在線支付遇安全殺手 最終用戶成攻擊薄弱點(diǎn)

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

文章來(lái)源：泛普軟件 6月份，由于一家第三方支付數(shù)據(jù)處理公司的安全缺陷，使得約4000萬(wàn)張各種品牌信用卡的資料被泄露。據(jù)美國(guó)市場(chǎng)調(diào)研廠商加特納在對(duì)美國(guó)的5000名消費(fèi)者進(jìn)行的調(diào)查顯示，3/4 的在線購(gòu)物者對(duì)于在線商務(wù)更小心，還有1/3 的人由于安全擔(dān)憂，將減少在線購(gòu)物。   此次事故波及到了近9000名國(guó)內(nèi)信用卡用戶，雖然并沒有給這些國(guó)內(nèi)用戶帶來(lái)太大的直接經(jīng)濟(jì)損失，但是對(duì)于本來(lái)就對(duì)網(wǎng)上銀行、電子支付持懷疑和觀望態(tài)度的中國(guó)用戶來(lái)說(shuō)，這一消息無(wú)疑加深了他們的疑慮。   這次事件被稱為有史以來(lái)最大的隱私泄露案，甚至被認(rèn)為能夠進(jìn)入《世界吉尼斯記錄大全》，雖然事件的發(fā)生影響了用戶對(duì)電子商務(wù)的熱情，不過(guò)實(shí)際上這類事件發(fā)生的幾率并不像人們擔(dān)憂得那么頻繁。安全專家認(rèn)為，相反，對(duì)于個(gè)人金融用戶來(lái)說(shuō)，更大的危險(xiǎn)可能就在自己身邊，就在已經(jīng)融入大多數(shù)人工作和生活的電子郵件中，就在看似熟悉的互聯(lián)網(wǎng)網(wǎng)頁(yè)上。   趨勢(shì)科技公司的技術(shù)客戶經(jīng)理鄭敏支持這一看法，相對(duì)于金融企業(yè)對(duì)病毒、黑客的攻擊防護(hù)體系而言，針對(duì)個(gè)人用戶的病毒、網(wǎng)絡(luò)釣魚、木馬等安全隱患的防護(hù)體系更為薄弱。   最終用戶才是攻擊薄弱點(diǎn)   據(jù)市場(chǎng)研究公司Gartner 的調(diào)研顯示，從2004年5 月。2005年5 月的一年中，收到過(guò)釣魚式攻擊的垃圾郵件的消費(fèi)者數(shù)量較上年增長(zhǎng)了28%. 有240 萬(wàn)在線消費(fèi)者稱他們直接因釣魚式欺詐攻擊而受到了經(jīng)濟(jì)損失。   賽門鐵克中國(guó)區(qū)金融行業(yè)總監(jiān)王笑丹，用賽門鐵克在2005年3 月公布的《互聯(lián)網(wǎng)安全威脅報(bào)告》中的一組數(shù)據(jù)證實(shí)了這一點(diǎn)。報(bào)告顯示， 2004年后半年，網(wǎng)頁(yè)仿冒欺騙攻擊的數(shù)量每周都平穩(wěn)增長(zhǎng)。2004年7 月1 日到12月31日，賽門鐵克檢測(cè)到1.031 萬(wàn)次網(wǎng)頁(yè)仿冒欺騙攻擊，平均每周將近400 次。王笑丹認(rèn)為，網(wǎng)頁(yè)仿冒欺騙明年仍將是非常嚴(yán)重的一個(gè)問(wèn)題……。   McAfee北亞區(qū)技術(shù)總監(jiān)陳聯(lián)認(rèn)為，越來(lái)越多的漏洞和攻擊是針對(duì)金融系統(tǒng)的，這其中用戶終端出現(xiàn)問(wèn)題的可能性在增大。   從相應(yīng)的攻擊手段來(lái)看，病毒的威脅相對(duì)在下降，而間諜軟件變得愈發(fā)聰明、可怕，它們通過(guò)仿冒支付網(wǎng)頁(yè)或者提示信息等獲取用戶保密的金融信息。而國(guó)際性的網(wǎng)頁(yè)假冒，跨國(guó)的間諜軟件的攻擊，由于時(shí)差和語(yǔ)言障礙增加了迅速解決這些問(wèn)題的復(fù)雜度。   在線業(yè)務(wù)信任度下降   金融企業(yè)，特別是銀行業(yè)，一直希望依靠互聯(lián)網(wǎng)降低成本和提高營(yíng)銷效果。但如果消費(fèi)者對(duì)電子支付的信任度持續(xù)下滑，企業(yè)就無(wú)法達(dá)到這樣的效果，而且會(huì)對(duì)合法的在線銀行業(yè)務(wù)和交易產(chǎn)生一系列不利的影響。   加特納調(diào)查顯示，約30% 的在線銀行服務(wù)用戶表示，數(shù)字攻擊已影響到了他們對(duì)在線銀行服務(wù)的使用。近70% 的用戶已安裝了額外的安全軟件，54% 的人放棄了特價(jià)優(yōu)待。   在我國(guó)，金融企業(yè)基本都采用了物理隔離的方式，將內(nèi)部數(shù)據(jù)與互聯(lián)網(wǎng)分離，目前尚沒有大規(guī)模的用戶數(shù)據(jù)泄露情況的發(fā)生，但是國(guó)際頻頻出現(xiàn)的金融安全危機(jī)卻對(duì)我國(guó)具有巨大市場(chǎng)潛力的在線業(yè)務(wù)用戶的影響非常他介紹說(shuō)，目前工商銀行推出了USBKey服務(wù)以確保網(wǎng)絡(luò)安全。   USBKey是一種硬件加密系統(tǒng)，就像一把網(wǎng)絡(luò)鑰匙。用戶在網(wǎng)上銀行進(jìn)行交易，除需密碼外，必須在USB 接口上插入U(xiǎn)SBKey，確認(rèn)后方可實(shí)現(xiàn)操作，相對(duì)于“赤裸裸”的密碼，隨身攜帶的USBKey等于給網(wǎng)絡(luò)交易上了第二把鎖。   崔彥剛處長(zhǎng)也已經(jīng)為網(wǎng)上銀行業(yè)務(wù)的開通，做了大半年的準(zhǔn)備工作。相對(duì)于大型的全國(guó)性銀行，銀川商業(yè)銀行的資金不夠充足。如何確保網(wǎng)上銀行的安全？   在整個(gè)項(xiàng)目中安全投入的比例應(yīng)大。王笑丹認(rèn)為這些威脅影響包括使品牌資產(chǎn)受損、喪失消費(fèi)者的信任和對(duì)品牌的忠誠(chéng)，相關(guān)機(jī)構(gòu)還要為減小這種欺騙行為造成的影響而付出巨大成本。   銀川商業(yè)銀行科技處處長(zhǎng)崔彥剛在接受記者采訪時(shí)表示，萬(wàn)事達(dá)事件的出現(xiàn)，讓銀行業(yè)警醒。以前提到信息安全似乎更多的是網(wǎng)絡(luò)安全，是依靠防火墻等安全產(chǎn)品來(lái)提供技術(shù)保障。而現(xiàn)在看來(lái)，防止信息失密的管理安全策略才是最重要的保障依據(jù)。   而趨勢(shì)科技鄭敏認(rèn)為，銀行除了要完善自己的安全策略外，還應(yīng)該采取一系列措施提升消費(fèi)者的信任度，重要的一點(diǎn)就是要幫助消費(fèi)者增強(qiáng)對(duì)各種網(wǎng)絡(luò)攻擊的免疫力。   多方參保網(wǎng)上支付   長(zhǎng)期專業(yè)從事電子支付的網(wǎng)銀在線最近正在跟國(guó)內(nèi)一家做安全身份認(rèn)證的廠商洽談，希望把CA認(rèn)證搬到電子支付平臺(tái)上。   其執(zhí)行總裁趙國(guó)棟介紹說(shuō)，電子簽名(CA)是國(guó)際公認(rèn)的安全的身份識(shí)別技術(shù)。而我國(guó)《電子簽名法》的頒布使得數(shù)字證書的方式更加普及。目前國(guó)際上用得比較多的方式是VISA 3D 認(rèn)證，就是由發(fā)卡行、收單行和國(guó)際信用卡組織(第三方)，對(duì)持卡人身份的檢驗(yàn)工作，以降低冒用盜刷的風(fēng)險(xiǎn)，維護(hù)網(wǎng)路交易的安全。   然而中國(guó)工商銀行總行信息科技部處長(zhǎng)蔣衛(wèi)華卻認(rèn)為，CA認(rèn)證只是安全防范的一種方式。該占到多少為宜？這些問(wèn)題時(shí)刻困擾著崔彥剛。為此他希望透過(guò)媒體提出一個(gè)建議，就是希望通過(guò)中國(guó)銀聯(lián)為多家中小銀行建立一個(gè)統(tǒng)一的安全平臺(tái)，在個(gè)人用戶進(jìn)入各銀行進(jìn)行網(wǎng)上支付之前多把一道關(guān)。他說(shuō)，這可整合中小銀行的資金，滿足共同的安全需求，既能夠減少重復(fù)建設(shè)，又能夠加大安全投入力度。   安全支付環(huán)境仍有待完善   保障金融信息安全的基礎(chǔ)還是金融企業(yè)內(nèi)部的安全環(huán)境。   McAfee的陳聯(lián)在接受采訪過(guò)程中，一再?gòu)?qiáng)調(diào)“安全策略”在金融企業(yè)保證信息安全中的重要性。這其中不僅包括安全技術(shù)架構(gòu)、數(shù)據(jù)管理、人員管理，還包括與合作伙伴的責(zé)權(quán)，以及針對(duì)安全問(wèn)題的預(yù)警機(jī)制等。   銀川商業(yè)銀行剛剛完成了其內(nèi)控體系建設(shè)項(xiàng)目的方案，并將在今年年底根據(jù)方案開始采購(gòu)。內(nèi)控體系包括應(yīng)急方案，不同級(jí)別的風(fēng)險(xiǎn)有不同的應(yīng)急方案；版本投產(chǎn)管理，以了解應(yīng)用產(chǎn)品是否有漏洞等，這包括銀行自己開發(fā)和外來(lái)應(yīng)用系統(tǒng)的管理；還有對(duì)操作者的管理，包括管理人員和所有的系統(tǒng)使用者。   崔彥剛今年另一個(gè)工作重點(diǎn)就是災(zāi)難備份系統(tǒng)，他說(shuō)，雖然災(zāi)難備份剛剛起步，但是相應(yīng)的應(yīng)急預(yù)案要經(jīng)過(guò)不斷的演練來(lái)修正其中的問(wèn)題，才能真正保證順利實(shí)施。   中國(guó)建設(shè)銀行山東省分行信息中心總經(jīng)理馬衛(wèi)東，就一再?gòu)?qiáng)調(diào)他們目前通過(guò)PDCA(計(jì)劃- 執(zhí)行- 監(jiān)察- 改進(jìn))過(guò)程管理方法，對(duì)每個(gè)流程進(jìn)行識(shí)別和規(guī)范，逐步達(dá)到高質(zhì)高效的管理水平。目前建行的網(wǎng)絡(luò)銀行是通過(guò)建行總行的三層防火墻進(jìn)入，并采用了國(guó)際通用的加密令牌。   在安全與易用間尋找平衡   網(wǎng)上銀行頻頻的危機(jī)讓各家銀行收緊神經(jīng)，并加大對(duì)銀行網(wǎng)絡(luò)安全工作的力度。但是種種安全措施的使用也給用戶帶來(lái)了很多不便。因此，網(wǎng)銀在線的趙國(guó)棟認(rèn)為，網(wǎng)上業(yè)務(wù)應(yīng)該在安全和易用之間找到一個(gè)平衡點(diǎn)。   網(wǎng)銀在線在參與網(wǎng)上支付的過(guò)程中感覺到，各大銀行應(yīng)該有統(tǒng)一的網(wǎng)上操作平臺(tái)，這樣將使得用戶操作更加簡(jiǎn)便。   崔彥剛在實(shí)踐中也逐漸感到，雖然CA中心的建設(shè)是重點(diǎn)，目前國(guó)內(nèi)許多銀行都已運(yùn)行CA中心，人民銀行也已建立了CA中心，但是這些CA 中心將來(lái)如何整合，包括對(duì)公和對(duì)私的客戶管理手段方面的差異性管理將是一個(gè)潛在的問(wèn)題。未來(lái)客戶是否會(huì)因?yàn)橐@得各銀行的服務(wù)而需要不同的證書，從而增加了操作的復(fù)雜度？   目前大多數(shù)銀行信息安全方面的投入占整體信息化投入的10%。15%，但是由于安全效果并不容易評(píng)估，因此包括崔彥剛在內(nèi)的大多數(shù)銀行信息化負(fù)責(zé)人對(duì)網(wǎng)絡(luò)安全投入應(yīng)該占總體的比例非常困惑。有專家認(rèn)為集中式的數(shù)據(jù)處理中心的建設(shè)，能解決權(quán)限控制不利而導(dǎo)致的安全隱患。   避免了有些地市分行，存在一個(gè)人管理各種系統(tǒng)，通曉全部密碼的現(xiàn)象，潛在隱患很多，非常容易出現(xiàn)內(nèi)部作案的情況。但是數(shù)據(jù)集中也不是萬(wàn)事大吉，數(shù)據(jù)的大集中無(wú)疑增加了銀行管理的風(fēng)險(xiǎn)。蔣衛(wèi)華處長(zhǎng)說(shuō)，中國(guó)工商銀行采取了實(shí)時(shí)災(zāi)難備份的方式，而且大集中的數(shù)英銀行尋打擊網(wǎng)絡(luò)欺詐依據(jù)努力建立一套確保網(wǎng)上用戶身份的方法據(jù)與互聯(lián)網(wǎng)物理隔離同時(shí)應(yīng)用。   即使銀行開始大面積加強(qiáng)自己的信息安全防護(hù)意識(shí)和防護(hù)體系，安全廠商們?nèi)匀唤ㄗh，相關(guān)機(jī)構(gòu)對(duì)用戶個(gè)人數(shù)據(jù)的傳輸需要進(jìn)行加密，這樣即使信息被竊取也能保證用戶的安全。關(guān)于如何保證金融安全的討論仍在繼續(xù)，作為普通用戶，您所能做的就是——小心、再小心。   來(lái)源：ZDNet China