国家信息化专家咨询委员会专家 曲成义

    【IT168 速录】二号文大家都知道，是关于加快电子商务发展的若干意见，电子商务是应对经济全球挑战，提高国际竞争力的必要条件，那么电子商务模式有很多种，像B2B，B2C等等。其中在二号文件当中，特别提到了关于创建电子商务发展的支撑体系，这里面包括健全安全认证体系，推进在线支付体系的建设，发展现代的物流体系，完善法规标准等。大家知道，站在国家高度，推动电子商务支付环境的建设，那么电子商务的发展是非常顺利的。我把这第三个关于推进在线体系建设中的安全问题做一个简单报告。

    在线支付，包括支付平台，在线清算，业务监督，风险控制，电子商务的敏捷，高效和跨时空这样的需求，必然会催生一种新型的支付模式，而不是传统的柜台式的支付模式。以虚拟化，网络化的支付模式，那么电子商务在线支付的类型，基本上有两大类：一类是网上银行，第二类是在银行接的支撑下，由第三方推进的在线支付服务模式，比如说首信，首信的易支付就是我们国家最早的第三方支付企业主体创建起来的。
 
    那么网上银行是极大的促进了电子商务的发展，巴塞尔银行监督委员会网银小姐《银行监督面临的网上印痕业务风险管理问题》白皮书，中国人民银行发布2001年《网上银行业务管理暂行办法》市场准入，规律责任，风险管理。网上银行对促进电子商务在线支付的发展，起了重要作用，在线支付是电子商务产业链最重要的一块，电子商务可以把产业链分成五个环节，像网上的交易，签署协议，网上的在线支付等等，那么这种支付，可以是用网上银行，也可以通过第三方支付。所以网上支付是产业链中的重要一环，那么随着全球电子商务的发展，网上银行将得到很好的发展。
 
    网上银行确实在运作中面临很大的瓶颈，如何降低，转移，规避这些风险，是网上银行第三方支付中，很重要的责任和义务。对于网上支付，在线支付来说，信息安全威胁带来什么风险呢，比如说网上银行操作中的误用，烂用和恶用。另外现在网上有很多网上钓鱼，网上诈骗，也包括拒绝服务等等，这些都给在线支付带来了风险。如果在线支付由于技术受损也会带来很大风险，比如说在线支付中的服务器停止运转，给网上银行和第三方的支付，在信用上都会造成很大的危害。
 
    另外当前特别是在我们国家，信用的缺位，也为网上银行带来了风险，因为我们国家信用体系正在推进和建设之中，远远没有到位，由于信用的不完整，不准确，不及时，大家知道没有信用的市场不是一个完整的市场，而对于像电子商务这样一个网上交易来说，没有信用的保证确实对我们带来很大的风险，所以这些风险，作为网上银行第三方要认真对待，要防止，转移这些风险，降低到我们可以支撑的程度。
 
    对于在线支付来说，如何降低风险，就要对风险进行控制，有很多策略，比如说建设安全的在线支付平台要做好平台的建设，并且对这个平台要做好信息安全的风险评估，及早的发现隐患，修整隐患。这些技术有很多，比如说在线清算中，业务监管，各种风险控制机制等等。另外一个完整的在线支付协议的选择和配套，也是风险控制很重要的一方面。在这里，比如说身份的认定，各种电子文档的签名，包括事后的强审计，以及加密，这些机制的选择和配套，对于增强在线支付的抗风险能力有很大作用。
 
    再一就是在线支付中分类授权机制的确立也是很重要的，比如说在支付中，有大额，有小额，对于大额，小额的控制办法是不一样的，那么对于状态支付过程中的常态和异态策略也是不一样的。
 
    再一个就是在线支付过程中运营风险的实时监控和预警，对这种威胁及早的进行风险评估，找到自己系统的脆弱性，及早修补，或者在运行过程中发现可能的危险苗头，早点实施措施，这也是很重要的一个环节，因此对于在线支付的网络银行和第三方都应该建立自己的安全基础设施。另外要通过法律和标准来进一步保障。
 
    国家信息化领导小组第三次会议，赵小凡司长也说了2003年通过27号文件，特别提出对我国建立信息化安全保障体系，这对于第三方支持，无论是企业和支付环境都是带有战略性的指导意义。这些我们就不谈了。
 
    在27号文件中，有一系列的国家，信息安全的战略对策，比如说审计保护，风险评估，信任体系，监控体系的建设，这些对我们第三方支付，每一条都是有用的.第三条信息，网上银行要认真的贯彻国家相应的战略决策，对于你的安全保障是有利的。另外还有一些法律，像个人数据保护法，公开法等等，这对保护我们具有重要作用。
 
    另外在电子商务支付中，刚才我提到了基于pki的认证体系，是电子商务在线支付中很重要的一种安全基础设施，他特别适合像电子商务，开放性，大时空，无限边界的交易模式，可以提供真实性，完整性，保密性，可以能够共建比较良好的信任环境。所以对于支持安全的交易，交换，交往，多种业务对象都是很有用处的。
 
    另外就是国家为了国家信息化的建设，国家成立了信息化标准化委员会，下设十个工作组，这十个标准化委员会完全是开放的，现在国家已经有将近70项标准正在运作之中，现在这些标准对于安全支付有很大指导性的意见，pki在电子商务中的重要作用，国家正在考虑如何形成我们国家的pki的体系。另外如何制定国家pki的标准，大家知道现在我们国家信息标准中，公开数量最多的是基于pki的标准。
 
    如何使不同地方，不同行业，不同领域的pki证书能够互认，这对电子商务是很重要的一个环节，国家正在做，正在解决CA的认证问题，像如何解决不同证书之间互认的问题，这个互认模式有很多种，比如说通过交叉认证和信用建设等等，这项任务的解决很复杂，但是国家正在推动这方面的体系，这对于我们国家的电子商务和第三方支付有重要意义。
 
    建立认证证书的审批和监管机制，信息产业部正在做这方面的工作，最后一个就是如何保障第三方支付的安全性，不是说只构建一个安全保障体系就完了，对于第三方支付的信息安全保障环境，做好风险评估是很重要的一道关，因为任何信息系统都是有资产，有价值，有脆弱性，有威胁。那么在这种情况下就面临着风险，而且这种风险作为业主来说，完全能够很快适应是很难的，因此第三方的风险评估，对于提升第三方信息平台有重要价值，对于保护第三方支付的资产，价值，包括保密性，完整性，可用性，以及完全支付使命有重要意义。
 
    风险评估的分析，有第三方的风险投资企业，国家有企业服务级的等等，这些对第三方很重要，因此大家在推动电子商务发展，要重视信息安全的对策，一个是真实性，一个是完整性，一个是可用性，一个是隐私性，一个是可核查性，一个是产权性，一个是合法性。我想这些将推动我国电子商务快速发展。