淺析工商銀行網(wǎng)上銀行面臨的安全挑戰(zhàn)和應(yīng)對(duì)措施

曹碩洋

【摘要】隨著網(wǎng)上銀行發(fā)展的不斷提高，網(wǎng)絡(luò)安全面臨的風(fēng)險(xiǎn)與挑戰(zhàn)也在加強(qiáng)。以工商銀行為例，闡述我國現(xiàn)階段網(wǎng)上銀行的發(fā)展現(xiàn)狀、面臨的安全挑戰(zhàn)及相應(yīng)的保護(hù)措施，從而意識(shí)到網(wǎng)上銀行發(fā)展的快速性、危險(xiǎn)性、及時(shí)性，對(duì)于安全挑戰(zhàn)刻不容緩。

【關(guān)鍵詞】工商銀行；網(wǎng)上銀行；網(wǎng)絡(luò)安全；應(yīng)對(duì)措施；風(fēng)險(xiǎn)管理

一、工行網(wǎng)上銀行現(xiàn)狀

中國工商銀行網(wǎng)上銀行連續(xù)多年獲得“中國最佳個(gè)人網(wǎng)上銀行”的稱號(hào)，目前工行網(wǎng)銀客戶達(dá)到1.02億，成為國內(nèi)首家擁有“億級(jí)”個(gè)人網(wǎng)上銀行客戶群的商業(yè)銀行，進(jìn)一步確立了“中國第一電子銀行”的市場地位。工行電子銀行類產(chǎn)品總數(shù)達(dá)1085個(gè)，占全行產(chǎn)品總數(shù)的45.9%，成為國內(nèi)同業(yè)產(chǎn)品功能最豐富的電子銀行。與此同時(shí)，龐大的客戶群、豐富的業(yè)務(wù)功能也使得工行網(wǎng)上銀行和其他大型電子商務(wù)網(wǎng)站一樣面臨著巨大挑戰(zhàn)。

二、工行網(wǎng)上銀行面臨的安全挑戰(zhàn)

網(wǎng)上銀行系統(tǒng)作為一種典型的互聯(lián)網(wǎng)應(yīng)用，主要面臨應(yīng)用及系統(tǒng)服務(wù)、網(wǎng)絡(luò)和用戶終端三個(gè)層面的安全挑戰(zhàn)。

（一）新技術(shù)和業(yè)務(wù)需求的迅猛發(fā)展給應(yīng)用及系統(tǒng)服務(wù)安全帶來挑戰(zhàn)

以工行為例，目前個(gè)人網(wǎng)上銀行能夠?yàn)榭蛻籼峁┵~戶管理、轉(zhuǎn)賬匯款、繳費(fèi)站、個(gè)人理財(cái)?shù)?3類400多項(xiàng)服務(wù)。這些業(yè)務(wù)應(yīng)用邏輯的需求實(shí)現(xiàn)需要考慮與多家銀行，多種電子商務(wù)支付平臺(tái)，工作量和工作難度都非一般互聯(lián)網(wǎng)應(yīng)用能比。而網(wǎng)上銀行有別于傳統(tǒng)銀行業(yè)務(wù)，它通過在銀行后臺(tái)搭建一套成型的技術(shù)平臺(tái)，無需銀行人員介入而直接通過開放性的互聯(lián)網(wǎng)服務(wù)于最終用戶。

近年來，隨著信息技術(shù)的發(fā)展創(chuàng)新，黑客對(duì)系統(tǒng)漏洞的攻擊愈演愈烈，系統(tǒng)漏洞不斷曝光，大型商業(yè)網(wǎng)站后臺(tái)服務(wù)被入侵的案例時(shí)有發(fā)生。在商業(yè)銀行提供的網(wǎng)上銀行服務(wù)中，需要多種不同類型的后臺(tái)服務(wù)器作為技術(shù)支撐，通過定期檢測分析發(fā)現(xiàn)漏洞并及時(shí)補(bǔ)修，是網(wǎng)銀安全保障工作的關(guān)鍵環(huán)節(jié)。

（二）互聯(lián)網(wǎng)的開放性給網(wǎng)上銀行帶來挑戰(zhàn)

互聯(lián)網(wǎng)的成功得益于其開放性，而互聯(lián)網(wǎng)的最大安全難題也正是由于其開放性。當(dāng)網(wǎng)銀用戶試圖訪問一個(gè)正確的網(wǎng)上銀行站點(diǎn)時(shí)，如何檢驗(yàn)其身份的合法性；當(dāng)用戶成功登錄網(wǎng)上銀行系統(tǒng)后，如何保障在開放的網(wǎng)絡(luò)環(huán)境下，用戶敏感信息的機(jī)密性、可用性和完整性；網(wǎng)絡(luò)防護(hù)體系如何保障在加固網(wǎng)銀安全性的同時(shí)不妨礙正常用戶的使用體驗(yàn)，些都是擺在網(wǎng)上銀行系統(tǒng)維護(hù)者面前的挑戰(zhàn)。

一是傳統(tǒng)的網(wǎng)絡(luò)安全威脅愈演愈烈，二是新的網(wǎng)絡(luò)安全威脅層出不窮。在云計(jì)算如火如荼的今天，黑客已經(jīng)步入云端，安全廠商預(yù)計(jì)，網(wǎng)絡(luò)犯罪借鑒“服務(wù)即安全”的理念，效仿企業(yè)對(duì)云計(jì)算的應(yīng)用，利用云工具更有效率的部署遠(yuǎn)程攻擊。在新技術(shù)應(yīng)用上，黑客的腳步遠(yuǎn)比想象的要快的多。緊密跟蹤安全動(dòng)向，適時(shí)調(diào)整安全策略是工行網(wǎng)上銀行建設(shè)中必須面對(duì)的另一個(gè)問題。

三、工行網(wǎng)上銀行安全措施

工行歷來重視網(wǎng)上銀行所面臨的各種風(fēng)險(xiǎn)與挑戰(zhàn)，堅(jiān)持通過推進(jìn)各個(gè)領(lǐng)域的規(guī)范化、標(biāo)準(zhǔn)化管理，有針對(duì)性地部署信息安全技術(shù)措施?？审w現(xiàn)在如下幾方面。

（一）應(yīng)用及系統(tǒng)服務(wù)安全

在應(yīng)用及系統(tǒng)服務(wù)安全方面，工商銀行著力從系統(tǒng)、中間件、業(yè)務(wù)應(yīng)用三個(gè)層面進(jìn)行規(guī)范化管理和安全防護(hù)。

1.系統(tǒng)層面

首先，著力提升系統(tǒng)規(guī)范化水平，數(shù)據(jù)大集中為工商銀行信息系統(tǒng)的集約化、規(guī)范化和統(tǒng)一化奠定了基礎(chǔ)。經(jīng)過十幾年的不懈努力，工行逐步將多平臺(tái)、多版本的系統(tǒng)進(jìn)行規(guī)范和統(tǒng)一，化繁為簡，對(duì)系統(tǒng)環(huán)境進(jìn)行規(guī)范化管理，增強(qiáng)了系統(tǒng)的可管理性和標(biāo)準(zhǔn)化。其次，建立動(dòng)態(tài)系統(tǒng)漏洞管理體系。工行已經(jīng)與多家安全組織、商業(yè)伙伴合作建立了長效的溝通機(jī)制，每月定期與合作伙伴溝通，及時(shí)獲取最新系統(tǒng)漏洞修復(fù)補(bǔ)丁和安全防護(hù)補(bǔ)丁。

2.中間件層面

第一，建立Web頁面發(fā)布系統(tǒng)，定時(shí)刷新頁面，防止頁面被篡改；第二開展例行化Web掃描，周期性覆蓋全部信息系統(tǒng)；第三組建專業(yè)信息安全技術(shù)團(tuán)隊(duì)，對(duì)網(wǎng)站進(jìn)行內(nèi)部滲透性測試，并對(duì)安全漏洞進(jìn)行全流程的跟蹤整改；第四每年定期聘請(qǐng)第三方公司進(jìn)行外部滲透性測試和評(píng)估。

3.業(yè)務(wù)應(yīng)用層面

業(yè)務(wù)應(yīng)用邏輯是網(wǎng)銀系統(tǒng)的核心，工行一貫堅(jiān)持自主開發(fā)的策略，強(qiáng)調(diào)在系統(tǒng)安全方面的自主可控性：①加強(qiáng)軟件開發(fā)的需求管理，從需求設(shè)計(jì)初期即進(jìn)行安全需求分析。②建立全行統(tǒng)一的應(yīng)用系統(tǒng)開發(fā)團(tuán)隊(duì)，制定統(tǒng)一的開發(fā)規(guī)范。③建立成熟、完善的應(yīng)用系統(tǒng)測試團(tuán)隊(duì)，并將安全測試納入應(yīng)用系統(tǒng)投產(chǎn)前的測試范疇。④建立全行統(tǒng)一的應(yīng)用系統(tǒng)版本管理平臺(tái)，有效加強(qiáng)版本的生命周期管理。

（二）終端用戶安全

在終端系統(tǒng)層面，工行選擇了在主流平臺(tái)上搭配輕量級(jí)客戶端安全軟件（包括IE安全控件、小e安全檢測工具等）的策略，避免了終端多樣性帶來的安全問題。針對(duì)不同層級(jí)客戶的不同安全需求，推出了大量安全產(chǎn)品和服務(wù)，包括在客戶身份認(rèn)證方面，對(duì)于對(duì)交易安全要求較高的用戶，率先推出了擁有專利技術(shù)的二代u盾，使用成熟的數(shù)字簽名算法和完善的PKI體系，通過在u盾屏幕上顯示交易要素信息并要求用戶確認(rèn)，做到“所見即所簽”，保障客戶交易與自身真實(shí)意愿的一致性，提供最高強(qiáng)度的安全防護(hù)等。

除了以上安全認(rèn)證介質(zhì)外，工行網(wǎng)銀還提供了大量安全服務(wù)，包括手機(jī)短信認(rèn)證、預(yù)留信息驗(yàn)證、小e安全檢測工具、防釣魚安全控件、余額變動(dòng)提醒、短信登錄提醒、計(jì)算機(jī)綁定等技術(shù)手段，工行還采取了多項(xiàng)業(yè)務(wù)措施控制安全風(fēng)險(xiǎn)，包括為不同安全級(jí)別的客戶設(shè)置不同的交易限額，在內(nèi)管風(fēng)控系統(tǒng)中對(duì)可疑的資金流動(dòng)進(jìn)行限制等；為了提高用戶的安全意識(shí)，工行在客戶柜面開戶、登錄網(wǎng)銀操作等各個(gè)環(huán)節(jié)以柜員口頭宣傳、發(fā)放宣傳冊(cè)、演示動(dòng)畫、網(wǎng)站安全專題等多種方式加強(qiáng)客戶安全教育。

工商銀行網(wǎng)上銀行還處在穩(wěn)步發(fā)展階段，業(yè)務(wù)通過分支機(jī)構(gòu)輸?shù)膫鹘y(tǒng)模式正在改變。網(wǎng)上銀行已經(jīng)成為中國工商銀行核心部分，是最為成功的商務(wù)之一，因此，應(yīng)把握機(jī)會(huì)，合理地運(yùn)用科技手段，不斷完善中國工商銀行網(wǎng)上銀行業(yè)務(wù)，建立全新的中國工商銀行。

參考文獻(xiàn)：

[1]張博.網(wǎng)絡(luò)銀行：發(fā)展-5監(jiān)管[J].環(huán)渤海經(jīng)濟(jì)了望，2006（4）

[2]胡奎張黎：網(wǎng)上銀行發(fā)展的法律思考[J].杭州商學(xué)院報(bào)，2007（1）

[3]梁瑤蘭：招商銀行網(wǎng)上銀行的成功案例與經(jīng)驗(yàn)[J].中國信用卡，2007（6）

[4]金暉：商業(yè)銀行個(gè)人理財(cái)業(yè)務(wù)現(xiàn)狀[J].中國金融，2006（4）

[5]董德民：移動(dòng)銀行網(wǎng)上銀行新業(yè)務(wù)[J].浙江金融，2007（4）