|
主持人:银行可以保证他不会一晚上就变成穷光蛋,如果他确实是一个百万富翁的话。
冠群电脑有限公司技术总监孙冠军:
各位领导,各位来宾,我今天介绍我们公司在银行方面的技术和对中国银行的看法。我是负责技术,主要从技术方面跟大家探讨一下全球银行技术发展方面的动向。我今天讲的
主要是前面三个部分,如果大家有问题的话,我们可以探讨。
首先我们讲讲银行业方面的十大热门技术,这是我们银行方面面临的重要的技术。第二点,我跟大家探讨一下,刚才很多领导和一些同仁、教授也提到了,我们在银行业方面,其实有很多的业务。我主要讲一下零售、批发业务方面,在2001年的战略性的计划,尽管我们现在已经九月份,现在2001年有点晚,但是我们的计划也是在不断调整。第三点,给大家介绍一下电子商务管理方面的架构,这也是我们公司技术方面的介绍。
在银行方面,刚才我们的领导和各位专家教授都提到了,银行现在面临很大的挑战,我今天主要从IT角度来说,看一下银行方面的挑战。我说IT,大家都很明白,我们IT的发展必须是业务的驱动,如果中国没有WTO的临近,可能今天也不会有那么多人在这里听,我们银行业,整个IT怎么样去走。所以说,整个IT的发展应该很明显的要有业务的驱动。前一段时间,我们互联网技术是受到业务的驱动才会有新的技术出现,这是商用模式下通用的准则。同样的,这个图对我们中国银行业是非常有用的,不管我们下一步会有什么样的挑战,我们需要建立一个新的业务环境,需要建立新的业务流程,同时建立新的系统。这个新的系统出来,对IT是非常大的挑战,大家知道,前一段时间,银行要升级,或者说系统有问题,都会影响到我们每个人的生活,所以这是我们一个通用的准则,跟大家共享一下。
在金融证券业方面,目前国内金融方面面临一个很大的挑战,第一个就是管理公司架构及业务模型的变化,这句话是有非常深刻的含义,刚才IBM的一位同事也讲到,中国的金融业是处在初级的,在以前计划经济下面国家管理严格的金融机构,但是大家看到,在整个亚洲,整个的中国,金融业都有了很大的变化。第一个就是合并,公司的合并与业务的合并,有很大的挑战。我们公司的合并和业务的模型发展变化的时候,我们IT部门如何支持这个过程。刚才我们的教授等都提到安全性,我们的银行保证客户的隐私性。第三是安全性。第四是数据的分析,大家越来越认识到整个业务发展的重要性,我们在座的也不是很明确,我们去银行发生的任何一比操作,其实银行是可以很好地利用客户的任何行为来分析,比如一些部重要的客户,如何利用这个数据,来进行数据的挖掘是很重要的,数据的抽取和数据共享也是很重要的挑战。第五,涉及到钱,刚才网上的网民问到的问题,就是所谓的欺诈以及黑客的风险,另外就是金融资产的管理,这是我们整个银行发展的重要方面。第六,也是我们在座的各位很感兴趣的,就是我们客户服务质量的衡量。我们现在做每一个客户服务的话,从银行自己的角度去看,我是要完成我们的业务,但是我们怎么样完成业务呢?是我们的客户在帮助我们支撑业务。包括在全球很重要的一点就是我们怎么样对客户服务质量衡量。大家都知道,我们做的都是产品,提到产品的时候,就是卖个汽车,卖各电器,同时我们在金融业做的也是产品,我们的产品去做促销,是有目标的客户。就象卖汽车,卖电器一样,我们要寻找客户,这就是我们的挑战。
下面谈谈银行业IT的十大热门技术,这是2000年对2001年的一个调查,我要重申一点,在这里看到的技术,每时每刻都在发生变化,第一点,前面已经提到了,百分之七十,甚至百分之八十的时间都在讲安全,现在后面也会有很多人讲到安全,所以在银行里面安全是很大的一个技术。第二点是电子贸易的文档,利用互联网技术形成的很重要的一点,我们很多通过电子的方式来实现的,这是第二个热门的技术。第三是ISP,在中国我接触过很多的银行,基本上我们的业务都是由银行自己去支撑,国外目前的一种发展趋势,就是说银行可能会有百分之四十、五十的业务通过ISP的方式来实现,也就是说通过第三方的服务提供商来实现的。第四个,我们也讲到了在线隐私保护,作为安全范畴的一部分。第五是在线贸易,我想大家也听到了很多。还有电子证书/PKI。第七,是在线信用卡的欺诈检测,现在有很多的卡,VISA Master等还不算是真正意义的信用卡,为什么?因为还是信用的问题,如何来在线检测我们信用的使用,也是银行里面一个很重要的技术。第八是风险管理。大家已经很清楚了,不管对个人也好,对集体也好,对银行的风险管理。第九是e-eCRM,曾经有一段时间CIMP是非常热烈的话题,但是如果把E去掉的话,eCRM已经很落后了。这些技术里面,通过业务的客户来评选出来的,所以eCRM是非常重要的。
最后一个,大家听到的中间件就是最专业的一个词,但是排在第十位,因为它相对于前面九个来说重要性可能是相对少一点,因为是纯IT的,纯技术性的东西。这是前面在金融方面、证券业方面面临的十个技术。
下面再看看,目前在2001年的十大战略性计划,全球的银行在2001年正在做的十个靠前的计划。第一是后台集成与转型。不知道大家有没有印象,因为我看到,包括各位嘉宾也提到,我们的银行业要得到客户的信息。比如我一有张存款,拿着我的信用卡去消费,我的存款里可能有十万、一百万,但是信用卡透支一万块,银行认为我的信用等级很低,因为我们在银行的后台集成、和转换方面做得很好,我们和其他的公司合并业务的时候,我们的客户,我们的信息就能做到这一点。这是我们中国银行已经做了很多年的IT投资,我们为了迎接WTO的挑战,这也是一个很重要的计划,他们把这个摆在第一位。第二是数据的质量与集成。也就是说我们所得到的数据,即我们拿到任何一笔业务,能不能保证数据的质量。第三是缺省预测及市场信贷的评估,还有一个是多渠道,反映到个性化,刚才我已经讲到了,一个企业在银行里面,他是一个完整的实体,他在银行里所有的信用应该是作为一个整体来考虑,同时我们应该如何对企业进行个性化的服务,这是我们多渠道环境到的个性化。
第五个是电子的采购,我们在制造业和其他行业可以引申到金融行业的一个计划。第六个是smarts groups routing,我们的用户有需求的时候,后台的东西全部是透明的,他可能会跟其他银行,跟其他机构发生关联,只要进入我这个系统以后,我们的系统能够提供智能的业务流程的实现。第七个,客户关系管理的规则,我们的业务是从客户关系管理的角度做我们的业务,我们业务的方向在发生变化,我们怎么样信任我们的客户,保留我们的客户。
然后就是电子化的兑换,以及电子的通讯网络在银行内部的业务交换,是否完全可以通过电子的通讯来实现。给我们客户提供一些建议,电子化的,一个企业在你这儿进行所有的钱的交易,你是不是给他一个很好的建议,不管是在存储业务上还是在发展方面,还是在投资方面,这是我们金融行业目前一个很重要的作用。
第十个就是衡量的准则,我们对IT的投资有没有一个很好的衡量准则。我们国内银行都采取分布式的系统。现在有的采取集中式的系统,有的在做大集中,分区域的集中,我们做这些投资的时候,有没有比较好的从业务角度建立一个比较好的衡量准则,这样我们做任何的IT投资的时候,我一开始就讲这是非常重要的地方,这就是我们银行2001年十项比较重要的战略性计划。
第一点,因为个性化的帐户信息和门户,我们很多用户可能手里拿了十张八张的存折,拿了十张八张的卡,同时在一个银行里有很多卡,我们做银行和电子交易过程当中,能不能提供一个非常好的个性化的帐户信息,使的他每个人在这个银行里有一个非常清晰的描述,还有在线的欺诈检测,有很好的隐私管理。最后跟大家讲的第九点就是移动的电子商务,这对个人礼说,也是比较重要的动作,因为移动电子商务的话,大家都已经现在的GPRS,CDMA,日本的3G的业务模式,他们在移动电子商务应用得非常好。刚才讲到,我们可以更快一点地利用国外的技术,比如说电子商务,我相信明年再讲的话,银行要考虑的就是前面三个计划。这是银行在2001年的战略性的计划。
我一直在强调,我是从技术角度来说的,技术永远是来支持业务,降低价格,执行的成本增加,提供增值的服务,一定是为业务服务的。第二点,我相信大幅度盈利的时代已经结束了,我们的客户会更加挑剔,他们跟银行的关系,更有实力的客户将决定他与银行的关系。技术发展很快,我们不可能在短时间之内通过技术获得投资,如何保护投资是很重要的方面。
我花很大的时间给大家介绍了银行、证券业在技术方面的发展趋势和方向,下面直接给大家介绍一下我们在软件方面的技术。
我们的CA公司是一个独立的软件公司,我们在电子商务船间的角度来说,主要面临三个大的挑战,第一,就是体系架构的管理,银行里技术架构的管理非常重要,我们要建立一个技术架构,同时保证这个技术架构是为银行业务服务的,比如说高可用性、稳定性,高的服务管理,程序方面、数据保护方面的技术。另外是信息的管理,我都提到数据、信息和支持的要求,如果我们把银行的数据用高质量的数据转换成银行可利用的信息和知识,为我们银行的业务服务,这是我们在银行电子业务方面,IT部门一个很重要的挑战。
第二是业务流程的管理,有人提出业务、提出需求的时候,我们把业务更快更准、更方便地实现,讲一个例子,比如业务流程管理方面很重要的例子,国外的一个新业务提出来的时候是六周,两周做业务的评估,三周的时间做实施,一周做整个业务的质量的检测。所以说,这个流程的管理,如何把业务部门提出的需求,IT部门更快更好地实施也是非常重要的方面。我们在技术架构的管理方面、信息管理和流程管理方面,是目前软件在金融业方面的三大挑战。
这是整个软件市场的情况,大家看到,技术架构,软件分三成个部分,我们银行的朋友和客户都会看到整个市场的现象,应用软件发展的情况,应用开发部署的情况,技术架构的范围情况。从2001到2004年中国在这个图里应该发挥更大的作用,因为我们正面临着重大的挑战。
这里在技术上不详细介绍的,软件管理、信息管理和电子商务流程管理的措施,这是体系架构管理的技术,包括网络自动化的应询,服务登记化的管理及IT资源的管理,数据库的管理。安全方面也是这样的,大的结构来说,刚才已经在细节方面大家谈了很多,黑客之类的,我们认为安全方面主要分为三个大的部分,为了保护我们的用户,为了保护我们的资产,我们的用户和资产之间建立非常透明的程序访问的渠道,主要有防御、访问和管理,这是安全管理技术方面的一个框架。
数据保护方面也是这样的,包括数据的管理、企业存储资源的管理和存储的架构,包括备份的恢复,数据的高延展性,远程的容灾的技术,这都是存储管理的方面。
另一方面电子商务的信息管理,我们把信息管理的框架分为两个大的部分,一个是转换与集成,第二是电子商务智能华。我刚才举了一个例子,国外的银行一个新的产品业务推出里的时候,周期是非常短的,大概是六周,给我们的IT部门也就是三周的时间,如果我们不能建立比较好的支撑业务发展的一个IT的模型的话,比较完善的架构的话,很难支撑这个业务,就是六周发展的要求。电子商务的集成,包括银行业务的建模,包括数据的建模,信息的建模和业务的建模,包括业务的开发和部署的过程,业务的流程管理,我们叫transformation。其实在新的业务方面,也要郑虎这样的过程,只有建立比较好的这样的过程,我们才能很快地进行部署。
另一方面集成方面,大家可能听说过集成的概念,一个是B TO B,一个是,特别是中国金融证券业,应该会有一个比较大的合并和业务重组,在这里面,他的企业应用集成是一个非常重要的环节。比如说我们把一个分支系统,作为一个大集成的系统,应用的转换和集成是非常重要的一个环节。
另外是电子商务的智能,刚才讲如何获取高质量的数据,把这个数据转换成信息,和我们支撑业务发展的知识,当然这里包括客户关系的管理,数据的分析、挖掘和预测,个性化的门户技术。
前面我讲了银行业所面临的挑战和我们在软件技术方面所需要的技术,这里是我们公司的产品,我就不详细介绍了。
前面讲了一些挑战和技术,很重要的目的是什么呢?我想在座的各位已经感觉到,我们是为了支撑整个业务的变革,现在不仅仅是中国,整个亚洲的金融业方面,相对世界来说,还有一定差距,这张图就是说,如果有一个企业,一个个人的话,我们银行基本上有不同的系统针对客户,也就是说,没有集成起来。我们的目标是什么呢?我们的目标是我们的系统是集成起来的,各个渠道对客户的服务是统一的、一致的。怎么来实现呢?就是通过我们的技术,通过我们的IT部门实现。我想在座的各位都是IT部门,我想我们应该有信心,也有能力,利用先进的技术帮助目前银行业方面整个业务方面的架构和模型。
网友:中国软件业是否应该与中国的金融界合作开发有自主知识产权的银行专用软件?
孙冠军:我们中国已经有很多的软件的企业,其实也自主开发了一些国内的金融软件,我们CA公司其实有很好的技术和软件,我们公司差不多有二十五年的软件历史经验。但是我们中国不管是金融行业还是其他行业,如何使我们的软件的开发质量、速度、商品化方面来一个提高,这是我们中国软件业要做的一件事。但是我希望我们CA公司在国内有很多的合资公司,有很多的投资,主要是想把我们软件快法的经验跟国内的这些软件金融也好,一些开发的企业共同推进中国软件的发展。
主持人:下面请中国金融认证中心总经理刘大隆先生演讲。
刘大隆:各位早上好,刚才这位小姐问了怀教授一个问题,如果一个百万富翁由于网上攻击,一夜之间变成了穷光蛋,银行怎么办?怀教授没有回答,主持人曹总替他回答,说银行可以保证你不会变成穷光蛋,如果你是一个百万富翁的话。那么,银行怎么样来保证百万富翁不变成穷光蛋?这就是我一会儿要讲的内容。
我今天讲的题目是注重信息安全,健康地发展我国的电子商务。我从电子商务的角度来谈谈电子商务的安全问题。
这儿有一组数字,是美国信息技术咨询公司提供的,他列出了全球电子商务发展的一个趋势,1999年是2279亿美元,2000年4330亿美元,翻了将近一倍。2001年,预计将达到9190亿美元,到2005年是85000亿美元。应该说,这个趋势是非常乐观的。
我们再来看看网络银行发展的现状。
前面两个数字是我从人民银行戴向龙行长的报告中摘取的,我相信应该是准确的。美国的网络银行数量,已占所有银行和储蓄机构总数的12%。欧洲网银100多家,三分之一的储蓄通过互联网进行。中国已经有20多家银行的200个分支机构拥有网址和主页,其中实质性的网银业务的分支机构达50多家,客户超过4多万户。招商银行网银交易总额超过一万亿,这是一个非常好的趋势。
当然有的同志提出这样的问题,前不久纽约的世贸中心遭到了恐怖分子的袭击,据说会给美国经济带来非常大的影响,同时也牵连了世界经济,也会受到影响,会衰退。当然有不少的专家在分析恐怖分子的袭击到底能造成多大的影响。我个人认为,我同意影响不会太大的观点。特别是我认为,这种事件,其实是促进了电子商务的发展,现在有一些银行,采用的是没有营业部的,网络处理的业务,在恐怖分子袭击中,不会受到什么影响。它的数据可以在随便一个什么不起眼的地方放起来,只要通讯一恢复,马上就可以恢复业务。因此,我认为,从电子商务的角度来讲,也许又带来了一个繁荣、兴盛的下一个阶段。这是我的观点,不知道各位是否同意。
电子商务是一个好东西,可是电子商务也有问题。这个问题咱们来看看最近中国互联网信息中心发布的一组数字。现在用户认为网上交易存在的最大问题是什么呢?高达33.4%的被调查人群提到的是安全性得不到保证。也还有一些问题,还有6.0%的人认为网上信息不可靠,还有质量、服务、信用问题是33%的比例。可以看出,信息安全问题已经是电子商务发展的一个非常重要的症结。
在网上主要用户采用什么安全措施呢?这里面,也列出了一些,写得还是不错的,特别是在使用防火墙方面居然可以达到67.6%,防病毒软件可以达到74.5%,其他还有密码加密,电子签名什么等,什么措施都不采用的是3.6%。看来我国的网民对安全问题还是有一定的重视的。但是我要是点评这篇数字,我认为电子签名7.3%是远远不够的。下面我会讲讲道理。
我列出了2000年网络犯罪的十大案例。应该说网络犯罪是五花八门,有黑客案,还有网络色情犯罪案,有网上拍卖诈骗案,有虚假广告案,有网络洗钱案,还有电子邮件的诈骗案,还有电子商务走私,破坏计算机系统,网络纠纷引起凶杀等案件。在这里,十个中有四个是牵涉到经济的,也就是利用网络来进行经济诈骗。网络犯罪的特点比1999年上升了30%,数量增加了,手段也多样化,水平也比以前有所提高。这是值得大家警惕的问题。
从国际上来讲,美国这样的一个安全技术比较领先的大国,同样发生了触目惊心的网络诈骗案,这是发表在媒体上的一个阿普杜拉案件,是今年春天发表的案件,有一个杂志,专门登富翁排行榜的杂志,对前200名内的部分富翁进行诈骗,金额达到1000万美元以上。采用的手段说起来不是特别高级,首先用一个假造的公司文件印章,向信用报告公司索取目标人金融资料。比如说斯皮尔博格,是二百个富翁中的一个,利用他假造的名誉文件向信用报告公司索取资料。信用报告公司一定要打电话核实,犯罪分子利用一个伪装的网络电话,来自动答入说我不在。信用公司的业务小姐就信以为真了,于是从信用公司寄给目标人的帐号,股票经纪密码,信用卡资料。诈骗人通过加密的电子邮件写给目标人所代理的银行,要求银行划转资金或者支付用假信用卡的购物款。这个犯罪手段我认为并不高级,可是为什么能得逞呢?这就是我要讲的事情。
对于我国的信息安全,现在面临着几大威胁。刚才已经讲到,信息犯罪有快速蔓延的趋势。一年居然增长30%,数量增高,水平也提高。第二是信息与网络的安全防护能力差。很多计算机系统,无论是金融行业,还是非金融行业的计算机系统在网络保护方面舍不得投入,网络的防护能力特别差,有的只用简单的口令识别系统,这是远远不够的。第三,基础信息产业严重依赖于国外。现在使用的计算机,大型机肯定都是国外的,中型机,小型机大多数也是国外的,就算是微机,芯片和CPU是国外的。我们的操作系统中国还没有成气侯的,主流的操作系统,用的都是国外的操作系统。基础信息产业严重依赖于国外,造成了安全的隐患。
第四个对引进技术和设备缺乏安全检测。我们也有这方面的机构,但是没有这方面的法规。所以引进的这些设备大部分没有经过安全检测。第五,信息安全管理机构缺乏权威。现在这方面应该说有好几个单位都在管,好几个部委都在管。我是搞金融认证的,也打交道,公安部、安全部、中办机要局都在管,谁都说他管的是唯一的,有效的,实际上谁都不唯一。第六个,公众信息安全意识淡薄。
为了保证电子商务的安全,要提供全方位的安全的服务,这里面,我想主要是包含三方面的内容。
一个是信息技术安全,一个是安全的管理,还有一个就是与安全相关的政策法规的建立和完善。信息安全技术里面,又分成系统环境安全和应用交易安全。系统环境安全里面分网络安全、物理安全、运行环境安全、系统关键设备的备份和应急措施,灾难备份等方面。
在应用交易安全的主要目的是保证合法用户,在系统中完成权限内的操作,这是应用交易安全工作的一个核心。这里也包括不可否认性,信息的可审查性。
信息安全技术中又分几方面,防火墙技术、加密技术、认证技术、防治病毒技术及其他技术。
防火墙技术,我相信金融界,IT同行都已经很熟悉了,这里分成几种防火墙的类型。加密技术主要分为对称加密技术和公开加密技术。目前我们金融行业中大量使用的对称加密技术,比如保密机,中国人民银行,电子联行系统现在用的就是这种对称的密钥加密技术。对称密钥加密技术,达到128位以后,从实践上认为是不可攻破的。但是对称加密技术,由于密钥管理困难,所以在1978年,世界上诞生了公开密钥的加密技术,即非对称的,这种加密技术使得密钥管理简单化,可以在互联网上,广泛的广域网上进行,而且有数字签名的功能,可以使数据保持它的完整性和不可否认性。
我再提提网络身份认证技术。网络身份技术,有多种,刚才提到基于PKI公钥基础设施数字证书的认证,这个在互联网上用得比较广泛。除此以外,还有非PKI的技术,比如口令识别,比较简单的。还有计算机硬件特征识别,我在最近一些媒体上看到有的ID Shield的系统这种方式,同时辅助以口令识别,是双因子的认证系统。还有生物特征的识别,指纹识别系统,虹膜识别系统,这种识别是非常安全和可靠的,但是由于它的特点不在适用于网上的安全认证识别。
我是搞认证的,我想把认证技术说得更多一些。使用PKI公钥基础设施进行的数字证书的认证技术,主要解决数据信息的身份信任、数据信息的完整性、不可否认性和私秘性。这四性,搞过证书的人是很熟悉的。
PKI是什么东西?是基于公钥加密技术的基础设施,是一种技术的组合服务,这个组合服务里,包括这样几个因素,一个是认证机关,就是经常听到的CA认证中心,还有证书仓库,密钥管理备份更新及恢复系统。证书作废处理系统,客户端的证书处理系统,这是指使用系统的应用系统,是配套的。还有时间戳服务,就是利用证书再配上时间戳的软件,可以在做的电子商务的交易中,打上唯一的时间的标记,日期、时间,这样作为法律有效的根据保存下来,以便日后如果出现纠纷的话,可以提交法律裁决。
交叉认证服务是指不同的CA之间进行相互的交叉认证。
信息安全技术中还有防止网络病毒的问题。这个我不仔细讲了,大家对此可能最熟悉,防止病毒应该多方面防止,不是仅仅在自己的服务器上进行防止。
除此以外还有其他的一些技术,比如说防火墙,还有一些绕过防火墙的攻击,我们以前听到的拒绝服务攻击和分布的拒绝服务攻击,这些东西靠防火墙是做不到的。怎么样做到呢?要加装入侵检测软件,ISS,我们用的就是这个软件,有效地检测了拒绝服务攻击。国内听说也有一些软件生产出来了。
另外系统的安全设计、密钥管理访问控制、安全审计、漏洞扫描、灾难备份恢复,都归在其他的技术中了。在电子商务中,这些都是需要考虑的。
再看看安全管理,安全管理是非常重要的,据BISS数据统计,把安全事故的因素做了一些分类。出于疏忽的是57%,外部恶意攻击是24%,不到四分之一,病毒14%,两个加起来是38%。用户误操作占5%。如果进行了管理上的加强,有70%以上安全事故可以避免。这就给我们提出了安全管理所具有的重要性。
加强安全管理应该有哪些方面呢?
首先是安全意识的管理,我特别把领导重视放在里面了,很多单位的安全是否能搞得好,领导占了非常重要的因素。第二个是安全教育,第三是机房安全管理,下面提的都是一些国家颁发的安全管理的文件和要求。
此外,还有系统安全管理,人员安全管理、制度防范。我就不细说了。
最后讲一下网络立法。我认为网络立法是当务之急。
因为安全工作离不开网络法规环境的支持,没有网络的环境法规的支持,安全工作做不下去。但是,事情也有反面,有了安全工作,又是网络立法、执法的重要保障,下面我会具体说明。
网络立法的内容有以下几个方面,电子合同、电子签名、电子商务认证、电子数据证据、网上交易与支付、网上知识产权、电子商务管辖权、在线争议解决等等。这些东西以前我们不是说一点没有,但是我相信是非常薄弱的,人民银行曾经通过一个文件承认了电子联行当中电子数据的有效性,但只是一个行发文,不能形成法律,出现法律纠纷,仅凭行发文恐怕还不能产生效力。
如果我们以香港电子交易条例为例,我们来看看电子商务法规的内容。我们看过香港电子交易条例后所看到的,首先它有确立电子和约的有效性。邀约和成约均可以仅以电子记录表达,具有法律的有效性。人民银行有一个法文,是确定了电子联行电子数据的有效性,但人家是以《电子交易条例》的形式发布的。确立数字签名的有效性,这里举了美国犹他州的数字签名法,我这里所说不承认其他,不是说不承认其他的签名,是不承认其他的电子签名,这个电子签名是过关的,其他的还不能承认。
另外是建立公开密钥基础设施,不但要求建立认证中心有公钥,私钥,同时界定了法律地位,要确立非对称密码系统的法律地位,把一种技术放在法律的条文中加以规定。除此以外还设立了认证机构的认可和监管。认可程序、法律责任,证书的法律效力,CA的运作准则等等。
后面这一点也非常重要,建立保密责任,资料泄密者承担刑事责任。不超过六个月的监禁,这点在我国还没有产生。
另外,我们也能看到,各国都有一些网络立法,我罗列了一些,96年6月联合国国际贸易法委员会通过了《电子商务示范法》,电子签名统一规则,犹他州的数字签名法,德国、俄国、欧盟的都有。
不但是发达国家有,就是一些跟我们差不多的老兄老弟们也有了,韩国有电子商务基本法,印度有信息技术法,香港已经通过了电子交易条例,台湾的数字签张法,一读程序已经通过。我国现在也有一些管理办法,计算机信息网络国际联网管理暂行规定。《计算机病毒防治管理办法》,关于电子商务的法律和条例,在2001年,我们听到的就是像信息产业部,国家信息安全测评中心,接受信息产业部的委托,正在起草国家电子商务发展框架安全认证政管理办法等,我国的数字签名法,只听雷声,不见雨点,到现在还是处于酝酿之中,何时出台,无法预料。
最后,我想讲讲中国金融认证中心的责任和义务。中国金融认证中心是目前国内唯一一家国家级金融认证机构,是由人民银行牵头,组织了十三家商业银行联合共建的,几乎包括了所有的商业银行。是投资五千余万元,采用了国际国内最先进的安全认证技术,经过18个月筹备和建设,于2000年6月29日正式建成,挂牌运行。
这个题目比较耸人听闻,不是我创造的,是今年七月IT经理世界的一篇文章,叫超低空搏杀,CA大比拼,是讲目前CA的现状。中国的CA,不大的电子商务市场,已经出现了三十多个CA,这里有行业性的CA,像中国技术认证中心,外经贸CA,海关CA,电信CA等,还有地方性的CA,有将近二十来个,还有商业性的以盈利为目的的CA,顶点CA,天威诚信CA,还有国外的CA也在往国内渗透,VERISIGN CA,据说也发了一些证书。
目前,我们讲到,安全管理缺乏权威性,不大的蛋糕,这么多的CA去抢,一方面造成大家谁也吃不饱,另外也缺乏了安全认证的权威性,到底信谁的?再者,我国有限的IT资源也在浪费中。我个人的观点不同意这么干,其实中国,按吴世忠主任的话来讲,中国有五个CA就够了,所以我相信以后会进行整顿和整合。当然在市场经济当中,也一定会有一个淘汰的机制。
中国金融认证中心的责任有三点。第一,是向各界提供各种认证需求,这是作为一个权威的、公正的、可信的第三方的认证机构。第二组织并参与有关网上交易规则的制定,以及确立相应的技术标准等。采用采用PKI技术,协助各成员行和其他用户开发电子商务网上银行,网上证券交易等等安全应用。这三方面的服务,请大家也要记住一点,我们不是人民银行的官方机构,是一个服务为宗旨的,走进市场经济的,具有活力的,但是又具有权威性的们正机构。目标是要建立SET和NON-SET两大体系,发放各式各样的证书,普通证书,高级证书,个人证书,无线手机WAP协议的证书,虚拟专用网的证书,支持网上购物,网上银行,网上证券交易和其他的一些管理。SET CA支持B2B,B2C的业务。
我刚才讲过PKI不是一个简单的技术,是一种技术组合服务,CFCA具有全方位的安全认证的技术服务。
再接着解释一下,我想说的观点是,如果你使用了金融CA的证书,就能防止阿普杜拉案件的发生,也就是刚才在怀教授讲完以后,这位小姐提出的问题,就是能解决不让百万富翁变成穷光蛋的问题。原因是什么?我们分析阿普杜拉案件,这里有一系列的漏洞,首先,美国的信用报告查询制度就有漏洞,怎么能凭一个虚假的,比如说文件、印章,一个电话就可以相信了呢?就可以相信申请人,把信用的一些非常重要的数据交出去呢?第二,用的所谓加密电子邮件是SSL,这个SSL,由于时间关系不敢多讲了,是一种不够安全的证书。用了这种东西,没有数字签名,也不可能让银行的证书和数据分离,是不行的。用了金融认证的证书,由于证书审批的严格性,数字证书、数字签名的唯一性,由于证书与卡号、与帐号的绑定,使得阿普杜拉无法骗取银行的信任,防止了百万富翁在一夜之间变成穷光蛋的问题。
我们金融认证中心在建设和运营中一直坚持金融的特色,金融特色应该体现在这四方面。一方面是金融本身在电子商务中的重要作用,网上支付是无庸置疑的,非常重要的。第二是人民银行牵头,各银行联合共建、共用、共管,共认,又是可信任的第三方机构,跟某个银行自己搞CA不一样,他不是第三方,将来在法律上说话有一些问题的。CFCA是第三方的。最后是只有金融证书可以支持网上支付。这个因为主持人给我的时间到了,我后面不再详细说了。
总而言之,利用金融证书可以实现网上的支付。这里主要一点,最重要的一点是因为金融认证中心的证书是金融单位批准的,同时又采取了一些技术措施,证书和持卡人的卡号是绑定的,帐号是绑定的,另外,发证书的证书中心和审批证书的商业银行,证书的持有人,各自都有各自的法律责任,同时,要有比较明确的损失赔偿的细则。有了这一切,我们就能保证网上支付,大家在正式运行中,可能会使用别的CA发的证书,老是在网上支付这儿卡壳,利用了金融认证中心的CA认证,利用了这些保证,这个问题就可以得到解决。
最后,CFCA的发展。从左边看,CFCA现在是建立了北京的一个中心,下一步随着业务的发展,我们会加大证书的发放数量,增多证书的品种。还需要建立一些地区性的金融认证中心的子中心,同时,还要把专业银行所建立的CA和CFCA整合在一起,作为新证书,下面挂一些专业银行的CA,同时建立备份中心,以便证书仓库的重要数据的备份。另外,跟国外在谈判,有一个国际金融认证的联盟组织,是把各个国外银行的CA,通过一定的技术和业务的规则联在一起,实行跨行认证,中国金融认证中心已经实现了跨行的认证,同时还要跟国外进行国内外银行信任的交叉。这一点对电子商务是非常重要的,因为电子商务是没有边界的,没有省边界,没有市边界,没有国界,这件事,我们今后会作为一个重要的课题进行研究。
今天我的发言就到这儿,耽误大家时间了,谢谢大家的参与。
主持人:上午的论题二结束,下午一点半自由论坛,欢迎大家参加。
订短信头条新闻 天下大事尽在掌握!
新浪企业广场诚征全国代理
| 
