2009年9月10日第9期
FINANCIALCOMPUTEROFHUANAN.
我国网上银行安全问题及风险防范
■中国人民银行黄石市中心支行
徐辉
近年来,面对金融市场的激烈竞争,商业银行在实现传统银行业务的同时,不断进行业务创新。依托互联任何地点、以任何网的网上银行,由于能在任何时间、方式提供服务,打破了传统商业银行的业务和经营模式,提高了工作效率,降低了银行成本,再加上电子商务的普及,使得网上银行业务迅速发展,如网上证券、网上购物、网上缴费等。但随着交易规模的迅速增长,网上银行的安全问题也日益凸显,如何确保网上银行的安全运营,已经成为有关各方必须认真面对和解决的问题。
产品,而这些新技术、新产品本身就可能存在安全漏洞和安全缺陷。
2.人员流动风险。电子商务领域过度频繁的人员流动,增加了系统源码控制和设计机密性控制的难度,成为网上银行的安全隐患。
(三)新业务品种的安全问题
对银行而言,网上银行是全新的系统。与传统相对封闭的系统相比,它既要求运营人员具有较高的IT专业知识和安全防范意识,又需要采用全新的风险管理方法。
一、网上银行安全分析
(一)互联网的安全问题
1.开放式协议风险。由于互联网是采用开放式协议的公共网络,信息加密技术不高,使得客户密码、客破户基本资料等敏感信息在传输过程中容易被截获、篡改。译、
2.网上交易风险。网上交易不是面对面的,客户可以随时随地发起交易请求。这一方面加大了银行识别客户身份,控制和规范客户行为的难度;另一方面,网上交易也使攻击者更具有隐蔽性,难以追踪相关责任人。
3.服务器风险。网上银行交易的服务器为互联网的公开站点,因此也让黑客有了可乘之机。
4.网络“钓鱼”风险。网络“钓鱼”是目前国内外不法分子常用的欺骗手段。所谓网络“钓鱼”是指入侵者通过处心积虑的技术手段伪造出一些以假乱真的网站,并诱惑受害者根据指定方法操作E-mail等方式,“自愿”交出重要信息或窃取用户重要信息使得受害者
的一种手段(如银行账户密码)。
(二)系统开发的安全问题
1.技术风险。网上银行系统使用了大量新技术、新
二、网上银行安全策略
网上银行交易系统的安全关系到银行内部整个金融网的安全,这是网上银行建设中最重要的问题,也是银行保证客户资金安全的最根本的考虑。
根据网上银行采用的从客户端提交交易申请,在局端受理后进行统一处理这一交易过程,我们可以从局端和客户端两方面出发去考虑网上银行的安全。
(一)局端的安全需求
1.合规性需求。指银行在建设和更新网上银行系统时的各种操作都需要符合国家和管理机关的相关政策、法规和规范。
2.安全保障需求。指需要保证网上银行的数据可靠、网上银行的系统可用,并且能提升银行业务的效率,通过使用安全手段和相应的安全管理策略,进行全面的信息安全管理体系建设,从而达到网银安全的目的,其具体做法如下。
(1)设立防火墙,隔离相关网络。一般采用多重防火墙方案。一方面分隔互联网与交易服务器,防止互联网用户的非法入侵。另一方面用于交易服务器与银行内部网的分隔,以有效保护银行内部网,同时防止内部网对交易服务器的入侵。
SEP.10,2009NO.978
安全防范
FINANCIALCOMPUTEROFHUANAN.
2009年9月10日第9期
79
(2)采用安全Web/VV(VirtualVault)服务器模式。VV服务器可与客户端建立SSL(SecuritySocketsLayer)安全套接层协议连接,并校验客户端证书的合法性。作为网上银行的Web访问服务器和交易服务器,VV服务器可将内部网络和外部网络分开,当外部区域接收到用户的请求后,它会进行一系列安全检查,保证只有合法用户的交易请求才能通过特定的代理程序送至应用服务器进行后续处理。
(3)24小时实时安全监控。采用ISS网络动态监控产品,随时监控非法访问和攻击企图,运用ISS漏洞扫描和评估系统,对网上银行主机和网络设备存在的安全漏洞进行定期检查,及时发现漏洞和安全隐患。
(4)安装终端管理系统。对银行内部客户端进行保护与安全管理。
(5)安装安全审计系统。统计网内用户各种各样的行为,以确认是否有违反安全规定的操作与活动。
3.第三方认证需求。如ISO27001安全管理体系认证等,这些第三方认证日益成为同业竞争的需要。
(二)网上银行客户端安全手段
目前,网上银行客户端的安全手段基本上集中在客户端认证安全方面,其做法是通过认证手段确认网上银行客户端上的操作用户是否为合法用户。网上银行客户端的安全手段主要包括以下三种。
1.早期出现的账号、口令和证书等认证方式。它的易用性非常好,普及率高,但是安全性比较差,因为其采用的传统网页输入控件方式很容易被恶意程序捕获用户输入的信息。
2.USBKey认证。USBKey采用双钥(公钥)加密的认证模式,它内置单片机或智能卡芯片,有一定的存储空间,可以存储用户的私钥以及数字证书,利用USBKey内置的公钥算法实现对用户身份的认证。由于用户私钥保存在密码锁中,理论上使用任何方式都无法读取,因此,保证了用户认证的安全性。
3.使用口令卡。它是USBKey相对廉价的替代品,也可以进行比较安全的身份验证。
当然,仅仅考虑安全认证还不能完全解决所有的安全隐患,黑客有可能进行底层消息的篡改。而且,目前网上银行系统的主要问题是,网上银行安全性过于依赖用户本身的素质,安全性观念较差的用户,其密码
很容易被盗取。作为网上银行用户也应变消极防御为主动出击,积极采取一些具体的安全操作手段确保网上银行安全。如在网上银行客户端安全控件里,使用ActiveX取代传统网页控件,以防止发生恶意程序捕获普通键盘事件,获取用户信息;通过附加输入随机验证码来预防恶意程序的暴力攻击;登录正确的银行网站,
尽量避免在通过“超链接”进入的银行系统上进行操作,以防止钓鱼网站和恶意代码、病毒的植入;及时清除在公共场所上网留下的信息,以防一些地方性支付平台对个人信息的泄露;安装正版杀毒软件并对病毒库及时升级;保护好密码,在使用过程中,网上银行账号密码和银行卡的账号密码一定不要设置成相同的;正确使用数字证书,数字证书内置在电脑的,要保护好电脑安全,USBKey用户只在交易时接入USBKey,输入pin码完成交易后,立即将USBKey取走。
三、网上银行安全发展展望
(一)个人用户、银行和安全公司三者之间应积极合作。个人用户的安全水平和安全意识需要提高,从而利用银行和安全公司提供的安全手段,做好整体安全体系的构建;银行应提供完备的安全防范手册,尽量在其网页的醒目位置对用户如何安全使用网上银行给予明确提示,同时加强对客户安全使用网上银行的培训和教育;安全公司需要对个人用户和银行提供长期的技术支持。
(二)网上银行的安全需要一个整体的社会环境。应充分将法律法规、个人用户的安全意识和安全基本技能结合起来,从而达到网上银行全面安全的目的。国家和政府需要制订合理的法律法规,在IT举证和法规方面进行加强。如果从IT的取证、定罪到制裁的过程有一套很完整、很合理的法律法规去保证,就能对攻击网上银行的黑客根据确凿的证据进行定罪,并进行合理的惩罚,这将对网上银行犯罪起到震慑作用,从而更好地保障网上银行安全。
网上银行安全体系的完善、相关管理制度的加强、对应法律法规的健全、国民安全意识的增强都将会为我们创造一个更好的网上银行运行环境,网上银行在快速的发展。我国也一定会得到健康、
(责任编辑:王彬彬)
SEP.10,2009NO.9
因篇幅问题不能全部显示,请点此查看更多更全内容