刘琦琳
网络的发展极大的增加了银行信息系统的不安全因素。如何从内部和外部提升银行信息系统的安全性,如何在扩展业务的同时将安全的服务放到同等重要位置上,是银行亟待解决的问题。
不得不承认,如果没有包括互联网在内的网络系统,就没有如今丰富而便捷的各种银行服务,同时,也就没有“常换常新”、防不胜防的各种使银行和用户遭受信息安全威胁的各种手段。网络提升了银行的服务,便利人们的生活,也在一定程度上抹平了银行的区域差异,不过带来的信息安全问题成为目前银行系统的重要问题,并将在未来银行发展中扮演强烈的制约因素。
提到银行的信息安全问题,我们最容易想到的便是面向用户的帐户信息安全问题。除此之外,银行本身的信息系统也是金融信息安全的重要方面,并且更多时候,后者的安全性提升对银行的激励作用更加明显,也对银行的业务质量有直接的影响。如何解决这些信息安全的瓶颈,需要技术,需要管理,需要监管,也需要责任心。
用“麻烦”换安全
看看来自第三方支付机构支付宝的数据就可了解,目前,网银的使用增长凶猛。截至2008年8月28日,使用支付宝的用户已经超过1亿,支付宝日交易总额超过4.5亿元人民币。而支付宝一类的第三方机构还只是网银使用的一部分,可见整个网络银行使用的广泛程度。
与此相对的,3月19日,金山毒霸云安全中心监测到今年全国遭遇木马攻击的计算机累计超过3800万台/次,其中专门针对网银的木马暴涨近10倍。银行卡密码被破解,甚至出现在卡未被盗的情况下卡中余额被取走或信用卡被透支,这些现象的出现使得网络银行的安全性不断被质疑:网银还能用吗?
“很不幸,现在的网络世界中,黑名单比白名单还要长,所以用户保持警惕是非常重要的。”赛门铁克中国安全技术与响应中心经理白帆透露,仅仅美国的恶意软件产业每年收入超过1000亿美元,丰厚的地下利润促使恶意软件的更新更加系统和频繁。赛门铁克中国安全技术与响应中心曾检测到两家国内大型商业银行网站被挂马,因此个人用户最好为自己的网银账户设置额度限制,比如超过100元的资金转账要短信提醒;另外,白帆建议用户设置强密码策略,“像123456这样的简易密码,一秒钟就能被密码生成器猜出来了;尽量将娱乐和工作分开,要玩游戏、上QQ就用家里的电脑。”
与柜台交易、ATM交易不同,网络银行的安全问题更多的是用户使用环境带来的,如存在于用户电脑上的木马、蠕虫病毒等。对以网络银行为代表的信息安全问题,很多从事数据安全的厂商的观点认为,用“麻烦”换安全是处于交易弱势的个人用户最实际的解决方法。
金山毒霸高级副总裁葛珂在接受本刊记者采访时给出了三条对策:一是尽量使用银行提供的专业解决方案,比如加装专业版防盗号功能控件,二是使用正版杀毒软件;三是尽量不上可疑网站。
同时,“远端”的银行也并不是对网银安全问题爱莫能助:从事数字安全领域金雅拓认为,金融机构需引进强有力身份鉴别解决方案以确保客户信息安全以及在线业务的成功。许多亚洲国家,包括马来西亚,新加坡以及印度尼西亚都正在或者已经完成了磁条信用卡(很多时候,信用卡等安全事故的发生正是由于磁条卡的强可复制性)向EMV信用卡的迁移。除了能够防御欺诈的优势外,安全性更强的EMV信用卡使得银行和用户更加安心,并有助于诸如网上银行以及在线购买等:无卡交易(Card not present)的推广。这也是亚洲的一些银行防止欺诈以及减少安全漏洞的方法。
不只是技术的事
银行的信息系统安全涉及有硬件系统、软件以及网络的问题。目前来看,硬件系统方面,银行要选择适合自己的服务器硬件系统,充分利用服务器系统的可扩展性,软件方面,要加强银行灾备系统的建设,而对于网络的带宽问题而造成的堵塞等,“可以应对的办法是划分应用的优先级,保证关键业务应用的可持续性,再有就是配置好网络的负载均衡。如果是网络攻击所导致,就应该做好防火墙、防病毒等安全措施”。
但是,就银行自身来说,提升系统的安全性不能将其理解为技术的不断升级就能带来安全的不断提升。我们认为,在信息安全尤其是银行自身的信息系统方面,除了技术,还有重要的因素制约信息的安全性:管理、监管甚至责任心。
在与IBM等解决方案提供商的沟通中,记者了解到,改革开放三十年来尤其是近十年来中国银行系统的发展,已经让很多国内的大型商业银行具备了世界一流的系统,这些银行试图再实现技术升级、向国外学习时,甚至“找不到例子”。在这种情况下,管理的改进或说与先进技术匹配的管理模式的贯彻和实行,才能较大幅度的提高银行效率、增进安全性。而目前多数商业银行关于信息安全的管理现状是:安全工作局限与个别部门或岗位,没有在管理架构上覆盖全面的安全保障体系。
德勤会计事务所在2007年的全球金融信息安全调查中发现,“在安全破坏上,人(包括雇员)仍然是最薄弱的环节”,银行在对信息安全问题上态度自相矛盾:“一方面,董事会及高管已意识到解决安全问题迫在眉睫,另一方面,他们却并不认为这些问题‘属于他们,反而认为‘实施解决方案是信息技术人员的事”。
抛开银行不论,有专家认为,在银行信息安全方面,还缺少一个在银行之外之上的监管机构。目前我国面向银行的监管机构,多针对银行业务的合规性,对信息安全考虑较少。并且,“我国银行信息化系统需要监管的风险资产如此之大,如果没有基本的专业化信息资产风险监管队伍和组织,价值与风险之间的关系也就不可能平衡”。
除了管理和监管因素,还有专家认为,银行的责任心也是信息安全升级的要素。中科院研究生院金融科技研究中心主任潘辛平认为,且就网银安全来讲,拥有登录密码、支付密码分离、登录验证码、预留信息提示、帐户变动短信提示、动态密码等功能而用户仍然处于被动防护甚至不知晓是否存在这项业务,说明银行和监管机构没有负起责任。
3月15日,央视“3·15”晚会报道了一系列由于个人身份信息泄露而给用户资金安全带来威胁的事件,让个人信息泄露问题再次成为关注焦点。
看来,如何在缺乏激励和动力的情况下仍然确保从用户到自身系统的信息安全,如何在发展业务的同时保证信息安全,这一必将在银行未来发展中发挥制约作用的元素,是银行、银行监管机构都需要踏实去做的功课。
今年2月28日,十一届全国人大常委会第七次会议表决通过刑法修正案(七)。修正案中,对网络犯罪的界定更加实用和人性化,修正案规定,“违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。”这对非法入侵、木马程序的编写,传播、黑客工具的开发均会造成一定压力,打击网络犯罪不再无法可依,某些攻击工具的开发者也将由此承担连带责任,修正案对保护网民打击犯罪是有益的。