摘要:网上?行指?行通过信息网络提供的各种金融服务。?行对网?安全性管理要求很高,通过持续技术升级,为用户提供多重安全保障。目前国内网上?行的安全认证方式呈现多样化发展, 从最初依赖简单帐号密码,发展新增了数字证书、 动态密码、 一次性密码等新的认证方式, 单一的认证已不能满足用户需求,网?认证正朝着多重认证的方向发展。
关键词:网上?行;安全认证;身份识别
一、 引言
目前国内网上?行的安全认证方式呈现多样化发展,从之前更多依赖简单的帐号密码,逐渐新增了数字证书、动态密码、一次性密码等新的认证方式。2008年至今各大?行在安全认证方面不断加大力度,工行推出了手机短信认证服务、浦发推出了“移动数字证书+动态密码”认证新方式等。可以发现,单一的认证已不能满足用户的需求,网?认证正朝着多重认证的方向发展。
二、 网络?行安全系统概述
1. 网络节点安全。网络?行的节点安全的内容包括:计算机网络设备安全、计算机网络系统安全、数据库安全等,主要靠防火墙实现。
(1)防火墙:防火墙是在连接Internet和Intranet保证安全最为有效的方法,防火墙能够有效地监视网络的通信信息,并记忆通信状态,从而做出允许/拒绝等正确的判断。通过灵活有效运用这些功能,制定正确的安全策略,将能提供一个安全高效的Intranet系统。
(2)防火墙安全策略:基于防火墙的安全策略建立了全方位的防御体系来保护机构的信息资源,安全策略应包括:规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施,以及管理制度等。所有可能受到网络攻击的地方都必须以同样安全级别加以保护。
(3)安全操作系统:防火墙是基于操作系统的。如果信息通过操作系统后门绕过防火墙进入内部网,则防火墙失效。所以,要保证防火墙发挥作用,必须保证操作系统的安全。只有在安全操作系统的基础上,才能充分发挥防火墙的功能。在条件许可的情况下,应考虑将防火墙单独安装在硬件设备上。
2. 商务安全。
(1)通信和链路安全。电子商务系统的数据通信主要存在于:①客户浏览器端与电子商务WEB服务器端的通讯;②电子商务WEB服务器与电子商务数据库服务器的通讯;③?行内部网与业务网之间的数据通讯。
此外,在客户端浏览器和电子商务WEB服务器之间采用SSL协议建立安全链接,所传递的重要信息都是经过加密的,这在一定程度上保证了数据在传输过程中的安全。
(2)应用程序的安全。即使正确地配置了访问控制规则,要满足计算机系统的安全性也是不充分的,因为编程错误也可能引致攻击。
(3)用户的认证管理。
①身份认证:电子商务企业用户身份认证可以通过服务器CA证书与IC卡相结合实现的。CA证书用来认证服务器的身份,IC卡用来认证企业用户的身份。个人用户由于没有提供交易功能,所以只采用ID号和密码口令的身份确认机制。
②CA证书:要在网上确认交易各方的身份以及保证交易的不可否认性,需要一份数字证书进行验证,这份数字证书就是CA证书,它由认证授权中心(CA中心)发行。CA中心一般是社会公认的可靠组织,它对个人、组织进行审核后,为其发放数字证书,证书分为服务器证书和个人证书。建立SSL安全链接不需要一定有个人证书,实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立SSL链接时客户只需用户下载该站点的服务器证书(下载可以在访问之前或访问时进行)。
三、 各种安全认证的比较
目前安全认证技术主要有:动态口令、USB卡、IC卡、磁卡、虹膜、指纹、CA数字证书、掌纹、声纹、面像等。在此对主要认证技术简单进行应用安全性和实现方便性上的比较。
1. 安全性比较,(如表2示)。
2. 便捷性比较,(如表3示)。
在安全认证领域,安全性与便捷性成反向关系,U盾的安全等级高于动态令牌,但是U盾会遇到计算机、操作系统、防火墙等软硬件适配性方面的问题,也会面临手机、iPad等移动终端没有USB接口方面的问题。原来认为短信密码相对安全性比较高,但在单独使用过程中,会遭遇无线信号未覆盖、短信的时间滞后,SIM卡被克隆,电信主机被侵入,密码被盗后无法确认是电信责任还是网上?行的责任等方面的问题。因此,一般认证体系在相同便捷性情况下,选择安全等级高的认证系统,在认证强度不足的情况下,采用双因素的认证。另外,将认证强度与交易金额上限相关,实现既便捷又相对安全的的认证方式。
四、 安全认证系统遭到攻击的事件
理论上被认为需要几百万年才能被攻破的系统,存在事后被认为显而易见的漏洞。
1. 美国网络安全认证巨头RSA公司遭受攻击,4 000万个种子文件被盗。2011年3月,RSA公司透露其受到网络攻击,攻击造成SecurID的关键信息丢失。6月2日,RSA确认了在3月份的被盗的数据被用来攻击洛克希德―马丁公司和其他美国国防承包商。6月6日,该公司在全球范围召回4 000万只SecurID。
为规避种子文件库被攻破,可以采用两次SecurID激活方案,既在出厂时激活一次,在发放给用户是再设一次SecurID。理论上,只有获得两个SecurID库,并知道两个SecurID库之间的对应关系才能攻破动态令牌。
2. 第一代U盾遭受攻击。原来被公认为安全等级最高的U盾,也遭受攻击。2011年4月,北京一犯罪分子利用木马突破网?U盾30秒窃30万。犯罪分子通过将木马程序,远程控制用户电脑,然后在U盾尚未拔掉的情况下,完成转帐。随即,招商?行等?行宣布,下调通过第三方支付进行的网上交易限额。其中,招商?行大众版一卡通客户的网上支付、转账上限由原来的5 000元/日调整为500 元/日;而信用卡客户的网上支付单日限额也由原来的自行设置调整为单笔不超过500元。除招行外,其他商业?行也以支付安全为理由将网?交易上限大幅下调。
3. 中国?行第一代动态令牌遭受钓鱼网站攻击。持有中行“E令”(动态令牌)的用户登录仿冒中国?行主页的钓鱼网站后,即暴露静态密码和动态密码,而钓鱼网站利用动态密码在60秒钟内有效的特点,有程序自动登陆中国?行主页并转账。据业内人士估计,此轮中行遭受的损失上亿元。此后,中国?行增加短信密码作为第二个认证因素。
目前,生成与账户、转账金额相关的挑战/应答型动态令牌可以有效化解这方面的风险。
五、 电子安全认证相关法律法规
网络?行和电子商务相关的主要法律法规包括:《中华人民共和国电子签名法》、《电子?行业务管理办法》、《电子认证服务管理办法》、《电子认证服务密码管理办法》、《商用密码管理条例》、《商用密码产品生产管理规定》、《商用密码产品销售管理规定》、《商用密码产品使用管理规定》、《境外组织和个人在华使用密码产品管理办法》、《电子支付指引(第一号)》、《电子?行安全评估指引》、《关于网上交易的指导意见(暂行)》、《信息安全等级保护管理办法》。
2004年8月28日,十届全国人大常委会第十一次会议通过了《中华人民共和国电子签名法》是该领域比较基础性的法律,主要规定了四方面的内容:确立了电子签名的法律效力;规范了数据电文;设立电子认证服务市场准入制度;制定了电子签名安全保障制度。虽然在《电子签名法》诞生后,完成了对《公司法》、《票据法》、《证券法》、《拍卖法》的修订工作,但仍然存在许多衔接方面的问题。《合同法》第32条规定:“当事人采用合同书形成订立合同的,自双方当事人签字或盖章时合同成立”。该合同书很明显指的是传统的书面合同并不涉及电子合同。与电子合同有关的是《合同法》第33条:“当事人采用信件、数据电文形式订立合同的,可以在合同成立之前要求签订确认书,签订确认书时合同成立”。但在这里《合同法》并没有解决电子合同的签名问题,而是将其抛给了当事方自己处理。当事人既可以要求签订确认书,也可以不要求签订确认书。事实上,由于当事方在现实中客户与?行的财力、技术水平、经验等方面并不是一样的,客户与?行很难通过协商达成公平的解决方案。《电子签名法》倾向但不强制要求采用第三方认证。1999年由中国人民?行牵头组织工商?行、建设?行、中国?行、农业?行等多家商业?行联合共建国家金融认证中心(CFCA)。事实上,中农工建交招等大型?行依然采用本?行内部认证机制,未采用CFCA认证。另外,《电子签名法》倾向于电子签名,但由于现实情况、技术水平决定电子签名效率比较低、依然存在安全漏洞,而且与用户习惯不符,因此为其他安全认证方法留下足够的空间。如“第三十四条第三款:电子签名认证证书,是指可证实电子签名人与电子签名制作数据有联系的数据电文或者其他电子记录”。总体看来,《电子签名法》的表述上有较大的弹性,实际情况是象征意义大于操作意义。
?监会公布《电子?行业务管理办法》和《电子?行安全评估指引》,于2006年3月1日起施行。《办法》上所指的电子?行包括网上?行、电话?行、手机?行,也包括其他利用电子服务设备和网络,由客户通过自助服务方式完成金融交易的?行业务,例如自助?行、ATM机等。由于电子?行的?行风险很大程度上与第三方有关,比如技术风险,?监会在管理办法中,重点强调了风险管理和相应的法律责任,明确了电子?行风险管理体系和内控制度建设、授权管理机制等要求。按照办法规定,金融机构应当与客户签订电子?行服务协议或合同,在协议中告知风险,比如金融机构已经采取的风险控制措施和客户应采取的风险控制措施,相关风险的责任承担等。在责任部分,办法规定,因电子?行系统存在安全隐患、金融机构内部违规操作和其他非客户原因等造成损失的,金融机构应承担相应责任。因客户有意泄露交易,或者未按照服务协议尽到应尽的安全防范与保密义务造成损失的,金融机构可以根据协议的约定免于承担相应责任。如果涉及到两家金融机构造成客户损失,尽职的不担责任,但提供电子?行服务的金融机构有义务协助其客户处理有关事宜。由于电子?行涉及到的安全和技术风险,?行依靠传统的风险管理机制很难识别、监测、控制和管理,大部分国家依靠外部专业化机构定期对电子?行的安全性进行评估,?监会因此颁布了指引以规范电子?行安全评估活动。
参考文献:
1. 梁爽.我国网上?行风险现状及对策.财经界(学术版),2011,(3):90-92.
2. 孙旖.我国网上?行发展历程及现状浅析.东方企业文化,2010,(7):283-284.
3. 陈晓慧,吴应宇.我国网络?行发展的制约因素及完善对策,2008,(6):104-105.
4. 吕志祥,何红金.我国网上?行安全保障机制探析,2010,(3):113-114.
作者简介:王勉,南京大学经济学院博士生。
收稿日期:2011-03-11。