2006年12月6日,由公安部第一研究所、北京网络行业协会和英国贸易产业部贸易投资局共同主办的2006电子金融网络安全论坛在北京贵宾楼饭店三层王府厅举行。网易科技频道对论坛做现场直播。
以下为中国金融认证中心负责中国网上银行业务的管理工作的李晓峰谈第三方认证与电子支付的安全。
主持人:请大家就坐,一分钟之后开始。
好的。我希望大家茶歇过得很愉快,现在继续上午的会议。有请李晓峰,他来自于中国金融认证中心,实际上他也是负责中国网上银行业务的管理工作,有请李先生。
李晓峰:谢谢主持人,谢谢论坛。各位来宾、各位英国朋友、女士们、先生们,上午好。
我来自中国金融认证中心。中国金融认证中心是中国金融领域唯一合法的第三方认证机构,是为中国网上银行以及电子支付提供第三方的安全认证服务,是中国重要的国家金融安全基础设施之一。非常荣幸与各位就第三方认证与电子支付的安全进行交流。
因为时间紧可能我的语速要快一些,翻译可能会辛苦一些,发言中有不妥请各位见谅。
常常有人问:网上支付安全吗?我们这样讲,互联网是一个开放的网络,是一个不安全的网络,那么,基于互联网的网上支付基础,就是不安全的。原来有一句话:互联网上不知道对面坐的是人还是狗。这句话非常经典,道出了安全问题和身份问题,我们知道在现实社会中相对完善的法律法规,有道德约束,在虚拟社会,这些要么不存在,要么不完善。所以在《数字化生存》里有句话说,大部分的法律是为原子世界准备的,而不是为比特世界准备的。所以网络上,攻守双方一直在道高一尺,魔高一丈的博弈中发展,安全是相对的,不安全是绝对的。
好的,我们看一看究竟为什么不安全。
首先看一下中国电子商务的发展现状,到场的都是业界专家和精英,我就不详细说了,一些数字相信各位在报道上会看得到。比如有统计说到今年年终时,网民已经突破了1.2亿,上网人数已经达到7700万,上网计算机已经达到了5000多万,其中手机上网1300多万。等等一系列数字表明,一个良好的网络基础设施为迅猛发展的电子商务构成了坚实的基础。
有统计表明,04年大概有18%的人在进行网上购物时采用网上支付。到05年,这一比例已经达到了61.5%,今年上半年统计表明,这一数字已经达到了73.8%。04年电子支付的交易金额约为70多亿人民币,05年达到160亿人民币,也有统计表明,近三年来,电子支付的市场每年都以超过30%的速度增长。
作为电子商务核心的环节,也就是电子支付环节,网上支付、移动支付、电话支付等多种形式的实现出现,使得电子商务的步伐越来越轻快。在结算业务中,电子支付与其他交易结算形式相比,使用的比例越来越高,在某些企业已经超过了60%。通过这一方式进行的交易额占企业总交易额的比重也越来越高。尽管如此,我们看到,我们国家的电子商务和电子支付市场与国外还有很大的差距,潜力也是很大的。提高电子支付的安全和信用水平是电子商务和在线支付发展的重中之重。
我们再看一下中国网上银行的发展现状,因为这是一个电子支付的核心环节。我可以用四句话来概括中国网上银行的发展状况:起步不晚,发展很快,问题突出,空间很大。
我们先来看“起步不晚”,网上银行各位都知道,相信很多人也都在用,巴赛尔委员会对网上银行有一个定义:通过互联网向客户提供实时综合的小额零售服务。实际上到目前,定义已经不重要了。相对传统的银行业务,中国的网上银行发展还是很早的。在美国第一家网上银行开业大概八个月之后,中国国内的网上银行开始建立自己的网页,开始提供网上银行服务,相距大概三年左右。发展很快。在01年的时候中国网上银行客户约为200万,交易额五万左右,到05年,交易额已经达到了70多亿,客户达到了2700万左右,今年上半年据不完全统计,交易金额已经超过了40多万亿。在目前141家获准开设网上银行的业务中,大概有45家(包括农村信用社)开办了网上银行业务,注册的企业用户已经超过了90多万,个人用户也超过了3500多万。
“空间很大”,客户已经超过了1.2亿,而我们统计的网上银行用户不到四千万,所以我们认为发展空间蛮大的。
“问题突出”,安全问题,随着网上银行的发展,各种问题不断地出现,网银被盗,病毒造成的交易损失。网上交易的环节非常多,客户端、商务平台,各种支付手段也层出不穷,网络、手机、固定电话、专门的电子支付终端等等等等,我们现在看到的问题凸显比较多的,还是在客户端。也有电子支付企业和银行方面的疏忽,关键问题就是用户的身份问题。身份确认是信息安全的薄弱环节。我们有统计表明,支付的否认是发生争议最主要的原因。支付否认是拒绝交易,无论是有意还是被盗的。
中国金融认证中心在不久前曾公布了一个近来部分网银案件的报告,在去年时,中国金融认证中心公布了一个中国网上银行的调查报告,调查了全国十个经济发达城市,对潜在用户以及不可能的用户都做了调查分析,这里包括个人和企业,总数据表明,大概超过50%甚至三分之二的人不打算使用网上银行或者不敢用的主要原因就是不安全。
所以我们说,安全问题解决不了,网上银行乃至于电子商务就不可能健康快速地发展。今年我们在本月中旬还会公布2006中国网上银行的调查报告,也请各位关注一下。
也有统计表明,网民对互联网最反感的方面集中在安全问题,选择比例最的高十个问题中,与安全有关的占了五条,网络病毒、收费陷井、网络诈骗、隐私泄漏等都是安全问题。我们看,为什么不安全?如何让网上支付更安全?我们说电子支付的安全不是技术手段解决的,是一个庞大的系统工程,包括健全的法律法规环境,政策导向、技术规范、技术标准、安全可行的技术手段,参与各方的法律意识,健全的诚信体系、道德约束、对网上犯罪的打击力度等等,是一个非常繁杂的工程。法律法规是一个根本的东西。
我们知道,在传统的商务活动中,为了表示对双方身份的认证,双方必须签字、认可。可是当这种形式以电子形式进行时,就需要电子签名。
在我国电子商务、电子政务发展非常迅猛,提高了效率。可是不适应的问题也暴露出来了,就是法律法规的问题。在04年8月28日全国人大通过了中华人民共和国电子签名法,去年10月1日正式颁布实行,这个法律的内容就是明确电子签名是合法的,也明确电子签名服务机构是合法机构。目前全球有超过60多个国家和地区制订了类似法律。与此相关的法律是电子认证服务管理办法,是信息产业部在去年10月1日同步颁布实施,这是对电子签名法的一个细化,毕竟电子签名法5章36条,一个框架性的东西,不具备可操作性,电子签名服务法是对它的细化。
到目前为止我们中国国内,第三方的电子认证服务机构大概有一百多家,诸侯割据,群雄纷争,一片混乱,法律颁布以后这种情况有所改善,但仍然有很多不规范的行业单位向社会提供服务,这里包括银行,也包括第三方支付平台,这是一种非法的认证服务,也提醒各位关注。
电子支付这一部管理办法是在去年10月1日由中华人民共和国颁布的,电子支付在第26条也指出:银行应该确保电子支付业务处理系统的安全性、交易数据的不可抵赖性、数据存储的完整性和客户的身份真实性。讲白了就是要确认客户的身份,也是一个第三方认证的概念。
今年的1月份,国务院信息办又印发了关于加快电子商务发展工作的通知,也是对电子支付、电子商务提出了要求。
今年初,国务院信息办还印发了关于网络信息认证建设体系的意见。金融机构应该采用适当的加密技术保证电子交易数据的安全性、保密性以及交易数据的完整性、真实性和不可否认性,还是电子签名的概念。
今年的5月份,国务院中办印发了2006到2020年国家信息化发展战略,里面对中国目前的信息安全问题进行了分析,认为安全问题比较突出,如果解决不当可能会给我国的经济社会发展和国家安全带来不利影响,也要求加快信用认证、支付和现代物流建设。
此外还有国家密码局颁布的电子认证密码服务办法,商务部颁布的网上交易指导意见等等,据我了解,还有一些相关法规正在制定中。
我们看看,网上支付到底应该如何做呢?我们了解,中国的金融机构,包括电子商务企业、电子支付企业,在物理手段上都采用了业界所能提供的各种手段,比如屏蔽的机房,门禁系统、双机、路由器、病毒检测产品,防火墙等等,在物理层面的问题。但我们知道完成一个交易必须满足的四个因素,交易双方的身份真实性确认、信息的保密性、信息的完整性、交易的不可否认性。一旦出现纠纷应该有一个合法的第三方机构提供证明。
我们现在看到的案子,几乎都是因为仅仅采用了用户名和密码的方式造成的。这是一种最简单的方式,最方便的方式,也是一种最不安全的方式。我们看一下认证手段,我们看目前业界提供的认证手段大概有这么几种,一种是用户名和密码,应用最广泛、案件最多的方式,此外还有一种所谓动态密码。这种有两种,一种是有源的,Brooks先生介绍的手里拿着生成的密码,再和银行对接。还有一种大概是银行卡片,印几十个密码,每次用一个。还有一种生物识别技术,比如红模的、指纹的、行为的。前不久美国一个公司推出一个基于键盘的识别技术,通过你敲击键盘的力度、速度来识别你的身份等等。还有一种就是我们说的数字证书的技术。
包括美国、新加坡和香港等多个国家和地区监管机构都要求本国金融机构对于网上的高风险业务,必须提供双音指印证,现在美国银行提供高风险的互联网交易必须提供双赢指印证,美国曾经有一个调查指出说,对于动态指印认证,美国有几十万网站专门对这种动态认证进行攻击,尤其对花旗银行的攻击,采取中间人诱骗的方式诱骗客户生成密码,然后转发给银行,诱骗系统来识别你,现在已经有报道了。
其实我们认为,每一种安全手段都是适合于不同国家,适合于不同的法律体。还有一种生物识别技术也并非高枕无忧,通过人遗留在各处的指纹,可以复制出指纹,诱骗系统。通过照片、视频和面具进行诈骗来攻击面容识别系统,现在也有报道。没有案例,但是目前有明确报道,有研究者在做复制攻击。
我们也看到国内有些电子支付企业采用了一些认证方式,其中有些方式我们也并不认可和推荐,我们认为这种方式既有害于电子支付企业自身的品牌、形象和利益,也有损客户的利益。我们认为应该从符合法律法规要求,安全程度、成本等各方面来选择用户能够接受的方案。
目前,国内国外、业界和产业界最认可的一个能够保证身份确认、保证数据保密性、完整性和不可否认性的唯一一种方式是基于PKI技术的数字证书的这种电子签名技术。
相信业界专家会看到,PKI技术在网上有报道(公共密钥基础设施)的概念。在这个技术里有一个明确的交涉:第三方认证的概念。目前在中国,开设网上银行业务的大概有43家,其中43家中的38家采用了第三方认证机构,也就是CIC提供的安全认证服务,安全状况还不错,目前没有一例因为数字证书被攻破而造成客户资金损失的,因为这种技术理论上可以破解,但实际上破解不了,需要几百年的时间。
时间到了,我的发言就到这里,关于中国金融认证中心的情况,如果各位感兴趣,我们可以在余下的时间内交流,祝各位身体健康。
谢谢。
