2015年1月7日星期三

曲成義:電子商務在線支付安全對策



曲成義:電子商務在線支付安全對策


















曲成義:電子商務在線支付安全對策


以下為國信辦專傢咨詢委員會專傢曲成義教授演講。


曲成義:主持人、各位來賓上午好!大傢知道電子商務的發展催生瞭一種新型的、虛擬的在線支付模式。這種模式正在快速的發展,根據主辦方對我的要求,對這樣一種模式從底層上看,信息安全面臨的風險是什麼,應該采取什麼對策,就這點談談我個人的看法。


大傢知道05年國信辦第四次會議上通過瞭“二號文件”關於加快電子商務發展的若幹意見。這個問題對推動我們國傢電子商務的發展是一個非常重要的戰略的對策。裡面提到加快電子商務是應對全球的挑戰,提高國際競爭的必然選擇。電子商務方面很多專傢都提到瞭有很多的模式,B2B、B2C、C2C等不管在哪種模式中信息的安全是非常重要的。因此在電子商務的“二號文件”裡面提到瞭支撐電子商務建立的五大環境,第三個就是關於在線支付的體系。


上面很多專傢談到瞭電子商務在線支付主要是兩大類型,它的母體是網上銀行,以網上銀行作為後臺的第三方服務模式在我們國傢正在興起,這是一個非常可喜的現象。無論是網上銀行起來在線支付都是電子商務產業鏈非常重要的一環。隨著電子商務的全球性的發展,網上銀行或者是第三方支付都起瞭重要的作用。


作為網上銀行和第三方支付都面臨著很多的風險。第一個信息安全對這種在線支付帶來的危險。包括信息系統中的濫用、網上的欺詐、釣魚等等帶來的巨大的威脅。第二,當前信用缺位帶來的風險。


信息安全的風險應該采取什麼對策。如何在在線信息方面面臨的危險采取什麼樣的對策。第一點是要建設在線安全的支付平臺。如何實現一種安全的在線清算,如何完成運行過程中的業務監督,作為對這種信息安全風險的控制是非常重要的。我們並不是單純建一個在線安全支付平臺,還要做好這個平臺建設以後的信息安全的風險評估。所以,對於一個完整的在線支付安全平臺的安全和支付協議的安全選擇和配套非常重要。在這個運行過程中如何采用一種安全的認證,一種安全的簽名,一種抗抵賴的機制,一種強審計的保證,以及傳輸過程、防泄露和加密。


第三,對這種在線支付一定要建立風險控制機制。對於大額支付和小額支付應該采取不同的授權機制。對於行為的正常還是異常,應該是善於發現識別和采取不同的控制機制。因此對於運行過程中的實時監控和預警也是這種在線支付過程中非常重要的手段。比如,對於可能出現風險的評價指標,對這種指標如何進行識別和計算,對你們系統安全的風險性進行提前預警,並且采取適度的控制機制。對這種安全要註意,從國傢的角度正在進行立法。


在立法方面我們國傢已經通過瞭《電子簽名法》,這就是面向電子商務的。對於《電子簽名法》大傢知道從去年4月1號正式執行,這個法中特別提到瞭要有符合可靠電子簽名的規則,以及保證我們在使用過程中電子支付中的合法性是其中重要的一條。關於標準剛才我已經說瞭,為瞭保護信息安全,國傢信息化領導小組已經成立瞭國傢信息安全標準化委員會下設10個標準化組織,其中很多的標準條款對於我們電子支付也有重要的指導作用。比如包括電子密碼、關於基於PKI的各種標準證書規范。國傢現在已經發佈的有16項,正審的有25項,研制的有70項。


剛才我提到,在支付過程中認證、簽名、強審計、加密、授權是建設支付平臺非常重要的一些技術對策。其中關於認證體系的建設,前面我談到瞭“27號文件”國傢信息安全指導意見提出瞭在我們國傢要建立國傢層次的信任體系,包括身份認證、科學授權以及責任的認定。


當然國傢如何構建CA保證體系,國傢在國信辦和信息產業部以及密碼辦以及專傢組推動我們國傢體系CA通過KPI的建設。特別是我們國傢已經認定的19傢,因為電子商務是跨地區、跨行業的,如何保證這些CA之間證書的互認,隻是我們國傢推動認證體系一個非常重要的問題,正在探討中。比如如何形成這種互認模式如何實現交叉認證和信息列表的問題。這也是對於電子商務發展,未來中國需要面臨的重要的實際的問題。


剛才我在構建一個可信的安全的電子支付平臺,很重要的是建設瞭以後的生命周期以及全過程中的風險評估,這是保證安全支付非常重要的手段。國傢去年已經在3個省市4個部委,包括網絡銀行已經做瞭風險評估的試點,試點中發現,做不做風險評估工作差別是很大的,做瞭以後可以及時發現風險,發現漏洞,采取對策,增強你的安全性能。所以如何在風險過程中識別資產,發現你的脆弱性和你所面臨的威脅進一步做這種風險的分析和計算,最後達到發現風險、預防風險、降低風險、轉移風險和可接受的風險,這個過程是非常重要的。因此構建一個好的安全制度平臺要重視生命周期全過程,這是重要對策。


風險評估正在被大傢認識,一定要對你的風險做好識別,對你所具有的資產做好識別,去判斷你安全事件的可能性,以及事件出來以後的損失。總之網上銀行和第三方支付促進瞭電子商務的發展。在這種發展中,特別是電子商務在線支付,包括網上銀行和第三方支付,希望在這方面的企業做好在交易雙方中雙方和諧的和可信的認定。其中,電子商務發展與信息安全對策保證EC信息及其服務的七性(完整性、可用性、可核查性、產權性、合法性),通過這些方面以保護我們電子商務行業的發展。我的演講就到這裡。謝謝大傢!










发帖者 时间:

没有评论:

发表评论

订阅: 博文评论 (Atom)