在線支付遇安全殺手 最終用戶成攻擊薄弱點(diǎn)

申請免費(fèi)試用、咨詢電話：400-8352-114

文章來源：泛普軟件 6月份，由于一家第三方支付數(shù)據(jù)處理公司的安全缺陷，使得約4000萬張各種品牌信用卡的資料被泄露。據(jù)美國市場調(diào)研廠商加特納在對美國的5000名消費(fèi)者進(jìn)行的調(diào)查顯示，3/4 的在線購物者對于在線商務(wù)更小心，還有1/3 的人由于安全擔(dān)憂，將減少在線購物。   此次事故波及到了近9000名國內(nèi)信用卡用戶，雖然并沒有給這些國內(nèi)用戶帶來太大的直接經(jīng)濟(jì)損失，但是對于本來就對網(wǎng)上銀行、電子支付持懷疑和觀望態(tài)度的中國用戶來說，這一消息無疑加深了他們的疑慮。   這次事件被稱為有史以來最大的隱私泄露案，甚至被認(rèn)為能夠進(jìn)入《世界吉尼斯記錄大全》，雖然事件的發(fā)生影響了用戶對電子商務(wù)的熱情，不過實(shí)際上這類事件發(fā)生的幾率并不像人們擔(dān)憂得那么頻繁。安全專家認(rèn)為，相反，對于個人金融用戶來說，更大的危險可能就在自己身邊，就在已經(jīng)融入大多數(shù)人工作和生活的電子郵件中，就在看似熟悉的互聯(lián)網(wǎng)網(wǎng)頁上。   趨勢科技公司的技術(shù)客戶經(jīng)理鄭敏支持這一看法，相對于金融企業(yè)對病毒、黑客的攻擊防護(hù)體系而言，針對個人用戶的病毒、網(wǎng)絡(luò)釣魚、木馬等安全隱患的防護(hù)體系更為薄弱。   最終用戶才是攻擊薄弱點(diǎn)   據(jù)市場研究公司Gartner 的調(diào)研顯示，從2004年5 月。2005年5 月的一年中，收到過釣魚式攻擊的垃圾郵件的消費(fèi)者數(shù)量較上年增長了28%. 有240 萬在線消費(fèi)者稱他們直接因釣魚式欺詐攻擊而受到了經(jīng)濟(jì)損失。   賽門鐵克中國區(qū)金融行業(yè)總監(jiān)王笑丹，用賽門鐵克在2005年3 月公布的《互聯(lián)網(wǎng)安全威脅報告》中的一組數(shù)據(jù)證實(shí)了這一點(diǎn)。報告顯示， 2004年后半年，網(wǎng)頁仿冒欺騙攻擊的數(shù)量每周都平穩(wěn)增長。2004年7 月1 日到12月31日，賽門鐵克檢測到1.031 萬次網(wǎng)頁仿冒欺騙攻擊，平均每周將近400 次。王笑丹認(rèn)為，網(wǎng)頁仿冒欺騙明年仍將是非常嚴(yán)重的一個問題……。   McAfee北亞區(qū)技術(shù)總監(jiān)陳聯(lián)認(rèn)為，越來越多的漏洞和攻擊是針對金融系統(tǒng)的，這其中用戶終端出現(xiàn)問題的可能性在增大。   從相應(yīng)的攻擊手段來看，病毒的威脅相對在下降，而間諜軟件變得愈發(fā)聰明、可怕，它們通過仿冒支付網(wǎng)頁或者提示信息等獲取用戶保密的金融信息。而國際性的網(wǎng)頁假冒，跨國的間諜軟件的攻擊，由于時差和語言障礙增加了迅速解決這些問題的復(fù)雜度。   在線業(yè)務(wù)信任度下降   金融企業(yè)，特別是銀行業(yè)，一直希望依靠互聯(lián)網(wǎng)降低成本和提高營銷效果。但如果消費(fèi)者對電子支付的信任度持續(xù)下滑，企業(yè)就無法達(dá)到這樣的效果，而且會對合法的在線銀行業(yè)務(wù)和交易產(chǎn)生一系列不利的影響。   加特納調(diào)查顯示，約30% 的在線銀行服務(wù)用戶表示，數(shù)字攻擊已影響到了他們對在線銀行服務(wù)的使用。近70% 的用戶已安裝了額外的安全軟件，54% 的人放棄了特價優(yōu)待。   在我國，金融企業(yè)基本都采用了物理隔離的方式，將內(nèi)部數(shù)據(jù)與互聯(lián)網(wǎng)分離，目前尚沒有大規(guī)模的用戶數(shù)據(jù)泄露情況的發(fā)生，但是國際頻頻出現(xiàn)的金融安全危機(jī)卻對我國具有巨大市場潛力的在線業(yè)務(wù)用戶的影響非常他介紹說，目前工商銀行推出了USBKey服務(wù)以確保網(wǎng)絡(luò)安全。   USBKey是一種硬件加密系統(tǒng)，就像一把網(wǎng)絡(luò)鑰匙。用戶在網(wǎng)上銀行進(jìn)行交易，除需密碼外，必須在USB 接口上插入USBKey，確認(rèn)后方可實(shí)現(xiàn)操作，相對于“赤裸裸”的密碼，隨身攜帶的USBKey等于給網(wǎng)絡(luò)交易上了第二把鎖。   崔彥剛處長也已經(jīng)為網(wǎng)上銀行業(yè)務(wù)的開通，做了大半年的準(zhǔn)備工作。相對于大型的全國性銀行，銀川商業(yè)銀行的資金不夠充足。如何確保網(wǎng)上銀行的安全？   在整個項(xiàng)目中安全投入的比例應(yīng)大。王笑丹認(rèn)為這些威脅影響包括使品牌資產(chǎn)受損、喪失消費(fèi)者的信任和對品牌的忠誠，相關(guān)機(jī)構(gòu)還要為減小這種欺騙行為造成的影響而付出巨大成本。   銀川商業(yè)銀行科技處處長崔彥剛在接受記者采訪時表示，萬事達(dá)事件的出現(xiàn)，讓銀行業(yè)警醒。以前提到信息安全似乎更多的是網(wǎng)絡(luò)安全，是依靠防火墻等安全產(chǎn)品來提供技術(shù)保障。而現(xiàn)在看來，防止信息失密的管理安全策略才是最重要的保障依據(jù)。   而趨勢科技鄭敏認(rèn)為，銀行除了要完善自己的安全策略外，還應(yīng)該采取一系列措施提升消費(fèi)者的信任度，重要的一點(diǎn)就是要幫助消費(fèi)者增強(qiáng)對各種網(wǎng)絡(luò)攻擊的免疫力。   多方參保網(wǎng)上支付   長期專業(yè)從事電子支付的網(wǎng)銀在線最近正在跟國內(nèi)一家做安全身份認(rèn)證的廠商洽談，希望把CA認(rèn)證搬到電子支付平臺上。   其執(zhí)行總裁趙國棟介紹說，電子簽名(CA)是國際公認(rèn)的安全的身份識別技術(shù)。而我國《電子簽名法》的頒布使得數(shù)字證書的方式更加普及。目前國際上用得比較多的方式是VISA 3D 認(rèn)證，就是由發(fā)卡行、收單行和國際信用卡組織(第三方)，對持卡人身份的檢驗(yàn)工作，以降低冒用盜刷的風(fēng)險，維護(hù)網(wǎng)路交易的安全。   然而中國工商銀行總行信息科技部處長蔣衛(wèi)華卻認(rèn)為，CA認(rèn)證只是安全防范的一種方式。該占到多少為宜？這些問題時刻困擾著崔彥剛。為此他希望透過媒體提出一個建議，就是希望通過中國銀聯(lián)為多家中小銀行建立一個統(tǒng)一的安全平臺，在個人用戶進(jìn)入各銀行進(jìn)行網(wǎng)上支付之前多把一道關(guān)。他說，這可整合中小銀行的資金，滿足共同的安全需求，既能夠減少重復(fù)建設(shè)，又能夠加大安全投入力度。   安全支付環(huán)境仍有待完善   保障金融信息安全的基礎(chǔ)還是金融企業(yè)內(nèi)部的安全環(huán)境。   McAfee的陳聯(lián)在接受采訪過程中，一再強(qiáng)調(diào)“安全策略”在金融企業(yè)保證信息安全中的重要性。這其中不僅包括安全技術(shù)架構(gòu)、數(shù)據(jù)管理、人員管理，還包括與合作伙伴的責(zé)權(quán)，以及針對安全問題的預(yù)警機(jī)制等。   銀川商業(yè)銀行剛剛完成了其內(nèi)控體系建設(shè)項(xiàng)目的方案，并將在今年年底根據(jù)方案開始采購。內(nèi)控體系包括應(yīng)急方案，不同級別的風(fēng)險有不同的應(yīng)急方案；版本投產(chǎn)管理，以了解應(yīng)用產(chǎn)品是否有漏洞等，這包括銀行自己開發(fā)和外來應(yīng)用系統(tǒng)的管理；還有對操作者的管理，包括管理人員和所有的系統(tǒng)使用者。   崔彥剛今年另一個工作重點(diǎn)就是災(zāi)難備份系統(tǒng)，他說，雖然災(zāi)難備份剛剛起步，但是相應(yīng)的應(yīng)急預(yù)案要經(jīng)過不斷的演練來修正其中的問題，才能真正保證順利實(shí)施。   中國建設(shè)銀行山東省分行信息中心總經(jīng)理馬衛(wèi)東，就一再強(qiáng)調(diào)他們目前通過PDCA(計劃- 執(zhí)行- 監(jiān)察- 改進(jìn))過程管理方法，對每個流程進(jìn)行識別和規(guī)范，逐步達(dá)到高質(zhì)高效的管理水平。目前建行的網(wǎng)絡(luò)銀行是通過建行總行的三層防火墻進(jìn)入，并采用了國際通用的加密令牌。   在安全與易用間尋找平衡   網(wǎng)上銀行頻頻的危機(jī)讓各家銀行收緊神經(jīng)，并加大對銀行網(wǎng)絡(luò)安全工作的力度。但是種種安全措施的使用也給用戶帶來了很多不便。因此，網(wǎng)銀在線的趙國棟認(rèn)為，網(wǎng)上業(yè)務(wù)應(yīng)該在安全和易用之間找到一個平衡點(diǎn)。   網(wǎng)銀在線在參與網(wǎng)上支付的過程中感覺到，各大銀行應(yīng)該有統(tǒng)一的網(wǎng)上操作平臺，這樣將使得用戶操作更加簡便。   崔彥剛在實(shí)踐中也逐漸感到，雖然CA中心的建設(shè)是重點(diǎn)，目前國內(nèi)許多銀行都已運(yùn)行CA中心，人民銀行也已建立了CA中心，但是這些CA 中心將來如何整合，包括對公和對私的客戶管理手段方面的差異性管理將是一個潛在的問題。未來客戶是否會因?yàn)橐@得各銀行的服務(wù)而需要不同的證書，從而增加了操作的復(fù)雜度？   目前大多數(shù)銀行信息安全方面的投入占整體信息化投入的10%。15%，但是由于安全效果并不容易評估，因此包括崔彥剛在內(nèi)的大多數(shù)銀行信息化負(fù)責(zé)人對網(wǎng)絡(luò)安全投入應(yīng)該占總體的比例非常困惑。有專家認(rèn)為集中式的數(shù)據(jù)處理中心的建設(shè)，能解決權(quán)限控制不利而導(dǎo)致的安全隱患。   避免了有些地市分行，存在一個人管理各種系統(tǒng)，通曉全部密碼的現(xiàn)象，潛在隱患很多，非常容易出現(xiàn)內(nèi)部作案的情況。但是數(shù)據(jù)集中也不是萬事大吉，數(shù)據(jù)的大集中無疑增加了銀行管理的風(fēng)險。蔣衛(wèi)華處長說，中國工商銀行采取了實(shí)時災(zāi)難備份的方式，而且大集中的數(shù)英銀行尋打擊網(wǎng)絡(luò)欺詐依據(jù)努力建立一套確保網(wǎng)上用戶身份的方法據(jù)與互聯(lián)網(wǎng)物理隔離同時應(yīng)用。   即使銀行開始大面積加強(qiáng)自己的信息安全防護(hù)意識和防護(hù)體系，安全廠商們?nèi)匀唤ㄗh，相關(guān)機(jī)構(gòu)對用戶個人數(shù)據(jù)的傳輸需要進(jìn)行加密，這樣即使信息被竊取也能保證用戶的安全。關(guān)于如何保證金融安全的討論仍在繼續(xù)，作為普通用戶，您所能做的就是——小心、再小心。   來源：ZDNet China