【IT168专稿】网上银行信息安全现状不容乐观

    来自新华网的统计表明：2006年上半年网上银行的交易总则达到了40万亿，个人网银用户达到3500万，企业网银的用户达到900万，网上银行有48家，而且近几年基本上每年保持在100%的增长速度。

    相应而来的是各类有威胁的攻击和病毒层出不穷。耳熟能详的就有包括网银大盗、灰鸽子病毒、广外女生病毒，还有去年年底很热门的熊猫烧香病毒。

    与之同时，网银大盗事件也在逐年增长。在2004年的时候，网银大盗有60例安全事件，2005年则达到了1100例，而2006年的时候达到3.7万例。每年都是几何级数的增长，这表明安全厂商在对付这种病毒和攻击的同时，病毒也在不断地升级和扩展，而且在每一个版本上都会加入新的攻击特征和功能，目的就是达到一个更好的攻击效果。

    现象背后的思考

    现在针对于网银，还有各种各样的公司和企业的网络安全事件越来越多。实际上背后隐藏着这样一个事实：地下的黑金产业现在已经形成了很庞大的一个规模，也已经形成了一个比较成熟的链条。

    首先是病毒和木马的编写者，这一部分人会把新型的病毒和木马，包括更新的版本会不断地编写出来；再向下会有一个销售的渠道，这个渠道专门把这些高手编出来的攻击程序销售给的攻击者。需要注意的是，攻击者不再需要很高的技术，技术问题都被病毒和木马的编写者解决了。攻击者只要是能使用这个工具去攻击网银的用户即可。而在攻击成功之后会有很多的利益，例如，攻破了一个经常上网、游戏用户的计算机，一些Q币、游戏的账号和虚拟物品都会被黑客得到。这些东西被盗取以后还有专门的销售渠道，去换取现实中的人民币。

    整个的黑金产业链条已经分工得非常明确了。黑客的攻击已经不再是出于猎奇、报复等个人的主观目的，而是从金钱利益方面获得了最强烈的驱动力，通过攻击网银的客户或商务网站可以获得直接的金钱利益，这导致现在黑客的攻击愈演愈烈。

    从安全保护的角度讲，需要我们全面地主动去考虑一些安全的问题。比如我们可以从黑客的心理出发，提高黑客的攻击成本，降低他们攻击所能得到的收益，这样就可以很好地对黑客攻击的行为进行防范。

    从银行的角度如何考虑网银安全

    从客户端提交交易申请，在局端受理后进行统一的交易处理，所以我们可以从局端和网银的客户端两方面出发去考虑网银的安全。

    局端的安全需求来可以分为三个方面。首先是合规性需求，是指建设网银系统需要符合国家和管理机关的相关政策、法规和规范；其次是安全保障的需求，这部分比较传统，需要保证网银的数据可靠、网银的系统可用、并且提升效率；第三是第三方的认证需求，如ISO27001安全管理体系认证，这些第三方认证也日益成为同业竞争的一个需要。

    在合规需求方面，国信办、人民银行、银监会都出了相应的法规与管理办法，从宏观要求到具体的操作指南。针对于这些管理办法，银行的网银系统需要对它进行符合性的设计。银行在设计和更新网银系统的时候，需要确切了解这些条文的要求、需要遵守什么规定，需要满足什么条件。

    在安全保障需求方面，可以使用安全手段和相应的安全管理策略，进行全面的信息安全管理体系建设。信息安全管理体系不但涉及到安全的网络架构、安全的系统，数据的安全，还包括相关的人员配置、管理制度等等一整套东西，并且有更新、维护的一套办法，是一个非常庞大的工程。在这个系统里面，可以利用下面这些产品和手段来达到数据可靠、系统可用和提升效率等等一些目的。

    入侵检测/保护系统。发现攻击或者蠕虫或者木马攻击并进行阻断（入侵保护）。

    远程安全评估系统。远程安全检查，发现主机和系统上是否存在的漏洞，对漏洞生命周期的整个过程加以控制。

    抗拒绝服务的设备。防范现在非常流行的DDoS攻击。

    终端管理系统。对银行内部客户端进行保护与安全管理。

    安全审计系统。统计网内用户的各种各样的行为，是否有违反安全规定的操作与活动。

    第三方认证的需求，以ISO27001认证为例，是对信息安全管理体系的认证。银行的信息安全管理体系ISMS通常是基于BS7799这个标准来建立的，而有了这个安全管理体系以后，是否达到了BS7799标准要求的水平？这就需要用ISO27001标准来审核。如果能通过该认证，就说明符合体系的要求。

    在网银局端安全以后，还需要关注一下网银客户端的安全。现在网银客户端的安全手段基本上集中在客户端的认证安全这一块，做法都是通过认证手段来确认网银客户端上操作的用户，是否为一个合法的用户。

    第一类手段是在国内网银早期出现的账号、口令和证书等认证方式，它的易用性非常好，普及率高，但是相应安全性比较差。

    第二类是USBKEY认证，这种方法有很好的安全性保护，本身它的芯片是用特殊算法进行设计的，里面的证书信息，从理论讲外界不能读到，这样可以保护里面的证书安全。

    第三类是口令卡，是USBKEY相对廉价的替代品。口令卡也可以进行比较安全的身份验证。

    不过，从理论上来讲，仅仅考虑安全认证还不能完全解决现在所有的安全隐患，黑客有可能进行底层消息的篡改。安全认证虽然是需要采用，但是还是需要结合其他一些安全手段来解决整体的安全问题。下面是一些建议的方式：

    在网银的客户端安全控件里，加入一个安全保护的控件，它可以起到两部分的作用。第一是保护本地的安全性，如升级本地的客户端病毒库，而且进行补丁的管理，如果补丁不是最新的话，它可以到官方的补丁网站去下载操作系统，还有IE浏览器之类的补丁。另外，还包括其他账号、口令、权限设置等方面的安全检查与纠正。

    第二，检查客户端中已经存在的木马，客户端在安装安全控件之前，有可能已经被黑客控制了，这种时候如果能加以发现并且识别，就可以防止进一步被侵害。

    最后介绍的是比较可靠的双信道方式，即用个人客户端->Internet这个信道传输网银的数据，用另外一个信道去传送，如手机去认证或者确认这次交易的信息。这样的话无论网银客户端是否被种了木马，都可以保证网银交易是安全的。我们申请网银客户帐户的时候，可以和一个手机号码加以绑定，账户和这个手机号码是一对一的关系。如果是经过了认证确实以后，客户端发出交易指令，网银局端会向客户端手机发短信，这个短信会把这次交易的详细信息显示出来，还会有一个确认码K，包括日期时间、对方账户号、转账金额等信息，如果信息正确，则用户把确认码K回复给网银局端，局端得到确认之后，才会进行相应的转账操作。

    第二信道能很好地保证安全性。黑客一般都是从网上攻击网银，它不可能又控制计算机，同时又把这个用户的手机也控制了，这样的情况几乎不可能发生。

    网银安全将来会如何发展

    从将来的发展来看，个人用户、银行和安全公司应该进行一个良好的配合。个人用户的安全水平和安全意识需要很好的提高，这样才能跟利用银行和安全公司提供的安全手段，配合整体安全体系。安全公司就需要对个人的用户还有银行，提供这个长期的技术支持，不断研究新的安全技术来支持他们。

    最后网银的安全还需要一个整体的社会环境，比如说法律法规，以及个人用户的安全意识和安全基本技能。这几方面的结合才能使以后网银达到全面安全的目的。国家和政府需要制订合理的法律法规，在IT举证和法规方面进行加强。如果从IT的取证、定罪到制裁的过程有一套很完整、很合理的法律法规去保证的话，黑客攻击网银就能抓到，根据确实的证据进行定罪，后面再进行合理的惩罚，让IT犯罪不再是一个成名之路，这样对网银犯罪会有一个很大的震慑作用。

    另外，还需要建立优异的信用体系。如果在IT方面的犯罪会导致你的信用下降，让罪犯在这个社会上难以立足。这样给黑客的攻击成本和风险加大，也可以从另一方面有效地制止IT犯罪。