信息安全需要进一步重视
近来接连发生的几起攻击金融网络的安全事件猝然间将过去人们心中暗自的些许担心,以及与每个人的生活息息相关的网上银行的安全性问题推到了前台。我们针对这些事件,通过
充分的调查研究,期望揭开这"半遮半掩"的面纱,将金融领域的信息安全这一敏感话题尽可能客观地呈现出来。这样做的目的是希望更强烈地引起社会各界对信息安全的重视,在各行各业信息系统建设中明确信息安全战略,加大信息安全的投资力度,使信息安全建设迈上新的台阶。
除此之外,本期我们组织的信息安全主题报道还收集了各行各业的CSO(信息安全主管)们对信息安全的认识和观点,以期对厂商开发信息安全产品有所帮助。产品推荐和企业展板栏目,则将信息安全厂商一些优秀的产品、方案和理念推荐给广大的读者。
“传统的商业银行是要在21世纪灭绝的一群恐龙。”这曾是比尔?盖茨的预言。然而,各种伸向网上银行的黑手,使得“恐龙”的灭绝似乎成为一个预想的神话。
"某种意义上,金融业永远无法阻止诈骗事件。"国内A银行的谢先生对记者说,他委婉拒绝了记者对近期闹得沸沸扬扬的"冒充金融网管员"诈骗事件进一步深入采访的要求,"这件事情本身和我行没有太大关系,管理员信箱被冒用是一种金融欺诈行为,并不是安全技术不过关,幸好没有给客户带来经济损失。" 他补充说,A银行有一整套的网络安全措施,能够保障网络银行的安全运行。
6月初,有人盗用该行网上银行网管员信箱,假借"网络银行系统升级"名义,给网上银行客户发送电子邮件,索要网上银行注册客户的用户名(登录卡号)和密码。目前,该行已经在自己官方网站的显著位置刊发了"重要提示",对其网上银行客户预警。
巧合的是,几乎是在同时,在全球范围内,1200多家欧洲和美国的银行和保险公司称,其客户密码和信用卡号码等重要信息有可能已经被黑客窃取,6月4日发作的"怪物"病毒变种,已经开始在因特网上呈现出蔓延势头,波及到100多个国家,而据反病毒专家称,这种"怪物"病毒会不断变换形式,并能对付反病毒或防火墙软件。更值得警惕的是,这种病毒会在受到感染的电脑中安装"木马"程序,使黑客能将银行用户的信用卡号和密码秘密传送至某一特定邮箱地址,从而达到非法窃取他人资金的目的。
网上银行似乎成了黑客关注的焦点,在最近发生的一系列典型网络犯罪事件中,90%以上集中在银行和保险领域,这不能不引起人们的恐慌,以致于在全球范围内,逐渐蔓延出一种"网络银行不安全"的悲观情绪。
就在2003年2月,美国一名电脑黑客攻破了一家负责代表商家处理Visa和万事达卡交易业务的企业计算机系统,掌握了220万个顾客的信用卡号;在日本,黑客利用安装在网吧中的特殊软件非法窃取用户网上银行的密码,使1600万日元不翼而飞; 2002年,中国公安部曾经破获一起不法分子利用黑客手段在银行的网银服务器中植入"木马"程序,窃取了多家银行和证券客户的账号、密码信息进行诈骗的案件,涉案金额达80多万元。
比尔?盖茨曾经说,银行业是必需的,银行却是不必要的; 他甚至预言:"传统的商业银行是要在21世纪灭绝的一群恐龙。" 然而,各种伸向网上银行的黑手,使得"恐龙"的灭绝似乎成为一个预想的神话。
如同在真实的社会中一样,欺骗、病毒、入侵、盗窃甚至抢劫,在虚拟的网络环境中不仅始终存在,防不胜防,还呈愈演愈烈之势。不仅银行业如此,在其他严重依赖信息化的行业同样如此。
在黑手的背后,这些看似偶然和孤立的案件,是否存在着某种必然的联系?代表着网络安全技术最高应用水平的银行业尚且如此,那么,其他领域的信息安全还会有哪些隐患?斩断这些黑手,需要什么样的技术性保障和非技术性的法律支持呢?
经过对中国金融认证中心(CFCA)以及国内的一些重要的商业银行深入采访,本报记者试图能找到这些问题的答案,也希望其他行业能有机会管中窥豹,未雨绸缪,加强信息安全意识和采用各种防范手段,将因技术的不足而导致的风险降至最低程度。
安全认证之痛
尽管"冒充金融网管员"诈骗事件成为了近日来众多网站点击率排名靠前的新闻,但依然没有人能说清楚事情的来龙去脉。
A行对具体细节的三缄其口的确有其原因:一是对外公布诈骗案件是公安部门的事情,超出了自己的职责范围;二是对于自身网络安全措施说得过多会导致不必要的泄密;三是黑客的做案手段浅显,谈不上涉及到网络重大安全的技术问题。
而很多金融信息安全专家根据自己的经验已经能分析出问题的实质,但鉴于金融安全的敏感性以及其他可以理解的原因,他们大多不愿意公开自己的姓名和单位。记者尊重了他们的意见,姑且以钟先生、张先生、刘先生代替吧。
那么,盗用者如何能够冒充公开网管邮箱?
国内某商业银行B行的一位不愿意透露姓名的高级技术主管钟先生认为, 一般来说,网络银行的安全性是非常高的,黑客进入要突破N道不同的安全防线,如防火墙、入侵检测、防病毒等,Web服务器上还有其他访问控制措施,所以,要攻破银行系统是非常困难的。"因此,A行这件事,不属于黑客入侵,而属于金融诈骗,用技术手段不可能预防诈骗这种行为本身。"他说,"在银行内部假冒网管发电子邮件是一件没有任何难度的事情,可以初步断定这是内部做案。在目前,全球银行利用网络实施犯罪的内部作案率高达85%以上。"
而另一家C金融机构的技术处处长张先生则认为,如果没有实施安全认证,外来作案者冒充网管一点也不难,完全不懂技术的人都可以冒充网管员发信。在国外还出现过假冒公司网页的事件。"外人在银行主页上挂个小公告的话,一般不会引起网管的注意,如果有多个网管员的情况,网管员之间彼此以为是其他网管员发的公告,都会信以为真,后果将不堪设想。"国内目前90%以上的电子邮件都没有认证,一般人很难判断来自网管员邮件的真伪。
在记者看来,如果连这种毫无技术含量的简单的网络犯罪都能轻易得逞,那么,网上银行的安全真正是让人担忧了,这正好说明是网上银行的一个巨大的漏洞。中国金融认证中心(简称CFCA)技术总监关振胜说:"解决办法是有的,就是银行网站必须对本身进行认证。让别人相信,从该网站或该邮件地址发出的邮件一定是真实的,而不是假冒的。"
盗用者又是如何获得银行客户的邮件地址呢?一家金融系统集成公司的项目经理李先生认为,有两种可能性: 一是黑客冒用信箱后,通过普遍撒网式的乱投来寻找网上银行的客户; 二是银行内部管理存在漏洞和隐患,没有对客户邮箱地址进行专门的保护,使它们被恶意利用。
"前者牵涉到一定的法律问题。"关振胜先生说,"目前,一些网站将自己的注册用户资料进行私下买卖,使我们的邮箱中出现了很多垃圾邮件,但这是不是属于非法行为?是否有法可依?目前没有明确的说法。"据悉,国家法律对个人财产等隐私都有保障,惟独对个人资料隐私没有立法,这就造成了网上个人资料的频繁泄露却没有法律可依。
对于后者,金融业资深专家刘先生透露,现在大多数商业银行网站存在的一个很大问题就是访问授权的混乱,对像客户地址、邮箱这样的重要资源的保护力度很不够。我国《计算机安全等级管理标准》根据行业、机构的不同,共分五个等级,其中建议银行业要达到三级安全标准,他认为,某些银行目前的安全状况远远达不到这一标准。B行的技术主管钟先生也承认,现在的银行还没有一个专门的系统存放客户的邮箱和地址,并不是技术水平达不到,而是缺乏这种意识。
值得庆幸的是,这次事件并未给银行客户带来经济损失。但是,如果真的出现了损失,这损失将由谁来承担?如果有客户因为此事投诉A行,A行该负什么责任?如何赔偿?目前,有关在线交易的法律条例几乎是一片空白,国内也时常听闻在线交易中,由于出现资金误差而导致客户与金融机构打官司的例子,最轰动的是2000年证券行业出现的"银广夏"案件,由于无法可依、客户取证困难等多方面因素,最终是处于弱势群体的客户败诉。但金融机构也并非赢家,它蒙受了巨大的声誉损失,客户大量流失,结果是两败俱伤!
国外通常采用第三方来评判和监管交易的方法,以色列的做法是采取第三方认证,并以保险业为后盾,一旦出现问题,先将保金给用户以弥补损失,如果通过调查发现是用户一方的问题,则以骗保加以处罚。
我国的《数字签名法》虽然出台了草案,但迟迟未正式颁布,某些法律条文仍严格规定必须采用书面签字形式,专家称,这样既不利于网上业务的发展,也使得我国法律在此方面不能与国际公约和国际惯例接轨。
CFCA:技术性遏制
中国网上银行的发展始于1996年2月,1997年,中国银行建立了自己的网页,同年推出网上银行"一网通",成为国内第一家上网的银行。自此之后,到目前为止,中国已有20多家银行的200多个分支机构拥有网址和主页,其中开展实质性网上银行业务的分支机构达50余家,企业与个人客户超过250万户。1998年,招商银行在国内推出"一网通"网上金融业务后,网上银行业务呈蒸蒸日上的态势,据预测,到2005年,中国的网上银行用户将达到1.4亿。
按照CFCA技术总监关振胜的说法,网上银行的发展主要受制于两个方面,一是安全措施,二是法律环境。网上银行的安全措施主要体现在四个方面:一是交易双方的握手,也就是客户访问银行网络必须经过加密的安全通道;二是在网络层面加强安全基础设施
