不支持Flash
外汇查询:

李晓峰:第三方安全论证在互联网支付中的作用

http://www.sina.com.cn 2006年09月19日 18:39 新浪财经

  李晓峰::刚才主持人说时间可能拖了一点,因为时间关系我不放PPT了。谢谢大会,谢谢主持人,非常荣幸和大家做交流。今天是研讨会,所以随后的发言有不妥之处敬请谅解。 我们在网上网友对CFC的评论里面挑出一条,网上银行安全吗?出了事谁负责,很有代表性,道出了网上银行或者电子支付的关键问题就是安全。我们知道互联网是个开放的网络,是最不安全的网络,网上银行的基础是不安全的,原来有一句话说互联网上不知道对方是人还是狗,非常经典,道出了一个身份认证的问题和安全问题。在实体世界中,有相对完善的法律法规,有公安、司法机构,有公证机关,人与人能够会面,彼此有荣辱单感、道德约束,在网络的虚拟世界中,上述的因素不存在。生存中大多数的法律是为原始社会准备的,是给现实社会的,不是给网络准备的。互联网的安全是相对的,不安全是绝对。我们看一下网上银行的安全现状原因和如何使得它更安全。 关于电子商务的发展情况和互联网发展情况,有2000万的网民,5000多万的计算机,超过半数的宽带上网,这些不再列举了。我们看一下网上银行的发展现状,良好的互联的发展基础构成电子商务以及网上银行的发展基础。中国网上银行的发展现状起步不晚,发展很快,空间很大,问题突出。我们先看起步不晚。在98年的时候有个定义,网上银行是通过电子渠道提供零售和小额定额服务,定义已经不重要了,在美国第一家网上银行,95年开业之后,我们国家的商业银行开始提供网上银行任务,相差不到三年的时间,相比传统银行业务是同步的,我们看发展很快2001年的时候网上银行有200多万户,到去年 已经2700多万户,今年上半年在以及获准开放的外国银行开设网上银行的是48家,在农村信用社中大概有5家左右开设了网上银行,今年上半年的网上银行客户数在3600万左右,交易额超过40多万亿。 空间很大。一个可比较的数字,目前我们有12300多万的互联网的用户,宽带上网超过2800多万台,而我们的网上银行客户津津有3000多万,所以发展空间很大,我们调查表明网上银行的发展空间还是很大的。我们最后看看问题突出,就是安全问题。我记得从04年开始,不断的有假冒银行网站的,利用木马病毒或者通过欺诈手段盗取客户资金的情况,案例我就不列举了,互联网上可以看到。我们去年作过一个网上银行调查,去年11月份发布了网上银行调查报告,我们调查了全国10个经济发达城市,对现有客户、潜在客户和不可能客户都做了统计,总的数字差不多,超过50%到70%的用户认为网上银行不安全,这个跟互联网的一些调查相吻合。互联网网民最反感的问题也是集中在安全问题,被选择比例最高的十个问题中安全占了五条,网络病毒、入侵、网络陷阱、隐私泄漏等等。所有的数据统计表明,安全成为网上银行各方最关心的问题,如果这个问题解决不好,我们国家的网上银行就得不到健康、快速的发展。 为什么不安全。到目前为止所有的案例几乎都是用户仅仅采用用户名、密码或者是卡号、密码的方式造成的。如何让网上银行更安全。我们说网上银行的安全决不是一种技术手段或者一家银行或者某一个机构能办得到的是非常庞大的社会系统工程,它涉及到首先有一个建立健全的法律法规环境,明确的政策导向,安全可行的技术手段,各方的安全意识、法律意识,健全的诚信体系以及对网上犯罪的打击力度。我们知道,电子商务和电子政务的发展提高了商务活动和政务的效率,但是已经和法律形成了很大的冲突,现有的法律法规制约了电子商务和电子政务的发展。在现实社会中,商务活动包括政务活动,为了表明当事人的身份和当事人认可一份文件的内容,需要手写签名和盖章,这是具有法律效力的,但是当这种商务活动和政务活动以电子形式在互联网上进行的时候要当然进行电子签名,电子签名就是一个密码,是嵌在文件中的一个密码。 我们国家相关的法律法规的情况,2004年8月28号全国人大通过了《中华人民共和国电子签名法》,05年的4月1号正式颁布实施,在这个法律颁布之前,我们国家的银行业已经开始使用电子签名了,但是严格的说没有法律效力的。这部法律核心的内容是明确了“可靠的电子签名与手写签名”和盖章具有同等的法律效力,也明确了第三方认证机构的准入条件和法律责任。到目前为止,全世界有超过60个国家和地区颁布了相关的法律法规。 电子认证服务管理办法,这是电子签名法授权的行政许可的批准部门,也就是国家信息产业部颁布的,电子签名法是一个框架性的法律,仅仅有5章36条,非常简略,不具备操作性,信息产业部作为主管部门在去年的4月1号同步颁布了电子认证服务管理办法,这个办法主要是明确对第三方认证机构的管理,核心内容是向社会公众提供的服务中,提供安全认证,必须由依法设立的第三方认证机构,而不能由交易的一方来提供认证。在这个法律法规颁布之前,我们国家认证领域,CA领域大约有100几十家,一直是在诸侯割据的混乱当中,法律法规颁布以后目前正在规范。到目前为止国家批准的合法的第三方认证机构一共19家,这里面提醒各位注意的是,仍然有很多的行业和单位用自建的CA向社会公众提供安全认证服务,这是一种非法的行为。 电子支付指引,刚才人民银行的谢司长提到,为了规范电子银行业务,中国人民银行在去年11月颁布了电子支付指引一号,与安全认证相关的有几条,银行应确保电子支付业务的安全性,保证重要交易数据的不可抵赖性,数据存储的完整性和身份真实性。我们目前用的卡号、密码的方式是最简单的认证方式,也是引发案例最多的,能够实现这一点的目前只有电子签名。对没有使用数字证书方式的金融机构的交易额也有限制,每天最高不超过一千块钱/笔。国务院信息办在今年1月份颁布了风险评估方面的指导意见,今年1月份信息办颁布了加快电子商务发展的工作任务分工,都对安全认证提出了要求。国信办11号文件关于网络信息体系建设的若干意见,银监会在今年3月1号颁布电子银行业务管理办法,这里面对如何处理安全认证问题也作了明确的要求,38条说“金融机构应当采用适当的加密技术,保证电子交易数据的安全性、保密性、完整性和不可否认性”,这又是只有电子签名能够做到,“并且对金融机构开展银行业务使用电子认证的时候,要求应当符合国家法律法规”,同时银监会也颁布了电子银行安全评估指引,也是相关内容的。今年5月份中办、国办印发了200无到2020年国家信息化发展战略,对我国的信息安全问题作了精辟的分析并且提出要加快信任认证标准、支付和现代物流建设。此外国家密码局在05年4月1号颁布了电子认证服务密码管理办法,这些都是跟安全认证相关各的法律法规。今年5月份商务部颁布了网上交易的指导意见,网上交易参与方通过电子签名签署合同应该使用可靠的电子签名,由依法设立的电子认证服务提供者提供服务。应该说到目前为止,我们国家有关网上银行或者电子支付安全认证方面的法律法规情况逐步健全五。 我们现在看看网上应该应该怎么做?我们国家的金融机构在物理手段上跟国外没有什么差别,几乎是同步的,业界所能提供的技术手段,我们国家金融机构都采用了,从机房开始,屏蔽的机房,门禁系统、双机、路由器、防火墙等等一应俱全,都已经具备了。完成一个交易,必须满足的四个安全因素,这是刚才说的物理手段无法办到的。第一交易双方的身份真实性,第二信息的保密性,也是私密性,第三是信息的完整性,不能被别人篡改,第四交易的不可否认性。我们讲传统的卡号、密码的方式根本无法实现上述的四点,所以造成这些案件的频发。我们觉得金融机构应该从符合法律法规要求、政策导向、切实保护各方权益,用户接受度、方便性、未来发展等各方面考虑,为客户提供切实铺性的安全手段。到目前为止,国内国外学术界、业界最认可的互联网上保证上述四点的只有基于PKI的电子签名技术。身份认证技术有很多种,卡号密码是最简单的身份认证技术,此外还有一些基于生物统计学基础的,比如声音、指纹、瞳膜扫描,一年前美国公司推出基于键盘的识别技术,我想可能是通过敲击键盘的频度的特点来识别。刚才我讲了互联网商业界认可的目前符合法律法规,能够实现上述四点的只有基于PKI的公钥的基础设施的技术,在在这个技术里面,需要第三方的问题,有些机构用自己的认证CA向客户提供服务是不合法的,基于PKI的技术有三个主体,一个是电子签名人,一个是电子签名依赖方,再一个主体是CA中交易双方是基于对CA中心的信任才建立起信任关系的,可以简单的理解为现实社会两个当事人要认真身份,当然要依赖于公安机关发放的身份证来识别。 向社会公众提供的网上银行的服务,包括电子支付业务,第三方具有不可替代的作用,除了法律问题以外,我们认为CA机构如果数字证书不具备权威性、公正性就无法得到客户的银行,网上银行、电子支付的安全性、公正性、品牌也就无从谈起,这个已经得到越来越多的佐证。刚才郭总说为什么电子签名法不强调必须第三方认证,各位可能有的看到中华人民共和国电子签名法,我有不同的解读,全国人大制定电子签名法律的时候,我应邀参加过讨论,当时提议应该明确写“电子签名必须由第三方认证机构提供服务”,但是法律专家的解读立法有个原则是“技术中立原则”,法律里面不能罗列各种技术,认证技术有很多种,未来不知道出现什么技术,法律如果绑定了特定的技术,这个法律的生命太短了,所以有一个技术中立的原则,基于这个原则在我们国家电子签名法里面“电子签名需要第三方认证由依法设立的CA提供”,认证技术有很多,但是目前在用的符合法律要求的,能够实现刚才我们说的试点的是基于PKI的数字签名,这种技术必须是第三方,所以不是可选的,是按照法律要求需要的必须用 电子支付指引、电子银行管理办法,以及政府相关部门的指导意见都提出了明确的政策导向。此外我们认为第三方认证机构本身对于保证网上银行的安全,消除公众疑虑,增强公众信心,强化网上银行,包括电子支付品牌拓展市场起到至关重要的作用。对商业银行来说,安全认证只是一种手段,而不应该称其为义务。但是令我们担忧的是我们的调查表明,我们国家三千多万的用户中,知道有数字证书这种机制保护资金安全的不到1/3,而使用合法的第三方数字证书的仅有3%,我们知道数字证书可以简单理解为网上数字身份证加上电子签名,即使你的卡号用户名盗用,你的数字证书在手就是安全的,到目前为止我们的技术还破解不了电子签名。过去因为历史原因,一些商业机构、商业银行还有其他的机构自建了一些CA向社会公众提供服务,现在法律法规逐渐明确,社会公众的要求逐渐强烈,专业化分工越来越明确,形势正在改变,但是需要提醒各位的是有一些CA开发商一直在进行误导,误导自建认证机构,希望各位注意。 一个月前有一个报道,报导说部分银行在网上交易系统中用了自己的数字证书,按照常理CA只有由值得信任的中立的第三方办发,这样才具备公正性和身份证的作用,银行自己颁发纯属王婆卖瓜,一人兼裁判和球员,客户只有任宰割的份。我们抛开法律因素,我们看到媒体和公众对第三方认证的态度。我们认为用第三方有利于银行业有利于客户,包括第三方支付平台。用第三方有法可依、有理可据、有案可查。 银行方面我们觉得应该加强制度建设。到目前为止我们所看到的所有案件几乎都是客户仅仅用了帐号、密码的方式,也都是客户的原因泄密造成了资金损失,但是也有银行方面造成的,去年有一个一千多万的大的案件,今年有一个几十万的案件,这两个案件的确都是银行方面审核不严造成的,所以我们觉得首先应该加强和规范网上银行业务,加强制度建设,使制度覆盖每一项业务中,并且制度是简单、有效、可行,而不能流于形式,其次要加强审计监督机制,强化对制度执行情况的监督和检查,最后应该是严格对违规行为进行处罚。 理清银行、第三方认证机构以及客户三者的关系,引导和宣传客户正确的使用合法的第三方认证机构,这样才能保护资金安全,保护信息安全,保证银行、第三方平台以及客户等各方的合法权益。 中国金融认证中心的情况各位有所了解,在98年的时候人民银行牵头,是我们国家统一的第三方认证机构,也是目前中国金融业唯一合法的第三方认证机构,是国家的重要的金融安全基础设施。我们的系统在国家科技部、中国人民银行支持下建立的,是一套具有自主知识产权的国家金融安全认证系统,目前我们国家所有的的商业银行、网上银行业务,包括外资银行、城市信用社都是由这个平台,国家金融安全认证系统提供认证服务,也包括第三方支付平台、电子商务企业、政府等相关部门,到目前为止,截至到今年7月份这个数字证书突破100万,当然这100万有可喜的一面,也有可忧的一面,可喜的是发展不容易,可忧的是相对于三千万的用户来说这个数字微不足道。 在网上银行方面,CA与商业银行、第三方支付平台在业务上互补,利益上互惠。明年外资银行大举入侵,有位学者讲要想与狼共舞,首先要变成狼,我们要优化创新我们的业务,网上银行是必争之地,商业银行专心网上银行的核心业务,丰富功能,优化服务,打造品牌,扩大市场,安全认证由合法的第三方担任,是优势互补,各方互惠互利、合法合情合理的事情。在各界的共同努力下,网上银行应该会越来越被广大公众接受地用自建CA的这种现象逐渐会消除,金融领域统一安全认证,实现网银一证通、支付一证通应该不是一个梦想了,当然网上支付安全不是轻易做得到的,是一个庞大的社会系统工程,需要全社会的共同努力,我们希望跟商业银行、外资银行、第三方支付平台继续合作,努力构造一个安全的网上支付环境。 谢谢大家。

发表评论 _COUNT_条
爱问(iAsk.com)