許婷

中國(guó)人民銀行南京分行 江蘇 210004

0 引言

隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，其在金融領(lǐng)域的應(yīng)用越來(lái)越廣泛，并徹底改變了傳統(tǒng)金融業(yè)的服務(wù)模式。商業(yè)銀行通過(guò)網(wǎng)上銀行系統(tǒng)將一些傳統(tǒng)的柜臺(tái)業(yè)務(wù)變?yōu)榫€上業(yè)務(wù)，還推出了一系列創(chuàng)新金融業(yè)務(wù)。關(guān)于網(wǎng)上銀行的定義有多種，本文所討論的網(wǎng)上銀行是指銀行通過(guò)互聯(lián)網(wǎng)為個(gè)人或企業(yè)所提供的金融業(yè)務(wù)和服務(wù)。網(wǎng)上銀行方便快捷，為銀行提供了更加高效和優(yōu)質(zhì)的服務(wù)。而且由于無(wú)紙化和非人工操作，降低了銀行的經(jīng)營(yíng)成本。更重要的是能夠通過(guò)網(wǎng)絡(luò)為客戶提供更加個(gè)性化的金融服務(wù)。因此其將成為未來(lái)銀行業(yè)的主要發(fā)展趨勢(shì)之一。網(wǎng)上銀行承載著大量的客戶信息和資金安全，因此容易受到釣魚(yú)網(wǎng)站、網(wǎng)絡(luò)詐騙、網(wǎng)絡(luò)黑客等不法分子的覬覦。如何保證網(wǎng)上銀行的信息安全，是整個(gè)銀行業(yè)乃至社會(huì)都非常關(guān)注的問(wèn)題。筆者通過(guò)調(diào)查和實(shí)踐，就如何有效防范網(wǎng)上銀行的信息安全風(fēng)險(xiǎn)給出了相關(guān)建議。

1 嚴(yán)格遵守央行發(fā)布的《網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范》

為切實(shí)提高網(wǎng)上銀行信息安全水平，引導(dǎo)網(wǎng)上銀行業(yè)務(wù)健康發(fā)展，保護(hù)金融消費(fèi)者權(quán)益，中國(guó)人民銀行于 2012年正式發(fā)布了《網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范》(JR/T 0068-2012)。該規(guī)范來(lái)源于人民銀行多年來(lái)網(wǎng)上銀行安全工作實(shí)的踐經(jīng)驗(yàn)和對(duì)網(wǎng)上銀行安全案件的調(diào)研，內(nèi)容涵蓋了網(wǎng)上銀行系統(tǒng)的各個(gè)部分和交易的全過(guò)程。因此其具有全面性和針對(duì)性的特點(diǎn)，是商業(yè)銀行做好網(wǎng)上銀行信息安全工作的指南。因此，商業(yè)銀行應(yīng)嚴(yán)格按照規(guī)范要求在安全技術(shù)、安全管理和業(yè)務(wù)運(yùn)作三個(gè)方面做好防范工作。

2 加強(qiáng)自身技術(shù)防護(hù)

2.1 增強(qiáng)網(wǎng)站的防釣魚(yú)措施

據(jù)中國(guó)反釣魚(yú)網(wǎng)站聯(lián)盟發(fā)布的數(shù)據(jù)顯示，今年以來(lái)聯(lián)盟已處理釣魚(yú)網(wǎng)站 2186個(gè)，釣魚(yú)網(wǎng)站涉及的行業(yè)前兩位分別為支付類交易和金融證券類；而聯(lián)盟接到的釣魚(yú)網(wǎng)站舉報(bào)中，涉及淘寶網(wǎng)、建設(shè)銀行、中國(guó)銀行、工商銀行四家單位的釣魚(yú)網(wǎng)站總量占全部舉報(bào)網(wǎng)的82.62%。釣魚(yú)網(wǎng)站的頻繁出現(xiàn)，已經(jīng)損害了銀行的聲譽(yù)，妨礙了銀行金融業(yè)務(wù)的拓展，同時(shí)還危害到社會(huì)公眾的利益。

對(duì)于銀行來(lái)說(shuō)，一是應(yīng)該主動(dòng)出擊，改變過(guò)去被動(dòng)依賴客戶投訴或舉報(bào)的方式，對(duì)釣魚(yú)網(wǎng)站進(jìn)行主動(dòng)的監(jiān)控和預(yù)警。通過(guò)主動(dòng)監(jiān)控獲取更多的信息，并及時(shí)預(yù)警客戶，將不良影響減至最小。例如與國(guó)內(nèi)的安全公司合作，由他們對(duì)網(wǎng)絡(luò)上的各種釣魚(yú)網(wǎng)站進(jìn)行搜索與監(jiān)控，當(dāng)發(fā)現(xiàn)有釣魚(yú)網(wǎng)站出現(xiàn)時(shí)，及時(shí)通知銀行，銀行可以迅速的采取應(yīng)對(duì)措施；二是應(yīng)形成完善的應(yīng)急處理機(jī)制，發(fā)現(xiàn)問(wèn)題后應(yīng)及時(shí)報(bào)告行業(yè)主管部門，同時(shí)積極與公安機(jī)關(guān)合作，做好信息系統(tǒng)等級(jí)保護(hù)工作；三是應(yīng)該加固自身的技術(shù)防范，如在網(wǎng)站上部署https證書(shū)中的最高級(jí)別證書(shū)-- EVSSL 證書(shū)。該 EV 證書(shū)不僅對(duì)網(wǎng)站上傳輸?shù)男畔⒉扇∽罡邚?qiáng)度的加密技術(shù)，更由第三方公正機(jī)構(gòu)對(duì)網(wǎng)站真實(shí)身份進(jìn)行了嚴(yán)格的審核，確保只有真實(shí)的銀行才能取得該證書(shū)。部署EV 證書(shū)后，在主流瀏覽器的地址欄處將顯示鎖形標(biāo)志并可通過(guò)“https”訪問(wèn)，同時(shí)地址欄將變?yōu)榫G色，讓用戶清楚地辨識(shí)到該網(wǎng)站是否可信。

2.2 加強(qiáng)客戶端的技術(shù)防護(hù)

客戶端是整個(gè)網(wǎng)上銀行系統(tǒng)的最薄弱部分。首先，客戶端部署在用戶的PC機(jī)、手機(jī)或其他移動(dòng)終端上，安全防護(hù)普遍不足。其次，犯罪分子非常容易通過(guò)操作系統(tǒng)程序的漏洞進(jìn)行攻擊，或通過(guò)植入木馬獲取用戶的賬戶、密碼等敏感信息，或通過(guò)客戶端漏洞遠(yuǎn)程控制用戶的硬件數(shù)字證書(shū)(USBKey)冒充客戶進(jìn)行交易。因此，建立客戶端程序的檢測(cè)和定期檢查機(jī)制非常重要。銀行應(yīng)在客戶端程序上線前進(jìn)行嚴(yán)格的代碼測(cè)試和漏洞掃描，上線后銀行也可以在客戶每次交易前，主動(dòng)的發(fā)起對(duì)客戶端程序的檢測(cè)，對(duì)一些可能被不法分子利用的漏洞進(jìn)行主動(dòng)掃描，及時(shí)幫助客戶發(fā)現(xiàn)安全漏洞并提醒客戶進(jìn)行漏洞修復(fù)。為了確保檢測(cè)的有效性和權(quán)威性，在銀行自身進(jìn)行檢測(cè)后，還可以邀請(qǐng)合作的安全公司或者第三方檢測(cè)機(jī)構(gòu)來(lái)共同進(jìn)行。

2.3 加強(qiáng)服務(wù)器端的技術(shù)防護(hù)

相對(duì)于客戶端的薄弱各銀行服務(wù)器端的防護(hù)措施均較為嚴(yán)密，因此目前的網(wǎng)上銀行安全事件大都集中在對(duì)客戶端的攻擊。但一些中小銀行的網(wǎng)上銀行系統(tǒng)大量使用外包開(kāi)發(fā)，機(jī)房等基礎(chǔ)設(shè)施達(dá)不到國(guó)家標(biāo)準(zhǔn)、日常安全管理松懈、IT運(yùn)維管理人員素質(zhì)較差，也形成了一些風(fēng)險(xiǎn)隱患。這些安全隱患可能會(huì)造成網(wǎng)上銀行系統(tǒng)通信中斷、后臺(tái)數(shù)據(jù)被篡改等嚴(yán)重后果。特別是近年來(lái)，所有銀行系統(tǒng)之間通過(guò)金融城域網(wǎng)進(jìn)行互聯(lián)，任何一家銀行系統(tǒng)出現(xiàn)漏洞，都有可能影響到所有銀行，甚至影響到國(guó)家的金融穩(wěn)定。因此，對(duì)于中小銀行來(lái)說(shuō)需要加強(qiáng)服務(wù)器端的基礎(chǔ)設(shè)施建設(shè)和安全防護(hù)設(shè)施建設(shè)，保證機(jī)房和數(shù)據(jù)庫(kù)系統(tǒng)的安全，降低服務(wù)器端被攻擊的風(fēng)險(xiǎn)。

2.4 采用高安全級(jí)別的電子認(rèn)證服務(wù)

電子認(rèn)證服務(wù)是各銀行通過(guò)向其網(wǎng)上銀行用戶頒發(fā)電子證書(shū)來(lái)實(shí)現(xiàn)交易過(guò)程中的身份認(rèn)證、交易信息加密和交易的不可抵賴。電子認(rèn)證本身的可靠性對(duì)保障網(wǎng)上銀行的交易安全起到了關(guān)鍵作用，能夠?yàn)榫W(wǎng)上銀行系統(tǒng)提供電子認(rèn)證服務(wù)的機(jī)構(gòu)應(yīng)具有權(quán)威性、可信賴型和公正性。目前我國(guó)建立了網(wǎng)上銀行系統(tǒng)的商業(yè)銀行均可使用電子認(rèn)證服務(wù)系統(tǒng)——中國(guó)金融認(rèn)證中心(CFCA)，但有少數(shù)銀行采用自建的CA系統(tǒng)為用戶簽發(fā)數(shù)字證書(shū)，這不僅加重了商業(yè)銀行本身的技術(shù)負(fù)擔(dān)，還對(duì)證書(shū)頒發(fā)、管理等過(guò)程提出了較高的要求。因此商業(yè)銀行在準(zhǔn)備開(kāi)展網(wǎng)上銀行業(yè)務(wù)時(shí)，應(yīng)盡量選擇合規(guī)的、安全級(jí)別較高的第三方電子認(rèn)證服務(wù)，例如CFCA。

3 加強(qiáng)對(duì)個(gè)人隱私信息的保護(hù)

網(wǎng)上銀行由于使用互聯(lián)網(wǎng)進(jìn)行銀行和個(gè)人之間信息的傳送，因此用戶個(gè)人信息暴露的風(fēng)險(xiǎn)較大。針對(duì)這種風(fēng)險(xiǎn)，為了更好的保護(hù)金融消費(fèi)者權(quán)益，商業(yè)銀行應(yīng)更加關(guān)注對(duì)網(wǎng)上銀行個(gè)人隱私信息的保護(hù)，通過(guò)有效措施保護(hù)用戶個(gè)人隱私：一是如前所述，加強(qiáng)客戶端的安全防護(hù)，確保客戶端所存放的個(gè)人隱私數(shù)據(jù)加密存放，即使客戶端文件被他人竊取，也無(wú)法取得跟銀行有關(guān)的關(guān)鍵信息；二是在客戶端與服務(wù)器端的信息傳輸，做好加密保護(hù)，防止網(wǎng)絡(luò)上有不法分子采取竊聽(tīng)網(wǎng)絡(luò)報(bào)文的方式來(lái)竊取交易信息；三是做好服務(wù)器端數(shù)據(jù)庫(kù)中個(gè)人隱私信息加密與分塊存放，這樣即使數(shù)據(jù)庫(kù)中的數(shù)據(jù)被盜取，如果沒(méi)有拿到所有的數(shù)據(jù)塊，或者沒(méi)有數(shù)據(jù)庫(kù)的解密密碼，也無(wú)法得到真實(shí)的隱私交易信息；四是加強(qiáng)數(shù)據(jù)操作管理，并設(shè)置崗位制約制度，防止單一員工通過(guò)某個(gè)前臺(tái)業(yè)務(wù)操作或后臺(tái)數(shù)據(jù)管理操作就能輕易竊取到用戶隱私數(shù)據(jù)。

4 加強(qiáng)對(duì)用戶的風(fēng)險(xiǎn)提示和安全常識(shí)宣傳

如前所述，商業(yè)銀行應(yīng)提升自身客戶端程序的質(zhì)量，及時(shí)封堵漏洞。但很多網(wǎng)絡(luò)安全事件同時(shí)也是因?yàn)橛脩糇陨戆踩庾R(shí)淡薄和使用習(xí)慣不良所造成的。因此銀行對(duì)于網(wǎng)上銀行用戶應(yīng)給予必要的風(fēng)險(xiǎn)提示和安全教育。一是通過(guò)發(fā)放安全手冊(cè)等方式提示客戶；二是在客戶端程序中要設(shè)置多項(xiàng)安全提示，指導(dǎo)用戶養(yǎng)成良好的使用習(xí)慣，如設(shè)置強(qiáng)壯的口令、業(yè)務(wù)完成后及時(shí)拔出USBKey等；三是及時(shí)向用戶預(yù)警可能出現(xiàn)的安全事件，例如提醒釣魚(yú)網(wǎng)站的防范技巧等，提醒用戶加以防范。

5 加強(qiáng)內(nèi)控內(nèi)管制度的建設(shè)

近年來(lái)中國(guó)人民銀行和銀監(jiān)會(huì)都出臺(tái)了多項(xiàng)有關(guān)網(wǎng)上銀行信息安全規(guī)范的文件。但少數(shù)商業(yè)銀行內(nèi)部重視程度不夠，缺少內(nèi)控內(nèi)管制度。在缺少相關(guān)制度保證的情況下，信息安全保障措施難以實(shí)施到位，員工對(duì)于網(wǎng)上銀行信息安全風(fēng)險(xiǎn)的認(rèn)識(shí)也不夠。因此商業(yè)銀行還須進(jìn)一步加強(qiáng)內(nèi)控內(nèi)管制度、規(guī)范崗位責(zé)任與制約、建立標(biāo)準(zhǔn)規(guī)范的操作流程，通過(guò)管理手段來(lái)促進(jìn)各項(xiàng)措施落實(shí)到位。

[1]李東榮主編.網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范解讀[M].北京：中國(guó)金融出版社.2013.

[2]鄭巖.如何跨越“網(wǎng)銀安全”這道坎[J].金融電子化.2011.

[3]李曉楓.規(guī)范網(wǎng)銀安全控制網(wǎng)銀風(fēng)險(xiǎn)[J].中國(guó)金融電腦.2011.

[4]胡曉荷.加強(qiáng)防護(hù)措施,給力網(wǎng)銀安全[J].信息安全與通信保密.2012.

[5]釣魚(yú)網(wǎng)站威脅網(wǎng)銀安全[J].微電腦世界.2011.