银行业专家做客新浪畅谈网上银行安全聊天实录(2)

　　主持人 ： 接着您的问题继续网友的发问，电子认证是什么样的认证和ISO900的认证有什么区别？

　　周永林 ： ISO900这是一种生产和管理的认证标准，刚才李总谈的是身份的认证，在现实生活中要认识你这个人，你到哪里办业务，首先要你的折和你的卡，如果你要开户的话，我还看你的身份证，要看证件，在网络世界里怎么样识别你的证件，我怎么样识别你的身份呢？就是在虚拟空间里面、网络空间里面，就要有一个公正的第三方，就网络生活中公安机关发身份证件一样，每个人拿一个证，这个证经过我们签字盖章，就是数字签名，到网络空间里面就能很好地用，大家都会认你，就不会上当受骗，那个是一种生产、管理流程等是否符合一定的级别的认证。

　　李晓峰 ： ISO是生产和管理的一个认证，而我们所说的金融认证是在互连网上从事交易的，对双方身份证认证的手段，在现实生活中两个人身份的认证直接就可以确认，

　　首先要解决身份认证的问题，CFCA的成立背景是在2000时全国各家银行成立的，职责是为交易的双方提供安全认证，什么是安全认证呢？博士也提到了它是电子虚拟社会中的一个数字认证，就是从事电子商务、网上交易的双方发放数字的身份证，由CFCA公证的第三方签字，来核发数字身份证，从事电子商务和网上银行交易的双方拿着身份证，通过这种认证手段和方式来保障交易的合法性，以及不被泄漏的问题，增加网络的安全性。

　　主持人 ： 刚才网友的问题能够反映出一个问题，现在公众对CFCA的认证还是不够了解，在头脑中会有一定的盲区，但是做这个东西不仅仅是在一个权内做的，如果拿到了CFCA的认证就一定没有漏洞吗？

　　李晓峰 ： 互联网上的认证有很多种，静态的口令、动态的口令、生物的识别，都是身份认证的手段，国内外公认的还是基于PKI技术上面的数字签名技术，就是在这种技术里面涉及到三个主体，一个是签名人；另一方是签名人依赖方；第三方是签名认证机构，这个是目前最安全的，国内外没有被破解的先例。

　　陈静 ： 我再补充一点，金融认证到底是什么特点，有什么必要，刚才两位讲得很清楚，网上的交易要确认交易双方的合法身份，不能假冒，不能是不合法的，或者是虚假的。在金融这个行业，尤其是银行，包括保险等等，金融的交易都是资金的交易，资金的汇划，资金的对付，客户很关心我的钱是不是转了，金融犯罪的也特别关注，这个事是破坏你的交易，窃取你的资金。反过来电子商务，别的环节，比如说购物，最后要结算，在购物里面也需要双方的身份的确认，你做了半天，买不到东西，结不了帐，那个是假的。

　　还有配送的问题，资金结算的问题，资金结算是很关键的环节，就是因为它是资金的转移，有可能造成很大的资金的损失，犯罪分子往往瞄准了资金转移的环节，一开始从95年以后，中国银行业开始发展，都在同步的建设网上银行安全措施，网上的安全措施问题是银行界很关注的，它不是盲目的，是做了仔细的规划的，我们在98年就开始在人民银行牵头组织了中国金融认证中心，简称CFC，它负责为所有的银行交易，提供安全身份保证，和数字签名的保证，保证交易的不可抵赖性。我们奋斗了18个月才建立的，2000年6月29日，当时刘淇是市长，还有人民银行的行长，还有各商业银行的副行长，都参加了这个剪彩的试应用会，说明我们的政府、我们的银行对网上银行的健康发展给予了高度的重视。

　　我们为什么强调网上银行的金融认证的重要性，是在确保网上银行在安全的情况下做的，有些问题不是网上银行不安全，是有一些欺诈的行为。当然我们欺诈行为也要采取不仅是我们的综合治理、管理的问题，也包括安全措施的问题，从交易的双方，银行，银行分两类，一个是企业，一个是个人，你认真往这个上面做，还有一个要防范，我们要在网上防范“钓鱼”的行为，网上的安全是完全可以保证的。

　　李晓峰 ： 网民在网上做网络游戏、电子商务等等，可以用多种手段选择网络的安全性能，我们倡导从事网上交易的时候要采取最可靠的手段，要采取数字证书机制。像小U盘一样的证书是由公证的第三方CFC发放的，即使你的密码和帐户被泄漏，你拿着这个证书，也能保证你的帐户就是非常安全的。几年前很多行业想了很多的方法，五花八门，前一段时间也有证券行业有证券大盗这样的事情发生，就是由于证券行业没有采取这些措施，在金融行业里采取这种措施是最多的。到目前为止有30多家开办网上银行业务的银行绝大多数都采用了中国金融认证中心发放的这个证书，在人员、场地、技术、资金以及密码设备等等方面，这些条件都具备了，才可以进行这样的业务，整个它对当事人双方数字证书的核准、签发、管理以及证书的废止和公布，都是由公证的第三方公布的，信息产业部又公布了35号令，就是电子认证服务管理办法，这个办法是在国务院签字后的第一个行政法规。这个是符合国家规定的条件的，得到了国家相关权威部门的批准和认可的。

　　主持人 ：

　　李晓峰 ：

　　周永林 ： 从实际上看，理论上短期内是攻不破的，到目前为止所有的假网站这些，不是因为技术的因素，从来没有过，有的只是自己泄漏给假网站，这是非技术的方式造成的，对这种方式，我们提醒网友，大家可以上国外的一些网站，哪怕是跨国银行等著名的网站，它都会提醒你在网络上面购物等等不要随便链接什么的，在工行的网站上也有相关的提示，不要点来路不明的链接和提示。当然了，像证书这样的方式是中国借鉴国外的方式，有证书确实能保证你的安全。去年网上交易达到了34万亿，这个数是靠的证书来确保的网络银行的安全性。企业的网站上它的安全级别更高，没有这个东西登录都登不上去，它是作为登录的必要条件。对个人来讲，要放松一些，安全和方便性是相辅相成的，个人用户资金比较少，他也不一愿意经常带着这个东西，这个东西尽管很小，他不愿意带，我想不用这个证书，我也能够查询帐户，也能进行小额的转帐，你用你的帐号，你用你的密码，你用你的支付密码，不用证书也能查询余额，也能够网络上面购物，都能做，如果是不考虑方便性，所有的都用这个的话，没有证书的话，你根本登录不上去，更谈不上转移资金了，确实是考虑到安全性和方便性的兼顾的问题。

　　主持人 ：

　　李晓峰 ： 基本上各个银行都已经采用了，只有一些银行没有采用。它与现实生活中公民的身份证是很类似的。在网上提供服务的银行，在网上都有证书的审批机构，换句话说，要想开启网上银行业务，可以到商业银行的网点申请一张CFCA的网上银行证书，在柜台办理的时候身份资料核准以后，我们可以通过柜台的银行人员的操作会给你两个参考码和授权号，可以从金融认证中心下载一个数字证书，它是类似于我们平时用的U盘，都下载在里面了，以后再从事网上交易的时候，只要查数字证书就实现了数字信息的加密，就是说安全性得到了保证，不可泄漏；完整性得到了保证，不可被篡改，这个程序都是由金融中心进行认证，不被抵赖。一旦出现了交易的纠纷时，CFCA可以作为权威公正的第三方可以提供具有公信力的证书材料。

[上一页]  [1]  [2]  [3]  [下一页]