件也会出现，网上支付的交易环节非常多，有客户端、电子商务平台、支付平台一直到银行，各种电子支付手段也层出不穷，我们现在看到的案子问题出现的比较多的还是客户端，关键问题就是用户的身份问题，身份确认是信息安全的一个薄弱环节，我们有统计表明，支付的否认是发生争议的最主要的原因，支付否认就是拒绝承认，无论是有益的还是被盗用了，案例媒体都报道了不介绍了。中国金融认证中心不久前曾经公布了近来部分网银案件的报告，在去年的时候，中国金融认证中心公布了一个中国网上银行的调查报告，在去年11月份发布的，我们调查了全国十大经济发达城市，对这个潜在的用户以及不可能的用户，不打算用网上银行的用户都做了调查分析，总的数字表明，大概超过50%甚至更多，三分之二的人不打算使用网上银行，或者不敢用的主要原因就是不安全。
　　所以说我们安全问题解决不了，网上银行乃至于电子支付就不可能健康快速发展，今年我们本月中旬，我们会公布2006年中国网上银行的调查报告，请各位关注一下。
　　也有统计表明，网民对互联网最不放心的地方就是安全地方，安全占了五条。我们看为什么不安全？如何让网上支付更安全？我们说电子支付的安全不是一个技术手段解决的，是一个庞大的社会系统工程，包括健全的法律法规环境，政策导向、技术规范、技术标准、安全可行的技术手段，参与各方法律意识，道德约束对网上犯罪的打击力度等等，法律法规环境这是一个根本的东西，我们知道在传统的商务活动中，为了表明双方的身份，要签证和盖章，可是当这种形式、商务活动以电子的形式进行的时候，就需要电子签名，在我国电子商务发展得非常迅猛，提高了它的效率，可是不适应的一些问题也暴露出来了，那就是法律法规的问题，在04年的8月28号全国人大通过了中华人民共和国电子签名法，这个法律的核心内容就是明确了电子签名是合法的，也明确了电子认证服务机构是个合法的机构。
　　目前全球有超过60多个国家和地区制订了类似的法律，与此相关的法律是电子认证服务管理办法，这是信息产业部作为电子签名法的授权管理部门在去年同步实施管理实施的，使得电子签名法毕竟是框架性的东西，不具备可操作性，电子认证服务管理办法是对它的细化。
　　目前为止我们中国国内第三方的电子认证服务机构，大概有100多家，诸侯割据、群雄纷争，法律颁布以后这种状况逐渐改变，但是我们看到仍然有很多行业和单位提供社会服务，这里包括银行也包括第三方支付平台，这是一种非法的认证服务，提醒各位关注。
　　电子支付指引，这一步管理办法是在去年的11月由中国人民银行办法26条指出，银行应该确保处理系统的安全性，交易数据的不可抵赖性，数据储存的完整性和客户的身份真实性，讲白了要确认客户的身份，也是第三方认证的概念。
　　今年初国家信息办印发了关于网络体系建设的相关意见，这都是相关的法律法规，今年的3月1日中国的银行业，颁布了电子银行管理办法，这个办法第38条指出，金融机构应该采用适当的加密制度，保持交易数据的保密性、真实性和不可否认性，还是电子签名的概念。
　　此外，还有国家密码局颁布的电子认证服务密码管理办法等等，据我们了解，还有一些相关的法规正在制定中，我们看一看网上支付到底应该如何做呢？我们了解中国的金融机构，包括电子商务企业，电子支付企业，在物理手段上都采用了业务的手段，比如路由器、IDS、 病毒检测产品等等等等，这是在物理层面问题，但是我们知道完成这个完整的交易必须满足四个因素，第一交易双方的身份，第二是信息的保密性，第三是信息的完整性，第四是不可否认性。
　　我们现在看到的案子，几乎都是因为仅仅采用了用户名和密码这种方式造成的，这是一种最简单的方式，最方便的方式，也是最不安全的方式，我们看一下认证手段，我们看一下目前业界提供的认证手段有这么几种，一个是用户名和密码最广泛，此外还有一种所谓的动态密码，这种方式有两种，一种是有源的，刚才Peter Brooks介绍的，手里拿的密码跟银行对接，还有一种是无源的，印了几十组密码，每次用一个，这种方式在国内用得很多，我们认为适合不同的用户群体，因为它仅仅是个简单的身份认证，还有一个多因子认证，几种认证手段的复合，还有一种生物认证，指纹的，通过你敲击键盘的力度速度识别你的身份，还有一种数字证书的机制。
　　包括美国、新加坡和香港等多个国家和地区，监管机构都要求本国金融机构对于网上这种高风险业务提供双因子认证，今年美国银行提供高风险的互联网加以必须提供双因子认证，但是这并不能解决安全问题。
　　因为我们看到美国的调查公司说，对于动态认证这种方式，目前有几十家的网站专门对这种动态认证进行攻击，尤其对花旗银行进行攻击，采取中间人认证的方式，转法给银行，诱骗银行系统识别你，这个现在已经有报道了。
　　再有一种，刚才Peter Brooks先生这个方式，我说一下这个方式的弱点，我们认为每一种安全手段并不是绝对安全的，适合不同的国家地区，不同的法律法规，不同的客户群体，还有一种生物识别技术，已经有报道，通过人遗留在各处的指纹，可以复制出来，通过照片、视频、面具进行诈骗，攻击面容识别系统，现在也有报道，没有案例，但是目前有明确地报道。
　　我们认为，我们也看到国内有些电子支付企业，采用了一些认证方式，其中有些方式我们并不认可也并不推荐这种方式，我们认为这种方式既有害电子支付企业的资深品牌形象和利益，也有损于客户的利益。我们认为从各方面选择用户能够接受的安全的方案，目前，国内国外业界和产业界最认可的一个，能够保证身份确认保证数据的保密性，完整性和不可否认性的，唯一的一种方式是基于PKI技术的数字证书的电子签名技术。这种PKI技术相信业界的专家会看得到，在网上有报道，是公共基础设施这么个概念，详细技术我不再解释了。
　　在这个技术里有一个明确的交涉，第三方认证的概念，目前在中国开设网上银行业务大概有43家，其中43家大概有38家采用了第三方认证机构，有CIC提供的安全认证服务，安全状况也还是不错的，目前没有一例是因为数字证书被攻破，因为这种技术理论上可以破解 ，但是实际上破解不了。
　　关于中国金融认证中心的情况，各位如果感兴趣，我们可以在余下的时间交流，祝各位身体健康，谢谢。

guyou888

安全问题很重要。