正   文

中国网上银行发展报道(四)

  

  第三方数字证书:为互联网支付安全保驾护航

  网上银行(Internet Banking),是银行以现有业务为基础,利用互联网技术为客户提供综合、安全、实时的金融服务。1998年,巴塞尔委员会在《电子银行和电子货币风险管理》报告中将网上银行定义为:“通过电子渠道提供零售和小额银行产品的服务。这些产品和服务包括取款、贷款、账户管理、提供财务咨询、电子支票支付、提供电子支付工具和电子货币方面的服务。”随着网上银行的迅猛发展,网上安全事件也不断出现。近年来,国内连续发生“假冒网站”以及多起客户资金被盗案件,给网上银行和网银用户带来了非常不利的影响。安全,已经成为网上交易各方最为关心的问题。

  据中国金融认证中心CFCA《2006中国网上银行用户行为调查报告》显示,仍有61%的非网银用户由于怀疑网银安全性而不使用网上银行。安全性仍然是制约网银发展的主要因素。而网民担忧的安全问题,集中在网络病毒、网络入侵、收费陷阱、网络诈骗、隐私泄露等方面。如果消费者的权益得不到保护,人们对网上银行的安全性还存在顾虑,网上银行将不能得到健康快速发展。那么如何让网上银行安全呢?

  中国金融认证中心总经理李晓峰对此表示,网上银行或者电子支付的安全问题是一个庞大的社会系统工程,绝不是仅提供一个安全手段就可以完成的,这包括了健全的法律法规环境、安全的技术手段、参与各方的法律意识、诚信体系、道德约束等。同时健全的法律法规环境是一个基础。传统的环境,为了表明当事人的身份和表明当事人认可文件内容,要进行签字和盖章。当这种交易活动搬到互联网上,就需要一种电子形式的签名,它不是手工签名的图像化。2004年8月份,全国人大通过了《中华人民共和国电子签名法》(简称《电子签名法》)。这个法律的核心内容就是明确电子签名是合法有效的,明确第三方认证机构的地位和作用。2005年4月1日,信息产业部的《电子认证服务管理办法》正式实施。这个《办法》细化了《电子签名法》,对电子认证服务机构(CA)的准入审批、服务、证书内容、监管和罚则等进行了明确。在法律颁布之前,中国境内大概有超过100多家的认证和服务机构,法规颁布之后这种状态将逐步规范。从2006年1月起,一些相关法规和指导意见陆续出台,如中国人民银行颁布的《电子支付指引》、银监会颁布的《电子银行业务管理办法》等等。

  目前发生的安全事件根据起因主要分为两类,一是系统安全风险,二是身份风险,身份风险又分为银行方面的身份风险和用户方面的身份风险。对系统风险来说,主要指病毒等,这类风险目前还未形成规模。对身份风险来说,目前大多数案件都来源于此,比如“网上钓鱼”案件,是银行的身份被仿制;盗窃账户密码进行盗窃,是因为个人的身份被仿制。

  网上支付环节中,人们最关心的问题就是身份问题。其实,一个安全的交易有四个核心问题:第一是身份确认;第二是信息的完整性,就是如何保证信息不被篡改;第三是信息的保密性,就是如何保证不被别人看到;第四是交易的不可否认性,就是一旦出现纠纷,如何能权威地证明交易的存在。目前所看到的网银案件,几乎都是仅仅采用了用户名和密码造成的,而国内银行所提供的认证手段,最常见的也是用户名和密码方式,这是最方便、最容易使用但很不安全的方式。常见的还有动态密码,像银行卡卡片的大小一样,每次使用一个;再有就是类似一个小电子的器件,一按就可以生成密码,然后发送电子平台。这种动态密码安全程度有一定提高。电子签名在网上银行的使用过程中,能够保障系统、数据的安全,能够防范银行、客户的身份风险。如果正确使用电子签名,可以防范目前我们看到的绝大多数安全案件。对于一个网银安全案件来说,使用和不使用电子签名,差别是很大的。

  网上银行这种向社会公众提供的服务,为保证其安全性、公正性,在使用数字证书时,应由合法的、权威的第三方安全认证机构(CA)为交易双方签发数字证书,对签名人的身份进行认证,为交易双方提供信任保证。交易双方是基于对CA的信任才建立起信任关系的。它为交易双方承担了保障网上信息安全的责任,对交易双方起到规避风险的作用。在中国人民银行颁布的《电子支付指引》中的第二十六条指出:“银行应确保电子支付业务处理系统的安全性,保证重要交易数据的不可抵赖性、数据存储的完整性、客户身份的真实性”。同时还提出:“提倡由合法的第三方认证机构提供认证服务”。

  在银监会颁布的《电子银行业务管理办法》中的第三十八条指出:“金融机构应采用适当的加密技术和措施,保证电子交易数据的安全性与保密性,以及所传输交易数据的完整性、真实性和不可否认性”,同时还要求:“金融机构开展电子银行业务,需要对客户信息和交易信息等使用电子签名国或电子认证时,应遵照国家有关法律法规的规定”。

  可以看出,随着《电子签名法》、《电子认证服务管理办法》、《电子支付指引》的实施,以及社会公众对第三方数字证书的认识愈加清晰,要求也将日趋强烈。银行用自建CA向客户发放数字证书,既做运动员又做裁判员的现象会逐步消除。从银行方面来讲,应当从符合法律法规要求、切实保护各方合法权益、成本、用户接受程度、方便性、未来发展等各方面考虑,尽可能为用户提供安全、可行的手段,并向客户进行明确的风险提示。

客服电话:400-880-9888 销售热线:010-59798680

PC版 微博 微信公众号:CFCA-4008809888