解決支付安全問題 銀行該做什麼？

背景回顧事件一 一個自稱"網銀受害者聯盟"的民間組織，針對工行的網上銀行系統安全問題開始集體維權。 事隔兩周，工行就網上銀行使用者關心的問題做出正面回應，但"網銀受害者聯盟"的集體維權還在繼續。 事件二 國內殺毒軟體廠商江民公佈消息，其反病毒中心監測到，光大證券陽光網提供的多款網上證券交易程式捆綁了木馬病毒。 使用者運行這些安裝程式的同時，會下載網銀木馬，威脅使用者工商銀行網上銀行的帳號密碼安全。 為何互聯網支付的安全問題如此突出？ 易觀國際分析：電子支付的內涵是一種信用的產物，外延是"給付對價"或"價值交付"的過程。 電子支付根據使用者行為與後臺運行機制可分為"現場支付----面對面支付"與"遠端支付----非面對面支付"兩種，互聯網支付則屬於後者。 互聯網對傳統商務的價值，更多在於解決資訊不對稱的問題，而在支付方面，使用者支付體驗將從"面對面"向公開的、虛擬的----"非面對面"轉移，這需要一個漫長過程，尤其是中國信用體系尚處於初級階段。 如此，互聯網支付的安全性即成為焦點問題。 支付安全性包括什麼要素？ 怎樣分類？ 電子支付的安全通常由有效性、真實性、完整性、保密性、不可撤銷、不可否認、身份驗證等要素組成。 對於"非面對面"的互聯網支付，這些要素的完備性更高。 根據電子支付的外延與內涵，易觀國際將互聯網支付的安全性區分為硬體與軟體兩方面：第一 硬體，即技術手段。 通常由卡組織、IT廠商、支付管道服務商（如電信運營商）所提供，如：對稱與非對稱加密技術、SSL、SET、3D-Secure、NFC無接觸式通信的智慧卡技術，以及基於資料採礦的交易監控與分析方案等。 第二 軟體，即信用管理機制。 安全不僅是一種技術手段，更多是通過組織流程管理而形成的信用管理機制。 其中包括基於技術手段建立完善的管理制度、處理流程、操作規範，針對可能出現的欺詐、差錯、爭議，提供有效解決流程與處理辦法；合理的責任分配安排（包括使用者、商家、支付服務商）；對使用者安全支付行為的市場教育等等。 銀行有什麼問題？ 易觀國際認為，在網上支付安全措施的部署方面，銀行將更多的精力放在"硬體"方面，而忽視"軟體"方面的投入。 目前網上支付的主要支付工具為銀行轉帳卡[注1]，其本質上是存摺的替代品，屬於銀行傳統的負債業務----存款。 由於歷史上銀行為追求單一發卡量，形成了高額成本在短時間內難以消化，同時銀行又面臨從單一的資產與負債業務，向資產、負債、中間業務多元化業務轉型的經營壓力，因此造成銀行目前對此業務安全"軟體"方面的改造或升級的動機不足，風險管理的手段主要依賴于週邊的信用管理體系（如央行的個人信用體系），或將責任轉移于外部市場與使用者。 這與主要從事"信用仲介"的協力廠商支付商的服務內容與承擔責任大相徑庭。 銀行應該如何應對？ 498)this.width=498;' onmousewheel = 'javascript:return big(this)' style="WIDTH: 566px; HEIGHT: 430px" height=411 src="/files/uploadimg/20060918/1008480.jpg" width=526> 易觀國際建議銀行採取如下措施（跨銀行的卡組織同樣適用）：在短期內，雖然在網上支付發生的不安全事件，多數由使用者自身原因造成[注2]，但是目前銀行在處理網上支付與使用者間安全性爭端時，對自身責任的缺失尚無足夠認識。 銀行應該深入各領域業務層面的支付流，制定相應的管理制度、操作規範、風險處理辦法，構建完善的信用管理體系，比如在使用者端與商戶端之間端建立雙認證體系，針對支付過程中欺詐、差錯、爭議等問題，配套合理的管理手段等等， 從而有利於在價值鏈各成員之間的風險責任合理分配，減少可能帶來的損失與爭議。 在中、長期來看，由於網上支付這種"非面對面"的支付管道，其根植土壤是完善的信用管理體系，如果銀行依舊只考慮安全"硬體"方面的投入，忽視安全"軟體"方面的投入，採用把風險轉嫁外部市場或使用者的方式，將會失去未來市場的信任， 在下一輪市場競爭中處於被動地位。 易觀國際認為，在支付電子化的今天，對於任何產業而言，電子支付是經營中重要一環（資金流的核心），而對於任何企業來說，都是一項戰略資產，雖然銀行是在支付方面擁有"先天"的傳統優勢，但是在電子支付市場逐漸呈現產業融合的趨勢下， 安全性既然成為使用者使用網上支付的焦點問題，銀行就應該深入各領域業務層面的支付流，加大對安全"軟體"----信用管理體系建設的投入，向協力廠商支付服務商學習。 否則，將會失去對市場的主動權。 給力(0票)動心(0票)廢話(0票)專業(0票)標題党(0票)路過(0票) 原文：解決支付安全問題 銀行該做什麼？ 返回網路安全首頁