电子支付“安全”清障如箭在弦

　　2010年1月11日的一则可靠消息透漏，由中国人民银行筹建的“支付清算协会”将于2010年1月内正式成立。届时，将由该协会牵头协调负责在2010年内推出首批电子支付牌照,这将意味着风靡一时的电子支付正式被纳入金融监管体系。据悉,首批加入协会的共有30家企业,其中既包括支付宝等以C2C为主的电子支付企业,也包括环迅科技等以面向行业用户B2B为主的企业。国内的新金融市场正蓄“山雨欲来”之势，并将波及信息安全等多个产业。
　　 “科技一小步,  应用一大步”。从2006年起,电子支付就以不可逆转之势冲击着原有的金融流通体系,尤其在经济危机的大环境下，电子支付行业在2009年反而表现出强劲的增长势头——行业平均增长达3倍。伴随着3G通信建设及移动互联网应用加速发展的步伐，新一代电子支付已开始向移动支付等最新领域日趋转型，由此带来的信息安全风险日渐升温，有关新金融安全的争论也开始愈演愈烈——未来增长的迷惘、欺诈手段的花样翻新、潜在的安全风险、监管的缺失和盈利模式的模糊也使得电子支付面临前所未有的挑战，高速增长的背后预示着什么？包括电子支付在内的新金融支付体系存在的安全问题该如何解决……
　　 用户：“谁在支配我的金币”？
　　2009年，中国新金融市场利好不断，点燃了人们对2010年经济的憧憬。
　　根据易观国际发布的《中国第三方支付市场蓝皮书》显示，中国的电子支付市场正在以行业平均增长达3倍的势头迅猛发展，2010年国内第三方支付市场年交易规模将超过6000亿元，而其中电子支付继续占据一半以上份额。同时，据中国人民银行2009年第3季度的数据显示，国内信用卡的累计发卡量已答1.75亿张，同比增长33.3%，这一数字仍在持续增加。随着3G的启动，手机支付也开始成为第三方支付新的竞争点。来自计世资讯（CCWResearch）研究则预测，2010年中国移动支付用户数将达到1.47亿户，其同比增长率将达到36.1%，而2011年中国移动支付用户数将达到2.12亿户，其同比增长率将达到44.2%。
　　 “我现在好像不大用现金了，坐车刷一卡通，购物刷信用卡，上网买东西、交电话费、水电费，用的都是网上银行,还有电话银行。”在一家重庆国企工作的张小姐告诉记者，“我每个月现金也就会用掉几百，但是信用卡账单可能要几千。”张小姐表示她钱包里的现金从未超过300元，但各种银行卡却有五六张。
　　 这也是最近五年来，她所感受到金融科技融入生活的最大变化。
　　在大众的网络支付热情得以倾尽释放之时，令人恐慌的事情却也层出不穷。
　　 早于2007年1月，瑞典银行Nordea就披露了其遭受的一宗巨额的网上银行诈骗案。拥有200万在线用户的Nordea，自过去15个月以来，有250位用户受到钓鱼邮件的引诱，下载了一个内含木马程序的杀毒软件，从而被诈骗了共700万至800万瑞典克朗(超过110万美元)。而按照先前对用户的承诺，该银行须向用户赔偿他们的全部损失。 
　　无独有偶，2009年6月，中国湖南警方也破获了一起中国迄今为止最大的个人网银诈骗案。长沙人李强（化名）利用电子支付的网络安全漏洞，高科技手段，先后窃取市民银行资金40余万元。2007年12月，李强租用了一台网络服务器，并将“网银大盗”和“灰鸽子”程序下载到服务器上，用于接收信息、储存资料和远程控制他人电脑。感染“网银大盗”的电脑运行后，会自动截屏将市民的密码发送到他的服务器上，他再一一将其整理好，逐一盗取。在收缴的证据中，记者看到李强保存在U盘里的账户资料，有300多条个人信息，身份证号、账号、密码、手机号、余额等信息一应俱全。
　　2009年3月，江民科技则透露，已经发现了能够突破银行U盾的“网银窃贼”最新变种病毒，该病毒在技术上已经远胜昔日的毒王“网银大盗”，不但可以盗窃网上银行用户的账号密码，甚至可以突破银行U盾的防线，进行网上转帐。据悉，“网银窃贼”最新变种病毒是一个专门窃取用户网上银行账号和密码的间谍程序，该病毒会在被感染计算机的后台秘密监视用户打开的所有窗口标题，一旦发现指定标题的窗口，便会通过对页面各个元素的匹配，向用户提供与所打开网上银行相匹配的仿真页面，然后利用鼠标钩子、消息截取等技术将用户输入到假网上银行页面的账号和密码信息截获。在截取到用户的账号密码后，病毒会在被感染计算机上连接黑客指定的服务器站点“http://c.9908*.com/b2cs/”，自动将网页跳转到用户所操作的网上银行转帐页面，此时黑客再根据截获的账号密码尝试向骇客指定的账户转账500到1000元不等的金额。由于病毒是在用户电脑本机中打开的银行汇款单页面，而用户的数字证书也往往都保存在电脑中，这样病毒就可以很轻松的突破数字证书的防护，一旦操作成功实施，严重威胁网上银行用户的资金安全。由于该病毒影响面极大，在社会及银行业界均引起了广泛的关注，网银安全问题也随之成为社会各界关注的焦点。
　　 网上银行的诞生，意味着银行可以将银行服务直接送到客户家中或办公室的服务系统，而客户也不再受限于银行的地理环境、上班时间，突破空间距离和物体媒介的限制，特别适合于在线交易。网上银行的出现，电子支付才有了可能，而由于电子支付能够即时到账，交易周期最短，用它来进行网上购物非常方便。新金融体系一下形成，爆发出巨大的市场能量已足够让各访垂涎，今年央视“315晚会”将目光落在了电子支付安全隐患上，黑客、木马、信息贩卖者的神通广大使得不少人不禁惊心。越来越多的人开始疑虑：第三方支付是否值得信任？网上银行是否安全？信用卡里面的钱，甚至为手机的缴纳话费会不会突然不翼而飞？
　　 政府：支付监管谋良策
　　 无论是虚假网上银行地址的一时泛滥，还是木马程序的横行作乱，都表明人们在使用新金融支付体系时面临的安全问题正日益严峻。“欺诈风险对整个电子支付产业最大的破坏不仅是金钱上的损失，而是对整个支付产业的信任与信誉的动摇和打击。”VISA亚太区风险管理业务部总经理迈克·史密斯在2009年来访中国时对外界表示，“如今的消费者并不仅仅担心欺诈事件，他们还担心有人会非法使用他们的个人信息。这些担心是真实存在的，也会很大程度上影响消费者的行为甚至是一个国家的金融秩序。”
　　 中国政府很早就注意到了电子金融支付的安全监管问题，在去年（2009年）三月的“两会”期间，来自浙江的人大代表王梅珍递交了《关于加大对电子支付行业政策支持的议案》（以下简称《议案》）。她在《议案》中呼吁：应该正式将电子支付行业列入政策允许并鼓励发展的范围，加大对电子支付企业的扶持力度；同时尽快建立健全的监管体系，防范可能出现的风险控制漏洞以及滥用客户资金等风险。
　　 “从全球角度来看，中国的电子支付欺诈损失率在万分之六左右，亚太地区要低于全球，中国比亚太还要低，而且从目前来看，这个欺诈率是接近历史低点的。”王梅珍对记者说，“但是对于中国这样一个庞大的用户市场，电子支付已经深入到我们生活的各个方面，但由于涉及到金融体系，涉及到资金安全，这一行业还需要国家从法规和政策方面予以认可和规范。” 在她看来，任何经济活动的运行都离不开信息流、资金流和物流三者的整合；随着电子商务的不断发展，电子支付已经成为一项重要的电子商务基础设施。数据表明，2008年全国的支付量是1130万亿元，其中700万亿元是大额支付系统完成的电子支付，300万亿元是各大银行完成的交易， 127万亿由中国银联的银行卡系统完成，剩下3万亿元就是现钞。
　　随着电子支付量的急剧增加，金融信息安全问题突出表现在个人客户端层面，中国金融电子化公司总经理李文辉介绍，电子支付比重最大的是POS机消费，其次是网上支付，而第三方支付是网上支付很重要一部分，但是目前我们在这方面还处在政策法规缺失、安全保护制度不健全的状态。”李文辉表示这也是第三方支付能否健康发展的最大挑战。“ 网上银行、手机银行的‘账号＋密码’登录形式成为网上银行客户端的最薄弱环节，成为黑客盗取网上银行用户资金的主要突破口。病毒主要采用以下六大方式盗取网上银行密码:假冒网上银行网站以及攻击网站服务器;记录用户的键盘输入;嵌入浏览器执行，在用户数据以SSL安全加密方式发送出去之前获取密码;屏幕录像，截下用户输入密码的操作过程;窃取数字证书文件;伪装网上银行弹出窗口。因此，在线支付的不安全导致了用户对于网上银行的信任度降低。”李文辉说。
　　 国信办专家咨询委员会专家曲成义教授则认为，作为网上银行和第三方支付一直面临着很多的风险，这并非近年来电子支付企业井喷发展后时代所独有。“信息安全对在线支付带来的危险，第一方面表现在包括信息系统中的滥用、网上的欺诈、钓鱼等等带来的巨大的威胁；第二表现在当前信用缺位带来的风险。”曲成义说。
　　据曲成义教授介绍，在政府立法方面，《中华人民共和国电子签名法》早于2005年4月1日起开始实施，该法律条文中特别提到了要有符合可靠电子签名的规则，以及保证用户在使用网络银行过程中电子支付中的合法性。为了保护信息安全，国家信息化领导小组已经成立了国家信息安全标准化委员会下设10个标准化组织，其中很多的标准条款对于我们电子支付也有重要的指导作用。比如包括电子密码、关于基于PKI的各种标准证书规范。国家现在已经发布的有16项，正审的有25项，研制的有70项。
　　 “对于电子支付监管和运营部门，降低新金融风险的第一点是要建设在线安全的支付平台。如何实现安全的在线清算，如何完成运行过程中的业务监督，作为对这种信息安全风险的控制是非常重要的。同时，在我们国家，并不是单纯建一个在线安全支付平台就完成了所有的任务，对于监管方，还要做好这个平台建设以后的信息安全的风险评估。所以，对于一个完整的在线支付安全平台的安全和支付协议的安全选择和配套非常重要。在这个运行过程中如何采用一种安全的认证，一种安全的签名，一种抗抵赖的机制，一种强审计的保证，以及传输过程、防泄露和加密是金融安全认证机构的头等大事 ”曲教授说。
　　 曲成义还特别对记者表示，除了电子签名法，中国的《电子银行安全评估指引》 也开始逐步完善。“目前，国信办和工信部等有关单位正组织大力推动国家CA认证体系通过KPI的建设，确保各CA认证体系之间的互联互通，这也是对于中国电子商务发展以及未来中国需要面临信息安全重要且实际的问题。
　　 支付企业：铸就完善安全之盾
　　 国家主管部门的引导政策也让部分具备技术实力的企业开始建立支付平台技术的门槛，第三方电子支付厂商环迅支付正是这样一家信心满满的企业。环迅支付市场部经理卓栋炜向记者表示，目前有实力的支付平台的安全技术已经相对成熟，安全性已完全没有问题，而发生支付安全事故的诱因往往是黑客利用网上支付使用者的一些不良习惯导致。
　　 卓栋炜介绍说，有些钓鱼网站在用户支付时用一个价格更低的链接吸引用户，点击进去支付时会看到一个和正常支付页面完全一样的网页，一旦输入个人信息就会被黑客盗取。“这些仿制的网页页面上完全一样，就是域名多一个字母或一个符号，而往往用户不会注意到这些细节。”他向记者透露，目前大多电子支付平台已经连同各大银行机构部署了三个层次的防御。
　　 首先，是一般性的安全措施防御，该实施主要由银行方完成。
　　 银行交易服务器是网上的公开站点，网上银行系统也使银行内部网向互联网敞开了大门。因此，如何保证网上银行交易系统的安全，关系到银行内部整个金融网的安全，这是网上银行建设中最至关重要的问题，也是银行保证客户资金安全的最根本的考虑。 为防止交易服务器受到攻击，银行主要采取以下三方面的技术措施:
　　 1. 设立防火墙，隔离相关网络
　　 一般采用多重防火墙方案。其作用有二:
　　 ·分隔互联网与交易服务器，防止互联网用户的非法入侵。
　　 ·用于交易服务器与银行内部网的分隔，有效保护银行内部网，同时防止内部网对交易服务器的入侵。
　　 2.高安全级的Web应用服务器
　　服务器使用可信的专用操作系统，凭借其独特的体系结构和安全检查，保证只有合法用户的交易请求能通过特定的代理程序送至应用服务器进行后续处理。
　　 3. 二十四小时实时安全监控
　　 例如采用ISS网络动态监控产品，进行系统漏洞扫描和实时入侵检测。在2000年2月Yahoo等大网站遭到黑客入侵破坏时，使用ISS安全产品的网站均幸免于难。 
　　 其次，是用户的身份识别和CA认证，该实施由网络支付企业和银行机构共同完成。
　　 网上交易不是面对面的，客户可以在任何时间、任何地点发出请求，传统的身份识别方法通常是靠用户名和登录密码对用户的身份进行认证。但是，用户的密码在登录时以明文的方式在网络上传输，很容易被攻击者截获，进而可以假冒用户的身份，身份认证机制就会被攻破。
　　 在网上银行系统中，用户的身份认证依靠基于“RSA公钥密码体制”的加密机制、数字签名机制和用户登录密码的多重保证。
　　 银行对用户的数字签名和登录密码进行检验，全部通过后才能确认该用户的身份。用户的惟一身份标识就是银行签发的“数字证书”。用户的登录密码以密文的方式进行传输，确保了身份认证的安全可靠性。
　　 数字证书的引入，同时实现了用户对银行交易网站的身份认证，以保证访问的是真实的银行网站，另外还确保了客户提交的交易指令的不可否认性。
　　 由于数字证书的惟一性和重要性，各家银行为开展网上业务都成立了CA认证机构，专门负责签发和管理数字证书，并进行网上身份审核。
　　2000年6月，由中国人民银行牵头，12家商业银行联合共建的中国金融认证中心(CFCA)正式挂牌运营。这标志着中国电子商务进入了银行安全支付的新阶段。目前的中国支付市场，中国金融认证中心作为一个权威的、可信赖的、公正的第三方信任机构，为今后实现跨行交易提供了身份认证基础。
　　 最后，数字签名等加密协议进一步保障了支付安全。
　　由于互联网是一个开放的网络，客户在网上传输的敏感信息(如密码、交易指令等)在通讯过程中存在被截获、被破译、被篡改的可能。为了防止此种情况发生，网上银行系统一般都采用加密传输交易信息的措施，采用协议的方式来实现重要信息在Internet上的传输安全控制，是网络银行安全策略中重要的一环。 
　　据来自中国金融认证中心的付红玲工程师介绍，网上银行系统目前广泛采用的接入协议主要是SSL（安全套接层，Secure Sockets Layer）协议和SET（安全电子交易，Secure Electronic Transaction）协议。
　　 SSL是国际上最早应用于电子商务的一种网络安全协议。它最初是由网景公司设计开发，其目的主要是提高应用程序之间的数据的安全性。该协议涉及所有的TCP/IP应用程序，主要提供以下方面的服务:确信数据将被发送到正确的客户机和服务器上;对被传送的数据进行加密;在传输的过程中维护数据的完整性。 
　　但是，SSL协议是在互连网电子商务初期阶段发展起来的，它的基点是商家对客户信息保密的承诺，因此有利于商家而不利于客户，其最大的缺点是客户资料的不安全性。 而且，SSL是一个面向连接的协议，只能提供交易中客户与服务器间的双方认证，而且，在涉及多方的电子交易中，SSL协议并不能协调各方间的安全传输和信任关系，因此，为了实现更加完善的电子交易，MasterCard和Visa以及其它一些业界厂商制订并发布了SET协议。
　　 SET(安全电子交易)协议的出现克服了SSL协议的缺陷，对商家和客户两方面的数据安全都给与了充分的考虑。
　　SET协议要达到的的目标主要有五个:
　　 ·保证电子商务参与者信息的相互隔离。客户的资料加密或打包后边过商家到达银行，但是商家不能看到客户的帐户和密码信息;
　　 ·保证信息在因特网上安全传输，防止数据彼黑客或被内部人员窃取;
　　 ·解决多方认证问题，不仅要对消费者的信角卡认证，而且要对在线商店的信誉程度认证，同时还有消费看、在线商店与银行间的认证;
　　 ·保证了网上交易的实时性，使所有的支付过程都是在线的; 
　　·规范协议和消息格式，促使不同厂家开发的软件具有兼容性和互操作功能，并且可以运行在不同的硬件和操作系统平台上。
　　 SET中的核心技术主要有公开密匙加密、电子数字签名、电子信封、电子安全证书等。目前公布的SET正式文本涵盖了信用卡在电子商务交易中的交易协定、信息保密、资料完整及数字认证、数字签名等。这一标准被公认为全球网际网络的标准，其交易形态将成为未来“电子商务”的规范。
　　由于SET协议需要面对多方的信息安全，因此所涉及的对象也比较多。他们主要包括:顾客，他们要按照商家的要求填写订货单，并通过信息卡划账的办法进行付款;电子商店，能够接纳电子货币的购买方式，提供商品;银行，通过支付网关处理商家和顾客之间的交易付款问题;信用卡公司，对信息卡进行审核，并处理相关支付问题;CA认证中心，这是一个权威的机构，能对商家的可信度和顾客的支付能力进行认证。
　　 采用基于SET的电子商务系统，一个完整的交易过程主要有以下步骤。首先，顾客利用自己的个人上网终端通过互联网选定所要购买的物品，并形成订货单，详细列出要购买物品的名称、数量、送货时间和地点等信息。该信息通过网络发送到有关电子商务服务器，电子商店接受服务器发出的信息后作出应答，对顾客发出的购买请求进行确认。顾客随后要作付款的准备，选择付款方式。在SET系统中，顾客要对订单和付款指令进行签名，该签名技术保证商家无法得到顾客的账号信息。电子商店接到正式订单后，通过支付网关向银行发出支付认可请求，银行再到信用卡发行公司确认。如果顾客支付能力得到认可，便可以批准交易并将信息发送至电子商店。最后，电子商店提供商品或服务，并通过银行接收顾客交付的钱。在这一系列过程中，自消费者发出带有数字签名的正式购买请求起，在每一步骤中，顾客、电子商店和银行都要通过CA来验证通信主体的身份。
　　目前，在SSL协议及SET协议之上，不同实力的第三方支付企业亦选择了实力雄厚的技术伙伴。以环迅支付为例，其于年前就与上海迅通科技有限公司达成协议，成为战略合作伙伴关系，而上海迅通科技有限公司是GeoTrust中国地区的分销商，全球著名认证中心VeriSign的全资子公司，为国内诸多的银行及电子商务网站提供SSL证书服务。目前全球已经有150多个国家，超过10万家企业正在使用GeoTrust数字证书， 这也将最终成为环迅树立支付行业技术壁垒的最大资本。
　　 行业反思：真有万无一失的“安全”？
　　 裸露的技术障碍容易审视，而无形的观念障碍却往往成为产业链条的盲区。
　　 面对众多知名厂商的纷纷树立起“可信”的大旗,“绝对安全”的USB-Key和数字证书，用户仿佛已经置身于安全的信息环境之中，但是,“没有绝对的安全”这一定律真的就能在电子支付领域被彻底颠覆吗？
　　 “没有100%的安全，即使是最复杂的密码，也可能被破解，所以，对于未来的电子支付亦是如此 ，没有万无一失的通行证。”针对电子支付企业2010年“磨拳擦掌”的信息安全清障行动，信息安全国家重点实验室副主任荆继武却泼了一盆冷水，而荆继武教授本人正是国家《电子签名法》的重要起草人之一。
　　 随着《电子签名法》在中国颁布实施，可靠的电子签名与手写签名或者盖章具有同等的法律效力，信息安全业界曾经历过一阵红红火火的“数字签名”推广期，得到了众多企业的热捧。目前，国际广泛使用的数字签名方法主要有三种:RSA算法、DES算法和Hash算法。这三种算法可单独使用，也可综合在一起使用。数字签名是通过密码算法对数据进行加、解密变换实现的，用DES算法、RSA算法都可实现数字签名。但三种技术或多或少都有缺陷，或者没有成熟的标准。 目前，经过国家批准的数字签名设备主要是一种USB-Key。许多厂商在游说大家，说这样的东西“绝对安全”，许多为创新而创新的项目开始大量使用USB-Key和数字证书。
　　 “然而，实际情况是不会有绝对安全的东西。现在安全是因为我们推广还不够。只要我们用户再扩大，其安全性肯定是有问题的。” 荆继武一针见血地指出：“举个大家都可以理解的例子。当你在网络上转账时，窗口弹出一个让你签名的提示，转账300元，你能确认送到USB-Key的就是300元的交易数据么，你能保证没有间谍软件或病毒多发送一次让你签名的交易给USB-Key？如果大量使用这样的USB-Key，一定会出现这样的病毒:专在你签名的时候修改数据或增加数据。而USB-Key是个哑巴，对什么内容签名它又读不出来，系统让签就签吧。”
　　 “由此可见，推广数字签名也是有风险的，需要谨慎。要以应用为驱动，以服务人民为目标。” 荆继武对记者表示。
　　 没有100％的安全。信息安全是一个动态的过程，产品技术标准不断发展和完善，信息安全威胁也是不断地升级换代，随着企业信息化程度的进一步加深，企业核心业务对IT依赖度的进一步加强，信息安全问题会相对越来越多，这是一个不可扭转的趋势和现实。安全产品要不断更新配置，如果安全产品布署后对配置并不更新，或者有更新但不全面，那么还是同样存在着诸多安全漏洞，这时虽然使用了安全产品，可实施效果却要大打折扣。
　　 从信息安全20多年的发展实践中看，安全是自上而下的过程，任何管理的推行都需要企业最高管理层的绝对支持和身为表率并持之以恒，最高管理层可能没有时间去一一详细了解每一项安全策略的内容，没有时间去参与具体的每一项实施工作，实践中这也是不可能的也不必要的，但最高管理层必须要很清楚他们的相关言行必须与企业信息安全的终级要求相一致，如果相背离，极有可能会事倍功半、事与愿违。
　　 “我们希望有这样的安全技术，它保证在病毒攻击不断出现的环境下，系统具有在有效时间内完成使命的能力。人们对电子支付的安全保护往往有过高的技术期待，而这样的期待却往往容易让我们忽略信息安全真正的目标。信息安全技术从来就应该关注目标，而不是安全本身。” 荆继武语重心长地表示。
　　 电子支付的信息安全之路，依然任重而道远。

文章来源： 信息安全与通信保密