【安防知識(shí)網(wǎng)】高效、安全、穩(wěn)定的金融體系是經(jīng)濟(jì)高速發(fā)展的基本要素。作為經(jīng)濟(jì)發(fā)展的重要標(biāo)志，網(wǎng)上銀行的出現(xiàn)給企業(yè)和個(gè)人帶來了全新的營銷體驗(yàn)。而網(wǎng)上銀行以互聯(lián)網(wǎng)為依托，因此身份認(rèn)證、信息安全就成為必須解決的事情，信息安全也就成為金融行業(yè)重要的核心問題。

　　作為經(jīng)濟(jì)發(fā)展的重要標(biāo)志，金融系統(tǒng)能否安全穩(wěn)定地運(yùn)行顯得格外重要。隨著社會(huì)的發(fā)展、科技的進(jìn)步，金融行業(yè)傳統(tǒng)的運(yùn)行體系正發(fā)生消費(fèi)結(jié)構(gòu)和習(xí)慣的重大變化。隨之出現(xiàn)的網(wǎng)上銀行給企業(yè)和個(gè)人帶來了全新的營銷體驗(yàn)，其以方便、快捷、實(shí)惠的服務(wù)特質(zhì)為經(jīng)濟(jì)接入一條全新的經(jīng)濟(jì)動(dòng)脈。

　　然而，網(wǎng)上銀行以互聯(lián)網(wǎng)為依托，因此身份認(rèn)證、信息安全就成為必須解決的事情，理所當(dāng)然，信息安全成為金融行業(yè)重要的核心問題。

　　為了有效防范安全風(fēng)險(xiǎn)，解決金融安全問題，多方面和多模式的應(yīng)用解決方案應(yīng)用而生。其中，PKI/CA(PKI作為安全服務(wù)基礎(chǔ)平臺(tái)，其核心功能是在公鑰加密技術(shù)基礎(chǔ)上實(shí)現(xiàn)證書的產(chǎn)生、管理、存檔、發(fā)放以及廢除等功能)當(dāng)前在國內(nèi)應(yīng)用最為廣泛，在此基礎(chǔ)上可保證信息傳輸?shù)臋C(jī)密性、真實(shí)性、完整性和不可否認(rèn)性，從而保證信息在互聯(lián)網(wǎng)上安全傳輸，守護(hù)金融的安全。下面，筆者對金融信息安全的技術(shù)產(chǎn)品、應(yīng)用發(fā)展進(jìn)行簡單分析和介紹。

　　安全類產(chǎn)品的發(fā)展

　　隨著互聯(lián)網(wǎng)的迅猛發(fā)展，金融行業(yè)信息安全成為當(dāng)前首要解決的問題，信息安全技術(shù)已成為信息發(fā)展和互聯(lián)網(wǎng)信息交換的基石。為解決互聯(lián)網(wǎng)的身份認(rèn)證，安全技術(shù)從普通的靜態(tài)密碼，到動(dòng)態(tài)口令、智能卡、數(shù)字證書等，可謂已百煉成鋼(如圖1)。但道高一尺，魔高一丈，信息安全守護(hù)和攻擊的搏弈也在不斷演繹。如隨著安全需求的不斷提高，新的技術(shù)不斷融入，認(rèn)證方式也在不斷的改進(jìn)，如按鍵KEY、OCLKEY、移動(dòng)數(shù)字證書+動(dòng)態(tài)密碼KEY等，便是當(dāng)前技術(shù)發(fā)展進(jìn)程中的插曲。高強(qiáng)度的生物身份識(shí)別技術(shù)，如指紋、虹網(wǎng)膜、聲音、掌紋靜脈等逐漸走入人們的視野。寸有所長，尺有所短，各家銀行的應(yīng)用不盡相同，但目標(biāo)一致，即最大限度地防范安全隱患。多樣化的產(chǎn)品市場、多種解決方案的應(yīng)用已是當(dāng)前金融行業(yè)的應(yīng)用現(xiàn)狀，其參見表1。

　　現(xiàn)在，手機(jī)方面的應(yīng)用也成為當(dāng)前的熱點(diǎn)之一。伴著3G牌照正式發(fā)放，金融行業(yè)的手機(jī)網(wǎng)銀也進(jìn)入一個(gè)新的時(shí)代。中國互聯(lián)網(wǎng)信息中心發(fā)布資料顯示，截止到今年6月，中國網(wǎng)民達(dá)4.2億，手機(jī)網(wǎng)民用戶達(dá)2.77億，龐大的手機(jī)用戶群正成為當(dāng)前市場運(yùn)營的主戰(zhàn)場。從應(yīng)用層面言，銀行安全認(rèn)證也從主流PC延伸到手機(jī)，3G網(wǎng)絡(luò)的運(yùn)營為手機(jī)網(wǎng)銀的應(yīng)用提供更理想的平臺(tái)。手機(jī)的眾多用戶成為手機(jī)網(wǎng)銀不能忽視的大客戶群體，解決手機(jī)安全認(rèn)證和應(yīng)用已成為銀行和眾多商家的焦點(diǎn)之一。SDPASS、SDKEY、SIMPASS、Simpartner(手機(jī)SIM貼片)等多種與手機(jī)網(wǎng)銀相關(guān)的認(rèn)證和支付應(yīng)用產(chǎn)品已經(jīng)遍地開花，如表2。

　　為解決手機(jī)信息安全和相關(guān)應(yīng)用，產(chǎn)品從形態(tài)到應(yīng)用在進(jìn)行不斷的探索，產(chǎn)品廠商需要了解和熟悉層出不窮的攻擊手段，為信息安全的發(fā)展研發(fā)出更新的安全防范技術(shù)。

[nextpage]　　安全產(chǎn)品在金融行業(yè)銀行的應(yīng)用

　　金融行業(yè)是目前應(yīng)用安全認(rèn)證產(chǎn)品最為成熟和廣泛的行業(yè)，特別在銀行數(shù)字證書已達(dá)到80%以上普遍應(yīng)用的程度。其已廣泛采用USBKEY數(shù)字證書體系，并在實(shí)踐中得到認(rèn)可和肯定。數(shù)字證書的廣泛應(yīng)用已成為解決金融信息安全問題的一把利劍。據(jù)相關(guān)資料顯示，目前個(gè)人用戶對于網(wǎng)上銀行安全的信心逐年提升，3/4以上的潛在用戶認(rèn)為網(wǎng)銀是安全的。在影響個(gè)人網(wǎng)上銀行用戶使用的因素中，安全問題首當(dāng)其沖，USBKEY的廣泛應(yīng)用也使得大眾在一定程度上更加認(rèn)同銀行的安全策略和安全解決辦法。

　　另外，“支付寶”成為第三方支付的突出代表。第三方支付憑借其對交易過程的監(jiān)控和交易雙方利益的保障，獲得了廣泛的市場，行業(yè)應(yīng)用逐漸趨向普及和成熟。如電子支付近年保持強(qiáng)勁的增長態(tài)勢，交易額連續(xù)幾年翻番增長，信息安全的防范也陸續(xù)采用USBKEY等多種方式。鑒于第三方支付的發(fā)展，中國人民銀行“網(wǎng)銀互聯(lián)系統(tǒng)”也即將啟動(dòng)，它能提供跨行實(shí)時(shí)資金匯劃、跨行賬戶和賬務(wù)查詢，以及跨行扣款、第三方支付、第三方預(yù)授權(quán)等業(yè)務(wù)功能。通過統(tǒng)一的操作界面，完成所有銀行網(wǎng)銀登陸，還可同時(shí)查詢管理用戶在多家商業(yè)銀行開立的結(jié)算賬戶資金余額和交易明細(xì)，并直接向各家銀行發(fā)送交易指令并完成匯款操作。除此之外，“網(wǎng)銀互聯(lián)系統(tǒng)”還有強(qiáng)大的資金歸集功能，可在母公司結(jié)算賬戶與子公司結(jié)算戶之間建立上劃下?lián)荜P(guān)系，包含第三方支付在內(nèi)的多種應(yīng)用。

　　安全產(chǎn)品在金融行業(yè)證券方面的應(yīng)用

　　高強(qiáng)度的安全身份認(rèn)證在行業(yè)中的應(yīng)用尚處嘗試階段，證券行業(yè)的應(yīng)用主要集中在信息系統(tǒng)的安全防護(hù)上。證券的信息系統(tǒng)是證券運(yùn)營的核心，因此證券系統(tǒng)的信息安全成為整個(gè)證券發(fā)展的基礎(chǔ)。USBKEY證書可以解決證券商、銀行、客戶身份的確認(rèn)。但證券行業(yè)四個(gè)小時(shí)的交易過程中，價(jià)格的實(shí)時(shí)變化，對業(yè)務(wù)實(shí)時(shí)性要求極高，如果每筆交易進(jìn)行數(shù)字簽名則會(huì)發(fā)生延遲，故有一定的局限。

　　身份認(rèn)證USBKEY證書在證券行業(yè)發(fā)展的不足表現(xiàn)有：其一、實(shí)時(shí)性、效率和安全性已成為證券行業(yè)的突出特點(diǎn)，USBKEY證書無法進(jìn)入證券的整個(gè)業(yè)務(wù)流程，因此保證其交易過程安全和信息的完整有待進(jìn)一步研究;其二，因證券的特殊性，非法侵入者無法將資金轉(zhuǎn)到特定賬戶，一定程度也影響USBKEY證書在行業(yè)的應(yīng)用;其三、作為信息安全防護(hù)的主導(dǎo)者，證券公司從目前運(yùn)作流程中也沒發(fā)生較大的事故，應(yīng)用證書解決信息安全認(rèn)證方案沒有強(qiáng)烈的市場需求和應(yīng)用的強(qiáng)烈動(dòng)力。鑒于此，以安全登錄為主功能、易用為特點(diǎn)的動(dòng)態(tài)口令已成為當(dāng)前證券行業(yè)為加強(qiáng)信息安全所采取措施之一。

　　從目前應(yīng)用需求而言，證券因其業(yè)務(wù)的特殊性，黑客的攻擊和盜取集中表現(xiàn)在：

　　· 利益驅(qū)動(dòng)：通過攻擊信息系統(tǒng)，取得合法身份操作他人賬戶，非法牟利、網(wǎng)絡(luò)洗錢、網(wǎng)絡(luò)銷贓。其操控他人帳戶，非法操作權(quán)證和股票為主要行為;

　　· 政治目的驅(qū)動(dòng)：為了達(dá)到不可告人的政治目的，對證券市場進(jìn)行破壞，破壞正常金融交易秩序和合法的商務(wù)活動(dòng)，發(fā)泄對社會(huì)的不滿。

　　從上幾點(diǎn)可看出，證券行業(yè)的信息安全也不容忽視，但USBKEY證書體系在證券行業(yè)的推廣還需要安全意識(shí)的進(jìn)一步的提高。隨著政策方面的支持和加強(qiáng)身份安全認(rèn)證的必要性認(rèn)識(shí)的逐步提高，證券業(yè)為此進(jìn)行著多種方式的規(guī)劃，如海通、宏源、國信等都已在進(jìn)行當(dāng)中，一些廠商雖發(fā)出小批量USBKEY產(chǎn)品，但目前客戶接受度和券商推進(jìn)度都反應(yīng)平淡。所以說，證書在證券行業(yè)規(guī)模化的應(yīng)用，還有待人們安全意識(shí)的提高。

[nextpage]　　安全產(chǎn)品在金融行業(yè)保險(xiǎn)方面的應(yīng)用

　　保險(xiǎn)領(lǐng)域電子商務(wù)信息化發(fā)展在早期很大程度上受到身份認(rèn)證和電子支付的制約，隨著國內(nèi)網(wǎng)上銀行的發(fā)展，第三方支付的蓬勃興起，能有效地解決網(wǎng)上支付安全隱患和網(wǎng)上欺詐行為，基本具備電子商務(wù)發(fā)展的應(yīng)用環(huán)境基礎(chǔ)，但保險(xiǎn)行業(yè)的信息安全問題仍存在問題。

　　1、代理人身份認(rèn)證。目前各家公司都已在開發(fā)應(yīng)用，用來存儲(chǔ)標(biāo)志持有者身份、權(quán)限的信息，使用靈活方便便于攜帶，主要解決保險(xiǎn)代理人員解決身份認(rèn)證登陸業(yè)務(wù)平臺(tái)，同時(shí)管理機(jī)構(gòu)可以對代理人的資格、執(zhí)業(yè)、流動(dòng)、違規(guī)管理等進(jìn)行監(jiān)督。

　　2、被保險(xiǎn)人員電子身份識(shí)別。通過網(wǎng)絡(luò)登錄服務(wù)器，辦理業(yè)務(wù)、查尋信息、理財(cái)服務(wù)等，如平安保險(xiǎn)公司目前推出的“一賬通”，是平安推出的創(chuàng)新的網(wǎng)上賬戶管理工具。通過“一賬通”輕松實(shí)現(xiàn)保險(xiǎn)、銀行、投資等多種理財(cái)需求，實(shí)現(xiàn)網(wǎng)上查尋和辦理平安網(wǎng)銀、信用卡、保單、證券、基金、信托等各種網(wǎng)上業(yè)務(wù)。而“一賬通”身份的認(rèn)證安全識(shí)別和操作過程的信息安全就成為當(dāng)前需要解決的問題。

　　3、被保險(xiǎn)物識(shí)別，如汽車、房產(chǎn)等。如將每個(gè)汽車在相關(guān)法規(guī)的配合下，發(fā)放具有法律認(rèn)可的數(shù)字證書KEY，將用戶的各項(xiàng)信息包括汽車的資料載入，通過唯一的身份標(biāo)識(shí)，實(shí)現(xiàn)多家保險(xiǎn)公司買保險(xiǎn)、理賠等多種應(yīng)用。實(shí)現(xiàn)真正的電子化，達(dá)到低碳、環(huán)保、方便等多種應(yīng)用的整合。

　　從需求到應(yīng)用的發(fā)展需要不斷改革，從整體市場而言，產(chǎn)品和需求也在逐漸地加速結(jié)合，當(dāng)相關(guān)的政策法規(guī)能支撐此項(xiàng)業(yè)務(wù)運(yùn)營時(shí)，在整個(gè)安全體系的保障下，保險(xiǎn)電子商務(wù)行業(yè)的發(fā)展會(huì)迎來真正的春天。

　　金融行業(yè)信息安全發(fā)展分析

　　金融行業(yè)安全體系的安全、高效、穩(wěn)健運(yùn)行，對國家經(jīng)濟(jì)全局的穩(wěn)定和發(fā)展至關(guān)重要。一旦金融機(jī)構(gòu)出現(xiàn)問題，很容易在整個(gè)金融體系中引起連鎖反應(yīng)，引發(fā)全局性、系統(tǒng)性的金融風(fēng)波，導(dǎo)致經(jīng)濟(jì)秩序的混亂，甚至引發(fā)政治經(jīng)濟(jì)危機(jī)。因此加強(qiáng)金融市場的安全性、采用安全可靠的產(chǎn)品、不斷地全面提升產(chǎn)品性能、加強(qiáng)產(chǎn)品和應(yīng)用策略研發(fā)，防范與化解金融風(fēng)險(xiǎn)，即能保證金融業(yè)健康發(fā)展。

　　加強(qiáng)安全方面研究主要有以下幾個(gè)方面。

　　1、安全產(chǎn)品主流會(huì)逐漸向高端生物識(shí)別技術(shù)靠攏。每個(gè)時(shí)代都有屬于自己的英雄。新技術(shù)新產(chǎn)品始終會(huì)成為時(shí)代的排頭兵。生物識(shí)別技術(shù)作為當(dāng)前新技術(shù)的代表，應(yīng)責(zé)無旁貸地?fù)?dān)負(fù)起信息安全認(rèn)證披荊斬棘的重任。

　　2、市場技術(shù)多樣化、產(chǎn)品多元化將成方向。經(jīng)歷過密碼、動(dòng)口令、智能卡、USBKEY、按鍵KEY、指紋KEY等，沒有哪種方法不好，只有根據(jù)不同的要求來選擇合適的產(chǎn)品。因此產(chǎn)品的形態(tài)不管今天還是將來，發(fā)展多種產(chǎn)品的應(yīng)用型態(tài)，最大限度地滿足客戶的需求，為各類用戶提供產(chǎn)品服務(wù)是目前最重要的工作。

　　3、產(chǎn)品的功能會(huì)出現(xiàn)多功能融合應(yīng)用。昨天的飯卡可乘公交，今天的手機(jī)可看電影買票，明天的身份證可以刷卡購物這些說明，融合已不再是個(gè)概念，更多的是實(shí)施，是創(chuàng)新。SDPASS在手機(jī)應(yīng)用上將支付、認(rèn)證、存儲(chǔ)完整的合一;URPASS將工卡、公交、電子錢包、證書、存儲(chǔ)完備的結(jié)合。規(guī)模化的應(yīng)用在市場雖還沒成型，但后期的市場已經(jīng)看到希望的曙光。

　　4、產(chǎn)品用戶體驗(yàn)趨向“方便、簡單、易用”。最簡單、最方便、最易使用，這何嘗不是一種時(shí)尚?多家銀行的調(diào)查報(bào)告中都提到，用戶要求的最終是安全，不是考慮整個(gè)過程，因此用戶“體驗(yàn)值”的高低也就決定了產(chǎn)品的市場前景。

　　安全的解決趨向流程進(jìn)化，從簡單產(chǎn)品過渡到平臺(tái)和產(chǎn)品的結(jié)合。單一的產(chǎn)品注定是跟在應(yīng)用底層，市場應(yīng)用層需要盡可能提供全面的產(chǎn)品，同時(shí)從產(chǎn)品到應(yīng)用層滲透，最終完成從產(chǎn)品到平臺(tái)到業(yè)務(wù)應(yīng)用流程的整合。

　　結(jié)語

　　構(gòu)建安全、高效的支付產(chǎn)品體系是一項(xiàng)長期艱巨、復(fù)雜、富有挑戰(zhàn)性的漸進(jìn)工程。隨著國內(nèi)經(jīng)濟(jì)金融建設(shè)和改革越來越融入到國際經(jīng)濟(jì)的大環(huán)境中，從應(yīng)用到產(chǎn)品、從產(chǎn)品到平臺(tái)、從平臺(tái)到整合已成為長期摸索和不斷積累發(fā)展的過程。將新的應(yīng)用融入到產(chǎn)品、將新的技術(shù)在產(chǎn)品中表現(xiàn)、將客戶的需求變成產(chǎn)品發(fā)展的動(dòng)力。在信息安全的新領(lǐng)域?qū)ふ野l(fā)展的方向、在新的行業(yè)用產(chǎn)品詮釋完美、在新的應(yīng)用中創(chuàng)造融合的傳奇。