由于支付牌照的发放，各方在安全领域的技术自有一套自己的理论，这样在金融信息的安全领域，统一的安全标准仍是呼之未出，令人拭目以待。

CSDN的密码泄露事件在业内引起层层波澜，所有存在密码和大量数据信息的网站都受到了质疑。虽然清者自清浊者自浊，但仍令公众对于互联网业的安全状态产生了怀疑，很多网站遭受了不白之冤。但真正必须关注安全的就是在互联网领域越涉越深的银行，更是要对安全问题倍加关注。

支付牌照又发放了第三批，除了原有的第三方支付，运营商也加入了这个大军。各行各业各自为政，带来了千思万虑尽如空，信息领域的安全问题仍需要统一标准，以避免目前状态的政出多门，让不法之人有可乘之机。

互联网安全的谍影

上海嘉定的唐某在网上发过一个帖子，说的是他的工行牡丹灵通卡在2011年底发现自己卡内少了8300元，到当地工行查询后，发现是因为通过广州银联网上支付在京东商城上的两笔交易。由于唐某的卡并未被盗，也没有开通网上支付，所以要求工行归还钱款。咨询警方之后，也认为是银行的问题。向工行投诉之后却一直没有答复。

在电子商务迅速渗入公众的生活后，电子支付领域的安全问题是就一直没能充分解决，这也是目前银行业的信息化推广应用过程中所遇到的最大难题。虽然目前各大银行一直在竭力解决这个问题，又有长期以来在安全领域的努力作为基础，但作为消费者，这是他们选择与否的关键。实际上，在完全上网之前，银行业作为国计民生的基础，在信息安全上是有充分准备的，但在网上联通之后，由于与外网对接，银行业原有的修筑如小城堡的内部网络的安全不得不面对外界的冲击，如何在网络时代迎接安全的挑战成为银行业难以回避的问题。

而作为在互联网业务上渐行渐远的金融行业，自有以来一直因为安全问题的困扰阻碍着广大企业和个人投入其中。但作为数据处理集约化发展的信息技术，需要为银行业的信息安全提供更可靠的保障，是在安全成为人们担忧对象的时候，解决问题的最佳方法。

中国金融认证中心（CFCA）的应用开发部总经理张行先生向记者介绍到，作为金融行业的信息安全领域，需要面对的安全问题主要有四种：第一种就是盗用账号，这也是最普遍存在的安全问题，一旦账户被不法分子盗用，产生不白之冤的交易，造成资金损失，会对用户的利益和银行的声誉都将造成重大的影响；第二种就是破坏数据的完整性，这里需要的是防止交易信息被篡改，买一样东西花三样的钱，这也是一般人家难以承受的；第三是打破金融数据的机密性，这里需要做的是防止敏感数据被泄漏，否则会对用户的；第四是交易的抗抵赖性，例如：网上银行已授权交易被恶意抵赖。这四类问题是金融行业在信息安全领域必须解决的。而在实际的交易中，欺诈行为则成为用户最常遭遇的安全问题。

举例来说，在用户中招木马的情况下，由于银行为了交易进行的应用上的便利，面对有些小额支付，比如几百块的交易，银行会在安全性采取一定的退步，不再进行严格的身份认证，从而给盗号者带来机会，同时由于作为公安机关的定案，对小额的欺诈行为并不能实现立案，这更为不法者带来积少成多的致富机会。几百块钱虽然对任何一家财大气粗的银行都不过九百牛一毛，但对于大多数普通用户来说，都是一个值得关注的损失，资金意义的严重不对称也是银行和用户之间造成极大矛盾的根源所在。毕竟对于银行而言，如果用户从取款机中错误多取了几百元以后，还是会认为是盗窃的。这种严重的失衡才是银行声誉损失的根源。

大型企业和政府特别是有大量资金流的金融机构更成为黑客的爱好，近日还有外媒报道日本政府部门受到的攻击，即使日常办公还没有造成严重问题，但这样的攻击发生在金融机构就有些不敢想象了。

谁来保护网络安全

面对网络入侵为电子支付带来的重重问题，广大支付的提供商和管理者们对之兵来将敌水来土堰，采取了包括政策、技术和银行等层面的诸多措施，这里也可谓是八仙过海各显神通，都拿出了自己的一套参差有差的方案。

首先在政策层面，主要是人民银行等金融管理机构对于安全领域下发的行政命令，这里边最重要的是对于保密工作的法律保障。比如每个银行对于用户信息都有保护的义务，这也是每一家银行的权利。但行政命令的发布虽然具有强制意义，可以严格划定权利和义务的范围，但由于命令本身的严格性，反而会在实际的工作中带来一些不便，比如跨行操作的不利，由于数据保密有人民银行的法律保护，往往造成公安部门和银行本身在犯罪调查中的层层设防戛然而止难以继续，要通过上一级管理机关的协助才能完成。这一点上，张行先生介绍在银行间有一个类似于联盟性质的组织，通过合法协议可以实现跨行间的数据调取，为金融犯罪的调查打开了合作的大门。

其次是在技术方面。这也是包括银行在内的安全领域各方面的业者在此能够做的最多的也可以更主动的方面。正如张行先生谈到的，银行推出的支付业务，其业务层面的主导权在于接受的企业，而银行更多的努力方向则是技术方面的安全支持。

在安全的保障方面，银行业一直是重中之重。因为金融关系国计民生，如果安全不能保障，对于国家和社会的影响是十分巨大的。而在进入互联网业务之后，各家银行都采取了自己所擅长的方式。

中国银行使用了动态口令，根据专门的算法把随机数字组合，使得生成的密码只用一次，让交易双方更能确定对方的存在，这样就不会出现文章开头的那种银行不能确定用户真实性而造成的用户的悲剧了。

工商银行和招商银行等大部分银行，则主要用Usbkey来保障自己用户进行的合法交易，两家Usbkey的生产者都是专业厂商捷德公司，但这种利用技术手段解决技术风险，虽然可以对保证客户资金安全方面发挥重要作用，但却不能避免黑客冒用客户的名义或者进行信息的篡改。但对于业务层面的风险，尤其对于客户端存在的业务风险，这些手段则力有不逮。

作为安全解决方案提供商的中国金融认证中心开发了交易监控及反欺诈系统，通过技术手段来解决业务风险。该系统利用交易监控的手段，实时采集用户每笔交易的特征信息，并将这些交易特征信息与用户的习惯交易特征、一般用户的群体交易特征和欺诈交易的欺诈特征进行匹配分析，再利用风险评价模型体系的评估，确定当前交易的风险级别，根据不同的风险级别，对当前交易进行放行、加强短信认证、语音外呼认证、以及阻断的不同处理，从而有效地防止欺诈交易的发生。该系统是一套集数据采集、机器自学习，数据挖掘、交易风险评价和智能控制于一体的一套高级智能决策系统，目前该系统在北京银行、上海农商银行成功上线实施，并取得了良好的监控效果，既有效降低了用户交易风险，又提升了用户满意度，杭州银行、徽商银行、河北银行等也与CFCA签订了合作协议，进行该系统的实施。于发现的异常交易情况对用户进行提醒，从而为客户带来信赖程度的提高。

至于第三方支付和安全软件的生产商，都出身数据领域，可以在金融业的互联网业务中占据先机。

(责任编辑：)