背景回顾

    "网银受害者联盟"的民间组织，针对工行的网上银行系统安全问题开始集体维权。事隔两周，工行就网上银行用户关心的问题做出正面回应，但"网银受害者联盟"的集体维权还在继续。

为何互联网支付的安全问题如此突出？

    易观国际分析：电子支付的内涵是一种信用的产物，外延是"给付对价"或"价值交付"的过程。电子支付根据用户行为与后台运行机制可分为"现场支付----面对面支付"与"远程支付----非面对面支付"两种，互联网支付则属于后者。

    互联网对传统商务的价值，更多在于解决信息不对称的问题，而在支付方面，用户支付体验将从"面对面"向公开的、虚拟的----"非面对面"转移，这需要一个漫长过程，尤其是中国信用体系尚处于初级阶段。如此，互联网支付的安全性即成为焦点问题。

支付安全性包括什么要素？怎样分类？

    电子支付的安全通常由有效性、真实性、完整性、保密性、不可撤消、不可否认、身份验证等要素组成。对于"非面对面"的互联网支付，这些要素的完备性更高。根据电子支付的外延与内涵，易观国际将互联网支付的安全性区分为硬件与软件两方面：

    第一 硬件，即技术手段。通常由卡组织、IT厂商、支付渠道服务商（如电信运营商）所提供，如：对称与非对称加密技术、SSL、SET、3D-Secure、NFC无接触式通信的智能卡技术，以及基于数据挖掘的交易监控与分析方案等。

    第二 软件，即信用管理机制。安全不仅是一种技术手段，更多是通过组织流程管理而形成的信用管理机制。其中包括基于技术手段建立完善的管理制度、处理流程、操作规范，针对可能出现的欺诈、差错、争议，提供有效解决流程与处理办法；合理的责任分配安排（包括用户、商家、支付服务商）；对用户安全支付行为的市场教育等等。

银行有什么问题？

    易观国际认为，在网上支付安全措施的部署方面，银行将更多的精力放在"硬件"方面，而忽视"软件"方面的投入。目前网上支付的主要支付工具为银行借记卡[注1]，其本质上是存折的替代品，属于银行传统的负债业务----存款。由于历史上银行为追求单一发卡量，形成了高额成本在短时间内难以消化，同时银行又面临从单一的资产与负债业务，向资产、负债、中间业务多元化业务转型的经营压力，因此造成银行目前对此业务安全"软件"方面的改造或升级的动机不足，风险管理的手段主要依赖于外围的信用管理体系（如央行的个人信用体系），或将责任转移于外部市场与用户。这与主要从事"信用中介"的第三方支付商的服务内容与承担责任大相径庭。

银行应该如何应对？

易观国际建议银行采取如下措施（跨银行的卡组织同样适用）：

    在短期内，虽然在网上支付发生的不安全事件，多数由用户自身原因造成[注2]，但是目前银行在处理网上支付与用户间安全性争端时，对自身责任的缺失尚无足够认识。银行应该深入各领域业务层面的支付流，制定相应的管理制度、操作规范、风险处理办法，构建完善的信用管理体系，比如在用户端与商户端之间端建立双认证体系，针对支付过程中欺诈、差错、争议等问题，配套合理的管理手段等等，从而有利于在价值链各成员之间的风险责任合理分配，减少可能带来的损失与争议。

    在中、长期来看，由于网上支付这种"非面对面"的支付渠道，其根植土壤是完善的信用管理体系，如果银行依旧只考虑安全"硬件"方面的投入，忽视安全"软件"方面的投入，采用把风险转嫁外部市场或用户的方式，将会失去未来市场的信任，在下一轮市场竞争中处于被动地位。

    易观国际认为，在支付电子化的今天，对于任何产业而言，电子支付是经营中重要一环（资金流的核心），而对于任何企业来说，都是一项战略资产，虽然银行是在支付方面拥有"先天"的传统优势，但是在电子支付市场逐渐呈现产业融合的趋势下，安全性既然成为用户使用网上支付的焦点问题，银行就应该深入各领域业务层面的支付流，加大对安全"软件"----信用管理体系建设的投入，向第三方支付服务商学习。否则，将会失去对市场的主动权。