許婷

中國人民銀行南京分行 江蘇 210004

0 引言

隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，其在金融領(lǐng)域的應(yīng)用越來越廣泛，并徹底改變了傳統(tǒng)金融業(yè)的服務(wù)模式。商業(yè)銀行通過網(wǎng)上銀行系統(tǒng)將一些傳統(tǒng)的柜臺業(yè)務(wù)變?yōu)榫€上業(yè)務(wù)，還推出了一系列創(chuàng)新金融業(yè)務(wù)。關(guān)于網(wǎng)上銀行的定義有多種，本文所討論的網(wǎng)上銀行是指銀行通過互聯(lián)網(wǎng)為個人或企業(yè)所提供的金融業(yè)務(wù)和服務(wù)。網(wǎng)上銀行方便快捷，為銀行提供了更加高效和優(yōu)質(zhì)的服務(wù)。而且由于無紙化和非人工操作，降低了銀行的經(jīng)營成本。更重要的是能夠通過網(wǎng)絡(luò)為客戶提供更加個性化的金融服務(wù)。因此其將成為未來銀行業(yè)的主要發(fā)展趨勢之一。網(wǎng)上銀行承載著大量的客戶信息和資金安全，因此容易受到釣魚網(wǎng)站、網(wǎng)絡(luò)詐騙、網(wǎng)絡(luò)黑客等不法分子的覬覦。如何保證網(wǎng)上銀行的信息安全，是整個銀行業(yè)乃至社會都非常關(guān)注的問題。筆者通過調(diào)查和實踐，就如何有效防范網(wǎng)上銀行的信息安全風(fēng)險給出了相關(guān)建議。

1 嚴格遵守央行發(fā)布的《網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范》

為切實提高網(wǎng)上銀行信息安全水平，引導(dǎo)網(wǎng)上銀行業(yè)務(wù)健康發(fā)展，保護金融消費者權(quán)益，中國人民銀行于 2012年正式發(fā)布了《網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范》(JR/T 0068-2012)。該規(guī)范來源于人民銀行多年來網(wǎng)上銀行安全工作實的踐經(jīng)驗和對網(wǎng)上銀行安全案件的調(diào)研，內(nèi)容涵蓋了網(wǎng)上銀行系統(tǒng)的各個部分和交易的全過程。因此其具有全面性和針對性的特點，是商業(yè)銀行做好網(wǎng)上銀行信息安全工作的指南。因此，商業(yè)銀行應(yīng)嚴格按照規(guī)范要求在安全技術(shù)、安全管理和業(yè)務(wù)運作三個方面做好防范工作。

2 加強自身技術(shù)防護

2.1 增強網(wǎng)站的防釣魚措施

據(jù)中國反釣魚網(wǎng)站聯(lián)盟發(fā)布的數(shù)據(jù)顯示，今年以來聯(lián)盟已處理釣魚網(wǎng)站 2186個，釣魚網(wǎng)站涉及的行業(yè)前兩位分別為支付類交易和金融證券類；而聯(lián)盟接到的釣魚網(wǎng)站舉報中，涉及淘寶網(wǎng)、建設(shè)銀行、中國銀行、工商銀行四家單位的釣魚網(wǎng)站總量占全部舉報網(wǎng)的82.62%。釣魚網(wǎng)站的頻繁出現(xiàn)，已經(jīng)損害了銀行的聲譽，妨礙了銀行金融業(yè)務(wù)的拓展，同時還危害到社會公眾的利益。

對于銀行來說，一是應(yīng)該主動出擊，改變過去被動依賴客戶投訴或舉報的方式，對釣魚網(wǎng)站進行主動的監(jiān)控和預(yù)警。通過主動監(jiān)控獲取更多的信息，并及時預(yù)警客戶，將不良影響減至最小。例如與國內(nèi)的安全公司合作，由他們對網(wǎng)絡(luò)上的各種釣魚網(wǎng)站進行搜索與監(jiān)控，當(dāng)發(fā)現(xiàn)有釣魚網(wǎng)站出現(xiàn)時，及時通知銀行，銀行可以迅速的采取應(yīng)對措施；二是應(yīng)形成完善的應(yīng)急處理機制，發(fā)現(xiàn)問題后應(yīng)及時報告行業(yè)主管部門，同時積極與公安機關(guān)合作，做好信息系統(tǒng)等級保護工作；三是應(yīng)該加固自身的技術(shù)防范，如在網(wǎng)站上部署https證書中的最高級別證書-- EVSSL 證書。該 EV 證書不僅對網(wǎng)站上傳輸?shù)男畔⒉扇∽罡邚姸鹊募用芗夹g(shù)，更由第三方公正機構(gòu)對網(wǎng)站真實身份進行了嚴格的審核，確保只有真實的銀行才能取得該證書。部署EV 證書后，在主流瀏覽器的地址欄處將顯示鎖形標志并可通過“https”訪問，同時地址欄將變?yōu)榫G色，讓用戶清楚地辨識到該網(wǎng)站是否可信。

2.2 加強客戶端的技術(shù)防護

客戶端是整個網(wǎng)上銀行系統(tǒng)的最薄弱部分。首先，客戶端部署在用戶的PC機、手機或其他移動終端上，安全防護普遍不足。其次，犯罪分子非常容易通過操作系統(tǒng)程序的漏洞進行攻擊，或通過植入木馬獲取用戶的賬戶、密碼等敏感信息，或通過客戶端漏洞遠程控制用戶的硬件數(shù)字證書(USBKey)冒充客戶進行交易。因此，建立客戶端程序的檢測和定期檢查機制非常重要。銀行應(yīng)在客戶端程序上線前進行嚴格的代碼測試和漏洞掃描，上線后銀行也可以在客戶每次交易前，主動的發(fā)起對客戶端程序的檢測，對一些可能被不法分子利用的漏洞進行主動掃描，及時幫助客戶發(fā)現(xiàn)安全漏洞并提醒客戶進行漏洞修復(fù)。為了確保檢測的有效性和權(quán)威性，在銀行自身進行檢測后，還可以邀請合作的安全公司或者第三方檢測機構(gòu)來共同進行。

2.3 加強服務(wù)器端的技術(shù)防護

相對于客戶端的薄弱各銀行服務(wù)器端的防護措施均較為嚴密，因此目前的網(wǎng)上銀行安全事件大都集中在對客戶端的攻擊。但一些中小銀行的網(wǎng)上銀行系統(tǒng)大量使用外包開發(fā)，機房等基礎(chǔ)設(shè)施達不到國家標準、日常安全管理松懈、IT運維管理人員素質(zhì)較差，也形成了一些風(fēng)險隱患。這些安全隱患可能會造成網(wǎng)上銀行系統(tǒng)通信中斷、后臺數(shù)據(jù)被篡改等嚴重后果。特別是近年來，所有銀行系統(tǒng)之間通過金融城域網(wǎng)進行互聯(lián)，任何一家銀行系統(tǒng)出現(xiàn)漏洞，都有可能影響到所有銀行，甚至影響到國家的金融穩(wěn)定。因此，對于中小銀行來說需要加強服務(wù)器端的基礎(chǔ)設(shè)施建設(shè)和安全防護設(shè)施建設(shè)，保證機房和數(shù)據(jù)庫系統(tǒng)的安全，降低服務(wù)器端被攻擊的風(fēng)險。

2.4 采用高安全級別的電子認證服務(wù)

電子認證服務(wù)是各銀行通過向其網(wǎng)上銀行用戶頒發(fā)電子證書來實現(xiàn)交易過程中的身份認證、交易信息加密和交易的不可抵賴。電子認證本身的可靠性對保障網(wǎng)上銀行的交易安全起到了關(guān)鍵作用，能夠為網(wǎng)上銀行系統(tǒng)提供電子認證服務(wù)的機構(gòu)應(yīng)具有權(quán)威性、可信賴型和公正性。目前我國建立了網(wǎng)上銀行系統(tǒng)的商業(yè)銀行均可使用電子認證服務(wù)系統(tǒng)——中國金融認證中心(CFCA)，但有少數(shù)銀行采用自建的CA系統(tǒng)為用戶簽發(fā)數(shù)字證書，這不僅加重了商業(yè)銀行本身的技術(shù)負擔(dān)，還對證書頒發(fā)、管理等過程提出了較高的要求。因此商業(yè)銀行在準備開展網(wǎng)上銀行業(yè)務(wù)時，應(yīng)盡量選擇合規(guī)的、安全級別較高的第三方電子認證服務(wù)，例如CFCA。

3 加強對個人隱私信息的保護

網(wǎng)上銀行由于使用互聯(lián)網(wǎng)進行銀行和個人之間信息的傳送，因此用戶個人信息暴露的風(fēng)險較大。針對這種風(fēng)險，為了更好的保護金融消費者權(quán)益，商業(yè)銀行應(yīng)更加關(guān)注對網(wǎng)上銀行個人隱私信息的保護，通過有效措施保護用戶個人隱私：一是如前所述，加強客戶端的安全防護，確?？蛻舳怂娣诺膫€人隱私數(shù)據(jù)加密存放，即使客戶端文件被他人竊取，也無法取得跟銀行有關(guān)的關(guān)鍵信息；二是在客戶端與服務(wù)器端的信息傳輸，做好加密保護，防止網(wǎng)絡(luò)上有不法分子采取竊聽網(wǎng)絡(luò)報文的方式來竊取交易信息；三是做好服務(wù)器端數(shù)據(jù)庫中個人隱私信息加密與分塊存放，這樣即使數(shù)據(jù)庫中的數(shù)據(jù)被盜取，如果沒有拿到所有的數(shù)據(jù)塊，或者沒有數(shù)據(jù)庫的解密密碼，也無法得到真實的隱私交易信息；四是加強數(shù)據(jù)操作管理，并設(shè)置崗位制約制度，防止單一員工通過某個前臺業(yè)務(wù)操作或后臺數(shù)據(jù)管理操作就能輕易竊取到用戶隱私數(shù)據(jù)。

4 加強對用戶的風(fēng)險提示和安全常識宣傳

如前所述，商業(yè)銀行應(yīng)提升自身客戶端程序的質(zhì)量，及時封堵漏洞。但很多網(wǎng)絡(luò)安全事件同時也是因為用戶自身安全意識淡薄和使用習(xí)慣不良所造成的。因此銀行對于網(wǎng)上銀行用戶應(yīng)給予必要的風(fēng)險提示和安全教育。一是通過發(fā)放安全手冊等方式提示客戶；二是在客戶端程序中要設(shè)置多項安全提示，指導(dǎo)用戶養(yǎng)成良好的使用習(xí)慣，如設(shè)置強壯的口令、業(yè)務(wù)完成后及時拔出USBKey等；三是及時向用戶預(yù)警可能出現(xiàn)的安全事件，例如提醒釣魚網(wǎng)站的防范技巧等，提醒用戶加以防范。

5 加強內(nèi)控內(nèi)管制度的建設(shè)

近年來中國人民銀行和銀監(jiān)會都出臺了多項有關(guān)網(wǎng)上銀行信息安全規(guī)范的文件。但少數(shù)商業(yè)銀行內(nèi)部重視程度不夠，缺少內(nèi)控內(nèi)管制度。在缺少相關(guān)制度保證的情況下，信息安全保障措施難以實施到位，員工對于網(wǎng)上銀行信息安全風(fēng)險的認識也不夠。因此商業(yè)銀行還須進一步加強內(nèi)控內(nèi)管制度、規(guī)范崗位責(zé)任與制約、建立標準規(guī)范的操作流程，通過管理手段來促進各項措施落實到位。

[1]李東榮主編.網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范解讀[M].北京：中國金融出版社.2013.

[2]鄭巖.如何跨越“網(wǎng)銀安全”這道坎[J].金融電子化.2011.

[3]李曉楓.規(guī)范網(wǎng)銀安全控制網(wǎng)銀風(fēng)險[J].中國金融電腦.2011.

[4]胡曉荷.加強防護措施,給力網(wǎng)銀安全[J].信息安全與通信保密.2012.

[5]釣魚網(wǎng)站威脅網(wǎng)銀安全[J].微電腦世界.2011.