劉琦琳

網(wǎng)絡(luò)的發(fā)展極大的增加了銀行信息系統(tǒng)的不安全因素。如何從內(nèi)部和外部提升銀行信息系統(tǒng)的安全性，如何在擴(kuò)展業(yè)務(wù)的同時(shí)將安全的服務(wù)放到同等重要位置上，是銀行亟待解決的問(wèn)題。

不得不承認(rèn)，如果沒(méi)有包括互聯(lián)網(wǎng)在內(nèi)的網(wǎng)絡(luò)系統(tǒng)，就沒(méi)有如今豐富而便捷的各種銀行服務(wù)，同時(shí)，也就沒(méi)有“常換常新”、防不勝防的各種使銀行和用戶遭受信息安全威脅的各種手段。網(wǎng)絡(luò)提升了銀行的服務(wù)，便利人們的生活，也在一定程度上抹平了銀行的區(qū)域差異，不過(guò)帶來(lái)的信息安全問(wèn)題成為目前銀行系統(tǒng)的重要問(wèn)題，并將在未來(lái)銀行發(fā)展中扮演強(qiáng)烈的制約因素。

提到銀行的信息安全問(wèn)題，我們最容易想到的便是面向用戶的帳戶信息安全問(wèn)題。除此之外，銀行本身的信息系統(tǒng)也是金融信息安全的重要方面，并且更多時(shí)候，后者的安全性提升對(duì)銀行的激勵(lì)作用更加明顯，也對(duì)銀行的業(yè)務(wù)質(zhì)量有直接的影響。如何解決這些信息安全的瓶頸，需要技術(shù)，需要管理，需要監(jiān)管，也需要責(zé)任心。

用“麻煩”換安全

看看來(lái)自第三方支付機(jī)構(gòu)支付寶的數(shù)據(jù)就可了解，目前，網(wǎng)銀的使用增長(zhǎng)兇猛。截至2008年8月28日，使用支付寶的用戶已經(jīng)超過(guò)1億，支付寶日交易總額超過(guò)4.5億元人民幣。而支付寶一類的第三方機(jī)構(gòu)還只是網(wǎng)銀使用的一部分，可見(jiàn)整個(gè)網(wǎng)絡(luò)銀行使用的廣泛程度。

與此相對(duì)的，3月19日，金山毒霸云安全中心監(jiān)測(cè)到今年全國(guó)遭遇木馬攻擊的計(jì)算機(jī)累計(jì)超過(guò)3800萬(wàn)臺(tái)／次，其中專門針對(duì)網(wǎng)銀的木馬暴漲近10倍。銀行卡密碼被破解，甚至出現(xiàn)在卡未被盜的情況下卡中余額被取走或信用卡被透支，這些現(xiàn)象的出現(xiàn)使得網(wǎng)絡(luò)銀行的安全性不斷被質(zhì)疑：網(wǎng)銀還能用嗎?

“很不幸，現(xiàn)在的網(wǎng)絡(luò)世界中，黑名單比白名單還要長(zhǎng)，所以用戶保持警惕是非常重要的?！辟愰T鐵克中國(guó)安全技術(shù)與響應(yīng)中心經(jīng)理白帆透露，僅僅美國(guó)的惡意軟件產(chǎn)業(yè)每年收入超過(guò)1000億美元，豐厚的地下利潤(rùn)促使惡意軟件的更新更加系統(tǒng)和頻繁。賽門鐵克中國(guó)安全技術(shù)與響應(yīng)中心曾檢測(cè)到兩家國(guó)內(nèi)大型商業(yè)銀行網(wǎng)站被掛馬，因此個(gè)人用戶最好為自己的網(wǎng)銀賬戶設(shè)置額度限制，比如超過(guò)100元的資金轉(zhuǎn)賬要短信提醒；另外，白帆建議用戶設(shè)置強(qiáng)密碼策略，“像123456這樣的簡(jiǎn)易密碼，一秒鐘就能被密碼生成器猜出來(lái)了；盡量將娛樂(lè)和工作分開(kāi)，要玩游戲、上QQ就用家里的電腦。”

與柜臺(tái)交易、ATM交易不同，網(wǎng)絡(luò)銀行的安全問(wèn)題更多的是用戶使用環(huán)境帶來(lái)的，如存在于用戶電腦上的木馬、蠕蟲(chóng)病毒等。對(duì)以網(wǎng)絡(luò)銀行為代表的信息安全問(wèn)題，很多從事數(shù)據(jù)安全的廠商的觀點(diǎn)認(rèn)為，用“麻煩”換安全是處于交易弱勢(shì)的個(gè)人用戶最實(shí)際的解決方法。

金山毒霸高級(jí)副總裁葛珂在接受本刊記者采訪時(shí)給出了三條對(duì)策：一是盡量使用銀行提供的專業(yè)解決方案，比如加裝專業(yè)版防盜號(hào)功能控件，二是使用正版殺毒軟件；三是盡量不上可疑網(wǎng)站。

同時(shí)，“遠(yuǎn)端”的銀行也并不是對(duì)網(wǎng)銀安全問(wèn)題愛(ài)莫能助：從事數(shù)字安全領(lǐng)域金雅拓認(rèn)為，金融機(jī)構(gòu)需引進(jìn)強(qiáng)有力身份鑒別解決方案以確保客戶信息安全以及在線業(yè)務(wù)的成功。許多亞洲國(guó)家，包括馬來(lái)西亞，新加坡以及印度尼西亞都正在或者已經(jīng)完成了磁條信用卡(很多時(shí)候，信用卡等安全事故的發(fā)生正是由于磁條卡的強(qiáng)可復(fù)制性)向EMV信用卡的遷移。除了能夠防御欺詐的優(yōu)勢(shì)外，安全性更強(qiáng)的EMV信用卡使得銀行和用戶更加安心，并有助于諸如網(wǎng)上銀行以及在線購(gòu)買等：無(wú)卡交易(Card not present)的推廣。這也是亞洲的一些銀行防止欺詐以及減少安全漏洞的方法。

不只是技術(shù)的事

銀行的信息系統(tǒng)安全涉及有硬件系統(tǒng)、軟件以及網(wǎng)絡(luò)的問(wèn)題。目前來(lái)看，硬件系統(tǒng)方面，銀行要選擇適合自己的服務(wù)器硬件系統(tǒng)，充分利用服務(wù)器系統(tǒng)的可擴(kuò)展性，軟件方面，要加強(qiáng)銀行災(zāi)備系統(tǒng)的建設(shè)，而對(duì)于網(wǎng)絡(luò)的帶寬問(wèn)題而造成的堵塞等，“可以應(yīng)對(duì)的辦法是劃分應(yīng)用的優(yōu)先級(jí)，保證關(guān)鍵業(yè)務(wù)應(yīng)用的可持續(xù)性，再有就是配置好網(wǎng)絡(luò)的負(fù)載均衡。如果是網(wǎng)絡(luò)攻擊所導(dǎo)致，就應(yīng)該做好防火墻、防病毒等安全措施”。

但是，就銀行自身來(lái)說(shuō)，提升系統(tǒng)的安全性不能將其理解為技術(shù)的不斷升級(jí)就能帶來(lái)安全的不斷提升。我們認(rèn)為，在信息安全尤其是銀行自身的信息系統(tǒng)方面，除了技術(shù)，還有重要的因素制約信息的安全性：管理、監(jiān)管甚至責(zé)任心。

在與IBM等解決方案提供商的溝通中，記者了解到，改革開(kāi)放三十年來(lái)尤其是近十年來(lái)中國(guó)銀行系統(tǒng)的發(fā)展，已經(jīng)讓很多國(guó)內(nèi)的大型商業(yè)銀行具備了世界一流的系統(tǒng)，這些銀行試圖再實(shí)現(xiàn)技術(shù)升級(jí)、向國(guó)外學(xué)習(xí)時(shí)，甚至“找不到例子”。在這種情況下，管理的改進(jìn)或說(shuō)與先進(jìn)技術(shù)匹配的管理模式的貫徹和實(shí)行，才能較大幅度的提高銀行效率、增進(jìn)安全性。而目前多數(shù)商業(yè)銀行關(guān)于信息安全的管理現(xiàn)狀是：安全工作局限與個(gè)別部門或崗位，沒(méi)有在管理架構(gòu)上覆蓋全面的安全保障體系。

德勤會(huì)計(jì)事務(wù)所在2007年的全球金融信息安全調(diào)查中發(fā)現(xiàn)，“在安全破壞上，人(包括雇員)仍然是最薄弱的環(huán)節(jié)”，銀行在對(duì)信息安全問(wèn)題上態(tài)度自相矛盾：“一方面，董事會(huì)及高管已意識(shí)到解決安全問(wèn)題迫在眉睫，另一方面，他們卻并不認(rèn)為這些問(wèn)題‘屬于他們，反而認(rèn)為‘實(shí)施解決方案是信息技術(shù)人員的事”。

拋開(kāi)銀行不論，有專家認(rèn)為，在銀行信息安全方面，還缺少一個(gè)在銀行之外之上的監(jiān)管機(jī)構(gòu)。目前我國(guó)面向銀行的監(jiān)管機(jī)構(gòu)，多針對(duì)銀行業(yè)務(wù)的合規(guī)性，對(duì)信息安全考慮較少。并且，“我國(guó)銀行信息化系統(tǒng)需要監(jiān)管的風(fēng)險(xiǎn)資產(chǎn)如此之大，如果沒(méi)有基本的專業(yè)化信息資產(chǎn)風(fēng)險(xiǎn)監(jiān)管隊(duì)伍和組織，價(jià)值與風(fēng)險(xiǎn)之間的關(guān)系也就不可能平衡”。

除了管理和監(jiān)管因素，還有專家認(rèn)為，銀行的責(zé)任心也是信息安全升級(jí)的要素。中科院研究生院金融科技研究中心主任潘辛平認(rèn)為，且就網(wǎng)銀安全來(lái)講，擁有登錄密碼、支付密碼分離、登錄驗(yàn)證碼、預(yù)留信息提示、帳戶變動(dòng)短信提示、動(dòng)態(tài)密碼等功能而用戶仍然處于被動(dòng)防護(hù)甚至不知曉是否存在這項(xiàng)業(yè)務(wù)，說(shuō)明銀行和監(jiān)管機(jī)構(gòu)沒(méi)有負(fù)起責(zé)任。

3月15日，央視“3·15”晚會(huì)報(bào)道了一系列由于個(gè)人身份信息泄露而給用戶資金安全帶來(lái)威脅的事件，讓個(gè)人信息泄露問(wèn)題再次成為關(guān)注焦點(diǎn)。

看來(lái)，如何在缺乏激勵(lì)和動(dòng)力的情況下仍然確保從用戶到自身系統(tǒng)的信息安全，如何在發(fā)展業(yè)務(wù)的同時(shí)保證信息安全，這一必將在銀行未來(lái)發(fā)展中發(fā)揮制約作用的元素，是銀行、銀行監(jiān)管機(jī)構(gòu)都需要踏實(shí)去做的功課。

今年2月28日，十一屆全國(guó)人大常委會(huì)第七次會(huì)議表決通過(guò)刑法修正案(七)。修正案中，對(duì)網(wǎng)絡(luò)犯罪的界定更加實(shí)用和人性化，修正案規(guī)定，“違反國(guó)家規(guī)定，侵入前款規(guī)定以外的計(jì)算機(jī)信息系統(tǒng)或者采用其他技術(shù)手段，獲取該計(jì)算機(jī)信息系統(tǒng)中存儲(chǔ)、處理或者傳輸?shù)臄?shù)據(jù)，或者對(duì)該計(jì)算機(jī)信息系統(tǒng)實(shí)施非法控制，情節(jié)嚴(yán)重的，處三年以下有期徒刑或者拘役，并處或者單處罰金；情節(jié)特別嚴(yán)重的，處三年以上七年以下有期徒刑，并處罰金。”這對(duì)非法入侵、木馬程序的編寫，傳播、黑客工具的開(kāi)發(fā)均會(huì)造成一定壓力，打擊網(wǎng)絡(luò)犯罪不再無(wú)法可依，某些攻擊工具的開(kāi)發(fā)者也將由此承擔(dān)連帶責(zé)任，修正案對(duì)保護(hù)網(wǎng)民打擊犯罪是有益的。