除此之外，本期我们组织的信息安全主题报道还收集了各行各业的CSO(信息安全主管)们对信息安全的认识和观点，以期对厂商开发信息安全产品有所帮助。产品推荐和企业展板栏目，则将信息安全厂商一些优秀的产品、方案和理念推荐给广大的读者。

　　“传统的商业银行是要在21世纪灭绝的一群恐龙。”这曾是比尔·盖茨的预言。然而，各种伸向网上银行的黑手，使得“恐龙”的灭绝似乎成为一个预想的神话。

　　"某种意义上，金融业永远无法阻止诈骗事件。"国内A银行的谢先生对记者说，他委婉拒绝了记者对近期闹得沸沸扬扬的"冒充金融网管员"诈骗事件进一步深入采访的要求，"这件事情本身和我行没有太大关系，管理员信箱被冒用是一种金融欺诈行为，并不是安全技术不过关，幸好没有给客户带来经济损失。"他补充说，A银行有一整套的网络安全措施，能够保障网络银行的安全运行。

　　6月初，有人盗用该行网上银行网管员信箱，假借"网络银行系统升级"名义，给网上银行客户发送电子邮件，索要网上银行注册客户的用户名(登录卡号)和密码。目前，该行已经在自己官方网站的显著位置刊发了"重要提示"，对其网上银行客户预警。

　　巧合的是，几乎是在同时，在全球范围内，1200多家欧洲和美国的银行和保险公司称，其客户密码和信用卡号码等重要信息有可能已经被黑客窃取，6月4日发作的"怪物"病毒变种，已经开始在因特网上呈现出蔓延势头，波及到100多个国家，而据反病毒专家称，这种"怪物"病毒会不断变换形式，并能对付反病毒或防火墙软件。更值得警惕的是，这种病毒会在受到感染的电脑中安装"木马"程序，使黑客能将银行用户的信用卡号和密码秘密传送至某一特定邮箱地址，从而达到非法窃取他人资金的目的。

　　网上银行似乎成了黑客关注的焦点，在最近发生的一系列典型网络犯罪事件中，90%以上集中在银行和保险领域，这不能不引起人们的恐慌，以致于在全球范围内，逐渐蔓延出一种"网络银行不安全"的悲观情绪。

　　就在2003年2月，美国一名电脑黑客攻破了一家负责代表商家处理Visa和万事达卡交易业务的企业计算机系统，掌握了220万个顾客的信用卡号；在日本，黑客利用安装在网吧中的特殊软件非法窃取用户网上银行的密码，使1600万日元不翼而飞; 2002年，中国公安部曾经破获一起不法分子利用黑客手段在银行的网银服务器中植入"木马"程序，窃取了多家银行和证券客户的账号、密码信息进行诈骗的案件，涉案金额达80多万元。

　　比尔·盖茨曾经说，银行业是必需的，银行却是不必要的;他甚至预言："传统的商业银行是要在21世纪灭绝的一群恐龙。"然而，各种伸向网上银行的黑手，使得"恐龙"的灭绝似乎成为一个预想的神话。

　　如同在真实的社会中一样，欺骗、病毒、入侵、盗窃甚至抢劫，在虚拟的网络环境中不仅始终存在，防不胜防，还呈愈演愈烈之势。不仅银行业如此，在其他严重依赖信息化的行业同样如此。

　　在黑手的背后，这些看似偶然和孤立的案件，是否存在着某种必然的联系？代表着网络安全技术最高应用水平的银行业尚且如此，那么，其他领域的信息安全还会有哪些隐患？斩断这些黑手，需要什么样的技术性保障和非技术性的法律支持呢？

　　经过对中国金融认证中心(CFCA)以及国内的一些重要的商业银行深入采访，本报记者试图能找到这些问题的答案，也希望其他行业能有机会管中窥豹，未雨绸缪，加强信息安全意识和采用各种防范手段，将因技术的不足而导致的风险降至最低程度。

　　

安全认证之痛

　　尽管"冒充金融网管员"诈骗事件成为了近日来众多网站点击率排名靠前的新闻，但依然没有人能说清楚事情的来龙去脉。

　　A行对具体细节的三缄其口的确有其原因：一是对外公布诈骗案件是公安部门的事情，超出了自己的职责范围；二是对于自身网络安全措施说得过多会导致不必要的泄密；三是黑客的做案手段浅显，谈不上涉及到网络重大安全的技术问题。

　　而很多金融信息安全专家根据自己的经验已经能分析出问题的实质，但鉴于金融安全的敏感性以及其他可以理解的原因，他们大多不愿意公开自己的姓名和单位。记者尊重了他们的意见，姑且以钟先生、张先生、刘先生代替吧。

　　那么，盗用者如何能够冒充公开网管邮箱？

　　国内某商业银行B行的一位不愿意透露姓名的高级技术主管钟先生认为，一般来说，网络银行的安全性是非常高的，黑客进入要突破N道不同的安全防线，如防火墙、入侵检测、防病毒等，Web服务器上还有其他访问控制措施，所以，要攻破银行系统是非常困难的。"因此，A行这件事，不属于黑客入侵，而属于金融诈骗，用技术手段不可能预防诈骗这种行为本身。"他说，"在银行内部假冒网管发电子邮件是一件没有任何难度的事情，可以初步断定这是内部做案。在目前，全球银行利用网络实施犯罪的内部作案率高达85%以上。"

　　而另一家C金融机构的技术处处长张先生则认为，如果没有实施安全认证，外来作案者冒充网管一点也不难，完全不懂技术的人都可以冒充网管员发信。在国外还出现过假冒公司网页的事件。"外人在银行主页上挂个小公告的话，一般不会引起网管的注意，如果有多个网管员的情况，网管员之间彼此以为是其他网管员发的公告，都会信以为真，后果将不堪设想。"国内目前90%以上的电子邮件都没有认证，一般人很难判断来自网管员邮件的真伪。

　　在记者看来，如果连这种毫无技术含量的简单的网络犯罪都能轻易得逞，那么，网上银行的安全真正是让人担忧了，这正好说明是网上银行的一个巨大的漏洞。中国金融认证中心(简称CFCA)技术总监关振胜说："解决办法是有的，就是银行网站必须对本身进行认证。让别人相信，从该网站或该邮件地址发出的邮件一定是真实的，而不是假冒的。"

　　盗用者又是如何获得银行客户的邮件地址呢？一家金融系统集成公司的项目经理李先生认为，有两种可能性:一是黑客冒用信箱后，通过普遍撒网式的乱投来寻找网上银行的客户;二是银行内部管理存在漏洞和隐患，没有对客户邮箱地址进行专门的保护，使它们被恶意利用。

　　"前者牵涉到一定的法律问题。"关振胜先生说，"目前，一些网站将自己的注册用户资料进行私下买卖，使我们的邮箱中出现了很多垃圾邮件，但这是不是属于非法行为？是否有法可依？目前没有明确的说法。"据悉，国家法律对个人财产等隐私都有保障，惟独对个人资料隐私没有立法，这就造成了网上个人资料的频繁泄露却没有法律可依。

　　对于后者，金融业资深专家刘先生透露，现在大多数商业银行网站存在的一个很大问题就是访问授权的混乱，对像客户地址、邮箱这样的重要资源的保护力度很不够。我国《计算机安全等级管理标准》根据行业、机构的不同，共分五个等级，其中建议银行业要达到三级安全标准，他认为，某些银行目前的安全状况远远达不到这一标准。B行的技术主管钟先生也承认，现在的银行还没有一个专门的系统存放客户的邮箱和地址，并不是技术水平达不到，而是缺乏这种意识。

　　值得庆幸的是，这次事件并未给银行客户带来经济损失。但是，如果真的出现了损失，这损失将由谁来承担？如果有客户因为此事投诉A行，A行该负什么责任？如何赔偿？目前，有关在线交易的法律条例几乎是一片空白，国内也时常听闻在线交易中，由于出现资金误差而导致客户与金融机构打官司的例子，最轰动的是2000年证券行业出现的"银广夏"案件，由于无法可依、客户取证困难等多方面因素，最终是处于弱势群体的客户败诉。但金融机构也并非赢家，它蒙受了巨大的声誉损失，客户大量流失，结果是两败俱伤！

　　国外通常采用第三方来评判和监管交易的方法，以色列的做法是采取第三方认证，并以保险业为后盾，一旦出现问题，先将保金给用户以弥补损失，如果通过调查发现是用户一方的问题，则以骗保加以处罚。

　　我国的《数字签名法》虽然出台了草案，但迟迟未正式颁布，某些法律条文仍严格规定必须采用书面签字形式，专家称，这样既不利于网上业务的发展，也使得我国法律在此方面不能与国际公约和国际惯例接轨。

　　

CFCA：技术性遏制

　　中国网上银行的发展始于1996年2月，1997年，中国银行建立了自己的网页，同年推出网上银行"一网通"，成为国内第一家上网的银行。自此之后，到目前为止，中国已有20多家银行的200多个分支机构拥有网址和主页，其中开展实质性网上银行业务的分支机构达50余家，企业与个人客户超过250万户。1998年，招商银行在国内推出"一网通"网上金融业务后，网上银行业务呈蒸蒸日上的态势，据预测，到2005年，中国的网上银行用户将达到1.4亿。

　　按照CFCA技术总监关振胜的说法，网上银行的发展主要受制于两个方面，一是安全措施，二是法律环境。网上银行的安全措施主要体现在四个方面：一是交易双方的握手，也就是客户访问银行网络必须经过加密的安全通道；二是在网络层面加强安全基础设施，如防火墙，杀病毒等；三是增加入侵检测系统，当黑客来临时，能提前报警;最后是在应用层面上实施PKI机制。

　　针对A行事件，业内专家刘先生认为，如果采取了这四方面的安全措施，从理论上来讲，是万无一失的。"不过，现在很多商业银行比较注重前三个方面，而在应用层上的安全措施相对缺乏，大多只有密码或口令这一种简单的身份识别手段，其安全性比较低。"

　　那么，A行采用了什么样的识别手段呢？是否采用了认证机制？该行一位网上银行客户向记者反映，在网上银行输入账号和密码时，并未像某些网站一样弹出认证窗口，这是否意味着，A行网上银行的B to C业务并未实施认证？由于记者不是它的网上银行客户，无法亲自进行验证。

　　据悉，PKI技术是遏制网络犯罪实施成功的非常有效的方法，其核心就是使用数字证书。"可以这样讲，如果网上银行系统中采用了数字证书认证技术，不法分子即使窃取了卡号和密码，也只能查看客户的资金，而无法真正交易，实现诈骗、盗窃企图。"关振胜先生说，"数字证书技术已经被广泛地应用在国内外网上银行系统中，PKI技术应用十多年来，目前世界上尚未发现一例由于数字证书被攻破而使网上银行诈骗得逞的案件。"

　　关振胜先生解释，理想的证书方式是双向认证，即银行对客户进行认证，而客户也要对银行网站进行认证，国内银行在大多数交易数据巨大的B To B的交易中，均采用了双向认证机制；其次是单向认证，一般采用银行对客户进行认证的方式，即B to C交易方式，以防止假冒的客户向银行提取资金；安全性最差的是双方没有任何认证，这是非常危险的，很容易被黑客冒充各自的身份进行非法的交易行为。

　　"但是，使用证书的话，要占用系统资源，速度会稍微慢一些。"业内资深专家刘先生说，"银行为了争夺客户，应当考虑使用越简单越好，但往往为了得到这种简单性而以牺牲安全性作为代价。"此外，是否采用证书和各家银行的政策也有关系，网上银行要是真出现了诈骗事件，很多银行为了维护自己的声誉，宁可赔偿损失，也不愿意随意公开这类攻击事件。"维持市场对我的利益更大，毕竟加上一套安全机制，每个客户都要有证书，服务器的容量、带宽等一系列费用都要上去，一年可能要花上千万资金，而如果包赔也就几十万的事，你说怎样划算？"他说。

　　而CFCA技术总监关振胜先生认为这绝对是一种短视行为，一方面，黑客的手段越来越胆大，交易额的损失越来越严重；另一方面，对网上银行的声誉造成的无形损失也是非常巨大的。"国内商业银行为了竞争而降低网上银行的安全门槛，势必造成安全的漏洞和隐患。"关先生说，"有了能遏制网络犯罪的技术为什么不采用呢？"

　　

电子银行的难言之隐

　　"世界上没有百分之百的安全，但对安全的要求却是百分之百的。"B行技术处处长钟先生发出感慨。

　　公正地说，目前，全球银行业的网络安全意识和网络安全应用水平应当是居各行业之首。首先，银行内部基本采用的是封闭的系统，通常采用大型机，它不像微软的Windows操作系统具有广泛的公开性，用户多，了解它的人也多，专门研究它的漏洞的人也多，从而攻击技术也很泛滥。而大型机环境本身就很少，研究它直至精通它的人就更少，再加上其超乎寻常的复杂性，无形中形成了封闭的特点，不是说它没有漏洞，而是说它的漏洞很难公开或很难被人利用。因此，银行的业务系统、主机、操作系统基本都是封闭的，为了有意造成封闭氛围，目前许多银行还使用私有IP地址来构筑网络，因此，金融业基于互联网的入侵率远远低于别的行业。其次，银行的管理要比一般的企业规范得多，经过多年的磨练，其计算机人员一般素质较高，有机会接触一流的应用流程和框架。第三，银行在计算机网络方面投入的资本雄厚，能吸引最顶级的服务商、厂商来做相对完善的安全方案。

　　但是，电子银行的风险管理并不是一个简单的问题，而是非常复杂、涉及层面广泛的问题。2000年10月，银行监管巴塞尔委员会关于电子银行发展中风险管理和监管问题的报告，对电子银行相关的主要风险进行了评估，列出了战略风险、名誉风险、操作风险(包括安全和法律风险)以及信用、市场和流动性风险等方面的具体情况。特别是，由于电子银行本身所依赖的技术复杂，使战略风险、操作风险和名誉风险大大增强了。

　　"此外，还有很多技术问题银行自己是没有办法解决的。"B银行技术主管钟先生直言，"目前国内的某些安全产品就存在着许多问题，按照国家规定，某些产品要用国内品牌，不可否认，国内产品在功能上一点也不逊色于国外产品，但是，某些产品在制造工艺上，在产品性能、稳定性上，还存在距离。"他举例说，在使用某一个国产产品时，经常莫名其妙地死机，查了半天，原来是某个焊点松动了，就连小小的焊接技术似乎都没有过关，很难让人放心。

　　他向网络安全厂商提出三条意见：一是虽然目前市场上安全产品众多，但真正贴近银行应用实际的产品非常少，例如国内的加密产品大部分还处于做学术研究阶段，目前缺乏速率超过155M的光纤加密机，使得银行只好在应用层面上去加密；二是一些产品的可靠程度还有待进一步提高，一些厂商的开发缺乏持续性；三是后续维护、服务体系跟不上。

　　"迄今为止，国内还没有某家银行网站被黑客人侵的案例发生。" C金融机构的技术处处长张先生说，"但国内的确发生过多起证券交易系统被侵入，犯罪分子盗卖盗买他人股票、挪用盗取他人股票账户资金的恶性计算机犯罪，这些应该对银行有警示作用。"

　　此外，关于入侵检测技术在网络中的应用，目前在金融领域争议非常大。"从安全领域来看，IDS是舍本逐末的东西。" B行的技术主管钟先生认为。他的依据是，2000年在中国做入侵检测的公司有1000多家，但到2003年已经所剩无几了。

　　他认为，其一，网络安全不在于入侵。"家里防盗一般怎么防？首先安装门窗(防火墙)，其次是看有没有上锁(应用程序的加密)，什么时候才请便衣(IDS)呢？当你家里实在有钱而且很危险时，你才会请便衣在家呆着。有了保安还请便衣，傻子才干呢！"其二，入侵检测的环境和技术难度远远高于其他安全产品，大部分产品是有其名而无其实，结果是花费昂贵的代价却买了不管用的东西，造成资源浪费。"花国家和企业的钱，责任比回报更重要，上级领导也许并不明白世界上没有100%的安全的概念，你用了这东西却还要出事，肯定要抓你渎职，从这个角度上来看，采用IDS的风险很大。"其三，有了防火墙、加密等基本工具以后，80%以上的安全问题都解决了，剩下的20%安全问题，却要花80%的投资，这种投资效率是非常低的，所以很多单位在选购IDS时，都非常慎重。

　　那么，剩下20%的安全问题怎么解决？钟先生告诉记者，绝不是靠产品来解决的，靠的是银行自身封闭的物理环境和管理，但也只能解决10%左右的问题。

　　"关键是出了问题以后如何补救。" C金融机构技术处张先生说，"如规范化的流程管理，还有紧急响应机制等。"

　　但是，B行的技术主管钟先生认为，国内银行的紧急响应机制存在一些问题，目前并未完全解决。第一个是"紧急"是相对什么来讲的，各个银行说不清楚，是属于灾难的紧急响应呢，还是属于安全的紧急响应呢？第二个是许多银行都设有安全委员会，下面有安全紧急处理计划和响应程序，但一般都只有架子，而没有筋肉。"首先，应该对病毒侵入网络分级，但目前缺乏一个量化的对应关系；其次，病毒出现后，缺乏每一级相对应的人、物和资源配置；其三，国内银行没有像国外银行那样形成一个日常的制度。"

　　"人民银行对安全级别的划分是有标准的，但标准落到实处的结合点却是松散的。"钟先生不无遗憾地说。

　　尽管此事件没有造成直接经济损失，但在行业和用户中引起了较为强烈的震动，引发人们思考，它至少提醒我们，对信息安全的重视还远远不够，信息安全的建设工作才刚刚开始。

　　

只听楼梯响不见人下楼？

　　本文无意指责A行网上银行的安全性。事实上，比起传统的交易行为，如电话银行或柜台业务，网上银行在制止内部犯罪、防止人为的金融诈骗方面，比传统的交易更加安全。从A行对这起诈骗事件迅速反应，并迅速制止了可能的客户被欺诈事件本身来看，该行的紧急响应机制是相当完善的。

　　但是，该事件对其他行业的信息安全监管具有非常重要的意义。

　　事实上，它不是偶然的，金融行业面临的信息安全风险和技术困惑在每一个严重依赖信息化的行业中都会存在。

　　首先，我们看到，各行各业对信息安全的重视程度有些还真可能停留在口头阶段，虽然每个企业都知道信息安全的重要性，媒体也不断报道信息安全事件以期唤起公众对信息安全的重视，但真正将这些意识落实到实际行动中的例子少之又少。美国《IEEE Spectrum》今年1月号将这种现象归结为"只听楼梯响，不见人下楼"。信息安全专家David Farber强调，在所有的信息安全白皮书及庄重声明中，我们看不到多少实际行动，换言之，信息安全是行动落后于言论。可见，信息安全的现状在全球是共同的。

　　那么，问题出现在哪儿？David Farber认为，关键是投资力度不够！他说，在各机构所面临的防护问题和这些机构对解决这些问题的投资意愿之间存在巨大差距。此外，究竟由谁对安全付费也无定论，互联网既属于每一个人又不属于任何人，这使其安全问题尤为困难。计算机系统的买主不愿意另外为安全支付费用，即使是为了他们自己的系统安全。但是，这种态度正在变化，尤其是在美国"9·11"事件以后，美国的保险公司开始对客户的计算机系统安全进行评估并据之调整费率，这是一个新的经济调整因素--如果网络客户能够证明自己的计算机系统足够安全就可以大幅度节省保费，有望改善不愿意在信息安全方面大幅投资的现状。

　　国外保险业加入信息安全领域给人们至少增添了心理的保障，也许，中国的保险业应该借鉴这一做法。

　　其次，从安全技术来讲，我们分析，在所有的安全技术中，密码技术是解决信息安全的核心技术。事实上，这个观点并不是记者自己的发明，而是大多数国内信息安全专家的共识。国家信息安全工程技术研究中心一位主任在与记者交流时，反复强调密码技术在信息安全中的重要作用，他说，这种密码技术不是简单的数据加密，而是应用多种不同的加密技术，如对称加密、非对称加密、动态密码、指纹加密、虹膜加密等技术，共同支撑信息安全体系。他举例，PKI就是解决网络诚信问题、防止欺诈行为的关键技术，就像现实生活中的身份证一样，首先要解决对个体的识别问题，才能上升到信任问题。而在信息世界中，则是解决信息的完整性、保密性和不可抵赖性，PKI中的核心技术就是加密技术。

　　从多次发生的金融欺诈案件中，我们也发现，凡是将加密技术应用得充分的银行，被攻破的概率要小得多，即使被系统攻破，发生大量资金损失的概率也小得多。

　　这种现状，对信息安全厂商是否也有借鉴意义呢？很多人对信息安全的认识局限于防火墙、反病毒等几个领域，而对信息安全核心技术-加密技术似乎很少提及，导致了人们对信息安全发展方向的误解。

　　到今年年底，中国的《数字签名法》有可能正式颁布，我们相信，中国的信息安全管理和监督机制将更加健全。

　　

相关链接一：何谓数字证书？

　　数字证书是一种由权威的、公正的、可信任的机构发放的记录着用户和认证机构有关信息的电子文件，是网上身份的证明。网上银行交易双方--银行和用户，都各自持有与其身份绑定的数字证书。在网上银行交易过程中，双方都要向对方出示证书，以获得相互的信任。这个认证过程是以公钥密码技术为手段，通过相应的计算机程序实现的。每张数字证书都有一对密钥--公钥和私钥。通常，用户的私钥被牢牢地封装在智能卡中，黑客是无法拿到的。由于私钥的惟一性和不会泄露的特点，使用数字证书认证具有极安全的身份鉴别能力。除此之外，利用私钥和密码技术可以实现数字签名。经过数字签名的交易信息是不可篡改和不可抵赖的。在网上银行交易过程中，数字证书机制在认证过程中还建立了高强度的密码传输连接，以对交易信息加密。

　　

相关链接二：电子银行风险挑战

　　2000年10月，巴塞尔委员会公布了关于电子银行发展中风险管理和监管问题的报告，列出了战略风险、名誉风险、操作风险(包括安全和法律风险)以及信用、市场和流动性风险等方面的具体情况。

　　电子银行风险管理的主要挑战来自于基础技术的复杂性和变化，主要有如下几方面。一是电子银行的技术创新和客户服务变革的速度很难预期，表现在新技术和新业务的推出时间周期大大缩短，因此，在实现这些新应用之前，能否有合适的战略评估、风险分析以及安全检查就是一项大的管理挑战。第二，在电子交易中，Web站点直接和后台传统的核心业务系统相连，这种模式要求系统有完善的设计、合理的体系结构、良好的互操作性和可用性。这种技术依赖性使风险更为集中，管理也更为技术化。第三，电子银行的操作和安全复杂性增强，特别是引入了更多合作伙伴、联盟以及外包服务商，使得形成了新的服务模式，这种模式融入了银行和非银行机构，如互联网服务商、电信公司及技术企业，但是这些非银行机构并不在监管之列。第四，互联网本身无所不在的特性，使信息访问的各个环节都很难控制，服务对象、信息路由、访问渠道(拨号、无线等等)都是不可知的，因此，安全控制技术、客户身份确认技术、数据保护技术、稽核跟踪技术以及客户私密标准等变得比以往更重要。

　　所谓数字签名，是指用符号及代码组成电子密码进行"签名"来代替书写签名或印章，用于鉴定签名人的身份以及对一项数据电文内容信息的认可。

　　德国是全球首批采用数字签名法的国家之一，数字签名法在数据交换时赋予数字签名与手写签名同等的法律效力。

　　在2000年6月，当时的美国总统克林顿使用一张智能卡，签署了美国《电子签名法》。该法案被称为那届美国国会通过的最重要、具有里程碑意义的电子商务立法。