大家知道05年国信办第四次会议上通过了“二号文件”关于加快电子商务发展的若干意见。这个问题对推动我们国家电子商务的发展是一个非常重要的战略的对策。里面提到加快电子商务是应对全球的挑战,提高国际竞争的必然选择。电子商务方面很多专家都提到了有很多的模式,B2B、B
上面很多专家谈到了电子商务在线支付主要是两大类型,它的母体是网上银行,以网上银行作为后台的第三方服务模式在我们国家正在兴起,这是一个非常可喜的现象。无论是网上银行起来在线支付都是电子商务产业链非常重要的一环。随着电子商务的全球性的发展,网上银行或者是第三方支付都起了重要的作用。
作为网上银行和第三方支付都面临着很多的风险。第一个信息安全对这种在线支付带来的危险。包括信息系统中的滥用、网上的欺诈、钓鱼等等带来的巨大的威胁。第二,当前信用缺位带来的风险。
信息安全的风险应该采取什么对策。如何在在线信息方面面临的危险采取什么样的对策。第一点是要建设在线安全的支付平台。如何实现一种安全的在线清算,如何完成运行过程中的业务监督,作为对这种信息安全风险的控制是非常重要的。我们并不是单纯建一个在线安全支付平台,还要做好这个平台建设以后的信息安全的风险评估。所以,对于一个完整的在线支付安全平台的安全和支付协议的安全选择和配套非常重要。在这个运行过程中如何采用一种安全的认证,一种安全的签名,一种抗抵赖的机制,一种强审计的保证,以及传输过程、防泄露和加密。
第三,对这种在线支付一定要建立风险控制机制。对于大额支付和小额支付应该采取不同的授权机制。对于行为的正常还是异常,应该是善于发现识别和采取不同的控制机制。因此对于运行过程中的实时监控和预警也是这种在线支付过程中非常重要的手段。比如,对于可能出现风险的评价指标,对这种指标如何进行识别和计算,对你们系统安全的风险性进行提前预警,并且采取适度的控制机制。对这种安全要注意,从国家的角度正在进行立法。
在立法方面我们国家已经通过了《电子签名法》,这就是面向电子商务的。对于《电子签名法》大家知道从去年4月1号正式执行,这个法中特别提到了要有符合可靠电子签名的规则,以及保证我们在使用过程中电子支付中的合法性是其中重要的一条。关于标准刚才我已经说了,为了保护信息安全,国家信息化领导小组已经成立了国家信息安全标准化委员会下设10个标准化组织,其中很多的标准条款对于我们电子支付也有重要的指导作用。比如包括电子密码、关于基于PKI的各种标准证书规范。国家现在已经发布的有16项,正审的有25项,研制的有70项。
刚才我提到,在支付过程中认证、签名、强审计、加密、授权是建设支付平台非常重要的一些技术对策。其中关于认证体系的建设,前面我谈到了“27号文件”国家信息安全指导意见提出了在我们国家要建立国家层次的信任体系,包括身份认证、科学授权以及责任的认定。
当然国家如何构建CA保证体系,国家在国信办和信息产业部以及密码办以及专家组推动我们国家体系CA通过KPI的建设。特别是我们国家已经认定的19家,因为电子商务是跨地区、跨行业的,如何保证这些CA之间证书的互认,只是我们国家推动认证体系一个非常重要的问题,正在探讨中。比如如何形成这种互认模式如何实现交叉认证和信息列表的问题。这也是对于电子商务发展,未来中国需要面临的重要的实际的问题。
刚才我在构建一个可信的安全的电子支付平台,很重要的是建设了以后的生命周期以及全过程中的风险评估,这是保证安全支付非常重要的手段。国家去年已经在3个省市4个部委,包括网络银行已经做了风险评估的试点,试点中发现,做不做风险评估工作差别是很大的,做了以后可以及时发现风险,发现漏洞,采取对策,增强你的安全性能。所以如何在风险过程中识别资产,发现你的脆弱性和你所面临的威胁进一步做这种风险的分析和计算,最后达到发现风险、预防风险、降低风险、转移风险和可接受的风险,这个过程是非常重要的。因此构建一个好的安全制度平台要重视生命周期全过程,这是重要对策。
风险评估正在被大家认识,一定要对你的风险做好识别,对你所具有的资产做好识别,去判断你安全事件的可能性,以及事件出来以后的损失。总之网上银行和第三方支付促进了电子商务的发展。在这种发展中,特别是电子商务在线支付,包括网上银行和第三方支付,希望在这方面的企业做好在交易双方中双方和谐的和可信的认定。其中,电子商务发展与信息安全对策保证EC信息及其服务的七性(完整性、可用性、可核查性、产权性、合法性),通过这些方面以保护我们电子商务行业的发展。