来源:计世网 2008-01-02 11:12:30
2007年11月2日,国内领先的独立第三方支付企业快钱顺利通过测试评估,快钱支付清算系统获得"信息系统安全认证证书",成为国内首家获得"支付清算系统安全认证"的独立第三方电子支付企业。据悉,这项评估由中国信息
安全产品测评认证中心完成,是我国正式确立的信息安全测评认证,这也成为快钱在网上支付安全领域获得的又一项的资格证明。
支付安全受到各方重视 安全措施频频亮相 不只是支付企业重视支付安全,最近,银行方面也加强了网上支付安全方面的投入,相继推出的各项措施都十分引人注目。
2007年9月19日,招商银行发布安全通告,2007年9月20日对安全控件进行升级。
2007年11月1日,中国农业银行正式推出一款保障电子银行安全的新产品--动态口令卡,还特别推出口令卡免费领取活动。
2007年10月11日,中国工商银行发布了在线支付网页诈骗资金的安全提示,提醒人们识别不法分子通过即时聊天工具、电子邮件等向客户发布的虚假信息。
此外,中国人民银行副行长苏宁也指出,"人民银行非常关注网上货币的发展,正在研究各种措施,使它规范运行,既给企业、居民提供一个良好的新的支付工具,同时又防止风险,保护老百姓权益。"
支付安全受到如此重视,一方面是因为电子商务蓬勃发展,网上支付已经成为人们生活中的重要工具;另一方面,则是因为支付安全仍然是阻碍人们使用网上支付的主要因素。《2007中国消费者网上支付应用调查报告》调查表明,61.7%的在进行网上购物时首选网上支付,79.5%的被访者认为安全或便捷是网上支付主要影响因素。安全、便捷的支付方式,成为当前网上支付市场主要的需求点。
网上盗号风起云涌 网上犯罪或进入高发期 近年来国内网上支付市场交易额增长迅猛,2007年Q3中国第三方网上支付市场交易额达到了255亿元,但是网上盗号也是风起云涌。自2004年以来,各类账号频繁失窃。游戏账号丢失,银行账户密码被破解,QQ被陌生人登录,邮箱遭偷窥……江民杀毒软件公司的一项调查显示,39.43%的网民有密码被盗的经历,34.50%的网民没对密码设置任何保护,13.61%网民表示采取过密码保护措施但仍然被盗。
中国金融认证中心总经理李晓峰说,网银在给公众和企业带来方便的同时,也引起了不法分子的窥视。"过去针对网上银行犯罪的黑客,开始是非获利性质的,但现在正向获利性、团伙性和产业化方向发展,网上银行的犯罪分工日渐细化。如果一个领域犯罪的分工细化到这个程度,这个领域就可能进入一个犯罪的高发期。"因此,及时制定安全保护措施是当前网上支付工作的重中之重。
业内人士指出,要避免这些问题,需要各方面的协力配合:银行方面要采取足够的安全手段,或者根据不同用户特点、交易特点提供不同的安全手段;政府需要加强行业监管,尽快提供相应法规,用户则需要提高安全保护意识等;但是最直接、最有效的措施还是从技术上进行防护。
安全保护出现三大类型 安全技术完成三级跳 目前,人们使用的安全保护技术主要分为三大类:一类就是最初出现的动态密码,现在已经普遍为各类网站采用;第二类就是数字签名、数字证书,例如建行推出的UKEY、支付宝推出的数字证书等;第三类是硬件保护措施,例如工行推出的U盾、快钱推出的快钱盾等;三类保护技术的安全系数基本上呈递增系列。此外,刚刚开始应用的生物特征识别技术也值得注意,但目前其安全系数还比较难定义。
动态密码作为基础的保护措施,能防止最基本的暴力破解,但是也基本处于不断变换外表、防止机器识别的状态。数字证书被认为是目前安全级别相当高的保护措施,但是并非无懈可击。数字证书的使用都是在用户登陆支付页面时下载并安装,防御手法还是被动式防止破解。安全专家分析说,手段高明的骇客仍旧可以截获用户没有来得及发出的数据。
U盾等的推出是对数字证书的一项提升,它将密钥存储于安全介质之中,无法从外部直接读取,对密钥文件的读写和修改都必须由内部的程序调用。但是由于与网络直接接触,还是要防止更加高端的暴力破解技术攻击。
不久前,快钱为严防木马和黑客,推出了国内第一款硬件安全设备"快钱盾",将安全保护措施提升到了新的层次,也完成了支付安全保护措施--动态密码、数字证书、硬件保护产品的三级跳。
快钱盾的防范原理在于,用户要登录账户,用户名、登录密码和快钱盾密码缺一不可。除去技术上的保护,快钱盾更多的是提供了一种安全保护机制。与U盾等硬件保护产品相比,快钱盾最突出的优势在于它无须与任何电脑交互或者安装第三方插件或驱动,有效避免来自互联网的病毒的侵害,提高了网络支付服务的安全性。
据快钱CEO关国光称,网上支付安全防范范围很广泛,除去技术层面的保护,还需要防范物理风险、流程控制风险等。支付企业"存在运营商风险,在内部管理上可能也会有风险。对于安全,我们进行了规划,做了一套比较完善的风控体系,例如在技术上制定用户认证系统,防范系统风险等,在物理风险方面,审查审批,报备等是否完善、过滤风险、建立详细的黑白名单、和银行、网警的良好联系等。"
原文/来源:
http://cio.ccw.com.cn/gq/cs/htm2008/20080102_365075.asp