客服熱線:400-615-8698
構(gòu)建安全的金融電子支付生態(tài)環(huán)境
作者:中國工商銀行股份有限公司數(shù)據(jù)中心(北京) 敦宏程
來源:中國金融電腦
?
從古代的烽火狼煙到鴻雁傳書,從電報(bào)到電話,從移動電話到互聯(lián)網(wǎng),通信技術(shù)的發(fā)展使得地球村越變越小。進(jìn)入2 1 世紀(jì),通信產(chǎn)業(yè)的蓬勃發(fā)展正在改變著人們的生活。在傳統(tǒng)電子支付業(yè)務(wù)的基礎(chǔ)上,以網(wǎng)上銀行、電話銀行、手機(jī)銀行等電子銀行為主體的新型電子支付平臺憑借現(xiàn)代通信技術(shù)與業(yè)務(wù)的深度融合實(shí)現(xiàn)了跨越式發(fā)展。隨著短信、社交網(wǎng)絡(luò)、物聯(lián)網(wǎng)等新興技術(shù)的興起,電子銀行也衍生出一系列便捷高效、綠色環(huán)保的新型服務(wù)產(chǎn)品。與此同時,電子銀行也面臨著新的技術(shù)風(fēng)險(xiǎn),需要采取一系列、多層次的防護(hù)措施予以防范。
?
一、現(xiàn)代通信技術(shù)與業(yè)務(wù)蓬勃發(fā)展
現(xiàn)代通信技術(shù)主要有數(shù)字通信、程控交換、ISDN與ATM、寬帶IP、通信組網(wǎng)、WIFI、3G等。隨著這些技術(shù)的不斷發(fā)展,現(xiàn)代通信業(yè)務(wù)得到了空前的繁榮,甚至成為人類進(jìn)步和文明的標(biāo)志之一。
?
固定電話是繼電報(bào)之后又一個具有里程碑意義的通信發(fā)明。由于電話的出現(xiàn),人們之間的距離似乎一下子被拉近了。而20世紀(jì)移動通信技術(shù)的普及,更使得人們擺脫位置的束縛,實(shí)現(xiàn)了隨時隨地的自由通信。
?
互聯(lián)網(wǎng)是人類通信史上具有劃時代意義的發(fā)明。它影響并改變著人們的生活,縮小時空的鴻溝,真正形成了地球村,并將這個村越變越小;同時,文字、聲音、圖片等多媒體的互動方式使得這個村越來越多彩。
?
在此基礎(chǔ)上,現(xiàn)代通信業(yè)務(wù)也正變得越來越豐富、越來越便捷。人們在固定電話技術(shù)的基礎(chǔ)上發(fā)明了傳真;在移動電話技術(shù)的基礎(chǔ)上發(fā)明了短信、彩信;在互聯(lián)網(wǎng)技術(shù)的基礎(chǔ)上發(fā)明了電子郵件、QQ和MSN等即時消息通信產(chǎn)品。
?
隨著這些技術(shù)的不斷發(fā)展,在傳統(tǒng)的技術(shù)中又衍生了眾多跨技術(shù)領(lǐng)域的新業(yè)務(wù)。如VoIP,即網(wǎng)絡(luò)電話,指通過IP數(shù)據(jù)包發(fā)送實(shí)現(xiàn)的語音業(yè)務(wù),語音、傳真、視頻等數(shù)據(jù)在IP網(wǎng)絡(luò)上可以低成本傳送,統(tǒng)一消息、虛擬電話、虛擬語音/傳真郵箱、Internet呼叫中心及電子會議等都是VoIP的實(shí)際應(yīng)用;視頻電話,指利用電話線路或IP線路實(shí)時傳送語音和圖像的一種通信方式;WAP、3G、WIFI技術(shù)使得人們可以利用移動手機(jī)終端訪問互聯(lián)網(wǎng);微博可實(shí)現(xiàn)通過Web、手機(jī)專用客戶端、短信等將信息在短時間內(nèi)廣泛傳播。而三網(wǎng)融合、云計(jì)算、物聯(lián)網(wǎng)等新興技術(shù)的興起,將進(jìn)一步改變?nèi)藗兊耐ㄐ欧绞健?/p>
?
二、基于現(xiàn)代通信技術(shù)的電子銀行業(yè)務(wù)
電子支付指通過數(shù)字信息流轉(zhuǎn)完成數(shù)據(jù)傳輸, 采用數(shù)字化的方式進(jìn)行資金支付。傳統(tǒng)的電子支付業(yè)務(wù)主要包括電子資金轉(zhuǎn)賬(EFT)、ATM、POS等;新型電子支付平臺則以網(wǎng)上銀行、電話銀行、手機(jī)銀行等為載體。
?
應(yīng)當(dāng)說,電子支付業(yè)務(wù)的每一項(xiàng)創(chuàng)新都是緊緊圍繞著現(xiàn)代通信技術(shù)和業(yè)務(wù)展開的。一方面,隨著用戶對金融服務(wù)的需求不斷提升以及銀行業(yè)競爭加劇,各家銀行都在努力開展金融創(chuàng)新以更好地服務(wù)用戶。另一方面,現(xiàn)代通信技術(shù)的迅速發(fā)展,提供了新型的交易渠道、認(rèn)證模式和服務(wù)模式,業(yè)務(wù)需求與技術(shù)手段的結(jié)合,使得大量新型的電子銀行應(yīng)用如雨后春筍層出不窮。
?
(1) 網(wǎng)上銀行。近年來寬帶普及率大幅提升,網(wǎng)上銀行也因此而迅速發(fā)展,無論是個人用戶的轉(zhuǎn)賬、理財(cái)、購物、繳費(fèi),還是企業(yè)用戶的賬務(wù)往來、融資、對賬等操作都可通過網(wǎng)銀進(jìn)行。除了銀行直接提供的網(wǎng)上銀行應(yīng)用,第三方機(jī)構(gòu)如銀聯(lián)、支付平臺、特約商戶等也與銀行合作,使用銀行提供的接口,在第三方網(wǎng)站開展支付業(yè)務(wù),帶來了更便捷的用戶體驗(yàn)。
(2)手機(jī)銀行。隨著2G/3G移動互聯(lián)網(wǎng)的迅速發(fā)展和WIFI熱點(diǎn)的覆蓋范圍增加,手機(jī)銀行和平板電腦專用網(wǎng)銀客戶端也隨之迅速發(fā)展。這些便攜設(shè)備隨身服務(wù)于用戶,用戶可以隨時進(jìn)行賬務(wù)處理,并通過和其他渠道的結(jié)合,提供網(wǎng)點(diǎn)預(yù)約、ATM預(yù)約取現(xiàn)等服務(wù),極大方便了用戶。
(3) 電話銀行。電話除了作為交易渠道可為用戶提供查詢、轉(zhuǎn)賬等電話銀行服務(wù)外,還可作為認(rèn)證渠道,銀行以語音外撥的方式將動態(tài)口令要素告知用戶,完成認(rèn)證。
(4) 短信銀行。短信與電話類似,一方面作為交易渠道,可提供短信銀行、短信客服等功能,隨著人工智能技術(shù)的發(fā)展,客戶甚至可以使用自然語言描述自己的需求,銀行短信系統(tǒng)嘗試?yán)斫庹Z義,協(xié)助用戶完成銀行業(yè)務(wù);另一方面,由于手機(jī)普及率很高,越來越多的金融機(jī)構(gòu)使用短信動態(tài)口令作為認(rèn)證要素,在快捷支付類業(yè)務(wù)中進(jìn)行身份認(rèn)證。
(5) 除了通信渠道自身的發(fā)展,在這些渠道基礎(chǔ)上發(fā)展出的微博、物聯(lián)網(wǎng)、云計(jì)算等新型業(yè)務(wù)也促進(jìn)了電子銀行的發(fā)展:微博等新型互聯(lián)網(wǎng)社會化應(yīng)用的用戶規(guī)模呈爆炸性增長,各家銀行也日益將這些新應(yīng)用作為營銷陣地傳播金融信息、與用戶開展互動,并可隨著電子銀行與這些互聯(lián)網(wǎng)應(yīng)用整合程度的提升,為用戶提供一條龍式的金融服務(wù);電子郵件提供了便捷的營銷、對賬等服務(wù),并且國外也有銀行使用電子郵件進(jìn)行身份認(rèn)證。未來,物聯(lián)網(wǎng)技術(shù)與電子銀行技術(shù)可能進(jìn)一步深度結(jié)合,提供更加便捷的服務(wù),例如基于物聯(lián)網(wǎng)的水電氣表與電子銀行繳費(fèi)業(yè)務(wù)結(jié)合,簡化查表和繳費(fèi)環(huán)節(jié);對于企業(yè)客戶,物聯(lián)網(wǎng)與企業(yè)網(wǎng)銀聯(lián)動更是可全面提高企業(yè)在物流、交易等環(huán)節(jié)的自動化程度。云計(jì)算等新技術(shù)一方面為銀行提供后臺運(yùn)營支撐,另一方面也可能改變銀行與零售客戶、特約商戶、各類型企業(yè)的關(guān)系,更高效地實(shí)現(xiàn)多方協(xié)同、信息共享,催生出新的電子銀行業(yè)務(wù)。
?
三、電子銀行業(yè)務(wù)所面臨的技術(shù)風(fēng)險(xiǎn)
電子銀行業(yè)務(wù)是傳統(tǒng)銀行業(yè)務(wù)的延伸和擴(kuò)展,是依托現(xiàn)代通信技術(shù)和業(yè)務(wù)的創(chuàng)新型電子支付業(yè)務(wù)。但是,新技術(shù)也是一把雙刃劍,在支撐業(yè)務(wù)創(chuàng)新的同時,也不可避免的帶來新的安全隱患和風(fēng)險(xiǎn)。更重要的是,隨著黑客的趨利行為以及黑色地下產(chǎn)業(yè)鏈的形成,電子銀行業(yè)務(wù)所面臨的風(fēng)險(xiǎn)也呈現(xiàn)出多樣化和高技術(shù)化態(tài)勢。
?
(1) 網(wǎng)上銀行方面,早期的網(wǎng)絡(luò)釣魚方式是以電子郵件發(fā)送釣魚鏈接,一旦用戶點(diǎn)擊鏈接則會訪問假冒的網(wǎng)上銀行站點(diǎn),進(jìn)而造成賬號、密碼被盜;隨著通信業(yè)務(wù)和技術(shù)的進(jìn)步,釣魚方式逐步擴(kuò)展為網(wǎng)上論壇發(fā)帖、QQ等即時通信發(fā)送消息、手機(jī)短信等,還出現(xiàn)了網(wǎng)頁掛馬,感染客戶電腦盜取客戶資金等風(fēng)險(xiǎn)。最新非常流行的社交網(wǎng)絡(luò),如微博等,必定成為假冒網(wǎng)上銀行釣魚、網(wǎng)銀木馬傳播的新途徑,由此產(chǎn)生更為嚴(yán)重的風(fēng)險(xiǎn)。《2011年中國反釣魚網(wǎng)站聯(lián)盟工作報(bào)告》顯示,2011年1~11月共處理釣魚網(wǎng)站36674個,較2010年同期增長78%,電子商務(wù)、金融證券排名前兩位,而以微博為主要對象的新釣魚網(wǎng)站呈現(xiàn)“井噴”,釣魚網(wǎng)站的熱點(diǎn)效應(yīng)依舊明顯。
(2) 電話銀行方面,其所面臨的風(fēng)險(xiǎn)主要是技術(shù)與社會工程學(xué)相結(jié)合。犯罪分子利用電信的三方通話服務(wù),與受害者和電話銀行系統(tǒng)建立三方通話,誘騙客戶輸入電話銀行密碼,進(jìn)而根據(jù)電話按鍵的音頻差異竊取電話銀行密碼。
(3) 手機(jī)銀行和短信銀行方面,隨著智能手機(jī)和WIFI熱點(diǎn)的普及,手機(jī)銀行面臨的風(fēng)險(xiǎn)逐漸趨近于網(wǎng)上銀行。“釣魚WIFI”可以輕易截獲未經(jīng)加密的通信信息;更嚴(yán)重的是,類似“X臥底”的智能手機(jī)木馬可以輕易截獲語音通話、短信,這給完全依賴短信動態(tài)驗(yàn)證碼的銀行業(yè)務(wù)造成非常大的風(fēng)險(xiǎn)。
?
此外,第三方機(jī)構(gòu)提供的服務(wù)也可能給電子銀行業(yè)務(wù)造成潛在風(fēng)險(xiǎn)。例如,最近新出現(xiàn)的短信存儲云服務(wù),用戶通過簡單設(shè)置即可使自己的短信實(shí)時保存到“云端”,隨時可以查看。如果銀行發(fā)送給客戶的短信動態(tài)驗(yàn)證碼、資金類信息也被送入“云端”,則可能成為一種新的信息泄露渠道。
?
四、電子銀行風(fēng)險(xiǎn)防范措施
面對電子銀行錯綜復(fù)雜的技術(shù)風(fēng)險(xiǎn),銀行不能因噎廢食,需要在大力發(fā)展電子銀行業(yè)務(wù),為客戶提供便捷服務(wù)的同時,采取多種有效防范措施,確保客戶的資金安全。
?
(1) 充分考慮新技術(shù)的特點(diǎn),在每一項(xiàng)電子銀行新業(yè)務(wù)設(shè)計(jì)之初就引入安全設(shè)計(jì),同時,結(jié)合業(yè)務(wù)控制、客戶教育等開展多層次的安全防護(hù)。
在電子銀行業(yè)務(wù)設(shè)計(jì)之前,需要對其所涉及的技術(shù)開展細(xì)致的調(diào)查研究;在需求分析階段,需要對業(yè)務(wù)方案進(jìn)行充分論證,確保業(yè)務(wù)風(fēng)險(xiǎn)可控;在系統(tǒng)設(shè)計(jì)階段,需要組織包括安全專家在內(nèi)的技術(shù)和業(yè)務(wù)專家團(tuán)隊(duì)對系統(tǒng)架構(gòu)進(jìn)行評審;在系統(tǒng)開發(fā)和測試階段,需要進(jìn)行專業(yè)的安全測試,確保安全措施有效;在系統(tǒng)投產(chǎn)后,需要根據(jù)業(yè)務(wù)實(shí)際需求合理調(diào)整業(yè)務(wù)控制參數(shù),避免限額控制等參數(shù)設(shè)置過于寬松;同時,在業(yè)務(wù)推廣階段加強(qiáng)客戶的風(fēng)險(xiǎn)提示和安全意識教育。通過對電子銀行業(yè)務(wù)整個生命周期的全流程、多層次的風(fēng)險(xiǎn)防控,盡量確保電子銀行業(yè)務(wù)技術(shù)風(fēng)險(xiǎn)可控。
(2) 持續(xù)跟蹤新技術(shù)的發(fā)展趨勢,及時調(diào)整各項(xiàng)電子銀行業(yè)務(wù)的安全防護(hù)措施。
新技術(shù)和新業(yè)務(wù)日趨復(fù)雜,需要對其進(jìn)行持續(xù)跟蹤,并從多維視角對其所帶來的潛在風(fēng)險(xiǎn)進(jìn)行分析:技術(shù)視角,深入研究技術(shù)細(xì)節(jié);業(yè)務(wù)視角,從銀行業(yè)務(wù)運(yùn)作流程入手,探究業(yè)務(wù)細(xì)節(jié);安全視角,挖掘技術(shù)與業(yè)務(wù)融合的風(fēng)險(xiǎn),及時調(diào)整、豐富業(yè)務(wù)的安全防護(hù)措施。
(3) 建立統(tǒng)一高效的電子銀行安全事件應(yīng)急處理機(jī)制,及時響應(yīng)安全事件。
電子銀行客戶面臨著龐大的地下黑色產(chǎn)業(yè)鏈的威脅,銀行有必要組建一支專業(yè)的信息安全風(fēng)險(xiǎn)防控隊(duì)伍,監(jiān)控各個渠道披露的電子銀行安全事件,及時響應(yīng),盡快采取措施有效控制客戶的資金損失,深入調(diào)查分析,探尋問題根源,并采取有效措施改進(jìn)電子銀行系統(tǒng)的防護(hù)能力。
(4) 與電信運(yùn)營商、第三方支付平臺等建立戰(zhàn)略合作關(guān)系。
新技術(shù)的研究、技術(shù)趨勢的跟蹤、信息安全事件的調(diào)查分析,依靠銀行自身的力量遠(yuǎn)遠(yuǎn)不夠,需要銀行和眾多合作伙伴開展廣泛、深入的交流與合作,共同應(yīng)對電子銀行信息安全事件。
(5) 推動國家和行業(yè)監(jiān)管機(jī)構(gòu)立法,建立行業(yè)規(guī)范,保障整個金融電子支付生態(tài)環(huán)境的安全性。
電子銀行作為一種新興的電子支付平臺,承擔(dān)著客戶的資金安全重責(zé)、承載銀行的信譽(yù),甚至關(guān)系著國家的金融安全。和諧、安全的電子支付生態(tài)環(huán)境是電子銀行業(yè)務(wù)蓬勃發(fā)展的基礎(chǔ)。推動國家和行業(yè)監(jiān)管機(jī)構(gòu)的立法,隨著新技術(shù)的發(fā)展及時建立行業(yè)技術(shù)規(guī)范,有助于保障金融電子支付生態(tài)環(huán)境的安全性。
