正   文

保障网上银行安全的第三方认证——访中国金融认证中心总经理李晓峰

  

保障网上银行安全的第三方认证——访中国金融认证中心总经理李晓峰

  日前,上海市民蔡先生的网上银行账户被盗一事为多家媒体曝光,使得网上银行安全再度成为公众关注的话题。如何保障用户安全使用网上银行,如何有效界定网上银行案件中的责任,是网上银行发展中各家银行、相关监管机构及认证服务机构需要面对并妥善解决的问题。这些问题的广泛宣传和相关措施,也成为制约我国网上银行发展的关键因素。就目前网上银行的发展来看,电子签名技术是打造相对安全的网上银行的有力措施,而这一技术的实现需要引入第三方认证,成立于2004年的中国金融认证中心(CFCA)作为权威、公正的第三方认证机构,长期为网上银行及电子政务等领域提供认证服务。针对网上银行发展中存在的若干问题,记者日前走访了CFCA总经理李晓峰先生。

  记者:请您从第三方认证机构的角度,介绍一下您所了解到的网上银行发展的状况。

  李晓峰:从几年来的统计数据来看,网上银行的发展还是很迅猛的。从2001年的200多万户、5万多亿到2006年的5400多万户、90多万亿。

  CFCA在2006年12月和2005年都公布了报告,其中2006年公布了3个报告,总题目叫做《2006中国网上银行调查报告》,共分三个题目,《2006中国网上银行用户行为调查报告》、《2006中国网上银行成长指数研究报告》、《2006中国网上银行评价体系》,后两个报告首次以量化指标的形式对中国网上银行的成长状况等方面,用160个指标进行综合的评价,我们觉得还是很有价值、很权威的。很多媒体都进行了报道和引用,报告提供给国家相关监管部门,对其评价还是很好的。

  总的来讲,网上银行的发展还是很快的。可用四句话概括:起步不晚,发展很快,问题突出,空间很大。目前的局面还是发展很快,但是问题比较突出。至于,网上银行核心业务,商业银行会不断地推出适合广大公众的网上银行业务品种,满足广大公众和企业的需求。

  我们最关注的是安全问题。从我们的调查报告可以看出,今年的结果和去年的结果相差不多,个人用户,有61.67%的人最关心安全问题,这部分人是潜在用户。换句话说,安全问题是决定用户是否使用网上银行的关键。对企业用户,上述比例是56.1%。调查结果和我们的认识基本上是一样的。

  记者:网上银行发展到现在存在哪些有待解决的问题?

  李晓峰:安全问题,中国的网上银行也好,电子支付也好,关键问题都是安全。

  从软件环境到硬件环境,安全包括的问题很多。比如:安全的机房、电子屏蔽手段,其中包括消防、配电等;在管理、主机、设备、备份、安全策略等方面的问题;在制度建设、审计等方面的问题。我们觉得各家商业银行都已具备上面说的硬件和软件环境。

  完成一个交易必须解决四个问题,即身份认证、交易数据保密性、交易的完整性及不可否认性。这四个问题是上述所说的硬环境和软环境所无法解决的。现在各大商业银行和电子商务网站,多数还是采用用户名、密码的形式。在5400多万的网银用户中,采用合法第三方数字证书的用户仅有2%,而这恰恰是我们认为最安全的手段。显然这里存在的问题太多了。从媒体上不断曝光的案子来看,安全问题太突出了。安全问题解决不好,网上银行和电子支付的发展肯定要受到限制。

  记者:对其他环节的安全问题有什么看法?

  李晓峰:安全问题不是仅通过技术手段就能够解决的。有法律法规的问题,也包括硬件环境和软件环境,比如:安全策略和制度是否严格执行,是否有持续、合理的监督机制、审计制度和严格的处罚措施。

  虽然绝大部分案子还是客户端造成的,但也有一些是由内外勾结、交易模式不合理造成的。客户端出问题是因为用户名、密码的问题。在关于网民最反感的十大问题的调查中,网络欺诈、木马、网络钓鱼、隐私泄露等5个问题都跟网络安全有关,简单地采用用户名、密码方式根本无法解决这些问题。染上木马病毒,很容易泄露用户名和密码,还有可能被别人窥视到用户名和密码,普通6位密码还可能用穷举法被猜到。

  银行、支付平台应该向用户宣传安全常识。告诉用户,什么样的交易具有什么特点,比如小额交易可以用用户名、密码,但要有足够的风险提示。我们有义务有责任向公众宣传,真正起到事先防御的作用。

  记者:使用电子签名时,第三方认证机构及交易双方的权责是怎样界定的?

  李晓峰:现在很多案件,虽然也有客户诉讼银行胜诉的,但大多是客户败诉。民法里有“谁主张,谁举证”的原则,客户要主张权利,要求银行赔付,却很难举证,因为相对银行来说,客户是难以掌握证据,话语权并不在他们那里。

  使用用户名、密码方式不存在第三方,只是客户和银行约定好,双方就按照这种方式做,出了问题大家都扯不清楚。如果引入电子签名第三方,就具有了法律意义,有《电子签名法》(以下简称《签名法》)、《电子认证服务管理办法》的保障。

  在电子银行领域一些银行没有使用第三方认证机构,使用的是自己的认证。有法律界人士曾经提出:通过自己的机构提供服务,不能叫做认证,因为认证这个动作是由第三方来做的。《签名法》规定,电子签名需要第三方认证的,由依法设立的第三方认证服务提供者,也就是第三方CA提供认证服务。

  这一点各方解读不太一样。银行的解读是,这是我和客户之间的事情,需要第三方的,就用第三方,换句话说,第三方是可用可不用的。实际上,就这点法律专家有过解释,从相关方面对《签名法》的释义也可以看出,立法遵循的有技术中立原则、技术特定原则、折中原则,法律专家认为《签名法》依照技术中立原则,就是说,不指定特定的技术。

  《签名法》里定义了什么是电子签名,电子签名有很多手段,包括很多银行正在使用的数字签名技术(是PKI数字证书)。可能随着技术发展,还会出现新的签名手段。可是法律没绑定特定技术(现在国外也有这种绑定特定技术的法律,但这样做法律的生命期也就短了,它需要不断修订),不能说A技术需要第三方认证,B技术不需要,只能宽泛地说,需要认证的就要有第三方。就目前我们指定的PKI数字证书这项技术,它的第三方认证是必需的,而不是可选的。PKI的技术体系,包括交易双方(签名人和签名依赖方)和第三方CA,本身就有第三方CA在里面。当然可能未来出现一些技术,技术体系里不需要有第三方,但也有可能技术体系不需要了,公众心理还会需要,就像身份证,技术上自己印也行,但是别人不认,法律上、公众心理上都需要公安局发放、认证。

  采用数字证书以后,法律责任能界定得很清楚。弱势群体举证倒置,不再是谁主张谁举证了,而是由第三方认证机构负责举证。这样就充分保护了用户的权益。

  记者:目前的第三方认证机构由谁来监管?

  李晓峰:从法律上,信息产业部作为《签名法》的授权行政许可部门,对运作进行监管,包括经营范围、合规性等。我们使用的密码产品,包括算法,受国家密码管理局的管理。

  记者:是否满足监管要求的组织和机构都可以成立第三方认证机构?

  李晓峰:这个问题我们也很关心,原来有100多家。《签名法》颁布以后,设定了门槛,满足人员、设备等条件的就很少了,目前批准了22家。是不是满足了门槛就要进呢,各方都有不同意见。有的认为,可以进来,维持不下去就自生自灭;还有的认为,要按照我们国家电子商务、电子政务的发展情况,合理规划CA布局,因为这个行业毕竟不是零售业那样的普通企业,工商局批了就可以经营,经营不下去就倒闭,它涉及信息安全,特别像我们又涉及金融信息安全,一旦生存不下去就退出,这是不行的。在金融领域,一些不好的事常常有发散作用,牵一发而动全身,一旦出现了个案,就会危及整个行业。所以我个人认为不应该是符合条件就可以成立,而应该有一个合理的布局规划。

  记者:目前的《签名法》还有哪些有待完善之处?

  李晓峰:法律肯定需要不断完善。《签名法》是个框架,如果变成执法部门可以依法实施的依据,需要颁布更进一步的规章和细则。《电子认证服务管理办法》已是对该法的细化,我相信这只是第一步,以后还会有办法出台,约束电子签名的应用。相关的行业也会出台一些东西,包括网上银行、电子政务、电子商务等领域。

  记者:除了推广宣传之外,目前网上银行工作的重点在哪里?是否解决了安全问题就能使网上银行业务顺利展开?

  李晓峰:当然要不断丰富、完善业务品种。根据我们以往做的调查,网上银行的用户群体基本都是由网民这个群体转化的,他们对计算机网络有初步的了解,但还有一部分人对互联网不了解。1亿3千万网民,他们对互联网的了解也是参差不齐的。

  通过媒体的大力宣传,大家对网上银行、数字证书、《签名法》的了解是越来越多了。我们2006年的统计数据显示,不了解网上银行数字签名的占全部调查人数的0.9%,当然这与我们的调查范围有关,如果向全社会大面积抽查,可能远远要大于这个比例,但这一数字较以往下降了很多。所以宣传还是非常有效的一个方式。

  不过,有记者曾经问我,你们的数字证书是张纸还是个证,说明我们宣传的还是不够,通俗化程度不够。

  记者:关于用户使用证书,您有什么建议性意见?

  李晓峰:数字证书是个人或企业的网上身份证。由法定的第三方认证机构颁发。目前,我国金融领域唯一合法的数字证书颁发机构是中国金融认证中心(CFCA)。

  强调一点,数字证书不是U盘,而是USB Key。现在有很多厂商推出了带U盘的Key,好像给客户一个很好的功能,可是我们不主张使用这种方法。U盘可能要经常插在电脑上,不使用网上银行只是存取文件的时候也会插上,这样会给黑客和木马程序造成攻击机会。安全是相对的,用Key不是百分之百安全,所以用什么样的Key,用户也要多了解,多听取银行方面的建议,各家的Key从性能到价格,还是不一样的。

  还有一种方式,不需要Key,把证书下载到计算机里,叫做软证书,我们也强烈建议不使用这种方式。

  记者:对电子支付,CA有没有安全保障手段?

  李晓峰:在有的银行,电子银行和电子支付走的不是一个渠道。现在对电子支付的评价是,在业务层次、业务行为、规则、流程上比较混乱,在监管上也是空白的。目前央行准备出台《支付清算组织管理办法》和《电子支付指引(第二号)》。

  现在电子商务平台几乎没有使用数字证书的。与网上银行面临的问题是相似的,双方在订立电子合同时,肯定也有商业机密的问题、交易否认的问题,用虚拟账户通过支付平台为交易双方提供支付业务,很显然风险就更大了。

  记者:CFCA与服务的网上银行间有共识的问题是哪些?

  李晓峰:在安全策略方面,尽管不完全一致,我相信应该已经有了共识,都知道怎样做是更安全的。但采用什么策略来推广,各行还是有差距的。考虑的权重不一样,实施的策略就不一样。

客服电话:400-880-9888 销售热线:010-59798680

PC版 微博 微信公众号:CFCA-4008809888