构建安全的金融电子支付生态环境
作者:中国工商银行股份有限公司数据中心(北京) 敦宏程
来源:中国金融电脑
从古代的烽火狼烟到鸿雁传书,从电报到电话,从移动电话到互联网,通信技术的发展使得地球村越变越小。进入2 1 世纪,通信产业的蓬勃发展正在改变着人们的生活。在传统电子支付业务的基础上,以网上银行、电话银行、手机银行等电子银行为主体的新型电子支付平台凭借现代通信技术与业务的深度融合实现了跨越式发展。随着短信、社交网络、物联网等新兴技术的兴起,电子银行也衍生出一系列便捷高效、绿色环保的新型服务产品。与此同时,电子银行也面临着新的技术风险,需要采取一系列、多层次的防护措施予以防范。
一、现代通信技术与业务蓬勃发展
现代通信技术主要有数字通信、程控交换、ISDN与ATM、宽带IP、通信组网、WIFI、3G等。随着这些技术的不断发展,现代通信业务得到了空前的繁荣,甚至成为人类进步和文明的标志之一。
固定电话是继电报之后又一个具有里程碑意义的通信发明。由于电话的出现,人们之间的距离似乎一下子被拉近了。而20世纪移动通信技术的普及,更使得人们摆脱位置的束缚,实现了随时随地的自由通信。
互联网是人类通信史上具有划时代意义的发明。它影响并改变着人们的生活,缩小时空的鸿沟,真正形成了地球村,并将这个村越变越小;同时,文字、声音、图片等多媒体的互动方式使得这个村越来越多彩。
在此基础上,现代通信业务也正变得越来越丰富、越来越便捷。人们在固定电话技术的基础上发明了传真;在移动电话技术的基础上发明了短信、彩信;在互联网技术的基础上发明了电子邮件、QQ和MSN等即时消息通信产品。
随着这些技术的不断发展,在传统的技术中又衍生了众多跨技术领域的新业务。如VoIP,即网络电话,指通过IP数据包发送实现的语音业务,语音、传真、视频等数据在IP网络上可以低成本传送,统一消息、虚拟电话、虚拟语音/传真邮箱、Internet呼叫中心及电子会议等都是VoIP的实际应用;视频电话,指利用电话线路或IP线路实时传送语音和图像的一种通信方式;WAP、3G、WIFI技术使得人们可以利用移动手机终端访问互联网;微博可实现通过Web、手机专用客户端、短信等将信息在短时间内广泛传播。而三网融合、云计算、物联网等新兴技术的兴起,将进一步改变人们的通信方式。
二、基于现代通信技术的电子银行业务
电子支付指通过数字信息流转完成数据传输, 采用数字化的方式进行资金支付。传统的电子支付业务主要包括电子资金转账(EFT)、ATM、POS等;新型电子支付平台则以网上银行、电话银行、手机银行等为载体。
应当说,电子支付业务的每一项创新都是紧紧围绕着现代通信技术和业务展开的。一方面,随着用户对金融服务的需求不断提升以及银行业竞争加剧,各家银行都在努力开展金融创新以更好地服务用户。另一方面,现代通信技术的迅速发展,提供了新型的交易渠道、认证模式和服务模式,业务需求与技术手段的结合,使得大量新型的电子银行应用如雨后春笋层出不穷。
(1) 网上银行。近年来宽带普及率大幅提升,网上银行也因此而迅速发展,无论是个人用户的转账、理财、购物、缴费,还是企业用户的账务往来、融资、对账等操作都可通过网银进行。除了银行直接提供的网上银行应用,第三方机构如银联、支付平台、特约商户等也与银行合作,使用银行提供的接口,在第三方网站开展支付业务,带来了更便捷的用户体验。
(2)手机银行。随着2G/3G移动互联网的迅速发展和WIFI热点的覆盖范围增加,手机银行和平板电脑专用网银客户端也随之迅速发展。这些便携设备随身服务于用户,用户可以随时进行账务处理,并通过和其他渠道的结合,提供网点预约、ATM预约取现等服务,极大方便了用户。
(3) 电话银行。电话除了作为交易渠道可为用户提供查询、转账等电话银行服务外,还可作为认证渠道,银行以语音外拨的方式将动态口令要素告知用户,完成认证。
(4) 短信银行。短信与电话类似,一方面作为交易渠道,可提供短信银行、短信客服等功能,随着人工智能技术的发展,客户甚至可以使用自然语言描述自己的需求,银行短信系统尝试理解语义,协助用户完成银行业务;另一方面,由于手机普及率很高,越来越多的金融机构使用短信动态口令作为认证要素,在快捷支付类业务中进行身份认证。
(5) 除了通信渠道自身的发展,在这些渠道基础上发展出的微博、物联网、云计算等新型业务也促进了电子银行的发展:微博等新型互联网社会化应用的用户规模呈爆炸性增长,各家银行也日益将这些新应用作为营销阵地传播金融信息、与用户开展互动,并可随着电子银行与这些互联网应用整合程度的提升,为用户提供一条龙式的金融服务;电子邮件提供了便捷的营销、对账等服务,并且国外也有银行使用电子邮件进行身份认证。未来,物联网技术与电子银行技术可能进一步深度结合,提供更加便捷的服务,例如基于物联网的水电气表与电子银行缴费业务结合,简化查表和缴费环节;对于企业客户,物联网与企业网银联动更是可全面提高企业在物流、交易等环节的自动化程度。云计算等新技术一方面为银行提供后台运营支撑,另一方面也可能改变银行与零售客户、特约商户、各类型企业的关系,更高效地实现多方协同、信息共享,催生出新的电子银行业务。
三、电子银行业务所面临的技术风险
电子银行业务是传统银行业务的延伸和扩展,是依托现代通信技术和业务的创新型电子支付业务。但是,新技术也是一把双刃剑,在支撑业务创新的同时,也不可避免的带来新的安全隐患和风险。更重要的是,随着黑客的趋利行为以及黑色地下产业链的形成,电子银行业务所面临的风险也呈现出多样化和高技术化态势。
(1) 网上银行方面,早期的网络钓鱼方式是以电子邮件发送钓鱼链接,一旦用户点击链接则会访问假冒的网上银行站点,进而造成账号、密码被盗;随着通信业务和技术的进步,钓鱼方式逐步扩展为网上论坛发帖、QQ等即时通信发送消息、手机短信等,还出现了网页挂马,感染客户电脑盗取客户资金等风险。最新非常流行的社交网络,如微博等,必定成为假冒网上银行钓鱼、网银木马传播的新途径,由此产生更为严重的风险。《2011年中国反钓鱼网站联盟工作报告》显示,2011年1~11月共处理钓鱼网站36674个,较2010年同期增长78%,电子商务、金融证券排名前两位,而以微博为主要对象的新钓鱼网站呈现“井喷”,钓鱼网站的热点效应依旧明显。
(2) 电话银行方面,其所面临的风险主要是技术与社会工程学相结合。犯罪分子利用电信的三方通话服务,与受害者和电话银行系统建立三方通话,诱骗客户输入电话银行密码,进而根据电话按键的音频差异窃取电话银行密码。
(3) 手机银行和短信银行方面,随着智能手机和WIFI热点的普及,手机银行面临的风险逐渐趋近于网上银行。“钓鱼WIFI”可以轻易截获未经加密的通信信息;更严重的是,类似“X卧底”的智能手机木马可以轻易截获语音通话、短信,这给完全依赖短信动态验证码的银行业务造成非常大的风险。
此外,第三方机构提供的服务也可能给电子银行业务造成潜在风险。例如,最近新出现的短信存储云服务,用户通过简单设置即可使自己的短信实时保存到“云端”,随时可以查看。如果银行发送给客户的短信动态验证码、资金类信息也被送入“云端”,则可能成为一种新的信息泄露渠道。
四、电子银行风险防范措施
面对电子银行错综复杂的技术风险,银行不能因噎废食,需要在大力发展电子银行业务,为客户提供便捷服务的同时,采取多种有效防范措施,确保客户的资金安全。
(1) 充分考虑新技术的特点,在每一项电子银行新业务设计之初就引入安全设计,同时,结合业务控制、客户教育等开展多层次的安全防护。
在电子银行业务设计之前,需要对其所涉及的技术开展细致的调查研究;在需求分析阶段,需要对业务方案进行充分论证,确保业务风险可控;在系统设计阶段,需要组织包括安全专家在内的技术和业务专家团队对系统架构进行评审;在系统开发和测试阶段,需要进行专业的安全测试,确保安全措施有效;在系统投产后,需要根据业务实际需求合理调整业务控制参数,避免限额控制等参数设置过于宽松;同时,在业务推广阶段加强客户的风险提示和安全意识教育。通过对电子银行业务整个生命周期的全流程、多层次的风险防控,尽量确保电子银行业务技术风险可控。
(2) 持续跟踪新技术的发展趋势,及时调整各项电子银行业务的安全防护措施。
新技术和新业务日趋复杂,需要对其进行持续跟踪,并从多维视角对其所带来的潜在风险进行分析:技术视角,深入研究技术细节;业务视角,从银行业务运作流程入手,探究业务细节;安全视角,挖掘技术与业务融合的风险,及时调整、丰富业务的安全防护措施。
(3) 建立统一高效的电子银行安全事件应急处理机制,及时响应安全事件。
电子银行客户面临着庞大的地下黑色产业链的威胁,银行有必要组建一支专业的信息安全风险防控队伍,监控各个渠道披露的电子银行安全事件,及时响应,尽快采取措施有效控制客户的资金损失,深入调查分析,探寻问题根源,并采取有效措施改进电子银行系统的防护能力。
(4) 与电信运营商、第三方支付平台等建立战略合作关系。
新技术的研究、技术趋势的跟踪、信息安全事件的调查分析,依靠银行自身的力量远远不够,需要银行和众多合作伙伴开展广泛、深入的交流与合作,共同应对电子银行信息安全事件。
(5) 推动国家和行业监管机构立法,建立行业规范,保障整个金融电子支付生态环境的安全性。
电子银行作为一种新兴的电子支付平台,承担着客户的资金安全重责、承载银行的信誉,甚至关系着国家的金融安全。和谐、安全的电子支付生态环境是电子银行业务蓬勃发展的基础。推动国家和行业监管机构的立法,随着新技术的发展及时建立行业技术规范,有助于保障金融电子支付生态环境的安全性。