第十一届中国国际电子商务大会暨中国网上支付十周年回顾

原国家信息化专家咨询委员会委员曲成义教授

　　各位来宾上午好！2005年的时候，国办发了二号文，就是加快电子商务发展的若干建议。特别提到了加快电子商务是应对全球经济挑战，提高竞争力的必然选择。
　　在这种情况下，咱们国家出台了电子商务的十一五规划。在这个规划里面，特别提出来建立五大支撑体系。包括电子商务的信任安全支撑、在线支付的支撑，在线物流支撑、综合监管支撑。
　　对电子商务来说，有B2BB2CC2CG2B，那么如何进行安全控制就成为了电子商务的很关键的要素之一。
　　十一五规划提出创建电子商务发展的支撑体系。就是推进在线支付体系的建设。包括支付平台在线清算，业务监管和风险控制。
　　对于电子商务在线支付来说是一种新型的网上支付模式。所以对电子商务这样敏捷高效来说，这样虚拟的网络化的在线支付模式就成为必然的选择。
　　电子商务在线支付还是两类，网上银行，第三方支付。网上银行的发展大大促进了电子商务的发展。从巴塞尔银行监管委员会出台的风险管理的白皮书，中国银行发布的网上银行的管理办法也好，说明网上银行是当前银行服务业的一个产品新的创新。能大大的降低交易成本，便捷用户，有利于促进电子商务的发展。
　　在线支付正在成为电子商务产业链中很重要的一个。电子商务产业链可以分为网上展示，商务洽谈，网上协议，最后的支付。
　　所以在线服务正在成为电子商务产业链价值链信息链中的重要部分。随着电子商务的发展，网上银行第三方支付发展非常快。仅仅可以是传统支付的10%的费用。但是当前的一种形势我们要看到，就是我们国家网络信息安全的威胁正在迅速的增长。
　　在我们国家，现在僵尸网络的范围正在扩大。木马和谍件的潜入正在大面积扩散。网页篡改，安全事件，恶意代码，这些威胁的发展要引起高度重视。
　　网络威胁这么多年来，其新的动向要引起高度的警觉。比如“零日攻击”的出现。僵尸网络正在成为拒绝式服务攻击和垃圾邮件的源头。各类非法网站正在成为对网民很大的威胁。谍件的泛滥等等，这些威胁出现一些新的动向，就是黑客的地下产业链正在形成。
　　前年年底的“熊猫烧香”，就是一个产业链，有人传播恶意代码，有人利用恶意代码收取费用，产业链形成，所以这样对于威胁的防范，带来更大的难题。
　　另外内部威胁事件迅速的增加。所以有些银行，网银中，内部人员的犯罪正在成为一种新的趋势。对于网银安全事件从全球来看，不断的增加。04年网银大盗哄动一时。06年全球黑客攻击网银案件增加81%，而网络金融犯罪占计算机犯罪40%以上。
　　 07年全球检查出来50多万个钓鱼网站，针对金融的占了90%以上。所以大家可以看到，对于金融界的网络犯罪，特别是对于像网民在线支付的犯罪，威胁不容忽视，要引起高度的警惕。
　　对于网银和第三方支付面临的威胁，包括内部的雇用滥用，包括网络钓鱼，网上诈骗，拒绝服务等等，都为第三方支付的信誉带来巨大的损失。也给客户使用网银提心吊胆。
　　所以国家信息化领导小组第三次会议，07年发布27号文件，如何在信息化高速发展的时代，提高对信息安全的防护能力，如何构建信息安全保障体系。
　　其实要行业要构建行业的，部门也要构建部门的，以保护信息化的发展。虽然这个文件过了好几年了，都是很值得认真思索和行业领域里贯彻的。
　　安全部因为不同的等级有不同的安全保护。你所承受的安全风险和你在安全上投资的一个最好的平衡点。27号文件提出要基于密码的认定。如何建立信息安全监控体系？如果你这个系统遇到灾难以后，你如何能够采取应急措施恢复等等。
　　巴塞尔资本协议指出，金融安全风险包括信用风险、市场风险和操作风险。而信息安全就是操作风险中的重要的组成部分。
　　对于银行界，咱们银联委出台过关于金融风险管理的很多条款，就不说了。如何抓好在线支付的全局风险控制。如何做好在线支付的协议选择和配套。比如说采取什么样的高强度的认证机制，如何抓好数字签名，做好强审计和加密等等。
　　如何确立在线支付的科学的分类授权机制？对大额的授权和小额的汇款不一定是一样的。对运营风险要实施实时监控与预警。
　　在线银行不能低于国家等级保护的三级。如何建立在线系统的安全管理体系？所谓的ISMS。做不做安全管理体系的上限？做了以后安全强度明显的提升。
　　做好安全等级保护，国家已经发布了2007年的43号文，明确规定了，对于一个信息化部门，你要从你的业务信息和你的系统服务，按照你一旦出现问题以后，给社会和国家造成的危害程度去定级。
　　现在国家分了五级，自主保护级、指导保护级，监督检查级、强制监督级和专门监督级。不同的级别采取的安全级是不一样的。对安全的投入和强度是不一样的，当然后果够不一样了。
　　所以对于在线支付，一般的核心业务部位不能低于三级。这个等级保护国家已经明确的规定，自主定级要上级备案批准，然后开展你的调整和建设。最后做好安全风险评估。
　　对于信息安全管理，在线支付要给予足够的重视。国家信息安全专业组，已经把ISMS标准已经等效成为国标了，当然还加入了很多咱们本地的条款。北京市正在做五个试点，做完了以后我们发现做了以后大不一样。
　　北京市的单位做了以后，安全事件跟国际上很相似。ISMS有一系列的规定，其中有133个控制点。如果在每个控制点都采取对策的话，整个系统的安全就有保障了。ISMS体系建设以后，要重视风险评估。
　　风险评估是信息系统建设的起点，也贯穿一个精神。你自己的安全，你作为业主，你很难找到你的脆弱点。特别是第三方的信息安全评估，对于强化我们安全支付体系的建设非常重要。
　　信息安全风险评估，一般从管理安全做分析，对过程的安全做分析，而且从技术安全做分析，并做检测。不单纯对你系统的表层隐患漏洞做检测，而且根据你用户的需求和重要性做深层次的检测。甚至可以做攻击性的检测。通过这些检测证明和发现你大量的隐患问题，你消除了隐患，就增加了你信息安全的强度。
　　当然在任何系统你也不能保证你没有灾难。大家知道911事件，有灾难设备的四百家活下来了。因此对于任何一个信息系统，你也要对于可能出现的灾难，要有所准备。
　　因此灾难恢复是保证你BCM的最后一道防线。我上面讲的这些归纳起来有九个要点值得认真思索。
　　第一条，以可用性和完整性为核心的全局防护。
　　第二条，以最小特权为准则的信息安全管理体系。
　　第三条，以强认证（真实性）为手段防非法窃取。
　　第四条，以强审计为抓手防内部违规。
　　第五条，以核心业务和数据为先导的应急灾备。
　　第六条，以风险管理为理念的BCM。
　　第七条，以全程安全测评作为安全保障制度。
　　第八条，以“自主、可控”作为建设与采购的原则。
　　第九条，构建一个健壮的安全支付平台。
　　所以对于网银也好，第三方支付也好，它是安全攻击的一个重要的领域。因此要重视安全体系的建设，要加强这个系统安全的提升。我想这九点可能要重点注意，我的发言完了，谢谢大家！