电子交易风险防控要多重认证

    作者：中国计算机报 高春燕

电子交易渠道正在成为越来越多人的首选。2011年，电子交易渠道在浦发银行全行交易渠道中的占比保持在75%以上，网上银行电子业务替代率达43.06%。 民生银行2011年电子银行交易额同比增长45 .22%，网上银行交易替代率超80%，交易笔数相当于柜面的4倍，已经成为该行客户交易的主要渠道。然而，当你离开银行柜台，将缴费、转账、支付货款等业务都放在网上时，交易的风险也正在上升。

多重认证保证账户安全

从ATM、POS机，到网上银行，再到手机银行，随着智能手机、平板电脑等移动终端的迅速发展，银行电子交易不断拓宽，交易风险也不断上升。去年，中国银行网银升级的诈骗短信，诱骗用户点击相应链接登录账户，被黑客窃取账号信息，造成个人财产损失；今年“3·15”晚会曝光招商银行、工商银行内部员工贩卖客户个人信息获利的事件，一条盗取用户隐私并获利的黑色产业链呈现在公众面前。尽管当前银行系统的安全防护措施已经相当完善，但也并非万无一失。

“当前，电子交易风险来自多个方面，网络账号盗用现象已经非常普遍，用户因此而蒙受的财产损失巨大。另外，黑客利用木马、蠕虫病毒、恶意程序破坏用户交易，篡改用户转账的对象账户和转账金额，并从中获利。”上海林果实业有限公司（以下简称上海林果）副总裁韩阿龙在接受本报记者采访时表示，“现在的黑客将大额的恶意转账行为划分成上百个小额的转账，以此躲避公安机关的追捕和惩罚力度，给用户追回损失造成了很大困难。”

身份认证是银行电子交易渠道的重要防线。目前，国内主流的身份认证技术包括动态口令技术和基于PKI体系的数字签名技术，产品形态分别是动态令牌和USBkey。“相比USBkey而言，动态令牌的使用门槛比较低，而且无论用户使用笔记本电脑、智能手机、平板电脑，都可以使用，不必担心没有USBkey插孔。”韩阿龙告诉本报记者，从防护效果上看，动态令牌和USBkey不相上下，未来身份认证技术的发展趋势是“动态令牌和第二代USBkey”。而上海林果生产的令牌具有“双因子认证”功能，“用户转账时不仅认证我是谁，还包括转账对象是谁。从单方面认证发展成双向认证”。

种子密钥是令牌最核心的关键安全数据，它的私密性和安全性直接决定了动态令牌的安全性。一旦令牌种子密钥数据泄露，将给用户的账户安全带来极大风险。为此，上海林果去年推出了一种采用种子密钥更新技术的动态令牌，它支持动态令牌的发行者或用户根据需要安全地更新动态令牌的种子密钥，即使动态令牌发行者的种子密钥数据库被黑客窃取，也能通过更新动态令牌的种子密钥，恢复已经发行的动态令牌的安全性，这样就大大消除了因动态令牌初始密钥外泄引起的安全风险。

        电子交易风险监测机制急需建立  

    除了在网络层部署防火墙、IPS/IDS、杀毒软件，在应用层部署安全认证系统解决方案之外，通过风险监测体系，银行业可以有效降低信息安全风险。因此，银行业对信息安全风险监测的重视程度也越来越高。

    韩阿龙向记者介绍称：“交易监测的思路是用户随时可以进行电子交易，银行后台的监控系统检测该交易是否有风险，风险级别是高还是低。”对与风险监测的标准，韩阿龙表示上海林果主要通过“短期内用户交易地点的变动、IP地址和常用电脑的品牌及特性、建立转账对象白名单制等方式来监测电子交易的风险性。如果没有风险就直接授权用户完成交易，如果存在风险，检测系统就会通过各种问题核实用户身份和交易的真实性”。通过后台与前台的互动，前台技术要求降低了，同时后台系统给前台系统提供各种风险排除策略、风险点监测等。“电子交易风险监测在国内才刚刚起步，我国的银行业界需要努力的内容还有很多。”