劉琦琳

網(wǎng)絡(luò)的發(fā)展極大的增加了銀行信息系統(tǒng)的不安全因素。如何從內(nèi)部和外部提升銀行信息系統(tǒng)的安全性，如何在擴(kuò)展業(yè)務(wù)的同時(shí)將安全的服務(wù)放到同等重要位置上，是銀行亟待解決的問題。

不得不承認(rèn)，如果沒有包括互聯(lián)網(wǎng)在內(nèi)的網(wǎng)絡(luò)系統(tǒng)，就沒有如今豐富而便捷的各種銀行服務(wù)，同時(shí)，也就沒有“常換常新”、防不勝防的各種使銀行和用戶遭受信息安全威脅的各種手段。網(wǎng)絡(luò)提升了銀行的服務(wù)，便利人們的生活，也在一定程度上抹平了銀行的區(qū)域差異，不過帶來的信息安全問題成為目前銀行系統(tǒng)的重要問題，并將在未來銀行發(fā)展中扮演強(qiáng)烈的制約因素。

提到銀行的信息安全問題，我們最容易想到的便是面向用戶的帳戶信息安全問題。除此之外，銀行本身的信息系統(tǒng)也是金融信息安全的重要方面，并且更多時(shí)候，后者的安全性提升對銀行的激勵作用更加明顯，也對銀行的業(yè)務(wù)質(zhì)量有直接的影響。如何解決這些信息安全的瓶頸，需要技術(shù)，需要管理，需要監(jiān)管，也需要責(zé)任心。

用“麻煩”換安全

看看來自第三方支付機(jī)構(gòu)支付寶的數(shù)據(jù)就可了解，目前，網(wǎng)銀的使用增長兇猛。截至2008年8月28日，使用支付寶的用戶已經(jīng)超過1億，支付寶日交易總額超過4.5億元人民幣。而支付寶一類的第三方機(jī)構(gòu)還只是網(wǎng)銀使用的一部分，可見整個網(wǎng)絡(luò)銀行使用的廣泛程度。

與此相對的，3月19日，金山毒霸云安全中心監(jiān)測到今年全國遭遇木馬攻擊的計(jì)算機(jī)累計(jì)超過3800萬臺／次，其中專門針對網(wǎng)銀的木馬暴漲近10倍。銀行卡密碼被破解，甚至出現(xiàn)在卡未被盜的情況下卡中余額被取走或信用卡被透支，這些現(xiàn)象的出現(xiàn)使得網(wǎng)絡(luò)銀行的安全性不斷被質(zhì)疑：網(wǎng)銀還能用嗎?

“很不幸，現(xiàn)在的網(wǎng)絡(luò)世界中，黑名單比白名單還要長，所以用戶保持警惕是非常重要的?！辟愰T鐵克中國安全技術(shù)與響應(yīng)中心經(jīng)理白帆透露，僅僅美國的惡意軟件產(chǎn)業(yè)每年收入超過1000億美元，豐厚的地下利潤促使惡意軟件的更新更加系統(tǒng)和頻繁。賽門鐵克中國安全技術(shù)與響應(yīng)中心曾檢測到兩家國內(nèi)大型商業(yè)銀行網(wǎng)站被掛馬，因此個人用戶最好為自己的網(wǎng)銀賬戶設(shè)置額度限制，比如超過100元的資金轉(zhuǎn)賬要短信提醒；另外，白帆建議用戶設(shè)置強(qiáng)密碼策略，“像123456這樣的簡易密碼，一秒鐘就能被密碼生成器猜出來了；盡量將娛樂和工作分開，要玩游戲、上QQ就用家里的電腦。”

與柜臺交易、ATM交易不同，網(wǎng)絡(luò)銀行的安全問題更多的是用戶使用環(huán)境帶來的，如存在于用戶電腦上的木馬、蠕蟲病毒等。對以網(wǎng)絡(luò)銀行為代表的信息安全問題，很多從事數(shù)據(jù)安全的廠商的觀點(diǎn)認(rèn)為，用“麻煩”換安全是處于交易弱勢的個人用戶最實(shí)際的解決方法。

金山毒霸高級副總裁葛珂在接受本刊記者采訪時(shí)給出了三條對策：一是盡量使用銀行提供的專業(yè)解決方案，比如加裝專業(yè)版防盜號功能控件，二是使用正版殺毒軟件；三是盡量不上可疑網(wǎng)站。

同時(shí)，“遠(yuǎn)端”的銀行也并不是對網(wǎng)銀安全問題愛莫能助：從事數(shù)字安全領(lǐng)域金雅拓認(rèn)為，金融機(jī)構(gòu)需引進(jìn)強(qiáng)有力身份鑒別解決方案以確?？蛻粜畔踩约霸诰€業(yè)務(wù)的成功。許多亞洲國家，包括馬來西亞，新加坡以及印度尼西亞都正在或者已經(jīng)完成了磁條信用卡(很多時(shí)候，信用卡等安全事故的發(fā)生正是由于磁條卡的強(qiáng)可復(fù)制性)向EMV信用卡的遷移。除了能夠防御欺詐的優(yōu)勢外，安全性更強(qiáng)的EMV信用卡使得銀行和用戶更加安心，并有助于諸如網(wǎng)上銀行以及在線購買等：無卡交易(Card not present)的推廣。這也是亞洲的一些銀行防止欺詐以及減少安全漏洞的方法。

不只是技術(shù)的事

銀行的信息系統(tǒng)安全涉及有硬件系統(tǒng)、軟件以及網(wǎng)絡(luò)的問題。目前來看，硬件系統(tǒng)方面，銀行要選擇適合自己的服務(wù)器硬件系統(tǒng)，充分利用服務(wù)器系統(tǒng)的可擴(kuò)展性，軟件方面，要加強(qiáng)銀行災(zāi)備系統(tǒng)的建設(shè)，而對于網(wǎng)絡(luò)的帶寬問題而造成的堵塞等，“可以應(yīng)對的辦法是劃分應(yīng)用的優(yōu)先級，保證關(guān)鍵業(yè)務(wù)應(yīng)用的可持續(xù)性，再有就是配置好網(wǎng)絡(luò)的負(fù)載均衡。如果是網(wǎng)絡(luò)攻擊所導(dǎo)致，就應(yīng)該做好防火墻、防病毒等安全措施”。

但是，就銀行自身來說，提升系統(tǒng)的安全性不能將其理解為技術(shù)的不斷升級就能帶來安全的不斷提升。我們認(rèn)為，在信息安全尤其是銀行自身的信息系統(tǒng)方面，除了技術(shù)，還有重要的因素制約信息的安全性：管理、監(jiān)管甚至責(zé)任心。

在與IBM等解決方案提供商的溝通中，記者了解到，改革開放三十年來尤其是近十年來中國銀行系統(tǒng)的發(fā)展，已經(jīng)讓很多國內(nèi)的大型商業(yè)銀行具備了世界一流的系統(tǒng)，這些銀行試圖再實(shí)現(xiàn)技術(shù)升級、向國外學(xué)習(xí)時(shí)，甚至“找不到例子”。在這種情況下，管理的改進(jìn)或說與先進(jìn)技術(shù)匹配的管理模式的貫徹和實(shí)行，才能較大幅度的提高銀行效率、增進(jìn)安全性。而目前多數(shù)商業(yè)銀行關(guān)于信息安全的管理現(xiàn)狀是：安全工作局限與個別部門或崗位，沒有在管理架構(gòu)上覆蓋全面的安全保障體系。

德勤會計(jì)事務(wù)所在2007年的全球金融信息安全調(diào)查中發(fā)現(xiàn)，“在安全破壞上，人(包括雇員)仍然是最薄弱的環(huán)節(jié)”，銀行在對信息安全問題上態(tài)度自相矛盾：“一方面，董事會及高管已意識到解決安全問題迫在眉睫，另一方面，他們卻并不認(rèn)為這些問題‘屬于他們，反而認(rèn)為‘實(shí)施解決方案是信息技術(shù)人員的事”。

拋開銀行不論，有專家認(rèn)為，在銀行信息安全方面，還缺少一個在銀行之外之上的監(jiān)管機(jī)構(gòu)。目前我國面向銀行的監(jiān)管機(jī)構(gòu)，多針對銀行業(yè)務(wù)的合規(guī)性，對信息安全考慮較少。并且，“我國銀行信息化系統(tǒng)需要監(jiān)管的風(fēng)險(xiǎn)資產(chǎn)如此之大，如果沒有基本的專業(yè)化信息資產(chǎn)風(fēng)險(xiǎn)監(jiān)管隊(duì)伍和組織，價(jià)值與風(fēng)險(xiǎn)之間的關(guān)系也就不可能平衡”。

除了管理和監(jiān)管因素，還有專家認(rèn)為，銀行的責(zé)任心也是信息安全升級的要素。中科院研究生院金融科技研究中心主任潘辛平認(rèn)為，且就網(wǎng)銀安全來講，擁有登錄密碼、支付密碼分離、登錄驗(yàn)證碼、預(yù)留信息提示、帳戶變動短信提示、動態(tài)密碼等功能而用戶仍然處于被動防護(hù)甚至不知曉是否存在這項(xiàng)業(yè)務(wù)，說明銀行和監(jiān)管機(jī)構(gòu)沒有負(fù)起責(zé)任。

3月15日，央視“3·15”晚會報(bào)道了一系列由于個人身份信息泄露而給用戶資金安全帶來威脅的事件，讓個人信息泄露問題再次成為關(guān)注焦點(diǎn)。

看來，如何在缺乏激勵和動力的情況下仍然確保從用戶到自身系統(tǒng)的信息安全，如何在發(fā)展業(yè)務(wù)的同時(shí)保證信息安全，這一必將在銀行未來發(fā)展中發(fā)揮制約作用的元素，是銀行、銀行監(jiān)管機(jī)構(gòu)都需要踏實(shí)去做的功課。

今年2月28日，十一屆全國人大常委會第七次會議表決通過刑法修正案(七)。修正案中，對網(wǎng)絡(luò)犯罪的界定更加實(shí)用和人性化，修正案規(guī)定，“違反國家規(guī)定，侵入前款規(guī)定以外的計(jì)算機(jī)信息系統(tǒng)或者采用其他技術(shù)手段，獲取該計(jì)算機(jī)信息系統(tǒng)中存儲、處理或者傳輸?shù)臄?shù)據(jù)，或者對該計(jì)算機(jī)信息系統(tǒng)實(shí)施非法控制，情節(jié)嚴(yán)重的，處三年以下有期徒刑或者拘役，并處或者單處罰金；情節(jié)特別嚴(yán)重的，處三年以上七年以下有期徒刑，并處罰金?！边@對非法入侵、木馬程序的編寫，傳播、黑客工具的開發(fā)均會造成一定壓力，打擊網(wǎng)絡(luò)犯罪不再無法可依，某些攻擊工具的開發(fā)者也將由此承擔(dān)連帶責(zé)任，修正案對保護(hù)網(wǎng)民打擊犯罪是有益的。