6月份,由于一家第三方支付数据处理公司的安全缺陷,使得约4000万张各种品牌信用卡的资料被泄露。
据CNET报道,美国市场调研厂商加特纳在对美国的5000名消费者进行的调查显示,3/4 的在线购物者对于在线商务更小心,还有1/3 的人由于安全担忧,将减少在线购物。
此次事故波及到了近9000名国内信用卡用户,虽然并没有给这些国内用户带来太大的直接经济损失,但是对于本来就对网上银行、电子支付持怀疑和观望态度的中国用户来说,这一消息无疑加深了他们的疑虑。
一次涉及全球的信用卡支付数据安全事故,进一步绷紧了人们本来已经紧张的金融信息安全神经。
这次事件被称为有史以来最大的隐私泄露案,甚至被认为能够进入《世界吉尼斯记录大全》,虽然事件的发生影响了用户对电子商务的热情,不过实际上这类事件发生的几率并不像人们担忧得那么频繁。安全专家认为,相反,对于个人金融用户来说,更大的危险可能就在自己身边,就在已经融入大多数人工作和生活的电子邮件中,就在看似熟悉的互联网网页上。
趋势科技公司的技术客户经理郑敏支持这一看法,相对于金融企业对病毒、黑客的攻击防护体系而言,针对个人用户的病毒、网络钓鱼、木马等安全隐患的防护体系更为薄弱。
最终用户才是攻击薄弱点
据市场研究公司Gartner 的调研显示,从2004年5 月。2005年5 月的一年中,收到过钓鱼式攻击的垃圾邮件的消费者数量较上年增长了28%. 有240 万在线消费者称他们直接因钓鱼式欺诈攻击而受到了经济损失。
赛门铁克中国区金融行业总监王笑丹,用赛门铁克在2005年3 月公布的《互联网安全威胁报告》中的一组数据证实了这一点。报告显示, 2004年后半年,网页仿冒欺骗攻击的数量每周都平稳增长。2004年7 月1 日到12月31日,赛门铁克检测到1.031 万次网页仿冒欺骗攻击,平均每周将近400 次。王笑丹认为,网页仿冒欺骗明年仍将是非常严重的一个问题……。
McAfee北亚区技术总监陈联认为,越来越多的漏洞和攻击是针对金融系统的,这其中用户终端出现问题的可能性在增大。
从相应的攻击手段来看,病毒的威胁相对在下降,而间谍软件变得愈发聪明、可怕,它们通过仿冒支付网页或者提示信息等获取用户保密的金融信息。而国际性的网页假冒,跨国的间谍软件的攻击,由于时差和语言障碍增加了迅速解决这些问题的复杂度。
在线业务信任度下降
金融企业,特别是银行业,一直希望依靠互联网降低成本和提高营销效果。但如果消费者对电子支付的信任度持续下滑,企业就无法达到这样的效果,而且会对合法的在线银行业务和交易产生一系列不利的影响。
加特纳调查显示,约30% 的在线银行服务用户表示,数字攻击已影响到了他们对在线银行服务的使用。近70% 的用户已安装了额外的安全软件,54% 的人放弃了特价优待。
在我国,金融企业基本都采用了物理隔离的方式,将内部数据与互联网分离,目前尚没有大规模的用户数据泄露情况的发生,但是国际频频出现的金融安全危机却对我国具有巨大市场潜力的在线业务用户的影响非常他介绍说,目前工商银行推出了USBKey服务以确保网络安全。
USBKey是一种硬件加密系统,就像一把网络钥匙。用户在网上银行进行交易,除需密码外,必须在USB 接口上插入USBKey,确认后方可实现操作,相对于“赤裸裸”的密码,随身携带的USBKey等于给网络交易上了第二把锁。
崔彦刚处长也已经为网上银行业务的开通,做了大半年的准备工作。相对于大型的全国性银行,
银川商业银行的资金不够充足。如何确保网上银行的安全?
在整个项目中安全投入的比例应大。王笑丹认为这些威胁影响包括使品牌资产受损、丧失消费者的信任和对品牌的忠诚,相关机构还要为减小这种欺骗行为造成的影响而付出巨大成本。
银川商业银行科技处处长崔彦刚在接受记者采访时表示,万事达事件的出现,让银行业警醒。以前提到信息安全似乎更多的是网络安全,是依靠防火墙等安全产品来提供技术保障。而现在看来,防止信息失密的管理安全策略才是最重要的保障依据。
而趋势科技郑敏认为,银行除了要完善自己的安全策略外,还应该采取一系列措施提升消费者的信任度,重要的一点就是要帮助消费者增强对各种网络攻击的免疫力。
多方参保网上支付
长期专业从事电子支付的网银在线最近正在跟国内一家做安全身份认证的厂商洽谈,希望把CA认证搬到电子支付平台上。
其执行总裁赵国栋介绍说,
电子签名(CA)是国际公认的安全的身份识别技术。而我国《电子签名法》的颁布使得数字证书的方式更加普及。目前国际上用得比较多的方式是VISA 3D 认证,就是由发卡行、收单行和国际信用卡组织(第三方),对持卡人身份的检验工作,以降低冒用盗刷的风险,维护网路交易的安全。
然而中国工商银行总行信息科技部处长蒋卫华却认为,CA认证只是安全防范的一种方式。
该占到多少为宜?这些问题时刻困扰着崔彦刚。为此他希望透过媒体提出一个建议,就是希望通过中国银联为多家中小银行建立一个统一的安全平台,在个人用户进入各银行进行网上支付之前多把一道关。他说,这可整合中小银行的资金,满足共同的安全需求,既能够减少重复建设,又能够加大安全投入力度。
安全支付环境仍有待完善
保障金融信息安全的基础还是金融企业内部的安全环境。
McAfee的陈联在接受采访过程中,一再强调“安全策略”在金融企业保证信息安全中的重要性。这其中不仅包括安全技术架构、数据管理、人员管理,还包括与合作伙伴的责权,以及针对安全问题的预警机制等。
银川商业银行刚刚完成了其内控体系建设项目的方案,并将在今年年底根据方案开始采购。
内控体系包括应急方案,不同级别的风险有不同的应急方案;版本投产管理,以了解应用产品是否有漏洞等,这包括银行自己开发和外来应用系统的管理;还有对操作者的管理,包括管理人员和所有的系统使用者。
崔彦刚今年另一个工作重点就是灾难备份系统,他说,虽然灾难备份刚刚起步,但是相应的应急预案要经过不断的演练来修正其中的问题,才能真正保证顺利实施。
中国建设银行山东省分行信息中心总经理马卫东,就一再强调他们目前通过PDCA(计划- 执行- 监察- 改进)过程管理方法,对每个流程进行识别和规范,逐步达到高质高效的管理水平。目前建行的网络银行是通过建行总行的三层防火墙进入,并采用了国际通用的加密令牌。
在安全与易用间寻找平衡
网上银行频频的危机让各家银行收紧神经,并加大对银行网络安全工作的力度。但是种种安全措施的使用也给用户带来了很多不便。因此,网银在线的赵国栋认为,网上业务应该在安全和易用之间找到一个平衡点。
网银在线在参与网上支付的过程中感觉到,各大银行应该有统一的网上操作平台,这样将使得用户操作更加简便。
崔彦刚在实践中也逐渐感到,虽然CA中心的建设是重点,目前国内许多银行都已运行CA中心,人民银行也已建立了CA中心,但是这些CA 中心将来如何整合,包括对公和对私的客户管理手段方面的差异性管理将是一个潜在的问题。未来客户是否会因为要获得各银行的服务而需要不同的证书,从而增加了操作的复杂度?
目前大多数银行信息安全方面的投入占整体信息化投入的10%。15%,但是由于安全效果并不容易评估,因此包括崔彦刚在内的大多数银行信息化负责人对网络安全投入应该占总体的比例非常困惑。有专家认为集中式的数据处理中心的建设,能解决权限控制不利而导致的安全隐患。避免了有些地市分行,存在一个人管理各种系统,通晓全部密码的现象,潜在隐患很多,非常容易出现内部作案的情况。但是数据集中也不是万事大吉,数据的大集中无疑增加了银行管理的风险。蒋卫华处长说,中国工商银行采取了实时灾难备份的方式,而且大集中的数英银行寻打击网络欺诈依据努力建立一套确保网上用户身份的方法据与互联网物理隔离同时应用。
即使银行开始大面积加强自己的信息安全防护意识和防护体系,安全厂商们仍然建议,相关机构对用户个人数据的传输需要进行加密,这样即使信息被窃取也能保证用户的安全。关于如何保证金融安全的讨论仍在继续,作为普通用户,您所能做的就是——小心、再小心。(张郁)
