论文部分内容阅读
弱技术配强管理的电子银行安全效果,与强技术配弱管理的安全效果是一样令人担忧的。银行要通过强技术强管理的组合来保证电子银行的安全。
由于方便、快捷,电子银行越来越为银行和客户所青睐,其业务量在银行业务中的占比逐渐增加。与此同时,电子银行的安全问题也引起了越来越多的关注。近两年,网上银行发生的安全事件增加了人们对电子银行安全性的担心,英国破获黑客盗划2.2亿英镑的新闻,让客户疑虑自己的财富是否会在眨眼间化为乌有,所以不少人选择了小规模、低频率使用网上银行的下策。而对于银行来说,安全事件给银行造成声誉和经济上的重大损失,而且今后还可能面对赔偿诉讼。如何保证电子银行的安全、有效防范风险成为各银行的头等大事。
电子银行的安全问题千头万绪,要分析清楚,还得从电子银行的系统架构和风险点说起(见图1)。
电子银行风险点
操作系统的安全
操作系统安全的主要考虑有:(1)连续无故障运行天数。(2)超级用户指令保管与使用。操作系统的口令是系统安全的命门,一旦超级用户指令被人知晓,该知情者就可以远程控制计算机,进而修改数据库用户的密码,从而无障碍地进入数据库系统进行任何操作。(3)压力指标。操作系统提供的缓冲空间、进程数等是数据库、应用软件运行的基础参数,需要根据运行情况进行参数最优化配置。通常操作系统要与应用系统一起进行压力测试,以便测出业务量等极限值。针对极限值,把系统装备相应的预防、处理、应急机制,如自动或人为分流流量、报警等,避免系统瘫痪。
数据库的安全
数据库安全的主要考虑有:(1)操作系统登录时的用户名与口令如果泄密将危及整个数据库的安全,数据的修改将无法控制。(2)数据库的用户名和密码不要简单得让人猜出来,不少系统就使用用户名sa和口令sa,这样做不但使数据库安全受威胁,操作系统的安全也受到威胁。因为可以通过一种数据库远程控制机制控制远程操作系统。(3)数据库操作审计,将运行主机上所有数据库操作及数据变更写入日志。这个日志将迅速膨胀,需要专门的日志管理员进行外部备份和清理,否则系统硬盘过一段时间就会涨满。但是,中小银行可能会屏蔽数据库审计功能,以减少日志清理和管理的麻烦。这样,数据库安全失去了重要的、可跟踪恢复的操作监视手段。(4)数据同步、一致性问题。数据操作是以事件驱动的,事件没有完成,则数据库将自动恢复到事件前状态。软件编程要注意应用数据表之间的逻辑一致性,否则,数据挖掘就得浪费大量的时间清理无效数据。
核心系统的安全
第二代核心系统主要有信贷、柜台、账务、现金管理等,第三代核心业务系统模型则包括了客户关系管理、风险管理、市场营销分析等模块。第四代核心系统正在建设当中,思路更加清晰,更加强调数据共享和SOA架构,更好地进行业务流程整合与信息管理整合。
核心系统安全的考虑包括:(1)源程序是否有漏洞、后门和错误代码。由于当代银行软件主要采用的是黑匣子测试,而不是白匣子测试,因而大量“死角”无法发现,隐藏的风险是较大的。2007年底,一客户在广州市某银行ATM机上取现金1000元,而账户却只扣一元,客户因取现17.5万元被判重刑而引起争议。其实在这个案件中,银行过错在先,因为银行软件测试没有发现程序错误。(2)系统压力测试。如某银行的基金理财平台属于核心系统,由于股市行情的井喷,致使2007年8月的一天网上银行占用主机资源过多,主机Down机几个小时。这种现象断断续续持续约一个月时间,银行其他业务也受到影响。事后,该银行制定了应对策略,让分行分流部门网上理财业务。分行业务数据通过电信、网通专网与总行相连,避免流量都挤在公网入口的局面。高峰期,专网的传输速度比公网快,速度有保证。另外,在分行增设业务流控制界面,一旦全国行情井喷,则由分行控制流量,避免由于理财产品等边缘业务导致整个核心系统瘫痪的恶性事件。(3)核心系统的管理员用户名和密码。(4)核心系统的易维护性、易扩展性。如果元数据标准等标准化建设达到了一定的水平,则外围系统容易扩展核心系统的功能,共享核心系统的数据。同时,核心系统如果获得越多的外围子系统的数据,则越可能做数据挖掘等建模工作,而风险管理、管理决策、客户分析等都离不开数据挖掘和商务智能。(5)版本升级、新产品上线、定期系统在线清理、操作运行主机等操作行为的风险控制。在核心系统down机的严重故障中,部分原因恰是系统切换、系统升级或新产品上线欠周全造成的。操作运行主机要有一定的程序要求,要求双人共同操作,且不可进行试验性操作。试验性操作要在备份机器上进行,确认无误后才可在运行主机上操作。另外,主机长年累月地运行,不可避免地会出现内存、进程等方面的问题,需要人为适当干预。随着硬件功能越来越强大,以及SOA设计理念和设计能力的普及,核心系统的能力范围会逐渐扩大,安全性也越来越有保证。(6)数据备份与系统备份。大银行都有南北两个异地数据中心,每个数据中心有本地同步备份,共有四套系统。目前,监管部门强调在数据中心灾备就属于核心系统安全的重要范畴。
路由器、入侵检测、防火墙的安全
路由器提供了网络连接的路径。入侵检测可以对非法访问内部网络的数据包进行检测并预警。防火墙是通过对网络层传输的数据包中的目标地址进行检测,控制数据包的流向,从而避免对核心系统的非正常访问。如果路由器的端口密码被人攻破,则黑客可以通过直接添加路由,使得外来的访问变得合法。这时,获得的内网访问能力是十分危险的。
区分外网与内网是重要的安全方法。一般对外网的防护要严格些,而对内网的防护则简单得多。某证券公司严禁客户在内网上炒股,就是担心客户反复试验出总部主机的密码。因为内网没有设置相应的安全防护措施。
网上银行包括个人网银和企业网银。由于个人网上银行功能日益丰富,如汇款、基金买卖、外汇买卖、黄金买卖、银证通、代缴费、网上商家等,数量庞大的客户群的集中操作给核心系统造成了巨大压力。
应用软件服务器
应用软件服务器处在客户端和核心系统之间,解决渠道的多变与核心系统稳定之间的关系。花旗银行的产品达6000个左右,这种方式明显保持了核心系统的稳定。我国银行核心系统每五六年重新设计一次,达到核心系统稳定性与灵活性的统一,每过五六年银行的硬件就要更新一次。
應用服务器通过数据接口与核心系统相连,也需要有相应审计措施跟踪人为操作。否则,由于超级权限造成的对客户数据的直接、非法修改,会危及系统的安全。黑客也可以攻击应用服务系统,从而修改重要客户资料。内网用户也可以攻破应用服务器的关键密码,以获得超级权限。
应用服务器一般采用双备份、双线路方式,一旦由于硬件损坏等原因造成系统故障,可以迅速切换到正常系统。
网络传输的安全
现有网络安全技术不少是用来解决网络传输数据安全问题的,如数据加密、数字认证、安全标准。数据加密主要有对称加密算法DES和非对称加密算法RSA。从理论上说,有些现行算法已经被数学家攻破,能够在现有条件下解密,所以随着计算机芯片速度的不断提升,有些算法需要淘汰。
数字认证技术,包括数字签名、数字证书、生物特征识别等,正面很难攻破。但是每一种技术都存在软肋,通常这些认证证书的保管等是软肋。
安全标准有SSL、SET。这些标准保证了交易的不可否认性,以及网络传输数据的不可修改性。
客户端的安全
终端用户的安全是最脆弱的,攻破的成本也最低。主要问题有:
数字证书文件被病毒窃走。这种软证书比硬证书的安全性低,存在硬盘和外设中,病毒可以将证书文件通过网络传给主人。数字证书的弱点在于证书的保管,如硬件证书被挪用,软证书被复制。
网银密码被木马程序窃走。网银大盗病毒可以窃取客户在键盘上输入的账号和密码,并通过邮件发给病毒的主人。英国最近破获的金额达2.2亿英镑的国际大案,就是黑客知道客户的账号和密码后,转出客户资金。对付这类病毒的方法除杀毒、系统打补丁外,可以采用软键盘,即在屏幕上出现键盘界面,用鼠标点击屏幕上的相应键符来代替手工键盘输入。用这种方法,病毒无法捕捉键盘输入信息。
信用卡账户和密码被窃取。现在信用卡采用的是磁条技术,极易仿造。由于信用卡都是标准化的,其磁条信息的格式是已知的。如果知道了卡号,就可以使用专用的写卡器,写入卡号,伪造出一张信用卡。知道了密码,该信用卡可以在取款机上取款。要想从根本上解决这个问题,只有采用更新的EMV2000技术。这是一种多操作系统的IC卡技术,携带不可复制的加密区,保证IC卡的不可复制。但是,从目前的磁条信用卡标准向EMV2000智能卡标准过渡,成本很高。尽管我国监管机构积极推进信用卡向EMV2000标准迁移,但实际进展不大。
POS系统。如果设法通过客户输入密码的操作来获得客户的密码,则客户资金就危险了。
客户对账号、密码、证书的管理是网银、手机银行、ATM机、POS系统等薄弱之处,此外还有钓鱼网站法,如骗子网站www.1cbc.com.cn,其页面通常做得与实际网站www.icbc.com.cn的页面几乎完全相同,以欺骗信用卡客户输入用户和密码。他们的主要作案手法,是篡改公网上指向实际银行的链接地址,指向钓鱼网站地址;或者在BBS论坛等网页空间设置钓饵,文字上看是某某银行,实际链接地址却是钓鱼网站地址。由于钓鱼网站域名与真实网址域名相似,没有警惕性的人是注意不到这些细微差别的。客户一旦受骗输入账户和密码,账号和密码就被窃取了。
客户端的安全方面,银行有义务教育、协助客户保持账号、密码、证书的安全。建议建立反钓鱼网站法律、组织、技术措施,动态跟踪钓鱼网站。客户使用简单但可靠的安全方法,如输入网址、使用动态口令卡、取款短信提醒服务、支付的计算机绑定等。对于中小银行的企业银行业务来说,生物指纹识别是一种可靠的和使用简单的方法。但这种方法对大银行不适用,因为目前指纹识别的技术还不很成熟,采样多,识别时间长。对于大银行来说,几亿客户量的指纹读写是系统繁重的负担。
电子银行安全不止包括技术安全,还包括信息安全。敏感数据被删除、窃取、篡改、非法访问,用户身份被冒充,交易被抵赖,机密信息被公开等等,都是信息安全。我国还缺少对公开客户信息方面的法律惩戒措施,如果与国际惯例接轨,则要颁布隐私保护法等相应法律。
风险防范对策
银行转变观念,主动承担起电子银行各个环节的安全义务。以前我国银行在客户资金被盗问题上采取了拒绝赔偿的立场,使银行声誉到影响。所以,银行不能采取驼鸟政策,应该主动采取措施保证电子银行的安全,而不能将责任全部推给终端客户。
技术和管理并重。弱技术配强管理的电子银行安全效果,与强技术配弱管理的安全效果是一样的。银行要通过强技术强管理的组合来保证电子银行的安全。
所有小型机、大型机的登录密码,数据库登录密码都要复杂得让人记不住。可以采用双人或多人复合密码的形式,各人记一段,分段保密。但是也要避免密码保管过于复杂,以免导致密码遗失。要加强对密码保管方式的研究,可以适用保密级别的方法。当然,再怎么保密,还得基于对人的信任。如果对所有人都不信任,那么密码保管成本将相当高,使用起来也相当麻烦。
运行主机上的所有操作都要有可追踪的记录。无论是操作系统操作,还是数据库操作,都要由系统自动记载。对于应用软件的操作,在数据表中要有相应的操作记录,供操作风险审计员使用。一旦发生重大问题,可以依靠这些记录来确定责任人和责任原因。否则,责任无法定位的系统从根本上就不是安全的系统,是十分可怕的。
运行机双人操作、版本升级管理、备份等的管理制度。运行机双人操作,避免操作人因为情绪激动和侥幸原因而人为导致重大操作失误。各银行在版本升级管理方面是交了学费才总结出一套操作规程经验的。备份有灾备、备份数据中心、系统热备份等不同级别的方法和措施。
不断就最新的安全技术进行实验使用,跟踪国际电子银行安全技术,参与国际交流。灾备中心平时就是实验中心,可以就最新的安全技术进行实验性使用。银行对于软硬件的使用,偏好于稳定性好的技术系统,而不是技术最新的不稳定技术。银行通常要等新技术通过其他实际部门一段时间有效使用后,才大规模地使用。新技术有入侵检测技术、防火墙技术、加密技术、反病毒技术、数字认证技术、安全标准等等,银行要加强对这些技术的弱点的研究和把握,以便分析电子银行安全所处的态势,并研究实际中发生的安全问题的原因,提出对策。矛与盾总是此消彼长,任何一门技术总有破解的新方法。同样,新技术被破解之后,更新的技术又会出现,而且风险防范的技术也相应演化。对于安全态势和技术的研究是目前我国银行的弱点,需要建立相应的合作机制。银行要独立、自主地关注电子银行的安全问题,而不能完全依赖第三方安全公司。银行要在电子银行的安全领域有所作为,有自主知识产权的产品和理念。
设置客户端电子银行安全保障岗位。银行总行应有相应的岗位就目前客户端的电子银行的安全问题进行调查、分析,提出对策,并反馈、主导建立电子银行客户端安全保障机制。安全既是技术又是管理,可以通过强化技术来改善安全管理的预见性、可控性,在保证整体安全效果的情况下,降低安全管理的难度和风险。
备份和应急机制。在市场成熟技术条件下,投入越大,安全水平越高。但是,投入水平与安全水平并不成线性关系,而是非线性关系。当安全要求达到阀值时,市场上没有相应的安全产品,此时需要进行研发,或者为了把安全水平提高一点,需要几倍的投入。在一套系统的运行故障率是a的情况下,两套系统热备份运行时的故障概率是a2。工行要保障系统运行的正常率是99.99%,从概率学来说,若两套系统同行运行,自动切换,一套系统的故障率就能容忍达到1%的较高故障水平。
正是由于高安全的高成本,银行应该有计划地加大对安全的研究性投入,包括安全产品、技术、标准的投入。从机会成本上说,这是划算的。电子银行应用的首要问题就是安全问题,银行有义务在此领域保持领先地位。
绝对的安全是不存在的。所以,要建立应急机制。应急机制有技术应急和管理应急。笔者认为,没有必要建立千年虫那种级别的应急机制,成本太高,而可以建立中等级别的应急机制,比如说切换系统演练。对于异地备份系统来说,由于数据不同步,系统切换就面临着无从考证的数据包丢失问题。这将使银行面临复杂的举证责任。如果是客户取钱没有入账,客户可能不会主动找银行退钱。但若是客户的系统入账没有收到,而出账已经划账的情形,客户必然要求银行核实并纠正错误。银行可以考察账户的资金划出流向,一般来说是可以追踪的,通过横向不同账户和纵向不同时间的对账,可以发现账户的真实改变情形。一套运行系统,银行基本上需要四套系统配套,本地备份一套,异地备份一套和异地的本地备份一套。这就是电子银行安全的备份成本。
在银证通、银期通等系统中,常会出现单边账情况,如2007年第三方存管业务的高峰期时,银行系统无法满足证券交易系统的大量交易和实时性要求,反复出现单边账情形,双方日终对账要对到午夜十二点,有时甚至到凌晨三四点。
制定标准与法律,加强监管。借鉴国外标准,修改完善现有电子银行安全标准,包括安全建设、运行管理、安全组织设置等。企业的软件开发、安全达标,以及监管机构的安全监管都依据此标准,以此提高电子金融的安全水平。我们要做以下方面的工作:完善信息安全的行业规范与法规;系统安全评估;信息系统战略规划;系统和网络安全;业务持续性经营计划;外包业务监控。不止安全标准,基础标准、技术标准、管理标准、应用标准等都会对电子银行的安全产生影響。颁布《电子银行安全法》,以便对电子银行安全的义务与权利认定、犯罪量刑等做出框架性的规定。业已生效的《电子合同法》、《电子签名法》为电子银行的发展奠定了基础。加大对电子银行犯罪的打击力度,保护消费者的权益,将是电子银行再一次爆发式增长的重要推动力。短期内,借鉴《萨班斯法案》加强对上市银行的信息化监管。
利用ITIL进行信息技术基础设施建设。作为银行信息化的参考模型,可以指导包括网络建设在内的银行基础技术设施升级改造。软硬件方面的基础性投入如存贮系统、入侵检测系统、网络管理监控系统等,是必要的,而多条专网则保证了稳定的带宽。这些投入通常是很大的。对于那些中小银行,可以探索外包方式。
加强对电子银行开发、维护、呼叫中心、银行业务、ATM运维等外包风险的管理,制定相应的外包风险控制程序,并加强对金融服务提供商的监管。对于银行来说,要制定外包的边界,核心数据、关键系统等不能外包,银行必须保持对电子金融的控制力。这方面要加强行业经验交流。不同银行在外包管理中确实积累了一些经验,如某银行软件开发坚持银行开发人员与企业开发人员共同组成开发小组的模式,你中有我,我中有你,制约金融IT公司对电子金融项目的实际控制能力。由于一部分技术掌握在银行员工手中,金融IT公司想把开发队伍全部拉走,从而实现对产品的控制就变得不太现实了。经验表明,如果电子金融产品由金融IT公司全部负责设计开发,则银行必然处于被动地位。对外包的管理包括法律层面、技术层面和体制层面。银行要与外包公司签定保密协议,一旦发生泄密,金融IT公司要承担法律后果。
(作者单位:首都经济贸易大学)
由于方便、快捷,电子银行越来越为银行和客户所青睐,其业务量在银行业务中的占比逐渐增加。与此同时,电子银行的安全问题也引起了越来越多的关注。近两年,网上银行发生的安全事件增加了人们对电子银行安全性的担心,英国破获黑客盗划2.2亿英镑的新闻,让客户疑虑自己的财富是否会在眨眼间化为乌有,所以不少人选择了小规模、低频率使用网上银行的下策。而对于银行来说,安全事件给银行造成声誉和经济上的重大损失,而且今后还可能面对赔偿诉讼。如何保证电子银行的安全、有效防范风险成为各银行的头等大事。
电子银行的安全问题千头万绪,要分析清楚,还得从电子银行的系统架构和风险点说起(见图1)。
电子银行风险点
操作系统的安全
操作系统安全的主要考虑有:(1)连续无故障运行天数。(2)超级用户指令保管与使用。操作系统的口令是系统安全的命门,一旦超级用户指令被人知晓,该知情者就可以远程控制计算机,进而修改数据库用户的密码,从而无障碍地进入数据库系统进行任何操作。(3)压力指标。操作系统提供的缓冲空间、进程数等是数据库、应用软件运行的基础参数,需要根据运行情况进行参数最优化配置。通常操作系统要与应用系统一起进行压力测试,以便测出业务量等极限值。针对极限值,把系统装备相应的预防、处理、应急机制,如自动或人为分流流量、报警等,避免系统瘫痪。
数据库的安全
数据库安全的主要考虑有:(1)操作系统登录时的用户名与口令如果泄密将危及整个数据库的安全,数据的修改将无法控制。(2)数据库的用户名和密码不要简单得让人猜出来,不少系统就使用用户名sa和口令sa,这样做不但使数据库安全受威胁,操作系统的安全也受到威胁。因为可以通过一种数据库远程控制机制控制远程操作系统。(3)数据库操作审计,将运行主机上所有数据库操作及数据变更写入日志。这个日志将迅速膨胀,需要专门的日志管理员进行外部备份和清理,否则系统硬盘过一段时间就会涨满。但是,中小银行可能会屏蔽数据库审计功能,以减少日志清理和管理的麻烦。这样,数据库安全失去了重要的、可跟踪恢复的操作监视手段。(4)数据同步、一致性问题。数据操作是以事件驱动的,事件没有完成,则数据库将自动恢复到事件前状态。软件编程要注意应用数据表之间的逻辑一致性,否则,数据挖掘就得浪费大量的时间清理无效数据。
核心系统的安全
第二代核心系统主要有信贷、柜台、账务、现金管理等,第三代核心业务系统模型则包括了客户关系管理、风险管理、市场营销分析等模块。第四代核心系统正在建设当中,思路更加清晰,更加强调数据共享和SOA架构,更好地进行业务流程整合与信息管理整合。
核心系统安全的考虑包括:(1)源程序是否有漏洞、后门和错误代码。由于当代银行软件主要采用的是黑匣子测试,而不是白匣子测试,因而大量“死角”无法发现,隐藏的风险是较大的。2007年底,一客户在广州市某银行ATM机上取现金1000元,而账户却只扣一元,客户因取现17.5万元被判重刑而引起争议。其实在这个案件中,银行过错在先,因为银行软件测试没有发现程序错误。(2)系统压力测试。如某银行的基金理财平台属于核心系统,由于股市行情的井喷,致使2007年8月的一天网上银行占用主机资源过多,主机Down机几个小时。这种现象断断续续持续约一个月时间,银行其他业务也受到影响。事后,该银行制定了应对策略,让分行分流部门网上理财业务。分行业务数据通过电信、网通专网与总行相连,避免流量都挤在公网入口的局面。高峰期,专网的传输速度比公网快,速度有保证。另外,在分行增设业务流控制界面,一旦全国行情井喷,则由分行控制流量,避免由于理财产品等边缘业务导致整个核心系统瘫痪的恶性事件。(3)核心系统的管理员用户名和密码。(4)核心系统的易维护性、易扩展性。如果元数据标准等标准化建设达到了一定的水平,则外围系统容易扩展核心系统的功能,共享核心系统的数据。同时,核心系统如果获得越多的外围子系统的数据,则越可能做数据挖掘等建模工作,而风险管理、管理决策、客户分析等都离不开数据挖掘和商务智能。(5)版本升级、新产品上线、定期系统在线清理、操作运行主机等操作行为的风险控制。在核心系统down机的严重故障中,部分原因恰是系统切换、系统升级或新产品上线欠周全造成的。操作运行主机要有一定的程序要求,要求双人共同操作,且不可进行试验性操作。试验性操作要在备份机器上进行,确认无误后才可在运行主机上操作。另外,主机长年累月地运行,不可避免地会出现内存、进程等方面的问题,需要人为适当干预。随着硬件功能越来越强大,以及SOA设计理念和设计能力的普及,核心系统的能力范围会逐渐扩大,安全性也越来越有保证。(6)数据备份与系统备份。大银行都有南北两个异地数据中心,每个数据中心有本地同步备份,共有四套系统。目前,监管部门强调在数据中心灾备就属于核心系统安全的重要范畴。
路由器、入侵检测、防火墙的安全
路由器提供了网络连接的路径。入侵检测可以对非法访问内部网络的数据包进行检测并预警。防火墙是通过对网络层传输的数据包中的目标地址进行检测,控制数据包的流向,从而避免对核心系统的非正常访问。如果路由器的端口密码被人攻破,则黑客可以通过直接添加路由,使得外来的访问变得合法。这时,获得的内网访问能力是十分危险的。
区分外网与内网是重要的安全方法。一般对外网的防护要严格些,而对内网的防护则简单得多。某证券公司严禁客户在内网上炒股,就是担心客户反复试验出总部主机的密码。因为内网没有设置相应的安全防护措施。
网上银行包括个人网银和企业网银。由于个人网上银行功能日益丰富,如汇款、基金买卖、外汇买卖、黄金买卖、银证通、代缴费、网上商家等,数量庞大的客户群的集中操作给核心系统造成了巨大压力。
应用软件服务器
应用软件服务器处在客户端和核心系统之间,解决渠道的多变与核心系统稳定之间的关系。花旗银行的产品达6000个左右,这种方式明显保持了核心系统的稳定。我国银行核心系统每五六年重新设计一次,达到核心系统稳定性与灵活性的统一,每过五六年银行的硬件就要更新一次。
應用服务器通过数据接口与核心系统相连,也需要有相应审计措施跟踪人为操作。否则,由于超级权限造成的对客户数据的直接、非法修改,会危及系统的安全。黑客也可以攻击应用服务系统,从而修改重要客户资料。内网用户也可以攻破应用服务器的关键密码,以获得超级权限。
应用服务器一般采用双备份、双线路方式,一旦由于硬件损坏等原因造成系统故障,可以迅速切换到正常系统。
网络传输的安全
现有网络安全技术不少是用来解决网络传输数据安全问题的,如数据加密、数字认证、安全标准。数据加密主要有对称加密算法DES和非对称加密算法RSA。从理论上说,有些现行算法已经被数学家攻破,能够在现有条件下解密,所以随着计算机芯片速度的不断提升,有些算法需要淘汰。
数字认证技术,包括数字签名、数字证书、生物特征识别等,正面很难攻破。但是每一种技术都存在软肋,通常这些认证证书的保管等是软肋。
安全标准有SSL、SET。这些标准保证了交易的不可否认性,以及网络传输数据的不可修改性。
客户端的安全
终端用户的安全是最脆弱的,攻破的成本也最低。主要问题有:
数字证书文件被病毒窃走。这种软证书比硬证书的安全性低,存在硬盘和外设中,病毒可以将证书文件通过网络传给主人。数字证书的弱点在于证书的保管,如硬件证书被挪用,软证书被复制。
网银密码被木马程序窃走。网银大盗病毒可以窃取客户在键盘上输入的账号和密码,并通过邮件发给病毒的主人。英国最近破获的金额达2.2亿英镑的国际大案,就是黑客知道客户的账号和密码后,转出客户资金。对付这类病毒的方法除杀毒、系统打补丁外,可以采用软键盘,即在屏幕上出现键盘界面,用鼠标点击屏幕上的相应键符来代替手工键盘输入。用这种方法,病毒无法捕捉键盘输入信息。
信用卡账户和密码被窃取。现在信用卡采用的是磁条技术,极易仿造。由于信用卡都是标准化的,其磁条信息的格式是已知的。如果知道了卡号,就可以使用专用的写卡器,写入卡号,伪造出一张信用卡。知道了密码,该信用卡可以在取款机上取款。要想从根本上解决这个问题,只有采用更新的EMV2000技术。这是一种多操作系统的IC卡技术,携带不可复制的加密区,保证IC卡的不可复制。但是,从目前的磁条信用卡标准向EMV2000智能卡标准过渡,成本很高。尽管我国监管机构积极推进信用卡向EMV2000标准迁移,但实际进展不大。
POS系统。如果设法通过客户输入密码的操作来获得客户的密码,则客户资金就危险了。
客户对账号、密码、证书的管理是网银、手机银行、ATM机、POS系统等薄弱之处,此外还有钓鱼网站法,如骗子网站www.1cbc.com.cn,其页面通常做得与实际网站www.icbc.com.cn的页面几乎完全相同,以欺骗信用卡客户输入用户和密码。他们的主要作案手法,是篡改公网上指向实际银行的链接地址,指向钓鱼网站地址;或者在BBS论坛等网页空间设置钓饵,文字上看是某某银行,实际链接地址却是钓鱼网站地址。由于钓鱼网站域名与真实网址域名相似,没有警惕性的人是注意不到这些细微差别的。客户一旦受骗输入账户和密码,账号和密码就被窃取了。
客户端的安全方面,银行有义务教育、协助客户保持账号、密码、证书的安全。建议建立反钓鱼网站法律、组织、技术措施,动态跟踪钓鱼网站。客户使用简单但可靠的安全方法,如输入网址、使用动态口令卡、取款短信提醒服务、支付的计算机绑定等。对于中小银行的企业银行业务来说,生物指纹识别是一种可靠的和使用简单的方法。但这种方法对大银行不适用,因为目前指纹识别的技术还不很成熟,采样多,识别时间长。对于大银行来说,几亿客户量的指纹读写是系统繁重的负担。
电子银行安全不止包括技术安全,还包括信息安全。敏感数据被删除、窃取、篡改、非法访问,用户身份被冒充,交易被抵赖,机密信息被公开等等,都是信息安全。我国还缺少对公开客户信息方面的法律惩戒措施,如果与国际惯例接轨,则要颁布隐私保护法等相应法律。
风险防范对策
银行转变观念,主动承担起电子银行各个环节的安全义务。以前我国银行在客户资金被盗问题上采取了拒绝赔偿的立场,使银行声誉到影响。所以,银行不能采取驼鸟政策,应该主动采取措施保证电子银行的安全,而不能将责任全部推给终端客户。
技术和管理并重。弱技术配强管理的电子银行安全效果,与强技术配弱管理的安全效果是一样的。银行要通过强技术强管理的组合来保证电子银行的安全。
所有小型机、大型机的登录密码,数据库登录密码都要复杂得让人记不住。可以采用双人或多人复合密码的形式,各人记一段,分段保密。但是也要避免密码保管过于复杂,以免导致密码遗失。要加强对密码保管方式的研究,可以适用保密级别的方法。当然,再怎么保密,还得基于对人的信任。如果对所有人都不信任,那么密码保管成本将相当高,使用起来也相当麻烦。
运行主机上的所有操作都要有可追踪的记录。无论是操作系统操作,还是数据库操作,都要由系统自动记载。对于应用软件的操作,在数据表中要有相应的操作记录,供操作风险审计员使用。一旦发生重大问题,可以依靠这些记录来确定责任人和责任原因。否则,责任无法定位的系统从根本上就不是安全的系统,是十分可怕的。
运行机双人操作、版本升级管理、备份等的管理制度。运行机双人操作,避免操作人因为情绪激动和侥幸原因而人为导致重大操作失误。各银行在版本升级管理方面是交了学费才总结出一套操作规程经验的。备份有灾备、备份数据中心、系统热备份等不同级别的方法和措施。
不断就最新的安全技术进行实验使用,跟踪国际电子银行安全技术,参与国际交流。灾备中心平时就是实验中心,可以就最新的安全技术进行实验性使用。银行对于软硬件的使用,偏好于稳定性好的技术系统,而不是技术最新的不稳定技术。银行通常要等新技术通过其他实际部门一段时间有效使用后,才大规模地使用。新技术有入侵检测技术、防火墙技术、加密技术、反病毒技术、数字认证技术、安全标准等等,银行要加强对这些技术的弱点的研究和把握,以便分析电子银行安全所处的态势,并研究实际中发生的安全问题的原因,提出对策。矛与盾总是此消彼长,任何一门技术总有破解的新方法。同样,新技术被破解之后,更新的技术又会出现,而且风险防范的技术也相应演化。对于安全态势和技术的研究是目前我国银行的弱点,需要建立相应的合作机制。银行要独立、自主地关注电子银行的安全问题,而不能完全依赖第三方安全公司。银行要在电子银行的安全领域有所作为,有自主知识产权的产品和理念。
设置客户端电子银行安全保障岗位。银行总行应有相应的岗位就目前客户端的电子银行的安全问题进行调查、分析,提出对策,并反馈、主导建立电子银行客户端安全保障机制。安全既是技术又是管理,可以通过强化技术来改善安全管理的预见性、可控性,在保证整体安全效果的情况下,降低安全管理的难度和风险。
备份和应急机制。在市场成熟技术条件下,投入越大,安全水平越高。但是,投入水平与安全水平并不成线性关系,而是非线性关系。当安全要求达到阀值时,市场上没有相应的安全产品,此时需要进行研发,或者为了把安全水平提高一点,需要几倍的投入。在一套系统的运行故障率是a的情况下,两套系统热备份运行时的故障概率是a2。工行要保障系统运行的正常率是99.99%,从概率学来说,若两套系统同行运行,自动切换,一套系统的故障率就能容忍达到1%的较高故障水平。
正是由于高安全的高成本,银行应该有计划地加大对安全的研究性投入,包括安全产品、技术、标准的投入。从机会成本上说,这是划算的。电子银行应用的首要问题就是安全问题,银行有义务在此领域保持领先地位。
绝对的安全是不存在的。所以,要建立应急机制。应急机制有技术应急和管理应急。笔者认为,没有必要建立千年虫那种级别的应急机制,成本太高,而可以建立中等级别的应急机制,比如说切换系统演练。对于异地备份系统来说,由于数据不同步,系统切换就面临着无从考证的数据包丢失问题。这将使银行面临复杂的举证责任。如果是客户取钱没有入账,客户可能不会主动找银行退钱。但若是客户的系统入账没有收到,而出账已经划账的情形,客户必然要求银行核实并纠正错误。银行可以考察账户的资金划出流向,一般来说是可以追踪的,通过横向不同账户和纵向不同时间的对账,可以发现账户的真实改变情形。一套运行系统,银行基本上需要四套系统配套,本地备份一套,异地备份一套和异地的本地备份一套。这就是电子银行安全的备份成本。
在银证通、银期通等系统中,常会出现单边账情况,如2007年第三方存管业务的高峰期时,银行系统无法满足证券交易系统的大量交易和实时性要求,反复出现单边账情形,双方日终对账要对到午夜十二点,有时甚至到凌晨三四点。
制定标准与法律,加强监管。借鉴国外标准,修改完善现有电子银行安全标准,包括安全建设、运行管理、安全组织设置等。企业的软件开发、安全达标,以及监管机构的安全监管都依据此标准,以此提高电子金融的安全水平。我们要做以下方面的工作:完善信息安全的行业规范与法规;系统安全评估;信息系统战略规划;系统和网络安全;业务持续性经营计划;外包业务监控。不止安全标准,基础标准、技术标准、管理标准、应用标准等都会对电子银行的安全产生影響。颁布《电子银行安全法》,以便对电子银行安全的义务与权利认定、犯罪量刑等做出框架性的规定。业已生效的《电子合同法》、《电子签名法》为电子银行的发展奠定了基础。加大对电子银行犯罪的打击力度,保护消费者的权益,将是电子银行再一次爆发式增长的重要推动力。短期内,借鉴《萨班斯法案》加强对上市银行的信息化监管。
利用ITIL进行信息技术基础设施建设。作为银行信息化的参考模型,可以指导包括网络建设在内的银行基础技术设施升级改造。软硬件方面的基础性投入如存贮系统、入侵检测系统、网络管理监控系统等,是必要的,而多条专网则保证了稳定的带宽。这些投入通常是很大的。对于那些中小银行,可以探索外包方式。
加强对电子银行开发、维护、呼叫中心、银行业务、ATM运维等外包风险的管理,制定相应的外包风险控制程序,并加强对金融服务提供商的监管。对于银行来说,要制定外包的边界,核心数据、关键系统等不能外包,银行必须保持对电子金融的控制力。这方面要加强行业经验交流。不同银行在外包管理中确实积累了一些经验,如某银行软件开发坚持银行开发人员与企业开发人员共同组成开发小组的模式,你中有我,我中有你,制约金融IT公司对电子金融项目的实际控制能力。由于一部分技术掌握在银行员工手中,金融IT公司想把开发队伍全部拉走,从而实现对产品的控制就变得不太现实了。经验表明,如果电子金融产品由金融IT公司全部负责设计开发,则银行必然处于被动地位。对外包的管理包括法律层面、技术层面和体制层面。银行要与外包公司签定保密协议,一旦发生泄密,金融IT公司要承担法律后果。
(作者单位:首都经济贸易大学)