网际威信集团金融产品处总监郭淑华发言实录

　　郭淑华 ： 各位先生、各位女士下午好。我是网际威信金融产品处郭淑华，很高兴有这个机会和大家分享互联网支付与信息安全。今天我分四个部分和各位介绍，首先介绍一下电子商务的现状与未来发展，然后介绍一下互联网市场主要和新兴防护机制，在支付过程中我们应该注意哪些安全机制、应该有哪些信息安全的防护机制呢，第三部分我将来进行说明。

　　下面介绍一下B2B的安全控制与大型企业的情况，第二部分介绍是一下B2C的范例。

　　目前全球人口中有10亿人口是我们的网民，中国地区13亿人口中有1.2亿是网民，占总人口的9.4%，从2000年到现在的成长率高达446%，这是潜力非常大的市场。我们看看全球主要的经济体他们的

电子商务发展的数据。在欧洲地区，2005年的B2C的交易数据大约是人民币四千亿，2010年预计市场可以达到11600亿的金额，到2010年在五年会有185%的成长率。美国市场的调查数据结果看来2005年B2C有13000亿的交易金额。依据调查公司的调查2005年中国已经达到了56亿人民币的B2C的电子商务交易，2010年会成长为人民币460亿，这五年每年将以52%的速度成长。电子商务市场中每天都需要有交易的行为发生。

　　我们下面看看全球使用的支付方式有哪些？全球网上支付里面目前信用卡支付占59%，其次是银行转帐占13%，在中国地区主要的支付工具，包括银行的储蓄卡、信用卡、银行汇款，这三个支付工具在市场上是很平均的状态，我们中国市场其实还是有非常大的成长空间，目前中国市场可能遇到的瓶颈有哪些呢？我们做一下分析。根据市场的几个调查统计来看，目前中国市场里面有三个问题，第一是网络交易的信息安全、第二是金流与物流的问题，第三是诚信不足问题。这几个问题以第一项网络安全、信息安全影响最为重要。我们看看应该怎么做防护呢？

　　美国在2005年到2006年采用的一些安全技术。(图)浅蓝色是06年的调查数据、深蓝色的线是05年的调查数据，前面几项都是主要的使用工具，目前的电子商务的所有系统的防火墙或者防毒软件都是必要的设备。这里面有几项机制是2006年新产生的，第一个是针对骇客问题的一些软件解决方案，第二个是针对交易记录做管理。第三个部分在(图)上的这些安控机制里面我们试试看做一下分类，我们分成四类说明，前面两类包括软件设备的安控机制、系统软件的安控机制，电子商务交易过程中有很多非常重要的资料必须要做严谨的保护。第三类安控机制是安全控制平台，在我们传输重要资料的过程中，必须有一些共用的机制应用在所有应用系统，让我们的应用系统借由这个共用平台让我们的运行系统更安全。

　　这里面包括哪些安控机制呢？必须在进行过程中必须从安控点开始，从客户送来的资料到当下送到银行的信息整体来讲是安全的。除此之外是PKI的机制，对于高风险的交易必须运用这样的机制才能达到传送方不可否认。下面提到动态密码的安全防控机制在目前电子商务个人消费部分是常用的机制，过去我们可能用的是磁条，我们在做磁条交易过程中，密码输入最终端点是银行检核，密码可能是在网络上传送，如果在删减的部分可以使用IC卡的方式传送密码相应会有一定的保障。第四类是应用集成，虽然我们PKI机制、有加解密的机制，但是我如何适当的运用这些安控机制呢？

　　我们分析过市场的现状之后发现了一些市场的瓶颈。在电子支付交易过程中需要哪些安控机制呢？(图)这个示意图，消费者通过这端上网使用各种各样的支付服务，现在的支付服务由结算服务商，银行来提供服务，从用户端点到互联网到服务提供者这中间是开放的网路，这当中我们需要提供几类的安控机制，第一类是传输层的安控机制，其中包括128机制，以及控件防盗用机制，我们现在做各式的加解密的过程中，必须从用户输入之后就开始做整体防护，我们做这样的防护之后，我们会在客户环境里面安装一些控件。但是骇客也可以模拟使用原件的方式和银行沟通，所以我的控件必须做到防止骇客使用。我们现在在互联网上，这是一个开放的网路，消费者使用的系统端的原件是不是我们原来发送出去的原件呢？还是骇客制作的原件。我们必须确认这样一个安控机制是我们原来做的，所以我们会对这个原件做出一些检查，如果正确回答就可以确认是原来的原件。

　　在传输层中提供了这样防护机制后，我们接下来看一些交易面的安全控制机制。不管什么样的支付方式可能都有个别需要再新增和加强的防控机制。比如信用卡的应用上，可以采取新的规范来增加信用卡在网络上面刷卡的安全机制，经过三方的验证，经过密码的验证，可以确认这个持卡人是原来的持卡人。第二部分是，当我们做银行借记卡的转帐或者支付的时候，首先用的可能是密码对于用户的身份资料做确认。除此之外，如果可以在密码上延伸，变成智能卡的方式做验证，相对的安控机制也可以做提升。我们做安控的过程当中，当然固定的密码是检核的方式，但是如果要增加安全性，我们要考虑把每次的密码做动态的变更，就是OTP动态密码，现在动态密码的制作方式更安全的方式是有一个OTP的密钥，它可以随时产生新的密码作为密码确认。另外一种方式是经过手机传送密码，对于消费者端来说它的设备可以更方便，不需要买OTP的密钥，相对的也降低银行端的设备成本。

　　第四个，数字证书的验证，目前只有PKI的技术可以做到交易不可否认，目前全球大多数的大的安控的交易金额里面，都可以用数字证书来做处理。应用系统面的安控机制。我们针对应用系统所需要的安全控管做管理。

　　第四部分是针对木马程序和网络调研的问题做防控，目前防控机制有木马软键盘、骇客只取到一个密码不能做任何交易，我们必须提高它另外的门坎。

　　我们把刚刚提到的四大类的网络支付需要的安全信息机制做一个分类，传输层的安控机制以及交易面的安控机制，就是安全控制平台，我们在整体的电子商务服务里面，整理了一套的完整的安全控制平台，提供给所有的应用系统使用。在应用系统上面，不管网页设计的接口或者登录界面的处理，都是应用处理层面需要增加的安全防控机制。面对开放的网路面对木马程序也有相应的安控机制。

　　最后用两张图和各位分享一下我们在B2B和B2C的范例，我们在大型企业的在线金流，我们谈到大型企业可能是谈到他们中兴厂与供货商的上下游的体系、上下游的

供应链，在供货过程中，经过VMI的库存作业，或者依据正常的业务交易模式，经过订单、出货单、发票到结帐，这个过程中中兴层需要银行提供保证，也可以银行提供企业电子付款包括包含到资金调度。对供应商来讲，当它在提供这样的预存货物给中兴厂使用的，他有一个订单保证的使用需求，让供货商可以有更充足的资金下准备货品。对于供货商来看，因为提供了货物，所以它会有收款的需求，银行可以通知他收款，银行提供的线上服务做到帐户整合以及财务调度。在这个过程中，整个应用案例里面，我们做到的是在线的全球收付款、保理、帐户整合和资金调度，这里面必须由银行制定相应的规格和标准。这里面我们提供了安全平台以及作业应用流程。

　　第二个例子是说明B2C的应用案例，台湾的借记卡已经全面换发成晶片卡，原来的提款卡都是在实体的ATM做转帐，但是转换成晶片卡的时候实际上已经加了非常多的安全机制在里面，这时候可以把原来实体的ATM的服务变成网络化，除了不能吐现金，可以在ATM做的转帐、查询、付款、交税等等都可以通过网络进行。所以对于消费者来看它有一个晶片卡之后借由一个读卡机可以在网路上输入自己的资料。在这个交易过程中它的密码是临线验证的，并不是把密码经过互联网传送到银行，他在离线做密码验证。这样的过程中，消费者在离线的环境里输入了密码，做了密码之后，我们会经过一个deskkey传送到发卡行进行验证，在这样的过程中，智能卡信息规格的制定和规范也是非常重要的事情。

　　我今天的报告就到这儿，谢谢各位的指导！