首页 > 社会 > 专访 > 正文

支付安全是一个社会工程————专访北京大学金融信息化研究中心主任陈钟

2014-04-29 11:06 作者:刘敏来源:三联生活周刊
互联网支付营造了更加便捷的生活,但风险并未随着技术的创新而销声匿迹。信息技术漏洞、社会管理缺失和金融天然的风险性,都有可能成为那块漏水的短板。

 北京大学金融信息化研究中心主任陈钟

高速发展的安全隐患

三联生活周刊:目前互联网支付发展了许多新的业务形态,但其中一些颇受争议。比如3月份央行下发紧急文件,叫停支付宝、腾讯的虚拟信用卡产品,虚拟信用卡最关键的风险在哪里?

陈钟:虚拟信用卡确实存在身份验证的安全隐患,但这不是最重要的问题。虚拟信用卡是一个很聪明的做法。阿里和腾讯没有发卡的权限,就跟有发卡资格的中信银行合作,他们要发放的信用卡降低了发卡的信用额度,正规银行的额度一般在几千元以上,他们最低到了50元,用降低额度的方式来对抗监管。

但实际的问题是,如果你创造了虚拟货币的职能,那就是到了金融的领域,必须处在金融监管的范围之内。就像比特币,大家自己怎么玩都行,但一旦影响到现代货币和货币发行,那央行出来叫停也是很正常的一件事。像更早发行的腾讯Q币,如果它和人民币可双向兑换的话,那就带有了金融属性,为什么Q币至今依然可以存在,就是规定了单向兑换。

央行以身份识别、信息安全为理由叫停,确实给人一种找借口的感觉,说服力不够,甚至有人说央行是站在传统银行业的利益上来限制互联网金融创新,但背后更深层的问题,还是在于它触动了实际货币的运行。

三联生活周刊:央行同时叫停了二维码支付等面对面支付服务,从技术上来讲,二维码是一种危险的支付方式吗?

陈钟:二维码本身并没有危险。二维码是日本人发明的,有一套完整的编码体系,内含的信息要比简单的一维条码丰富。世界上使用条码的历史已经很久了,条码作为标签,一般与商品结合起来,这是种纯粹的光电读取,是一种机器和机器交互的技术。

但二维码虽然信息容量增大,但不管你怎么加密,物理上,这个条码可以直接被复制,它的易复制性没有任何本质差别。二维码本身并不是“木马”,也没有病毒。它是一种识别方式,本身没有原罪,你想放什么就放什么。但你扫这个码,软件对其做什么处理,是后面这部分决定了用户有多大的风险,这其中可能就跳转到有危险的网站,自动下载木马软件等等,现在公安系统也确实有二维码支付损失的案例。

现在一些手机卫士也可以检查二维码,扫完码之后,手机卫士能鉴别这是不是一个“钓鱼网站”。这个App就跟电脑上病毒查杀的软件是一个道理,已知的有毒网站还好办,未知的它也报不出来,还是有风险。

在很多地方,二维码就是个纯粹的标签作用,往往不在风险高的地方使用,中国人比较胆大,直接把二维码用到支付上了。我个人认为二维码做指引、信息传送还是没问题的。用来做支付、做软件安装、扣费这样高风险的行为,还是尽可能地远离。

三联生活周刊:除了二维码之外,现在还有全新的声波支付、NFC支付等创新性支付手段,这些新的支付形式的安全性有没有高下之分?

陈钟:支付手段本身只是一种技术。像NFC就是一种近距离的无线通讯协议,跟蓝牙、红外一样,都是一个短距离通讯技术。这些通讯媒介手段,各自有其规范和应用方式,但放在支付上就是另一个问题了。所以我们不能笼统地把NFC的既有标准拿来直接当作支付标准,也不能简单地说二维码不安全,NFC更安全。

现在支付上,很难讲某种技术有什么缺陷,关键是这个技术你用得合适不合适。短信验证就比其他验证方式更好吗?实际上是因为更方便。但如果手机丢了,就存在很大风险。支付包含前台支付指令的产生、移动设备的处理、信息传输,一直到银行账户转账,要把风险放在这一系列的环节中综合考虑。

三联生活周刊:已经在互联网上应用广泛的支付方式是否有足够的安全验证?比如信用卡卡面支付已经应用了很多年,但2月份携程还是爆出了信用卡信息泄露风波,这里存在着什么问题?

陈钟:携程这种是低级的内部失误,他们系统调试升级后没有及时删除临时日志,把用户的敏感信息都留在了日志里。从流程上看,他们理应有内部管理体制来防范这件事儿,而不是说所谓的调试随便就能动。像国外一些公司规定的内部管理体制还是相当严格的,技术人员想干什么要申请批准的,应该是有个首席隐私官,他批准了,做完这个事情怎么销毁日志。

从网站安全保护上来讲,携程这件事不具有代表性,从信息安全管理角度上讲,他们做错的是保存用户信用卡信息。我们现在讲的这些支付,对于老百姓来讲,这个软件是谁提供的,你是怎么做的,大家都一无所知。像信用卡CVV2码这些敏感信息,银联有明确的规定是不许存的,但网站存了之后我们也不知道。我们相信这些电商网站是公正、合规的企业,一旦他们不合规,就是非常可怕的一件事,因为金融就是建立在信用的体系上发挥作用的。这种问题实际上就是纯粹用技术解决不了的,这是管理上的问题。

三联生活周刊:4月9日又刚刚爆出了OpenSSL漏洞,OpenSSL作为一种安全协议,已经在各大网银、在线支付、电商网站、门户网站、电子邮件等领域被广泛使用,面对这种大规模的安全问题,业界是否有应对的能力?

陈钟:SSL是一个简单的安全通讯体系,把发方和收方之间传输的信息加密,让第三方无法读取通讯信息。OpenSSL是一个把SSL标准实现的开源代码,这一次出问题的是1.01版,发现的漏洞不是协议本身的缺陷,是这个版本的代码在工程实现的时候出现漏洞,使其被黑客利用。

OpenSSL的问题其实不是现在才发现的,是2012年就发现了,这其间是不是已经被人悄悄地利用了也不得而知。而且银行这种信用企业,即便发生了风险,他们也不愿意往外说。

这个漏洞爆出来之后,国内很多挖漏洞的组织都没闲着,像360公司扫描到的数据显示,国内已经有3万台服务器受此漏洞影响,波及2亿用户。这些网站就需要对版本升级。

三联生活周刊:遇到这种大规模的漏洞,传统银行与互联网公司在反应速度、修正能力上会不会有差异?

陈钟:这次做出迅速反应的,准确地说不是互联网公司,是防病毒、挖漏洞的安全公司。像阿里巴巴、百度这样的公司,也不是自己反应快,是他们这方面的部门反应快。

安全问题应该有一个体系来做,一旦发生漏洞,哪怕到了央行的安全处,他们能力再强也不行,没有这个工具就干不了这个活儿。遇到严重的安全问题时,国内有一个整体的反应,当用户意识不到的时候,国内的安全公司来做出提醒,用扫描软件来做大规模排查。靠一个银行、一个行业自身,要把安全保障做到很深还是不可能的,还是需要专业机构来协助。国内这几年已经形成了一定的安全体系,比如建立了国家信息安全漏洞库,由国家计算机网络应急技术处理协调中心和国家信息技术安全研究中心组织,一起来协作强化整个安全保障体系。

监管的真空

三联生活周刊:从世界范围看,我国的支付技术处在什么样的水平?

陈钟:现在国内支付行业人人奋勇争先,发展得太快了。像苹果公司,给iPhone5s加入指纹认证,就是踏踏实实的技术创新,等到全面建设好,技术上就提高了一个层次。苹果一直没有做NFC支付,最近才刚刚获批了两项NFC的新专利,确实跟过去的思路不一样,每一个进步都是深谋远虑的。

中国站在国际的大环境下,技术算不上国际前列,完全属于我们的东西还是非常少。国内的支付创新不是基于强大的科学技术支撑,往往是靠各种点子,这很难走得远。

阅读更多更全周刊内容请微信扫描二维码下载三联中读App,注册就有红包哦!

版权声明:凡注明“三联生活周刊”、“爱乐”或“原创”来源之作品(文字、图片、音频、视频),未经三联生活周刊或爱乐杂志授权,任何媒体和个人不得转载 、链接、转贴或以其它方式使用;已经本刊、本网书面授权的,在使用时必须注明“来源:三联生活周刊”或“来源:爱乐”。违反上述声明的,本刊、本网将追究其相关法律责任。
已有0人参与

网友评论

用户名: 快速登录

《立冬》现已上线即刻前往 App Store 搜索“三联生活节气”体验更多精彩。

《霜降》 《寒露》 《秋分》

微博@三联生活周刊
微信:lifeweek
扫描下载三联中读App
三联中读服务号