構建安全的金融電子支付生態環境

作者：中國工商銀行股份有限公司數據中心（北京） 敦宏程

來源：中國金融電腦

從古代的烽火狼煙到鴻雁傳書，從電報到電話，從移動電話到互聯網，通信技術的發展使得地球村越變越小。進入2 1 世紀，通信產業的蓬勃發展正在改變着人們的生活。在傳統電子支付業務的基礎上，以網上銀行、電話銀行、手機銀行等電子銀行爲主體的新型電子支付平臺憑藉現代通信技術與業務的深度融合實現了跨越式發展。隨着短信、社交網絡、物聯網等新興技術的興起，電子銀行也衍生出一系列便捷高效、綠色環保的新型服務產品。與此同時，電子銀行也面臨着新的技術風險，需要採取一系列、多層次的防護措施予以防範。

一、現代通信技術與業務蓬勃發展
現代通信技術主要有數字通信、程控交換、ISDN與ATM、寬帶IP、通信組網、WIFI、3G等。隨着這些技術的不斷髮展，現代通信業務得到了空前的繁榮，甚至成爲人類進步和文明的標誌之一。

固定電話是繼電報之後又一個具有裏程碑意義的通信發明。由於電話的出現，人們之間的距離似乎一下子被拉近了。而20世紀移動通信技術的普及，更使得人們擺脫位置的束縛，實現了隨時隨地的自由通信。

互聯網是人類通信史上具有劃時代意義的發明。它影響並改變着人們的生活，縮小時空的鴻溝，真正形成了地球村，並將這個村越變越小;同時，文字、聲音、圖片等多媒體的互動方式使得這個村越來越多彩。

在此基礎上，現代通信業務也正變得越來越豐富、越來越便捷。人們在固定電話技術的基礎上發明了傳真;在移動電話技術的基礎上發明了短信、彩信;在互聯網技術的基礎上發明了電子郵件、QQ和MSN等即時消息通信產品。

隨着這些技術的不斷髮展，在傳統的技術中又衍生了衆多跨技術領域的新業務。如VoIP，即網絡電話，指通過IP數據包發送實現的語音業務，語音、傳真、視頻等數據在IP網絡上可以低成本傳送，統一消息、虛擬電話、虛擬語音/傳真郵箱、Internet呼叫中心及電子會議等都是VoIP的實際應用;視頻電話，指利用電話線路或IP線路實時傳送語音和圖像的一種通信方式;WAP、3G、WIFI技術使得人們可以利用移動手機終端訪問互聯網;微博可實現通過Web、手機專用客戶端、短信等將信息在短時間內廣泛傳播。而三網融合、雲計算、物聯網等新興技術的興起，將進一步改變人們的通信方式。

二、基於現代通信技術的電子銀行業務
電子支付指通過數字信息流轉完成數據傳輸， 採用數字化的方式進行資金支付。傳統的電子支付業務主要包括電子資金轉賬(EFT)、ATM、POS等;新型電子支付平臺則以網上銀行、電話銀行、手機銀行等爲載體。

應當說，電子支付業務的每一項創新都是緊緊圍繞着現代通信技術和業務展開的。一方面，隨着用戶對金融服務的需求不斷提升以及銀行業競爭加劇，各家銀行都在努力開展金融創新以更好地服務用戶。另一方面，現代通信技術的迅速發展，提供了新型的交易渠道、認證模式和服務模式，業務需求與技術手段的結合，使得大量新型的電子銀行應用如雨後春筍層出不窮。

(1) 網上銀行。近年來寬帶普及率大幅提升，網上銀行也因此而迅速發展，無論是個人用戶的轉賬、理財、購物、繳費，還是企業用戶的賬務往來、融資、對賬等操作都可通過網銀進行。除了銀行直接提供的網上銀行應用，第三方機構如銀聯、支付平臺、特約商戶等也與銀行合作，使用銀行提供的接口，在第三方網站開展支付業務，帶來了更便捷的用戶體驗。

(2)手機銀行。隨着2G/3G移動互聯網的迅速發展和WIFI熱點的覆蓋範圍增加，手機銀行和平板電腦專用網銀客戶端也隨之迅速發展。這些便攜設備隨身服務於用戶，用戶可以隨時進行賬務處理，並通過和其他渠道的結合，提供網點預約、ATM預約取現等服務，極大方便了用戶。

(3) 電話銀行。電話除了作爲交易渠道可爲用戶提供查詢、轉賬等電話銀行服務外，還可作爲認證渠道，銀行以語音外撥的方式將動態口令要素告知用戶，完成認證。

(4) 短信銀行。短信與電話類似，一方面作爲交易渠道，可提供短信銀行、短信客服等功能，隨着人工智能技術的發展，客戶甚至可以使用自然語言描述自己的需求，銀行短信系統嘗試理解語義，協助用戶完成銀行業務;另一方面，由於手機普及率很高，越來越多的金融機構使用短信動態口令作爲認證要素，在快捷支付類業務中進行身份認證。

(5) 除了通信渠道自身的發展，在這些渠道基礎上發展出的微博、物聯網、雲計算等新型業務也促進了電子銀行的發展：微博等新型互聯網社會化應用的用戶規模呈爆炸性增長，各家銀行也日益將這些新應用作爲營銷陣地傳播金融信息、與用戶開展互動，並可隨着電子銀行與這些互聯網應用整合程度的提升，爲用戶提供一條龍式的金融服務;電子郵件提供了便捷的營銷、對賬等服務，並且國外也有銀行使用電子郵件進行身份認證。未來，物聯網技術與電子銀行技術可能進一步深度結合，提供更加便捷的服務，例如基於物聯網的水電氣表與電子銀行繳費業務結合，簡化查表和繳費環節;對於企業客戶，物聯網與企業網銀聯動更是可全面提高企業在物流、交易等環節的自動化程度。雲計算等新技術一方面爲銀行提供後臺運營支撐，另一方面也可能改變銀行與零售客戶、特約商戶、各類型企業的關係，更高效地實現多方協同、信息共享，催生出新的電子銀行業務。

三、電子銀行業務所面臨的技術風險
電子銀行業務是傳統銀行業務的延伸和擴展，是依託現代通信技術和業務的創新型電子支付業務。但是，新技術也是一把雙刃劍，在支撐業務創新的同時，也不可避免的帶來新的安全隱患和風險。更重要的是，隨着黑客的趨利行爲以及黑色地下產業鏈的形成，電子銀行業務所面臨的風險也呈現出多樣化和高技術化態勢。

(1) 網上銀行方面，早期的網絡釣魚方式是以電子郵件發送釣魚鏈接，一旦用戶點擊鏈接則會訪問假冒的網上銀行站點，進而造成賬號、密碼被盜;隨着通信業務和技術的進步，釣魚方式逐步擴展爲網上論壇發帖、QQ等即時通信發送消息、手機短信等，還出現了網頁掛馬，感染客戶電腦盜取客戶資金等風險。最新非常流行的社交網絡，如微博等，必定成爲假冒網上銀行釣魚、網銀木馬傳播的新途徑，由此產生更爲嚴重的風險。《2011年中國反釣魚網站聯盟工作報告》顯示，2011年1~11月共處理釣魚網站36674個，較2010年同期增長78%，電子商務、金融證券排名前兩位，而以微博爲主要對象的新釣魚網站呈現“井噴”，釣魚網站的熱點效應依舊明顯。

(2) 電話銀行方面，其所面臨的風險主要是技術與社會工程學相結合。犯罪分子利用電信的三方通話服務，與受害者和電話銀行系統建立三方通話，誘騙客戶輸入電話銀行密碼，進而根據電話按鍵的音頻差異竊取電話銀行密碼。

(3) 手機銀行和短信銀行方面，隨着智能手機和WIFI熱點的普及，手機銀行面臨的風險逐漸趨近於網上銀行。“釣魚WIFI”可以輕易截獲未經加密的通信信息;更嚴重的是，類似“X臥底”的智能手機木馬可以輕易截獲語音通話、短信，這給完全依賴短信動態驗證碼的銀行業務造成非常大的風險。

此外，第三方機構提供的服務也可能給電子銀行業務造成潛在風險。例如，最近新出現的短信存儲雲服務，用戶通過簡單設置即可使自己的短信實時保存到“雲端”，隨時可以查看。如果銀行發送給客戶的短信動態驗證碼、資金類信息也被送入“雲端”，則可能成爲一種新的信息泄露渠道。

四、電子銀行風險防範措施
面對電子銀行錯綜複雜的技術風險，銀行不能因噎廢食，需要在大力發展電子銀行業務，爲客戶提供便捷服務的同時，採取多種有效防範措施，確保客戶的資金安全。

(1) 充分考慮新技術的特點，在每一項電子銀行新業務設計之初就引入安全設計，同時，結合業務控制、客戶教育等開展多層次的安全防護。
在電子銀行業務設計之前，需要對其所涉及的技術開展細緻的調查研究;在需求分析階段，需要對業務方案進行充分論證，確保業務風險可控;在系統設計階段，需要組織包括安全專家在內的技術和業務專家團隊對系統架構進行評審;在系統開發和測試階段，需要進行專業的安全測試，確保安全措施有效;在系統投產後，需要根據業務實際需求合理調整業務控制參數，避免限額控制等參數設置過於寬鬆;同時，在業務推廣階段加強客戶的風險提示和安全意識教育。通過對電子銀行業務整個生命週期的全流程、多層次的風險防控，儘量確保電子銀行業務技術風險可控。

(2) 持續跟蹤新技術的發展趨勢，及時調整各項電子銀行業務的安全防護措施。
新技術和新業務日趨複雜，需要對其進行持續跟蹤，並從多維視角對其所帶來的潛在風險進行分析：技術視角，深入研究技術細節;業務視角，從銀行業務運作流程入手，探究業務細節;安全視角，挖掘技術與業務融合的風險，及時調整、豐富業務的安全防護措施。

(3) 建立統一高效的電子銀行安全事件應急處理機制，及時響應安全事件。
電子銀行客戶面臨着龐大的地下黑色產業鏈的威脅，銀行有必要組建一支專業的信息安全風險防控隊伍，監控各個渠道披露的電子銀行安全事件，及時響應，儘快採取措施有效控制客戶的資金損失，深入調查分析，探尋問題根源，並採取有效措施改進電子銀行系統的防護能力。

(4) 與電信運營商、第三方支付平臺等建立戰略合作關係。
新技術的研究、技術趨勢的跟蹤、信息安全事件的調查分析，依靠銀行自身的力量遠遠不夠，需要銀行和衆多合作夥伴開展廣泛、深入的交流與合作，共同應對電子銀行信息安全事件。

(5) 推動國家和行業監管機構立法，建立行業規範，保障整個金融電子支付生態環境的安全性。

電子銀行作爲一種新興的電子支付平臺，承擔着客戶的資金安全重責、承載銀行的信譽，甚至關係着國家的金融安全。和諧、安全的電子支付生態環境是電子銀行業務蓬勃發展的基礎。推動國家和行業監管機構的立法，隨着新技術的發展及時建立行業技術規範，有助於保障金融電子支付生態環境的安全性。