【安防知识网】高效、安全、稳定的金融体系是经济高速发展的基本要素。作为经济发展的重要标志,网上银行的出现给企业和个人带来了全新的营销体验。而网上银行以互联网为依托,因此身份认证、信息安全就成为必须解决的事情,信息安全也就成为金融行业重要的核心问题。
作为经济发展的重要标志,金融系统能否安全稳定地运行显得格外重要。随着社会的发展、科技的进步,金融行业传统的运行体系正发生消费结构和习惯的重大变化。随之出现的网上银行给企业和个人带来了全新的营销体验,其以方便、快捷、实惠的服务特质为经济接入一条全新的经济动脉。
然而,网上银行以互联网为依托,因此身份认证、信息安全就成为必须解决的事情,理所当然,信息安全成为金融行业重要的核心问题。
为了有效防范安全风险,解决金融安全问题,多方面和多模式的应用解决方案应用而生。其中,PKI/CA(PKI作为安全服务基础平台,其核心功能是在公钥加密技术基础上实现证书的产生、管理、存档、发放以及废除等功能)当前在国内应用最为广泛,在此基础上可保证信息传输的机密性、真实性、完整性和不可否认性,从而保证信息在互联网上安全传输,守护金融的安全。下面,笔者对金融信息安全的技术产品、应用发展进行简单分析和介绍。
安全类产品的发展
随着互联网的迅猛发展,金融行业信息安全成为当前首要解决的问题,信息安全技术已成为信息发展和互联网信息交换的基石。为解决互联网的身份认证,安全技术从普通的静态密码,到动态口令、智能卡、数字证书等,可谓已百炼成钢(如图1)。但道高一尺,魔高一丈,信息安全守护和攻击的搏弈也在不断演绎。如随着安全需求的不断提高,新的技术不断融入,认证方式也在不断的改进,如按键KEY、OCLKEY、移动数字证书+动态密码KEY等,便是当前技术发展进程中的插曲。高强度的生物身份识别技术,如指纹、虹网膜、声音、掌纹静脉等逐渐走入人们的视野。寸有所长,尺有所短,各家银行的应用不尽相同,但目标一致,即最大限度地防范安全隐患。多样化的产品市场、多种解决方案的应用已是当前金融行业的应用现状,其参见表1。
现在,手机方面的应用也成为当前的热点之一。伴着3G牌照正式发放,金融行业的手机网银也进入一个新的时代。中国互联网信息中心发布资料显示,截止到今年6月,中国网民达4.2亿,手机网民用户达2.77亿,庞大的手机用户群正成为当前市场运营的主战场。从应用层面言,银行安全认证也从主流PC延伸到手机,3G网络的运营为手机网银的应用提供更理想的平台。手机的众多用户成为手机网银不能忽视的大客户群体,解决手机安全认证和应用已成为银行和众多商家的焦点之一。SDPASS、SDKEY、SIMPASS、Simpartner(手机SIM贴片)等多种与手机网银相关的认证和支付应用产品已经遍地开花,如表2。
为解决手机信息安全和相关应用,产品从形态到应用在进行不断的探索,产品厂商需要了解和熟悉层出不穷的攻击手段,为信息安全的发展研发出更新的安全防范技术。
[nextpage] 安全产品在金融行业银行的应用
金融行业是目前应用安全认证产品最为成熟和广泛的行业,特别在银行数字证书已达到80%以上普遍应用的程度。其已广泛采用USBKEY数字证书体系,并在实践中得到认可和肯定。数字证书的广泛应用已成为解决金融信息安全问题的一把利剑。据相关资料显示,目前个人用户对于网上银行安全的信心逐年提升,3/4以上的潜在用户认为网银是安全的。在影响个人网上银行用户使用的因素中,安全问题首当其冲,USBKEY的广泛应用也使得大众在一定程度上更加认同银行的安全策略和安全解决办法。
另外,“支付宝”成为第三方支付的突出代表。第三方支付凭借其对交易过程的监控和交易双方利益的保障,获得了广泛的市场,行业应用逐渐趋向普及和成熟。如电子支付近年保持强劲的增长态势,交易额连续几年翻番增长,信息安全的防范也陆续采用USBKEY等多种方式。鉴于第三方支付的发展,中国人民银行“网银互联系统”也即将启动,它能提供跨行实时资金汇划、跨行账户和账务查询,以及跨行扣款、第三方支付、第三方预授权等业务功能。通过统一的操作界面,完成所有银行网银登陆,还可同时查询管理用户在多家商业银行开立的结算账户资金余额和交易明细,并直接向各家银行发送交易指令并完成汇款操作。除此之外,“网银互联系统”还有强大的资金归集功能,可在母公司结算账户与子公司结算户之间建立上划下拨关系,包含第三方支付在内的多种应用。
安全产品在金融行业证券方面的应用
高强度的安全身份认证在行业中的应用尚处尝试阶段,证券行业的应用主要集中在信息系统的安全防护上。证券的信息系统是证券运营的核心,因此证券系统的信息安全成为整个证券发展的基础。USBKEY证书可以解决证券商、银行、客户身份的确认。但证券行业四个小时的交易过程中,价格的实时变化,对业务实时性要求极高,如果每笔交易进行数字签名则会发生延迟,故有一定的局限。
身份认证USBKEY证书在证券行业发展的不足表现有:其一、实时性、效率和安全性已成为证券行业的突出特点,USBKEY证书无法进入证券的整个业务流程,因此保证其交易过程安全和信息的完整有待进一步研究;其二,因证券的特殊性,非法侵入者无法将资金转到特定账户,一定程度也影响USBKEY证书在行业的应用;其三、作为信息安全防护的主导者,证券公司从目前运作流程中也没发生较大的事故,应用证书解决信息安全认证方案没有强烈的市场需求和应用的强烈动力。鉴于此,以安全登录为主功能、易用为特点的动态口令已成为当前证券行业为加强信息安全所采取措施之一。
从目前应用需求而言,证券因其业务的特殊性,黑客的攻击和盗取集中表现在:
· 利益驱动:通过攻击信息系统,取得合法身份操作他人账户,非法牟利、网络洗钱、网络销赃。其操控他人帐户,非法操作权证和股票为主要行为;
· 政治目的驱动:为了达到不可告人的政治目的,对证券市场进行破坏,破坏正常金融交易秩序和合法的商务活动,发泄对社会的不满。
从上几点可看出,证券行业的信息安全也不容忽视,但USBKEY证书体系在证券行业的推广还需要安全意识的进一步的提高。随着政策方面的支持和加强身份安全认证的必要性认识的逐步提高,证券业为此进行着多种方式的规划,如海通、宏源、国信等都已在进行当中,一些厂商虽发出小批量USBKEY产品,但目前客户接受度和券商推进度都反应平淡。所以说,证书在证券行业规模化的应用,还有待人们安全意识的提高。
[nextpage] 安全产品在金融行业保险方面的应用
保险领域电子商务信息化发展在早期很大程度上受到身份认证和电子支付的制约,随着国内网上银行的发展,第三方支付的蓬勃兴起,能有效地解决网上支付安全隐患和网上欺诈行为,基本具备电子商务发展的应用环境基础,但保险行业的信息安全问题仍存在问题。
1、代理人身份认证。目前各家公司都已在开发应用,用来存储标志持有者身份、权限的信息,使用灵活方便便于携带,主要解决保险代理人员解决身份认证登陆业务平台,同时管理机构可以对代理人的资格、执业、流动、违规管理等进行监督。
2、被保险人员电子身份识别。通过网络登录服务器,办理业务、查寻信息、理财服务等,如平安保险公司目前推出的“一账通”,是平安推出的创新的网上账户管理工具。通过“一账通”轻松实现保险、银行、投资等多种理财需求,实现网上查寻和办理平安网银、信用卡、保单、证券、基金、信托等各种网上业务。而“一账通”身份的认证安全识别和操作过程的信息安全就成为当前需要解决的问题。
3、被保险物识别,如汽车、房产等。如将每个汽车在相关法规的配合下,发放具有法律认可的数字证书KEY,将用户的各项信息包括汽车的资料载入,通过唯一的身份标识,实现多家保险公司买保险、理赔等多种应用。实现真正的电子化,达到低碳、环保、方便等多种应用的整合。
从需求到应用的发展需要不断改革,从整体市场而言,产品和需求也在逐渐地加速结合,当相关的政策法规能支撑此项业务运营时,在整个安全体系的保障下,保险电子商务行业的发展会迎来真正的春天。
金融行业信息安全发展分析
金融行业安全体系的安全、高效、稳健运行,对国家经济全局的稳定和发展至关重要。一旦金融机构出现问题,很容易在整个金融体系中引起连锁反应,引发全局性、系统性的金融风波,导致经济秩序的混乱,甚至引发政治经济危机。因此加强金融市场的安全性、采用安全可靠的产品、不断地全面提升产品性能、加强产品和应用策略研发,防范与化解金融风险,即能保证金融业健康发展。
加强安全方面研究主要有以下几个方面。
1、安全产品主流会逐渐向高端生物识别技术靠拢。每个时代都有属于自己的英雄。新技术新产品始终会成为时代的排头兵。生物识别技术作为当前新技术的代表,应责无旁贷地担负起信息安全认证披荆斩棘的重任。
2、市场技术多样化、产品多元化将成方向。经历过密码、动口令、智能卡、USBKEY、按键KEY、指纹KEY等,没有哪种方法不好,只有根据不同的要求来选择合适的产品。因此产品的形态不管今天还是将来,发展多种产品的应用型态,最大限度地满足客户的需求,为各类用户提供产品服务是目前最重要的工作。
3、产品的功能会出现多功能融合应用。昨天的饭卡可乘公交,今天的手机可看电影买票,明天的身份证可以刷卡购物这些说明,融合已不再是个概念,更多的是实施,是创新。SDPASS在手机应用上将支付、认证、存储完整的合一;URPASS将工卡、公交、电子钱包、证书、存储完备的结合。规模化的应用在市场虽还没成型,但后期的市场已经看到希望的曙光。
4、产品用户体验趋向“方便、简单、易用”。最简单、最方便、最易使用,这何尝不是一种时尚?多家银行的调查报告中都提到,用户要求的最终是安全,不是考虑整个过程,因此用户“体验值”的高低也就决定了产品的市场前景。
安全的解决趋向流程进化,从简单产品过渡到平台和产品的结合。单一的产品注定是跟在应用底层,市场应用层需要尽可能提供全面的产品,同时从产品到应用层渗透,最终完成从产品到平台到业务应用流程的整合。
结语
构建安全、高效的支付产品体系是一项长期艰巨、复杂、富有挑战性的渐进工程。随着国内经济金融建设和改革越来越融入到国际经济的大环境中,从应用到产品、从产品到平台、从平台到整合已成为长期摸索和不断积累发展的过程。将新的应用融入到产品、将新的技术在产品中表现、将客户的需求变成产品发展的动力。在信息安全的新领域寻找发展的方向、在新的行业用产品诠释完美、在新的应用中创造融合的传奇。