2006年12月6日,由公安部第一研究所、北京网络行业协会和英国贸易产业部贸易投资局共同主办的2006电子金融网络安全论坛在北京贵宾楼饭店三层王府厅举行。网易科技频道对论坛做现场直播。
以下为公安部第一研究所所长严明做主题为“2006国内电子金融业务的发展现状和对策”的演讲。
主持人:好的。下一位是严明先生,严明先生是公安部第一研究所所长。
严明:各位来宾、各位领导、业界的同行们、朋友们。
首先,作为这一次论坛的主办单位,公安部第一研究所的代表,请允许我向来自英国的同行,大使先生,来自公安部的领导、北京市的领导和我们北京市网络行业协会的领导们表示衷心的感谢。
另外我想向大家解释一下,今天的论坛,本来我们公安部第一研究所新任的所长和所领导班子的其他成员都会来参加,但昨天临时得到通知,我们的分管部长要到研究所检查工作,所以今天就只能由我来代表领导班子的其他同志参加这次论坛了。研究所新任的所长历建(同音)博士已经到任,他很年轻,而且在这方面的技术基础也很好,相信今后会在信息安全上带动公安部第一研究所继续往前发展。
我演讲的题目是“2006国内电子金融业务的发展现状和对策”。
21世纪的今天,信息技术的发展完全改变了人们传统的生活方式和生活观念。在互联网的推动下,整个世界变得越来越小,在以网络为核心的数字化时代到来之际,金融界率先引进了电子信息与网络技术,大家可以看到,IT与金融领域的关系越来越密切,计算机网络与信息技术,不仅深入了金融企业的内部管理体系,也使我们在诸如银行卡、网上交易等业务中,越来越多地享受到了信息化所带来的高效和便利。一种全新的经营模式:网上金融已经初步形成。
网络银行的出现使得银行客户在任何时候、任何地方都能方便地获得银行提供的各种服务。因特网为银行的市场营销提供了低成本、高效率的途径,网络银行的出现不仅使银行的传统业务得到了延伸,而且增加了许多新的服务手段。更重要的是,它拓展了银行的业务发展空间,使得利用因特网进行的商务活动突破了时间与空间的限制。
目前,全球发达国家大约有85%的主要银行已经建有自己的业务网站,中国银行界实现银行机构进一步的进程也在不断加快。可以说,开拓数字化、网络化的电子金融业务,已经成为国内金融界发展的战略重点。
据报道,中国银行业金融电子化建设已经具有相当的规模,计算机和通信网络在银行已经得到普遍的应用,银行系统的存款、贷款、代理、结算、ATM、信用卡、同城清算,已经基本实现了计算机和网络化。据不完全统计,中国银行、中国交通银行计算机化已经达到了百分之百,中国建设银行达到了90%以上,中国工商银行达到了85%以上,农业银行也达到了80%以上。
同传统的金融管理方式不同,电子银行大量的资金在网络流转,其数字化、网络化的特点,一方面具有无与伦比的方便与快捷,另一方面也引发了一系列网上金融安全性的复杂问题。应当着重指出的是,如果安全问题不能得到解决,不但可能频频导致信息系统的瘫痪,造成巨大的经济损失,而且会影响整个社会的稳定乃至发展。
首先我想谈一下制约电子金融业务发展的这方面的主要问题:
制约电子金融业务发展的问题是多方面的,但是从信息安全角度来分析是必须重视的。电子金融业务是在网络虚拟社会开展的一项金融服务,由于网络虚拟社会是在互联网应用的基础上形成的,因此它继承了互联网安全机制脆弱、可信机制缺乏的特点,其安全问题有别于现实社会,我们认为,从说本清源的角度看是不是可以归为下面几个方面,
首先,以自由、共享和易用特性的互联网,其安全性是非常脆弱的。由于互联网开发建设的初衷是自由和共享,对安全性没有给予足够的重视,所以导致了互联网天生存在的安全脆弱的缺陷,对互联网安全性的分析,划分的方法很多,但对于用户来讲,总体上看,大体上在两个方面表现出来:一是信息网络基础设施的安全;二是网络基础设施上架设的应用包括其数据的安全。
目前,电子金融的安全问题也可以从这两个方面来分析思考,发生于2006年4月20日的中国境内的一次事故,就是因为某某单位的主机和通信网络设施出现了故障,导致全球至少34万家商户以及6万台ATM机受到影响,使得跨行业和刷卡消费中断了6个小时之多。在中国,数百万笔交易无法跨行业完成。
近期,公安机关破获了一起网银的失窃案件,犯罪分子通过攻击网站,窃取了该网站的用户名、密码、银行卡号等个人信息,然后实施犯罪。像这样的案例在当今社会中已经是司空见惯了。这些基于互联网的基本缺陷造成网络设施崩溃,信息系统被非法入侵和破坏的事件,都给网络的虚拟社会带来巨大的影响。
第二,虚拟社会与现实社会中信任机制之间存在不对称、脱节甚至缺失。通过分析网络虚拟社会自身缺陷和面临的风险,我们认识到,解决信任问题是安全问题的关键之一。在现实社会中,信任机制已经相对合理地建立起来,并且长期有效地运转着,当我们要解决虚拟社会的信任问题时,我们自然而然会想到,是否可以把现实社会的成功经验运用到虚拟社会上来。但是,如果我们仔细考察现实社会和虚拟社会发展的各自特点,我们会发现,虚拟社会与现实社会中信任机制的基础是不相同的,两者之间存在着不对称和脱节的现象,在某些方面甚至根本不同。因此我们无法简单地运用现实社会的有关信任机制来建立。
例如对一个国家来说,有一个“根”的权威机构,即这个国家的政府,政府可以给民众发放各种证件,包括身份证、社会保险证、护照、驾驶执照等等来确认公民的身份,在公民身份确认的基础上建立信任机制,同时政府可以而且已经颁布了很多法律来保障现实社会的正常运转,从而保障现实社会的安全。
而在虚拟社会中,早期的参与者可能是匿名的,事实上大量都是匿名的,同时由于往往还没有建立“根”权威机构,导致对匿名者的身份进行确认是一个极为困难的问题。在这样的基础上建立信任机制是缺乏保障的。在这方面,人们投入了大量的资金,做了大的工作,目前,我们已经可能在虚拟社会中借助最新的技术和产品构筑新型的基础设施,组织适当的机构、制定必要的规则或法令来进行信任体系的建设。但是,这个建设与现实社会相比由于基础不同、特点不同,其方法和进程,包括达到的水平将表现出更加复杂和更加困难的特点。
第三,现实社会中的安全机制在向互联网应用为基础的虚拟社会覆盖或者延伸时产生的边界模糊和责任模糊是不容忽视的。在现实社会中,基于已经建立的信任体系,我们完成了一系列的安全机制建设并取得了良好的效果,所以,在虚拟社会面临安全问题时,将现实社会中的安全机制引入虚拟社会是一个合理的思路。虚拟社会的最大特征就是一切信息是数字化的,而数字化的信息具备高速、易复制、物理设备相关性弱等等特征,这些特征使得在现实社会中的安全机制引入虚拟社会时必须进行相应的改进和扩展。
同时,虚拟社会又是以互联网为基础的,互联网的边界模糊性在虚拟社会中能够充分地表现出来,在现实社会中,基本的边界划分是基于地域进行的,而在虚拟社会中,边界的概念趋于模糊,它不再局限于地理空间,而更多是按照逻辑来划分的。
边界的模糊导致了管理的模糊,在现实社会中,明晰的管理职能映射到虚拟社会中,由于边界的交叉与重叠,导致了管理职能的模糊,从而导致了责任界定的模糊。大家都知道,传遍全球的病毒制造者,只是在本地属于一个当地的网络犯罪分子,在其他所有的国家都是异地犯罪行为。我们国家对病毒的传播有我们自己的法令规定,但追根溯源,最后病毒的最初制造和传播者可能并不在我国境内,由于各国的法律和管理不同,导致了管理的模糊和责任界定的模糊。在网络的经济犯罪和其他犯罪行为当中也非常充分地表现出了这样一个特点。
综上所述,虚拟社会安全和机制的建立是一个全新的课题,在当前摸索试验阶段,不可避免地会产生边界模糊和责任模糊的问题,而这些问题的产生使得网络安全问题的解决更加复杂化。
第二,我想谈一点对策和建议供大家参考。通过以上三方面问题的分析,我们考虑以下的对策和建议是值得重视的:
首先,基于风险管理基础上的等级保护制度应该是一个有效、合理的思路。针对互联网安全性脆弱的缺陷,在宏观管理方面,等级保护制度是应对的重要方略之一。
大家知道,计算机网络安全的等级保护制度是指导我国信息安全保障体系总体建设的基础管理原则,是围绕信息安全保障全过程的一项基础性的管理制度,或者说基本方略。通过全民落实基于风险管理的等级保护制度可以进一步提高信息安全的保障水平、规避风险。电子金融是国家金融的重要支撑体系,它的信息系统要全面纳入等级保护的管理范围。在具体的实施中,我们要探索金融行业的传统风险管理和等级保护政策的有效结合机制,等级保护政策同样重视风险管理,提倡将信息安全等级保护分等级安全保护的思想贯穿在风险管理的全过程当中。通过等级保护制度的贯彻,将对电子金融重要信息系统进行保护,其保护的层面包括电子金融的关键网络基础设施和关键网络应用的安全。这个举措的实施,我们认为将促使电子金融网络的安全得到一种基本的管理保障。
第二,建设和完善与现实社会相一致的信任机制。电子金融需要一套健全的网络信任体系来保障信息系统运行的安全。
当前,现实社会的信任机制已经成功建立,它为人的社会活动秩序起到了良好的保障作用。我们认为,在电子金融活动中,只有建立与现实社会相一致的信任机制才能保障它正常、有序的运行。
虚拟社会的行为主体对应现实社会的人,虚拟社会中的行为也对应现实社会中的行为。建立电子金融信任体系必须建立现实社会的信任机制,只有这样,在电子金融的活动后果才能体现到现实社会中。所以我们面临的问题就是如何将现实社会的信任机制影射到电子金融领域。
目前,我们已经对相关方法,如实名制、真实身份绑定等进行了研究和应用,而且取得了良好的成效。信任机制建立以后,电子金融活动得以进行,但责任认定体系要保证活动的长期性和合理有效性,如果没有责任认定体系,行为主体为电子金融活动的后果负责就是一句空话,电子金融的安全当然也只能是空谈。
我想利用这个机会简单介绍一下我国的第二代居民身分证为我们构筑的应用基础。
在座的各位同行可能有不少已经领到了我们国家从2004年开始发放的第二代居民身分证。从2004年试发以来,第二代居民身分证到今年年底已经发放将近四亿份,明年到后年,第二代居民身分证将发放到八亿份。第二代居民身分证是一种使用了先进的RFID技术的新一代国家法定证件,除了在可视信息的安全性上有了极大提高以外,在RFID的芯片当中增加了安全保护的技术措施。在居民拿到的第二代居民身份证当中,有国家配发给这位居民的两套密钥,一套对成密钥和一套非对称密钥。
由于使用了先进的技术,非接触读取包括照片在内的基本个人信息(有安全措施的读取)提供了极大的方便,第二代身份证使用了先进的防伪措施,身份证卡体上的可视信息具有国际先进水平的高技术防伪保护。身份证的材料是使用了具有环境保护特性的新的PETG材料。
这样的身份证我想强调这几个特点:首先是在新一代的身份证当中有国家授予公民的两套密钥,这两套密钥和身份证信息安全保护的密钥不是同一个体系,就是授予公民的两套密钥,这两套密钥由于是国家按照有关法令授予公民的,我想它具有无与伦比的权威性。从目前看起来,它在技术上和安全性上也是足够安全的。
第二,这两套密钥的载体就是我们公民领到的第二代居民身份证,它的可视信息和电子信息都标识了这位公民的身份证号码和有关信息。也就是说,这两套密钥是和公民身份密切绑定的,是通过法定证件绑定的。这就解决了“持有这两套密钥的人是谁”这样一个非常重要的问题。
第三,第二代居民身份证在后年发放将达到八亿,我们估计最终持有人数将接近十亿。在中华人民共和国的领土上,具有这样广泛性的法定证件,这是唯一的。
第四,中国的居民身份证法规定,中国的居民要按照法律规定持有、使用和出示他的身份证。也就是说,这个证件按照要求应该是随身携带、随时出示,而不是锁在抽屉里,放在柜子里。
我想各位同行可能已经体会到了,这是一个国家信息化的极好的基础设施。我认为,第二代居民身份证的发放和使用,将不仅仅使我们的金融界在实名制录入等具体操作中获得简单方便、差错少、可靠的好处,还会给我们国家的信息化一个及其有意义的资源,一个重要的国家信息化基础设施。我希望我们金融界的朋友们和信息安全界的同行们充分重视这个资源,很好地利用这个资源。
公安部第一研究所是承担研发第二代居民身份证的主要单位,目前也是承担提供第二代居民身份证的技术支持和制证材料的技术支持单位。我们愿意积极推动这个资源的利用,特别是在电子金融方面的应用。
第三,理顺管理机制,完善立法。目前在中国,网上银行的相关法规还基本处于空白状态,电子数据替代了纸式的交易凭证,网上交易双方权利和义务的明确,电子合同的效率,电子指令的真实性确认,发生争端如何解决,由于法律的不足,使监管机构经常处于无法可依的尴尬境地,监管难度加大,监管力度难以掌控,各界都在大声疾呼,急需相关法律法规给予保障和支持,并尽快完善有关法律法规才能确保网络安全,惩治网络犯罪。
针对网络的特殊性,我们建议,政府可以先通过扩大现行法律法规的适用范围应急,尽快进行于网络管理相关的单行立法,及时准确地界定各种以网络为对象的违法犯罪行为,对于网络犯罪分子依法惩处,加大打击力度,促进网络银行的发展,同时借鉴发达国家关于惩治网络犯罪的立法经验,完善我国刑法关于网络犯罪的法规条例。
由于因特网不受时空的限制,犯罪分子可以来自不同国家乃至全球各个角落,因此我国还应该重视加强与国际刑警组织以及其他国家的金融监管部门和司法部门的联系和磋商,共同制定打击网络银行犯罪和确定网络银行风险的国际条款,开展国际合作,以确定网络银行的发展。在这方面,我们公安部一直在积极推进这项工作。
最后,第一研究所作为公安部最大的科研基地,将在这个过程当中积极作出自己的贡献,公安部第一研究所一向以研发现金的公安装备,为公安战线提供全方位的技术服务为宗旨,为公共安全事业,打击犯罪,维护社会稳定作出自己应有的贡献。在当前信息化大势,积极推进电子金融业蓬勃兴起的时候,为建设便捷、和谐、安全的金融网络,推动社会发展,我们愿意接受这一难题,作出自己应有的贡献。目前,公安部第一研究所在公安部和司法部的支持下已经开展了与信息系统、等级保护测评和电子数据司法鉴定相关工作和技术研究,并且取得了一定成效。所建立的这两个机构也已经进行了正常的运作,我们想,这对于推动电子金融网络的建设也是有积极意义的。
第二,我国在现实社会的安全管理中已经具有了一定的成功经验,目前,我国在现实社会安全管理方面已经积累了相当成功的经验,将这些经验总结成一句话就是“全社会齐抓共管,打击和预防相结合”。我们认为,对电子金融网络安全机制的建设,这些经验也是适用的,而且应当适当进行扩展。虚拟社会在安全机制上也理应是一个警戒性社会,其安全应该构筑在风险评估、告知、预警和应急响应等等有效机制上。由于互联网的边界模糊性,我们还要有序组织政府各个部门协调行动、共同管理。由于电子金融涉及国际合作,所以齐抓共管的主体范围也应扩大到国际上的各个国家和有关部门,必要的情况下可以提倡国际立法来解决网络的安全问题。
对于电子金融犯罪,我们应该打击和预防并重,打击不是目的,而是为了惩戒犯罪,预防是未雨绸缪,将犯罪控制在萌芽状态,只有两手都硬,才能最低成本的降低电子金融犯罪行为。
各位嘉宾、各位朋友,开创安全的电子金融网络时代,任重而道远。让我们共同努力,携手共进。
谢谢大家!
