电子金融服务的安全性要求

8.2.1　电子金融服务的安全性要求

由于电子形式的金融产品和信息，对于知道网络机密并能不留痕迹的网络进入者而言，其伪造、篡改、复制的成本极低，网络银行对非法侵入者的吸引力巨大。SFNB开业仅两个月，就约有1万名黑客企图非法入侵，而1999年一名俄罗斯数学学生通过互联网进入了花旗银行的电脑系统，非法转存了数以百万计的资金。除了非法侵入以外，网络银行可能还会面临在金融信息传递中出现差错，或者他人盗用客户的账户，或者工作失误等引起的不必要纠纷和损失。同样，如果不能登录上网，或者银行的服务器出现故障，使紧急的交易无法进行，也会形成损失。

很多行业会关心安全，但网上银行运行的基本原则却是信用。银行都知道信用让银行有业务发展。信用是银行成功的关键。

这就是为什么一些大的金融机构建立了一个金融服务安全工会。银行支持这个组织，包括这个行业的巨头们：First Union Corp.，Bank of America，Bank Boston，Bank One，Chase Manhattan，Citigroup，and Wells Fargo。BITS实验室坐落于Preston Virginia，是一个网络银行安全系统测试基地，在黑客进行攻击之前就进行测试和完善实验。网上犯罪总是试图进入网络银行系统，但是他们很少成功。一个主要原因就是在黑客发现漏洞之前就被黑客专家发现而且弥补上了。在实验室里，技师们通过产生一个密码的标志来证明安全相关的技术。这个实验室产生一个信息共享和分析中心来警告金融行业新的安全威胁的到来。为网络银行制作软件和设计电子系统的公司，把他们的产品带到BITS实验室，做黑客进攻实验。如果一套系统没有被专家黑客攻破的话，这套系统将被授予安全证书。这个密码系统会帮助银行了解到在他们购买这套产品之前就知道该产品的安全级别。

公共网络系统的安全性依靠用户、商家的认证数据的加密及交易请求的合法验证等多方面措施来保证。电子交易过程中必须确认用户、商家及所进行的交易本身是否合法可靠。一般要求建立专门的电子认证中心（CA）以核实用户和商家的真实身份以及交易请求的合法性。认证中心将给用户、商家、银行等进行网络商务活动的个人或集团发放电子证书。

电子商务中，CA的建立是建立网络银行的关键。只有建立一个较好的CA体系，才能较好地发展网络银行，才能实现网上支付，电子购物才能真正实现。CA的机构如多方并进，各建各的，以后会出现各CA之间的矛盾、客户的多重认证等。CA机构如多头设立，会对今后CA的管理带来很大的害处。所以，应有一家公认的机构如银行或邮电或安全部来建立权威性的电子认证机构（CA）。

金融服务的电子化将促进电子商务社会的发展，其中电子货币支付将是电子商务的核心。网上金融服务包括人们的各种需要内容，如网上消费、家庭银行、个人理财、网上投资交易、网上保险等。这些金融服务的特点是通过电子货币在Internet上进行及时电子支付与结算。其安全性要求有：完整认证（知道与谁交流）；信息完整；无拒付支付；有效的查账机制；隐私权。

金融机构在安全方面需要解决如下问题：

防止数据被窃听：由于Internet是一个开放的网络，上面的许多重要数据如信用卡号码、用户密码、交易信息等在传输过程中有可能被窃听。采用数据加密如使用公认的工具（如数据加密标准DES、RSA）等可以有效防止数据被窃听。

专用数据的保护：公司数据库系统在以WWW方式连接到公共网络后使网络上的数据很容易被攻击。防火墙技术是防范非法攻击的有力措施，数据库加密和保密技术也有助于防止恶意攻击。

验证用户：为了防止伪造、假冒的行为，金融机构需要确信进行电子订货或电子现金转移的个人和商家确实合法有效；需要建立可信的验证机构通过数字签名等方式进行确认。电子商务需要建立完善的验证机制。

数据完整性检验：为保证接收的数据在传输过程中未被人篡改过，可通过数据加密变换、数字签名和校验方式进行识别。

安全访问能力：在开放的公共网络环境下，为各种用户建立灵活、安全的访问途径是电子商务的基础要求。应该提供大量的个人用户访问交流条件。公共网络环境的安全系统必须是安全的且易于维护和扩展配置的系统。

系统可靠性：金融机构的服务是不能停顿的，相应的计算机网络系统必须进行每天24小时、每周7天的连续运行而不会出现故障。要求电子商务设备具有高度的可靠性，可通过双机、容错计算机系统来保证可靠性。

系统灵活性：网络与应用系统应可改革和扩充，各种新兴业务将会得到发展，如家庭银行、在线理财等。电子商务系统需要能够扩展运行各种应用的系统。

标准化支持：比如公共环境下电子支付必须具有标准化的模式才能相互通用并保证安全。智能卡迅速发展，使市场上充斥着各种电子货币，其运行空间无国家界限的限制，电子商务的标准化就显得十分重要。