一直喜欢在网上交电话费的言先生最近被吓了一跳:他收到了一个“红客”的警告,要他立即修改所有密码,因为他进入网络银行的密码已经被盗。言先生起初还表示不相信,于是这位“红客”立刻把他的密码列了出来,这着实让言先生惊出一身汗。原来,言先生是中了木马病毒,若不是遇到好人相告,只怕他存的那点钱早就被窃取光了。
现在,在网上查账、交各种费用的人越来越多了——这不难理解,谁都不喜欢专程跑到银行去排队,就是5分钟也会觉得浪费的时间太长!做为提供服务的一方,银行必须面对这种现状,迎合用户的要求,于是网络银行纷纷上线,使用网络银行的人也在日渐增多。资料显示,美国网络银行的数量已占所有银行和储蓄机构总数的12%,欧洲有网银100多家,其三分之一的储蓄交易是通过互联网进行,而中国已经有20多家银行的200个分支机构拥有网址和主页,其中实质性的网银业务的分支机构达50多家,客户超过4万多户,拥有非常好的发展趋势。
然而在前一阵,一个名为“网银大盗”病毒肆虐了一番,虽然并未造成多大的危害,但当事后发现这个病毒的制造者就是几个十几岁的高中生后,人们不能不怀疑网络银行在安全方面的脆弱性。作为金融机构,安全问题对银行来说应该是重中之重,银行与网络对接后,保证安全性就更为重要也更为复杂了。
问题主要源自内部
“网银遭受的威胁首先来自于网络使用者——包括来自于内部的和外部的威胁,但来自银行内部使用者的威胁更主要。”赛门铁克中国区技术经理郭训平说。虽然普通消费者对“网银大盗”这样的病毒软件更加关注,但实际上,银行内部的安全建设才是最重要和最关键的。对此,冠群金辰公司技术总监郑林也有相同的看法,他认为,80%的安全事件造成的损失都是因为银行自身出了问题,这包括银行内部的网络使用者进行了误操作,或者是有意钻空子为自己谋利。
“其实国内很多商业银行在安全设备的硬件设施方面投入的已经不少了。”郑林说,但这些银行内部的安全漏洞还是很多,主要原因就是因为在管理方面跟不上。因为与金融行业的用户经常接触,郑林对许多银行的安全建设比较熟悉,他认为,目前国内多家商业银行在IT系统管理与安全管理方面的方式都不一样,一些银行部门之间的权力划分不清,管理规范也不统一,造成了在安全规划上的混乱,这样就给银行安全带来了隐患。“美国在遭遇911后,世贸大厦里的银行也遭到了破坏,但是这些银行的系统就可以快速恢复,这就是因为他们的管理到位啊。”郑林说。在我国金融业日趋开放的环境下,如果国内商业银行在网络安全管理上比国外银行落后太多,就必然会丧失自己的发展机会。
细致说来,安全管理实际上包括行政制度和组织构架方面的管理,以及银行本身的网络安全管理三个方面。富有行业经验的郭训平和郑林都有一个同样的观点,就是银行必须把网络安全管理独立出去,由专人来负责。“在行政管理方面,银行应该有专门的部门或人员负责安全问题。”郭训平说,“可实际上很多银行的管理员还身兼其他职务,因此在安全管理方面很难达到专人专管的效果。”郑林也认为,银行应该把安全建设交由一个部门牵头来做,而不应该分散在各业务部门中,让他们各自做各自的。
而在组织构架方面,目前国内很多银行的IT系统与安全管理者没有实际的强制性权力,在安全措施的实际布署过程中,管理员很可能无计可施,因而不能实施严格的安全保障措施。“国内的大部分银行在实行强制性管理方面可能还有较长的路要走。”郭训平说,“只有有了比较好的安全管理措施,有了比较好的安全策略,再加上实施过程中的相关制度以及领导的支持,才可以成功实现安全部署,才能保障银行的安全。”郑林则认为,除了在整体管理体系方面银行需要加大力度外,诸如银监会这样的银行监管部门也需要尽快就网银管理问题立法,并需要做出“最佳实践”的模板,树立行业典型,引导众多商业银行走上合理进行安全管理的道路。
技术应用尚未做到位
网络银行用户的一大特点就是“非常缺乏耐心”。网络传播以速度取胜,但同时也提高了人们对速度的要求。如果一个页面在一分钟后还打不开,就极少有网民会坚持等下去了。郑林说,由于网络用户的耐心十分有限,许多网络银行为了争分夺秒,留住用户的眼球,便省略了一些安全措施,这就造成了安全措施的不到位。“一般来说,网银系统包括Web服务、应用服务、数据库和后台主机四大块。”郑林说,为了确保安全,这四块都需要做加固操作系统等方面的工作,但是为了保证处理性能的高速度,一些银行就省略了不少加固措施或者防火墙,而让后台大机承担所有的安全责任,甚至有银行也没有做大机的操作系统加固,这就很容易发生安全问题。
郭训平则谈到,在技术和产品方面,国内很多银行虽然采购了不少安全产品,如防病毒、防火墙和入侵检测等,但是对产品本身的管理并不是很好。据他的了解,国内还没有一个银行有统一的安全管理平台,因此无法实现对产品进行有效统一的管理。在发生安全事件以后,也无法及时了解、收集,及时采取响应。“很多地、市级银行在发生安全问题时都是通过电话向总行汇报,这样反映速度就比较慢,并且不太明确事件的处理过程,也不知道应该怎么样去做才能把损失降到最低。”郭训平说,从技术角度而言,这实际上还是与安全管理有很大的关系,缺乏相关的流程和好的安全管理平台,就自然不能及时了解问题所在。
在网银应用的前端,则需要在用户认证方面进行进一步的技术改进。目前个人网银用户主要的认证方式是密码输入,这种简单的方式看来比较容易被盗取,有些专家和认证厂商提出了虹膜认证、指纹认证等方式,现在来看,它们要成为普遍的现实还有待时日。而目前企业用户一般通过数字证书进行认证,这是比较可行和可靠的方法。
另外,随着网银业务越来越活跃,网银所面临的外部安全威胁也将越来越多。郑林介绍说,外部安全威胁主要来自于蠕虫病毒和人为因素,蠕虫病毒的危害更为严重和频繁,它们会阻塞银行的业务系统,造成银行业务瘫痪。但只要做好过滤网关和防火墙的应用,就可以抵御蠕虫病毒的危害。
有技术用得乱,技术所起的作用就要打折,而有技术却不用或者用不好,反映出来的问题就更直接了。网络银行既然在技术设备上已经投入了很多,就更需要让它们都发挥出来最大的价值。
安全培训需要加强
现在有很多安全厂商在积极地向消费者宣传安全防范意识,但银行本身却在这方面做得不多。“我觉得网银应该经常对用户进行培训。”郑林说,这种培训就可以在网银的页面上实施,比如随时提醒用户他所进行的操作有一定的风险性,他需要采取哪些安全防范措施等等。
网银用户无非是个人用户和企业用户两种,对于个人用户来讲,威胁主要来自其本身使用的机器。如果内部的机器防范效果不好,中了类似“网银大盗”这样的蠕虫病毒,那么在网上消费的时候,其帐号和密码就会通过机器里的木马程序自动传到互联网上,以致被公开。由于媒体上对这方面的宣传比较多,很多个人用户已经有了这方面的防范意识,不过,业内人士认为,网络银行仍然需要在更细节的地方对用户做出提醒和指导。
对企业用户而言,他们主要是通过内部网络去跟网银进行帐户交流和业务往来,这就需要采取预警措施、安全防护、防火墙、入侵检测、网络防病毒等措施。“无论是个人用户还是企业用户,都要对日常电脑使用养成良好的习惯。”郭训平说,这种习惯包括及时升级补丁、安装相关的防病毒或客户端安全产品、定时下载病毒定义码引擎、不要轻易打开不认识的邮件,尤其是一些可执行文件等等。对于企业用户来讲,服务器中的不必要的服务和端口也要尽量关闭,这些都是比较有效的防范措施。银行和用户自己都需要在安全操作方面加强培训。
市场增长空间仍很大
众所周知,金融行业是在信息化建设方面是一直走在前列的行业,IT设施采购的数量可谓不少,安全设备方面的投入也不少。但相关IT厂商却认为,由于网络银行业务的兴起,银行在网络安全方面的投入还有非常大的增长空间。
“我感觉国内很多银行在网络安全方面的投入还是不够大,基本上只限于产品方面,比如防火墙、入侵检测、防病毒,或是基于主机、存取控制方面的产品。”赛门铁克中国区金融用户事业部销售总监王笑丹说,“但在安全网络中部署安全产品只是安全建设的一部分,还包括其他方面——比如,他们需要制定策略,而几乎所有银行在这方面都相对缺失。”
也有厂商认为,目前我国的银行在网络安全方面的投入很不平衡,有的力度大,有的力度小,但总体来讲,投入的比例都不是很高。同时,即使是在同一银行的内部,其不同机构、不同地区这间,信息安全产品的投入也不一样的,由于目前银行开始联网作业,这种信息安全产品投入的不平衡会导致病毒流窜,进而降低整个银行体系的安全系数。
“目前,国际上包括产品、评估与策略在内的安全投入在整体信息化投入中基本上占据15%-20%的比例。”王笑丹说,“而我国的六大商业银行,由于其数据非常集中,核心业务都集中在大型机中,因此其安全投入的比率会高于国际平均水平。也就是说,在网络安全的投入方面,增长空间还是非常大的。”
同时,业内还有很多人士认为网银安全业务会走向安全外包、量身定制的形式。他们认为,由于银行的网络比较复杂,在安装产品时需要对网络结构进行分析和评估,因此那种单一购买产品的方式已经被淘汰,取而代之的是购买整个信息安全解决方案;另外,随着信息安全产业的发展,信息安全方面的内容越来越多,因此,尤其对安全要求比较高的银行业来说,需要投入的资金和人员越来越多,这种维护成本的提高最终会造成银行系统将自己的安全问题外包给专业的厂商,由厂商负责银行企业的安全。所以,这个安全市场不仅在价值上、也将在形式上进一步扩大。
随着“网络时代人”的成长和增多,日常生活的许多方面都将逃不出“网”,但网络是没有界限的,任何一家网银如果把握不住安全的大门,就会把用户推给他人,而那时,它所面对的将不是告急的形式,只会是消亡。
