李晓枫:尊敬的欧阳司长,各位嘉宾,还有新闻界的朋友们大家上午好!我很高兴参加CFCA举办的2009中国网上银行年会。去年的时候,我曾经说过网银搞得好就是两块,一个就是用户体验,另外一个就是信息安全。网银体验刚才欧阳司长已经提到了中国人民银行已经有举动,因为网银和银行卡当中的形势一样,不能通联。现在我们正在着手解决这方面的问题,这是欧阳司长刚才给大家提到的一个工作计划,这也是提升我们网银用户体验。这块发展很快,但是作为信息安全主管部门,这块经过多年探索这块问题还很多,今天借这次机会给大家做一个汇报。
首先信息安全问题是各位领导都十分重视的一个问题,我看了一下CFCA给我提供的材料,包括今年放心安全用网银,联合宣传年这个活动,报告里面用户体验评测的结果,影响个人网上银行体验最重要的因素,安全性应当是一个非常重要的命题。我就不得不说网银安全性这个问题到底存在着哪些?安全的问题怎么发展怎么看。首先互联网比作一个江湖必须有一个秩序,所以没有秩序从法律法规健全,处在江湖里面的商业银行也好,还有黑客,潜在犯罪集团,还有敌对势力都在这个江湖里面,网银这几年的案件应该说是逐年下降的,由于各家商业银行,包括中国人民银行大家对网银的安全保障逐步重视,领导逐步重视,投入逐步增加,从公安部联合掌握的数据来看,特别经过奥运安保,还有今年60年大庆重大活动的保障,网银的案件应该比07年、08年有一个很大幅度的下降。从犯罪分子手段来看,07、08年主要是挂马盗取用户帐号,网银信息,还有证书等信息,以后用调用网站用户为主,欺骗用户,盗取用户帐户信息。目前通过银行网银存在的一些交易机制上的缺陷,甚至你的设备或者你的软件上的一些漏洞,来进行犯罪,盗取你的信息。当然了我们也发现有一些黑客对网银也采取了分布式的攻击,所以说网银安全的问题道高一尺,魔高一丈,我们在重视,在防护加强,但是案件依然存在,说实话它的破坏性也在变化,这是网民本身来看一个意识形态。
第二个网银由于利用的扩大,我想在今年上线的电子商务汇票系统上扩大了电子认证的使用,目前关于围绕着电子信息和网银应用,我们看到CA这块也存在三个突出的问题。第一个就是我们的商业银行使用服务器证书有相当的数量采用国外的颁发的证书,国外CA没有我们国家有资质。第二个由于商业汇票的推广,甚至小银行大网络的推广,自己给自己证明发证书,这个并不合法,你没有按照电子信息法达到规划的证书。第三个就是对自建CA管理的缺失。这些CA在资金设立、技术管理,管理水平,业务规范,业务流程这些过程谁去审计,谁去认证,确实管理不到。但是因为CA一旦出问题实际会导致整个我们在网上电子支付领域的问题。针对我谈的这些问题,我们中国人民银行科技司只能按照国务院领导还有银行行领导的要求,怎么来解决这些问题呢?我也想向大家汇报。
过去我们在解决网银的安全事件处理上,我们也准备了很多经验,现在我们根据这么多年摸的规律,最近中国人民银行给各家商业银行发了一个文,关于网上银行系统信息安全要求意见稿,这个也是经过中国人民银行工作,针对网银,按照国务院领导的要求,我们从安全技术,安全的管理要求,和业务运作的要求三个部分对网银系统提出要求。大家知道联合卡通用过程我是一路走过来的,我知道,但是一柜台多机互联互不通怎么解决这个问题呢,就是通过制定一系列标准规范,配合每年的检查,逐步把它上升到行业标准,依据这个文件,每年开展网银的讲座,今年7月份组建了一次。以后网银每年把它作为一个制度化的规定来进行建设,制度保障上提高网银保障水平。同时也结合明年工作,要贯彻落实信息系统等级保护制度,并对商业银行列入二级以上的系统进行检测,也要求商业银行进行自身的风险评估,制度化解决网银安全问题。
第二个围绕着CA我们也想开展这方面的工作,跟信息化部进行合作,要对商业银行进行调研,从CA的准入金融银行的准入要有规范,对CA的审计要拿出一个规范化的管理,这样才能保证整个网银的安全奠定了一个比较好的基础。CFCA发起的放心安全用网银宣传年活动也是非常重要的,对公众教育也是不可缺少的,这个活动举行五年切实有效提高了网银快速发展,也提高了公众对使用网银的安全意识,在整个业界取得了很好的反响。我在这里也衷心的希望在下一步发展的日子里,各商业银行包括CA我们要更加紧密的合作,进一步推进电子支付互联网支付的应用,共同巩固我国电子支付有一个良好的发展环境,谢谢大家!预祝这次年会圆满成功!