|
主持人:銀行可以保證他不會一晚上就變成窮光蛋,如果他確實是一個百萬富翁的話。
冠群電腦有限公司技術(shù)總監(jiān)孫冠軍:
各位領(lǐng)導(dǎo),各位來賓,我今天介紹我們公司在銀行方面的技術(shù)和對中國銀行的看法。我是負(fù)責(zé)技術(shù),主要從技術(shù)方面跟大家探討一下全球銀行技術(shù)發(fā)展方面的動向。我今天講的
主要是前面三個部分,如果大家有問題的話,我們可以探討。
首先我們講講銀行業(yè)方面的十大熱門技術(shù),這是我們銀行方面面臨的重要的技術(shù)。第二點,我跟大家探討一下,剛才很多領(lǐng)導(dǎo)和一些同仁、教授也提到了,我們在銀行業(yè)方面,其實有很多的業(yè)務(wù)。我主要講一下零售、批發(fā)業(yè)務(wù)方面,在2001年的戰(zhàn)略性的計劃,盡管我們現(xiàn)在已經(jīng)九月份,現(xiàn)在2001年有點晚,但是我們的計劃也是在不斷調(diào)整。第三點,給大家介紹一下電子商務(wù)管理方面的架構(gòu),這也是我們公司技術(shù)方面的介紹。
在銀行方面,剛才我們的領(lǐng)導(dǎo)和各位專家教授都提到了,銀行現(xiàn)在面臨很大的挑戰(zhàn),我今天主要從IT角度來說,看一下銀行方面的挑戰(zhàn)。我說IT,大家都很明白,我們IT的發(fā)展必須是業(yè)務(wù)的驅(qū)動,如果中國沒有WTO的臨近,可能今天也不會有那么多人在這里聽,我們銀行業(yè),整個IT怎么樣去走。所以說,整個IT的發(fā)展應(yīng)該很明顯的要有業(yè)務(wù)的驅(qū)動。前一段時間,我們互聯(lián)網(wǎng)技術(shù)是受到業(yè)務(wù)的驅(qū)動才會有新的技術(shù)出現(xiàn),這是商用模式下通用的準(zhǔn)則。同樣的,這個圖對我們中國銀行業(yè)是非常有用的,不管我們下一步會有什么樣的挑戰(zhàn),我們需要建立一個新的業(yè)務(wù)環(huán)境,需要建立新的業(yè)務(wù)流程,同時建立新的系統(tǒng)。這個新的系統(tǒng)出來,對IT是非常大的挑戰(zhàn),大家知道,前一段時間,銀行要升級,或者說系統(tǒng)有問題,都會影響到我們每個人的生活,所以這是我們一個通用的準(zhǔn)則,跟大家共享一下。
在金融證券業(yè)方面,目前國內(nèi)金融方面面臨一個很大的挑戰(zhàn),第一個就是管理公司架構(gòu)及業(yè)務(wù)模型的變化,這句話是有非常深刻的含義,剛才IBM的一位同事也講到,中國的金融業(yè)是處在初級的,在以前計劃經(jīng)濟(jì)下面國家管理嚴(yán)格的金融機(jī)構(gòu),但是大家看到,在整個亞洲,整個的中國,金融業(yè)都有了很大的變化。第一個就是合并,公司的合并與業(yè)務(wù)的合并,有很大的挑戰(zhàn)。我們公司的合并和業(yè)務(wù)的模型發(fā)展變化的時候,我們IT部門如何支持這個過程。剛才我們的教授等都提到安全性,我們的銀行保證客戶的隱私性。第三是安全性。第四是數(shù)據(jù)的分析,大家越來越認(rèn)識到整個業(yè)務(wù)發(fā)展的重要性,我們在座的也不是很明確,我們?nèi)ャy行發(fā)生的任何一比操作,其實銀行是可以很好地利用客戶的任何行為來分析,比如一些部重要的客戶,如何利用這個數(shù)據(jù),來進(jìn)行數(shù)據(jù)的挖掘是很重要的,數(shù)據(jù)的抽取和數(shù)據(jù)共享也是很重要的挑戰(zhàn)。第五,涉及到錢,剛才網(wǎng)上的網(wǎng)民問到的問題,就是所謂的欺詐以及黑客的風(fēng)險,另外就是金融資產(chǎn)的管理,這是我們整個銀行發(fā)展的重要方面。第六,也是我們在座的各位很感興趣的,就是我們客戶服務(wù)質(zhì)量的衡量。我們現(xiàn)在做每一個客戶服務(wù)的話,從銀行自己的角度去看,我是要完成我們的業(yè)務(wù),但是我們怎么樣完成業(yè)務(wù)呢?是我們的客戶在幫助我們支撐業(yè)務(wù)。包括在全球很重要的一點就是我們怎么樣對客戶服務(wù)質(zhì)量衡量。大家都知道,我們做的都是產(chǎn)品,提到產(chǎn)品的時候,就是賣個汽車,賣各電器,同時我們在金融業(yè)做的也是產(chǎn)品,我們的產(chǎn)品去做促銷,是有目標(biāo)的客戶。就象賣汽車,賣電器一樣,我們要尋找客戶,這就是我們的挑戰(zhàn)。
下面談?wù)勩y行業(yè)IT的十大熱門技術(shù),這是2000年對2001年的一個調(diào)查,我要重申一點,在這里看到的技術(shù),每時每刻都在發(fā)生變化,第一點,前面已經(jīng)提到了,百分之七十,甚至百分之八十的時間都在講安全,現(xiàn)在后面也會有很多人講到安全,所以在銀行里面安全是很大的一個技術(shù)。第二點是電子貿(mào)易的文檔,利用互聯(lián)網(wǎng)技術(shù)形成的很重要的一點,我們很多通過電子的方式來實現(xiàn)的,這是第二個熱門的技術(shù)。第三是ISP,在中國我接觸過很多的銀行,基本上我們的業(yè)務(wù)都是由銀行自己去支撐,國外目前的一種發(fā)展趨勢,就是說銀行可能會有百分之四十、五十的業(yè)務(wù)通過ISP的方式來實現(xiàn),也就是說通過第三方的服務(wù)提供商來實現(xiàn)的。第四個,我們也講到了在線隱私保護(hù),作為安全范疇的一部分。第五是在線貿(mào)易,我想大家也聽到了很多。還有電子證書/PKI。第七,是在線信用卡的欺詐檢測,現(xiàn)在有很多的卡,VISA Master等還不算是真正意義的信用卡,為什么?因為還是信用的問題,如何來在線檢測我們信用的使用,也是銀行里面一個很重要的技術(shù)。第八是風(fēng)險管理。大家已經(jīng)很清楚了,不管對個人也好,對集體也好,對銀行的風(fēng)險管理。第九是e-eCRM,曾經(jīng)有一段時間CIMP是非常熱烈的話題,但是如果把E去掉的話,eCRM已經(jīng)很落后了。這些技術(shù)里面,通過業(yè)務(wù)的客戶來評選出來的,所以eCRM是非常重要的。
最后一個,大家聽到的中間件就是最專業(yè)的一個詞,但是排在第十位,因為它相對于前面九個來說重要性可能是相對少一點,因為是純IT的,純技術(shù)性的東西。這是前面在金融方面、證券業(yè)方面面臨的十個技術(shù)。
下面再看看,目前在2001年的十大戰(zhàn)略性計劃,全球的銀行在2001年正在做的十個靠前的計劃。第一是后臺集成與轉(zhuǎn)型。不知道大家有沒有印象,因為我看到,包括各位嘉賓也提到,我們的銀行業(yè)要得到客戶的信息。比如我一有張存款,拿著我的信用卡去消費,我的存款里可能有十萬、一百萬,但是信用卡透支一萬塊,銀行認(rèn)為我的信用等級很低,因為我們在銀行的后臺集成、和轉(zhuǎn)換方面做得很好,我們和其他的公司合并業(yè)務(wù)的時候,我們的客戶,我們的信息就能做到這一點。這是我們中國銀行已經(jīng)做了很多年的IT投資,我們?yōu)榱擞覹TO的挑戰(zhàn),這也是一個很重要的計劃,他們把這個擺在第一位。第二是數(shù)據(jù)的質(zhì)量與集成。也就是說我們所得到的數(shù)據(jù),即我們拿到任何一筆業(yè)務(wù),能不能保證數(shù)據(jù)的質(zhì)量。第三是缺省預(yù)測及市場信貸的評估,還有一個是多渠道,反映到個性化,剛才我已經(jīng)講到了,一個企業(yè)在銀行里面,他是一個完整的實體,他在銀行里所有的信用應(yīng)該是作為一個整體來考慮,同時我們應(yīng)該如何對企業(yè)進(jìn)行個性化的服務(wù),這是我們多渠道環(huán)境到的個性化。
第五個是電子的采購,我們在制造業(yè)和其他行業(yè)可以引申到金融行業(yè)的一個計劃。第六個是smarts groups routing,我們的用戶有需求的時候,后臺的東西全部是透明的,他可能會跟其他銀行,跟其他機(jī)構(gòu)發(fā)生關(guān)聯(lián),只要進(jìn)入我這個系統(tǒng)以后,我們的系統(tǒng)能夠提供智能的業(yè)務(wù)流程的實現(xiàn)。第七個,客戶關(guān)系管理的規(guī)則,我們的業(yè)務(wù)是從客戶關(guān)系管理的角度做我們的業(yè)務(wù),我們業(yè)務(wù)的方向在發(fā)生變化,我們怎么樣信任我們的客戶,保留我們的客戶。
然后就是電子化的兌換,以及電子的通訊網(wǎng)絡(luò)在銀行內(nèi)部的業(yè)務(wù)交換,是否完全可以通過電子的通訊來實現(xiàn)。給我們客戶提供一些建議,電子化的,一個企業(yè)在你這兒進(jìn)行所有的錢的交易,你是不是給他一個很好的建議,不管是在存儲業(yè)務(wù)上還是在發(fā)展方面,還是在投資方面,這是我們金融行業(yè)目前一個很重要的作用。
第十個就是衡量的準(zhǔn)則,我們對IT的投資有沒有一個很好的衡量準(zhǔn)則。我們國內(nèi)銀行都采取分布式的系統(tǒng)。現(xiàn)在有的采取集中式的系統(tǒng),有的在做大集中,分區(qū)域的集中,我們做這些投資的時候,有沒有比較好的從業(yè)務(wù)角度建立一個比較好的衡量準(zhǔn)則,這樣我們做任何的IT投資的時候,我一開始就講這是非常重要的地方,這就是我們銀行2001年十項比較重要的戰(zhàn)略性計劃。
第一點,因為個性化的帳戶信息和門戶,我們很多用戶可能手里拿了十張八張的存折,拿了十張八張的卡,同時在一個銀行里有很多卡,我們做銀行和電子交易過程當(dāng)中,能不能提供一個非常好的個性化的帳戶信息,使的他每個人在這個銀行里有一個非常清晰的描述,還有在線的欺詐檢測,有很好的隱私管理。最后跟大家講的第九點就是移動的電子商務(wù),這對個人禮說,也是比較重要的動作,因為移動電子商務(wù)的話,大家都已經(jīng)現(xiàn)在的GPRS,CDMA,日本的3G的業(yè)務(wù)模式,他們在移動電子商務(wù)應(yīng)用得非常好。剛才講到,我們可以更快一點地利用國外的技術(shù),比如說電子商務(wù),我相信明年再講的話,銀行要考慮的就是前面三個計劃。這是銀行在2001年的戰(zhàn)略性的計劃。
我一直在強(qiáng)調(diào),我是從技術(shù)角度來說的,技術(shù)永遠(yuǎn)是來支持業(yè)務(wù),降低價格,執(zhí)行的成本增加,提供增值的服務(wù),一定是為業(yè)務(wù)服務(wù)的。第二點,我相信大幅度盈利的時代已經(jīng)結(jié)束了,我們的客戶會更加挑剔,他們跟銀行的關(guān)系,更有實力的客戶將決定他與銀行的關(guān)系。技術(shù)發(fā)展很快,我們不可能在短時間之內(nèi)通過技術(shù)獲得投資,如何保護(hù)投資是很重要的方面。
我花很大的時間給大家介紹了銀行、證券業(yè)在技術(shù)方面的發(fā)展趨勢和方向,下面直接給大家介紹一下我們在軟件方面的技術(shù)。
我們的CA公司是一個獨立的軟件公司,我們在電子商務(wù)船間的角度來說,主要面臨三個大的挑戰(zhàn),第一,就是體系架構(gòu)的管理,銀行里技術(shù)架構(gòu)的管理非常重要,我們要建立一個技術(shù)架構(gòu),同時保證這個技術(shù)架構(gòu)是為銀行業(yè)務(wù)服務(wù)的,比如說高可用性、穩(wěn)定性,高的服務(wù)管理,程序方面、數(shù)據(jù)保護(hù)方面的技術(shù)。另外是信息的管理,我都提到數(shù)據(jù)、信息和支持的要求,如果我們把銀行的數(shù)據(jù)用高質(zhì)量的數(shù)據(jù)轉(zhuǎn)換成銀行可利用的信息和知識,為我們銀行的業(yè)務(wù)服務(wù),這是我們在銀行電子業(yè)務(wù)方面,IT部門一個很重要的挑戰(zhàn)。
第二是業(yè)務(wù)流程的管理,有人提出業(yè)務(wù)、提出需求的時候,我們把業(yè)務(wù)更快更準(zhǔn)、更方便地實現(xiàn),講一個例子,比如業(yè)務(wù)流程管理方面很重要的例子,國外的一個新業(yè)務(wù)提出來的時候是六周,兩周做業(yè)務(wù)的評估,三周的時間做實施,一周做整個業(yè)務(wù)的質(zhì)量的檢測。所以說,這個流程的管理,如何把業(yè)務(wù)部門提出的需求,IT部門更快更好地實施也是非常重要的方面。我們在技術(shù)架構(gòu)的管理方面、信息管理和流程管理方面,是目前軟件在金融業(yè)方面的三大挑戰(zhàn)。
這是整個軟件市場的情況,大家看到,技術(shù)架構(gòu),軟件分三成個部分,我們銀行的朋友和客戶都會看到整個市場的現(xiàn)象,應(yīng)用軟件發(fā)展的情況,應(yīng)用開發(fā)部署的情況,技術(shù)架構(gòu)的范圍情況。從2001到2004年中國在這個圖里應(yīng)該發(fā)揮更大的作用,因為我們正面臨著重大的挑戰(zhàn)。
這里在技術(shù)上不詳細(xì)介紹的,軟件管理、信息管理和電子商務(wù)流程管理的措施,這是體系架構(gòu)管理的技術(shù),包括網(wǎng)絡(luò)自動化的應(yīng)詢,服務(wù)登記化的管理及IT資源的管理,數(shù)據(jù)庫的管理。安全方面也是這樣的,大的結(jié)構(gòu)來說,剛才已經(jīng)在細(xì)節(jié)方面大家談了很多,黑客之類的,我們認(rèn)為安全方面主要分為三個大的部分,為了保護(hù)我們的用戶,為了保護(hù)我們的資產(chǎn),我們的用戶和資產(chǎn)之間建立非常透明的程序訪問的渠道,主要有防御、訪問和管理,這是安全管理技術(shù)方面的一個框架。
數(shù)據(jù)保護(hù)方面也是這樣的,包括數(shù)據(jù)的管理、企業(yè)存儲資源的管理和存儲的架構(gòu),包括備份的恢復(fù),數(shù)據(jù)的高延展性,遠(yuǎn)程的容災(zāi)的技術(shù),這都是存儲管理的方面。
另一方面電子商務(wù)的信息管理,我們把信息管理的框架分為兩個大的部分,一個是轉(zhuǎn)換與集成,第二是電子商務(wù)智能華。我剛才舉了一個例子,國外的銀行一個新的產(chǎn)品業(yè)務(wù)推出里的時候,周期是非常短的,大概是六周,給我們的IT部門也就是三周的時間,如果我們不能建立比較好的支撐業(yè)務(wù)發(fā)展的一個IT的模型的話,比較完善的架構(gòu)的話,很難支撐這個業(yè)務(wù),就是六周發(fā)展的要求。電子商務(wù)的集成,包括銀行業(yè)務(wù)的建模,包括數(shù)據(jù)的建模,信息的建模和業(yè)務(wù)的建模,包括業(yè)務(wù)的開發(fā)和部署的過程,業(yè)務(wù)的流程管理,我們叫transformation。其實在新的業(yè)務(wù)方面,也要鄭虎這樣的過程,只有建立比較好的這樣的過程,我們才能很快地進(jìn)行部署。
另一方面集成方面,大家可能聽說過集成的概念,一個是B TO B,一個是,特別是中國金融證券業(yè),應(yīng)該會有一個比較大的合并和業(yè)務(wù)重組,在這里面,他的企業(yè)應(yīng)用集成是一個非常重要的環(huán)節(jié)。比如說我們把一個分支系統(tǒng),作為一個大集成的系統(tǒng),應(yīng)用的轉(zhuǎn)換和集成是非常重要的一個環(huán)節(jié)。
另外是電子商務(wù)的智能,剛才講如何獲取高質(zhì)量的數(shù)據(jù),把這個數(shù)據(jù)轉(zhuǎn)換成信息,和我們支撐業(yè)務(wù)發(fā)展的知識,當(dāng)然這里包括客戶關(guān)系的管理,數(shù)據(jù)的分析、挖掘和預(yù)測,個性化的門戶技術(shù)。
前面我講了銀行業(yè)所面臨的挑戰(zhàn)和我們在軟件技術(shù)方面所需要的技術(shù),這里是我們公司的產(chǎn)品,我就不詳細(xì)介紹了。
前面講了一些挑戰(zhàn)和技術(shù),很重要的目的是什么呢?我想在座的各位已經(jīng)感覺到,我們是為了支撐整個業(yè)務(wù)的變革,現(xiàn)在不僅僅是中國,整個亞洲的金融業(yè)方面,相對世界來說,還有一定差距,這張圖就是說,如果有一個企業(yè),一個個人的話,我們銀行基本上有不同的系統(tǒng)針對客戶,也就是說,沒有集成起來。我們的目標(biāo)是什么呢?我們的目標(biāo)是我們的系統(tǒng)是集成起來的,各個渠道對客戶的服務(wù)是統(tǒng)一的、一致的。怎么來實現(xiàn)呢?就是通過我們的技術(shù),通過我們的IT部門實現(xiàn)。我想在座的各位都是IT部門,我想我們應(yīng)該有信心,也有能力,利用先進(jìn)的技術(shù)幫助目前銀行業(yè)方面整個業(yè)務(wù)方面的架構(gòu)和模型。
網(wǎng)友:中國軟件業(yè)是否應(yīng)該與中國的金融界合作開發(fā)有自主知識產(chǎn)權(quán)的銀行專用軟件?
孫冠軍:我們中國已經(jīng)有很多的軟件的企業(yè),其實也自主開發(fā)了一些國內(nèi)的金融軟件,我們CA公司其實有很好的技術(shù)和軟件,我們公司差不多有二十五年的軟件歷史經(jīng)驗。但是我們中國不管是金融行業(yè)還是其他行業(yè),如何使我們的軟件的開發(fā)質(zhì)量、速度、商品化方面來一個提高,這是我們中國軟件業(yè)要做的一件事。但是我希望我們CA公司在國內(nèi)有很多的合資公司,有很多的投資,主要是想把我們軟件快法的經(jīng)驗跟國內(nèi)的這些軟件金融也好,一些開發(fā)的企業(yè)共同推進(jìn)中國軟件的發(fā)展。
主持人:下面請中國金融認(rèn)證中心總經(jīng)理劉大隆先生演講。
劉大隆:各位早上好,剛才這位小姐問了懷教授一個問題,如果一個百萬富翁由于網(wǎng)上攻擊,一夜之間變成了窮光蛋,銀行怎么辦?懷教授沒有回答,主持人曹總替他回答,說銀行可以保證你不會變成窮光蛋,如果你是一個百萬富翁的話。那么,銀行怎么樣來保證百萬富翁不變成窮光蛋?這就是我一會兒要講的內(nèi)容。
我今天講的題目是注重信息安全,健康地發(fā)展我國的電子商務(wù)。我從電子商務(wù)的角度來談?wù)勲娮由虅?wù)的安全問題。
這兒有一組數(shù)字,是美國信息技術(shù)咨詢公司提供的,他列出了全球電子商務(wù)發(fā)展的一個趨勢,1999年是2279億美元,2000年4330億美元,翻了將近一倍。2001年,預(yù)計將達(dá)到9190億美元,到2005年是85000億美元。應(yīng)該說,這個趨勢是非常樂觀的。
我們再來看看網(wǎng)絡(luò)銀行發(fā)展的現(xiàn)狀。
前面兩個數(shù)字是我從人民銀行戴向龍行長的報告中摘取的,我相信應(yīng)該是準(zhǔn)確的。美國的網(wǎng)絡(luò)銀行數(shù)量,已占所有銀行和儲蓄機(jī)構(gòu)總數(shù)的12%。歐洲網(wǎng)銀100多家,三分之一的儲蓄通過互聯(lián)網(wǎng)進(jìn)行。中國已經(jīng)有20多家銀行的200個分支機(jī)構(gòu)擁有網(wǎng)址和主頁,其中實質(zhì)性的網(wǎng)銀業(yè)務(wù)的分支機(jī)構(gòu)達(dá)50多家,客戶超過4多萬戶。招商銀行網(wǎng)銀交易總額超過一萬億,這是一個非常好的趨勢。
當(dāng)然有的同志提出這樣的問題,前不久紐約的世貿(mào)中心遭到了恐怖分子的襲擊,據(jù)說會給美國經(jīng)濟(jì)帶來非常大的影響,同時也牽連了世界經(jīng)濟(jì),也會受到影響,會衰退。當(dāng)然有不少的專家在分析恐怖分子的襲擊到底能造成多大的影響。我個人認(rèn)為,我同意影響不會太大的觀點。特別是我認(rèn)為,這種事件,其實是促進(jìn)了電子商務(wù)的發(fā)展,現(xiàn)在有一些銀行,采用的是沒有營業(yè)部的,網(wǎng)絡(luò)處理的業(yè)務(wù),在恐怖分子襲擊中,不會受到什么影響。它的數(shù)據(jù)可以在隨便一個什么不起眼的地方放起來,只要通訊一恢復(fù),馬上就可以恢復(fù)業(yè)務(wù)。因此,我認(rèn)為,從電子商務(wù)的角度來講,也許又帶來了一個繁榮、興盛的下一個階段。這是我的觀點,不知道各位是否同意。
電子商務(wù)是一個好東西,可是電子商務(wù)也有問題。這個問題咱們來看看最近中國互聯(lián)網(wǎng)信息中心發(fā)布的一組數(shù)字。現(xiàn)在用戶認(rèn)為網(wǎng)上交易存在的最大問題是什么呢?高達(dá)33.4%的被調(diào)查人群提到的是安全性得不到保證。也還有一些問題,還有6.0%的人認(rèn)為網(wǎng)上信息不可靠,還有質(zhì)量、服務(wù)、信用問題是33%的比例。可以看出,信息安全問題已經(jīng)是電子商務(wù)發(fā)展的一個非常重要的癥結(jié)。
在網(wǎng)上主要用戶采用什么安全措施呢?這里面,也列出了一些,寫得還是不錯的,特別是在使用防火墻方面居然可以達(dá)到67.6%,防病毒軟件可以達(dá)到74.5%,其他還有密碼加密,電子簽名什么等,什么措施都不采用的是3.6%。看來我國的網(wǎng)民對安全問題還是有一定的重視的。但是我要是點評這篇數(shù)字,我認(rèn)為電子簽名7.3%是遠(yuǎn)遠(yuǎn)不夠的。下面我會講講道理。
我列出了2000年網(wǎng)絡(luò)犯罪的十大案例。應(yīng)該說網(wǎng)絡(luò)犯罪是五花八門,有黑客案,還有網(wǎng)絡(luò)色情犯罪案,有網(wǎng)上拍賣詐騙案,有虛假廣告案,有網(wǎng)絡(luò)洗錢案,還有電子郵件的詐騙案,還有電子商務(wù)走私,破壞計算機(jī)系統(tǒng),網(wǎng)絡(luò)糾紛引起兇殺等案件。在這里,十個中有四個是牽涉到經(jīng)濟(jì)的,也就是利用網(wǎng)絡(luò)來進(jìn)行經(jīng)濟(jì)詐騙。網(wǎng)絡(luò)犯罪的特點比1999年上升了30%,數(shù)量增加了,手段也多樣化,水平也比以前有所提高。這是值得大家警惕的問題。
從國際上來講,美國這樣的一個安全技術(shù)比較領(lǐng)先的大國,同樣發(fā)生了觸目驚心的網(wǎng)絡(luò)詐騙案,這是發(fā)表在媒體上的一個阿普杜拉案件,是今年春天發(fā)表的案件,有一個雜志,專門登富翁排行榜的雜志,對前200名內(nèi)的部分富翁進(jìn)行詐騙,金額達(dá)到1000萬美元以上。采用的手段說起來不是特別高級,首先用一個假造的公司文件印章,向信用報告公司索取目標(biāo)人金融資料。比如說斯皮爾博格,是二百個富翁中的一個,利用他假造的名譽(yù)文件向信用報告公司索取資料。信用報告公司一定要打電話核實,犯罪分子利用一個偽裝的網(wǎng)絡(luò)電話,來自動答入說我不在。信用公司的業(yè)務(wù)小姐就信以為真了,于是從信用公司寄給目標(biāo)人的帳號,股票經(jīng)紀(jì)密碼,信用卡資料。詐騙人通過加密的電子郵件寫給目標(biāo)人所代理的銀行,要求銀行劃轉(zhuǎn)資金或者支付用假信用卡的購物款。這個犯罪手段我認(rèn)為并不高級,可是為什么能得逞呢?這就是我要講的事情。
對于我國的信息安全,現(xiàn)在面臨著幾大威脅。剛才已經(jīng)講到,信息犯罪有快速蔓延的趨勢。一年居然增長30%,數(shù)量增高,水平也提高。第二是信息與網(wǎng)絡(luò)的安全防護(hù)能力差。很多計算機(jī)系統(tǒng),無論是金融行業(yè),還是非金融行業(yè)的計算機(jī)系統(tǒng)在網(wǎng)絡(luò)保護(hù)方面舍不得投入,網(wǎng)絡(luò)的防護(hù)能力特別差,有的只用簡單的口令識別系統(tǒng),這是遠(yuǎn)遠(yuǎn)不夠的。第三,基礎(chǔ)信息產(chǎn)業(yè)嚴(yán)重依賴于國外。現(xiàn)在使用的計算機(jī),大型機(jī)肯定都是國外的,中型機(jī),小型機(jī)大多數(shù)也是國外的,就算是微機(jī),芯片和CPU是國外的。我們的操作系統(tǒng)中國還沒有成氣侯的,主流的操作系統(tǒng),用的都是國外的操作系統(tǒng)。基礎(chǔ)信息產(chǎn)業(yè)嚴(yán)重依賴于國外,造成了安全的隱患。
第四個對引進(jìn)技術(shù)和設(shè)備缺乏安全檢測。我們也有這方面的機(jī)構(gòu),但是沒有這方面的法規(guī)。所以引進(jìn)的這些設(shè)備大部分沒有經(jīng)過安全檢測。第五,信息安全管理機(jī)構(gòu)缺乏權(quán)威。現(xiàn)在這方面應(yīng)該說有好幾個單位都在管,好幾個部委都在管。我是搞金融認(rèn)證的,也打交道,公安部、安全部、中辦機(jī)要局都在管,誰都說他管的是唯一的,有效的,實際上誰都不唯一。第六個,公眾信息安全意識淡薄。
為了保證電子商務(wù)的安全,要提供全方位的安全的服務(wù),這里面,我想主要是包含三方面的內(nèi)容。
一個是信息技術(shù)安全,一個是安全的管理,還有一個就是與安全相關(guān)的政策法規(guī)的建立和完善。信息安全技術(shù)里面,又分成系統(tǒng)環(huán)境安全和應(yīng)用交易安全。系統(tǒng)環(huán)境安全里面分網(wǎng)絡(luò)安全、物理安全、運行環(huán)境安全、系統(tǒng)關(guān)鍵設(shè)備的備份和應(yīng)急措施,災(zāi)難備份等方面。
在應(yīng)用交易安全的主要目的是保證合法用戶,在系統(tǒng)中完成權(quán)限內(nèi)的操作,這是應(yīng)用交易安全工作的一個核心。這里也包括不可否認(rèn)性,信息的可審查性。
信息安全技術(shù)中又分幾方面,防火墻技術(shù)、加密技術(shù)、認(rèn)證技術(shù)、防治病毒技術(shù)及其他技術(shù)。
防火墻技術(shù),我相信金融界,IT同行都已經(jīng)很熟悉了,這里分成幾種防火墻的類型。加密技術(shù)主要分為對稱加密技術(shù)和公開加密技術(shù)。目前我們金融行業(yè)中大量使用的對稱加密技術(shù),比如保密機(jī),中國人民銀行,電子聯(lián)行系統(tǒng)現(xiàn)在用的就是這種對稱的密鑰加密技術(shù)。對稱密鑰加密技術(shù),達(dá)到128位以后,從實踐上認(rèn)為是不可攻破的。但是對稱加密技術(shù),由于密鑰管理困難,所以在1978年,世界上誕生了公開密鑰的加密技術(shù),即非對稱的,這種加密技術(shù)使得密鑰管理簡單化,可以在互聯(lián)網(wǎng)上,廣泛的廣域網(wǎng)上進(jìn)行,而且有數(shù)字簽名的功能,可以使數(shù)據(jù)保持它的完整性和不可否認(rèn)性。
我再提提網(wǎng)絡(luò)身份認(rèn)證技術(shù)。網(wǎng)絡(luò)身份技術(shù),有多種,剛才提到基于PKI公鑰基礎(chǔ)設(shè)施數(shù)字證書的認(rèn)證,這個在互聯(lián)網(wǎng)上用得比較廣泛。除此以外,還有非PKI的技術(shù),比如口令識別,比較簡單的。還有計算機(jī)硬件特征識別,我在最近一些媒體上看到有的ID Shield的系統(tǒng)這種方式,同時輔助以口令識別,是雙因子的認(rèn)證系統(tǒng)。還有生物特征的識別,指紋識別系統(tǒng),虹膜識別系統(tǒng),這種識別是非常安全和可靠的,但是由于它的特點不在適用于網(wǎng)上的安全認(rèn)證識別。
我是搞認(rèn)證的,我想把認(rèn)證技術(shù)說得更多一些。使用PKI公鑰基礎(chǔ)設(shè)施進(jìn)行的數(shù)字證書的認(rèn)證技術(shù),主要解決數(shù)據(jù)信息的身份信任、數(shù)據(jù)信息的完整性、不可否認(rèn)性和私秘性。這四性,搞過證書的人是很熟悉的。
PKI是什么東西?是基于公鑰加密技術(shù)的基礎(chǔ)設(shè)施,是一種技術(shù)的組合服務(wù),這個組合服務(wù)里,包括這樣幾個因素,一個是認(rèn)證機(jī)關(guān),就是經(jīng)常聽到的CA認(rèn)證中心,還有證書倉庫,密鑰管理備份更新及恢復(fù)系統(tǒng)。證書作廢處理系統(tǒng),客戶端的證書處理系統(tǒng),這是指使用系統(tǒng)的應(yīng)用系統(tǒng),是配套的。還有時間戳服務(wù),就是利用證書再配上時間戳的軟件,可以在做的電子商務(wù)的交易中,打上唯一的時間的標(biāo)記,日期、時間,這樣作為法律有效的根據(jù)保存下來,以便日后如果出現(xiàn)糾紛的話,可以提交法律裁決。
交叉認(rèn)證服務(wù)是指不同的CA之間進(jìn)行相互的交叉認(rèn)證。
信息安全技術(shù)中還有防止網(wǎng)絡(luò)病毒的問題。這個我不仔細(xì)講了,大家對此可能最熟悉,防止病毒應(yīng)該多方面防止,不是僅僅在自己的服務(wù)器上進(jìn)行防止。
除此以外還有其他的一些技術(shù),比如說防火墻,還有一些繞過防火墻的攻擊,我們以前聽到的拒絕服務(wù)攻擊和分布的拒絕服務(wù)攻擊,這些東西靠防火墻是做不到的。怎么樣做到呢?要加裝入侵檢測軟件,ISS,我們用的就是這個軟件,有效地檢測了拒絕服務(wù)攻擊。國內(nèi)聽說也有一些軟件生產(chǎn)出來了。
另外系統(tǒng)的安全設(shè)計、密鑰管理訪問控制、安全審計、漏洞掃描、災(zāi)難備份恢復(fù),都?xì)w在其他的技術(shù)中了。在電子商務(wù)中,這些都是需要考慮的。
再看看安全管理,安全管理是非常重要的,據(jù)BISS數(shù)據(jù)統(tǒng)計,把安全事故的因素做了一些分類。出于疏忽的是57%,外部惡意攻擊是24%,不到四分之一,病毒14%,兩個加起來是38%。用戶誤操作占5%。如果進(jìn)行了管理上的加強(qiáng),有70%以上安全事故可以避免。這就給我們提出了安全管理所具有的重要性。
加強(qiáng)安全管理應(yīng)該有哪些方面呢?
首先是安全意識的管理,我特別把領(lǐng)導(dǎo)重視放在里面了,很多單位的安全是否能搞得好,領(lǐng)導(dǎo)占了非常重要的因素。第二個是安全教育,第三是機(jī)房安全管理,下面提的都是一些國家頒發(fā)的安全管理的文件和要求。
此外,還有系統(tǒng)安全管理,人員安全管理、制度防范。我就不細(xì)說了。
最后講一下網(wǎng)絡(luò)立法。我認(rèn)為網(wǎng)絡(luò)立法是當(dāng)務(wù)之急。
因為安全工作離不開網(wǎng)絡(luò)法規(guī)環(huán)境的支持,沒有網(wǎng)絡(luò)的環(huán)境法規(guī)的支持,安全工作做不下去。但是,事情也有反面,有了安全工作,又是網(wǎng)絡(luò)立法、執(zhí)法的重要保障,下面我會具體說明。
網(wǎng)絡(luò)立法的內(nèi)容有以下幾個方面,電子合同、電子簽名、電子商務(wù)認(rèn)證、電子數(shù)據(jù)證據(jù)、網(wǎng)上交易與支付、網(wǎng)上知識產(chǎn)權(quán)、電子商務(wù)管轄權(quán)、在線爭議解決等等。這些東西以前我們不是說一點沒有,但是我相信是非常薄弱的,人民銀行曾經(jīng)通過一個文件承認(rèn)了電子聯(lián)行當(dāng)中電子數(shù)據(jù)的有效性,但只是一個行發(fā)文,不能形成法律,出現(xiàn)法律糾紛,僅憑行發(fā)文恐怕還不能產(chǎn)生效力。
如果我們以香港電子交易條例為例,我們來看看電子商務(wù)法規(guī)的內(nèi)容。我們看過香港電子交易條例后所看到的,首先它有確立電子和約的有效性。邀約和成約均可以僅以電子記錄表達(dá),具有法律的有效性。人民銀行有一個法文,是確定了電子聯(lián)行電子數(shù)據(jù)的有效性,但人家是以《電子交易條例》的形式發(fā)布的。確立數(shù)字簽名的有效性,這里舉了美國猶他州的數(shù)字簽名法,我這里所說不承認(rèn)其他,不是說不承認(rèn)其他的簽名,是不承認(rèn)其他的電子簽名,這個電子簽名是過關(guān)的,其他的還不能承認(rèn)。
另外是建立公開密鑰基礎(chǔ)設(shè)施,不但要求建立認(rèn)證中心有公鑰,私鑰,同時界定了法律地位,要確立非對稱密碼系統(tǒng)的法律地位,把一種技術(shù)放在法律的條文中加以規(guī)定。除此以外還設(shè)立了認(rèn)證機(jī)構(gòu)的認(rèn)可和監(jiān)管。認(rèn)可程序、法律責(zé)任,證書的法律效力,CA的運作準(zhǔn)則等等。
后面這一點也非常重要,建立保密責(zé)任,資料泄密者承擔(dān)刑事責(zé)任。不超過六個月的監(jiān)禁,這點在我國還沒有產(chǎn)生。
另外,我們也能看到,各國都有一些網(wǎng)絡(luò)立法,我羅列了一些,96年6月聯(lián)合國國際貿(mào)易法委員會通過了《電子商務(wù)示范法》,電子簽名統(tǒng)一規(guī)則,猶他州的數(shù)字簽名法,德國、俄國、歐盟的都有。
不但是發(fā)達(dá)國家有,就是一些跟我們差不多的老兄老弟們也有了,韓國有電子商務(wù)基本法,印度有信息技術(shù)法,香港已經(jīng)通過了電子交易條例,臺灣的數(shù)字簽張法,一讀程序已經(jīng)通過。我國現(xiàn)在也有一些管理辦法,計算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定。《計算機(jī)病毒防治管理辦法》,關(guān)于電子商務(wù)的法律和條例,在2001年,我們聽到的就是像信息產(chǎn)業(yè)部,國家信息安全測評中心,接受信息產(chǎn)業(yè)部的委托,正在起草國家電子商務(wù)發(fā)展框架安全認(rèn)證政管理辦法等,我國的數(shù)字簽名法,只聽雷聲,不見雨點,到現(xiàn)在還是處于醞釀之中,何時出臺,無法預(yù)料。
最后,我想講講中國金融認(rèn)證中心的責(zé)任和義務(wù)。中國金融認(rèn)證中心是目前國內(nèi)唯一一家國家級金融認(rèn)證機(jī)構(gòu),是由人民銀行牽頭,組織了十三家商業(yè)銀行聯(lián)合共建的,幾乎包括了所有的商業(yè)銀行。是投資五千余萬元,采用了國際國內(nèi)最先進(jìn)的安全認(rèn)證技術(shù),經(jīng)過18個月籌備和建設(shè),于2000年6月29日正式建成,掛牌運行。
這個題目比較聳人聽聞,不是我創(chuàng)造的,是今年七月IT經(jīng)理世界的一篇文章,叫超低空搏殺,CA大比拼,是講目前CA的現(xiàn)狀。中國的CA,不大的電子商務(wù)市場,已經(jīng)出現(xiàn)了三十多個CA,這里有行業(yè)性的CA,像中國技術(shù)認(rèn)證中心,外經(jīng)貿(mào)CA,海關(guān)CA,電信CA等,還有地方性的CA,有將近二十來個,還有商業(yè)性的以盈利為目的的CA,頂點CA,天威誠信CA,還有國外的CA也在往國內(nèi)滲透,VERISIGN CA,據(jù)說也發(fā)了一些證書。
目前,我們講到,安全管理缺乏權(quán)威性,不大的蛋糕,這么多的CA去搶,一方面造成大家誰也吃不飽,另外也缺乏了安全認(rèn)證的權(quán)威性,到底信誰的?再者,我國有限的IT資源也在浪費中。我個人的觀點不同意這么干,其實中國,按吳世忠主任的話來講,中國有五個CA就夠了,所以我相信以后會進(jìn)行整頓和整合。當(dāng)然在市場經(jīng)濟(jì)當(dāng)中,也一定會有一個淘汰的機(jī)制。
中國金融認(rèn)證中心的責(zé)任有三點。第一,是向各界提供各種認(rèn)證需求,這是作為一個權(quán)威的、公正的、可信的第三方的認(rèn)證機(jī)構(gòu)。第二組織并參與有關(guān)網(wǎng)上交易規(guī)則的制定,以及確立相應(yīng)的技術(shù)標(biāo)準(zhǔn)等。采用采用PKI技術(shù),協(xié)助各成員行和其他用戶開發(fā)電子商務(wù)網(wǎng)上銀行,網(wǎng)上證券交易等等安全應(yīng)用。這三方面的服務(wù),請大家也要記住一點,我們不是人民銀行的官方機(jī)構(gòu),是一個服務(wù)為宗旨的,走進(jìn)市場經(jīng)濟(jì)的,具有活力的,但是又具有權(quán)威性的們正機(jī)構(gòu)。目標(biāo)是要建立SET和NON-SET兩大體系,發(fā)放各式各樣的證書,普通證書,高級證書,個人證書,無線手機(jī)WAP協(xié)議的證書,虛擬專用網(wǎng)的證書,支持網(wǎng)上購物,網(wǎng)上銀行,網(wǎng)上證券交易和其他的一些管理。SET CA支持B2B,B2C的業(yè)務(wù)。
我剛才講過PKI不是一個簡單的技術(shù),是一種技術(shù)組合服務(wù),CFCA具有全方位的安全認(rèn)證的技術(shù)服務(wù)。
再接著解釋一下,我想說的觀點是,如果你使用了金融CA的證書,就能防止阿普杜拉案件的發(fā)生,也就是剛才在懷教授講完以后,這位小姐提出的問題,就是能解決不讓百萬富翁變成窮光蛋的問題。原因是什么?我們分析阿普杜拉案件,這里有一系列的漏洞,首先,美國的信用報告查詢制度就有漏洞,怎么能憑一個虛假的,比如說文件、印章,一個電話就可以相信了呢?就可以相信申請人,把信用的一些非常重要的數(shù)據(jù)交出去呢?第二,用的所謂加密電子郵件是SSL,這個SSL,由于時間關(guān)系不敢多講了,是一種不夠安全的證書。用了這種東西,沒有數(shù)字簽名,也不可能讓銀行的證書和數(shù)據(jù)分離,是不行的。用了金融認(rèn)證的證書,由于證書審批的嚴(yán)格性,數(shù)字證書、數(shù)字簽名的唯一性,由于證書與卡號、與帳號的綁定,使得阿普杜拉無法騙取銀行的信任,防止了百萬富翁在一夜之間變成窮光蛋的問題。
我們金融認(rèn)證中心在建設(shè)和運營中一直堅持金融的特色,金融特色應(yīng)該體現(xiàn)在這四方面。一方面是金融本身在電子商務(wù)中的重要作用,網(wǎng)上支付是無庸置疑的,非常重要的。第二是人民銀行牽頭,各銀行聯(lián)合共建、共用、共管,共認(rèn),又是可信任的第三方機(jī)構(gòu),跟某個銀行自己搞CA不一樣,他不是第三方,將來在法律上說話有一些問題的。CFCA是第三方的。最后是只有金融證書可以支持網(wǎng)上支付。這個因為主持人給我的時間到了,我后面不再詳細(xì)說了。
總而言之,利用金融證書可以實現(xiàn)網(wǎng)上的支付。這里主要一點,最重要的一點是因為金融認(rèn)證中心的證書是金融單位批準(zhǔn)的,同時又采取了一些技術(shù)措施,證書和持卡人的卡號是綁定的,帳號是綁定的,另外,發(fā)證書的證書中心和審批證書的商業(yè)銀行,證書的持有人,各自都有各自的法律責(zé)任,同時,要有比較明確的損失賠償?shù)募?xì)則。有了這一切,我們就能保證網(wǎng)上支付,大家在正式運行中,可能會使用別的CA發(fā)的證書,老是在網(wǎng)上支付這兒卡殼,利用了金融認(rèn)證中心的CA認(rèn)證,利用了這些保證,這個問題就可以得到解決。
最后,CFCA的發(fā)展。從左邊看,CFCA現(xiàn)在是建立了北京的一個中心,下一步隨著業(yè)務(wù)的發(fā)展,我們會加大證書的發(fā)放數(shù)量,增多證書的品種。還需要建立一些地區(qū)性的金融認(rèn)證中心的子中心,同時,還要把專業(yè)銀行所建立的CA和CFCA整合在一起,作為新證書,下面掛一些專業(yè)銀行的CA,同時建立備份中心,以便證書倉庫的重要數(shù)據(jù)的備份。另外,跟國外在談判,有一個國際金融認(rèn)證的聯(lián)盟組織,是把各個國外銀行的CA,通過一定的技術(shù)和業(yè)務(wù)的規(guī)則聯(lián)在一起,實行跨行認(rèn)證,中國金融認(rèn)證中心已經(jīng)實現(xiàn)了跨行的認(rèn)證,同時還要跟國外進(jìn)行國內(nèi)外銀行信任的交叉。這一點對電子商務(wù)是非常重要的,因為電子商務(wù)是沒有邊界的,沒有省邊界,沒有市邊界,沒有國界,這件事,我們今后會作為一個重要的課題進(jìn)行研究。
今天我的發(fā)言就到這兒,耽誤大家時間了,謝謝大家的參與。
主持人:上午的論題二結(jié)束,下午一點半自由論壇,歡迎大家參加。
訂短信頭條新聞 天下大事盡在掌握!
新浪企業(yè)廣場誠征全國代理
| 
