申請免費(fèi)試用、咨詢電話:400-8352-114
文章來源:泛普軟件
6月份,由于一家第三方支付數(shù)據(jù)處理公司的安全缺陷,使得約4000萬張各種品牌信用卡的資料被泄露。據(jù)美國市場調(diào)研廠商加特納在對美國的5000名消費(fèi)者進(jìn)行的調(diào)查顯示,3/4 的在線購物者對于在線商務(wù)更小心,還有1/3 的人由于安全擔(dān)憂,將減少在線購物。
此次事故波及到了近9000名國內(nèi)信用卡用戶,雖然并沒有給這些國內(nèi)用戶帶來太大的直接經(jīng)濟(jì)損失,但是對于本來就對網(wǎng)上銀行、電子支付持懷疑和觀望態(tài)度的中國用戶來說,這一消息無疑加深了他們的疑慮。
這次事件被稱為有史以來最大的隱私泄露案,甚至被認(rèn)為能夠進(jìn)入《世界吉尼斯記錄大全》,雖然事件的發(fā)生影響了用戶對電子商務(wù)的熱情,不過實(shí)際上這類事件發(fā)生的幾率并不像人們擔(dān)憂得那么頻繁。安全專家認(rèn)為,相反,對于個人金融用戶來說,更大的危險可能就在自己身邊,就在已經(jīng)融入大多數(shù)人工作和生活的電子郵件中,就在看似熟悉的互聯(lián)網(wǎng)網(wǎng)頁上。
趨勢科技公司的技術(shù)客戶經(jīng)理鄭敏支持這一看法,相對于金融企業(yè)對病毒、黑客的攻擊防護(hù)體系而言,針對個人用戶的病毒、網(wǎng)絡(luò)釣魚、木馬等安全隱患的防護(hù)體系更為薄弱。
最終用戶才是攻擊薄弱點(diǎn)
據(jù)市場研究公司Gartner 的調(diào)研顯示,從2004年5 月。2005年5 月的一年中,收到過釣魚式攻擊的垃圾郵件的消費(fèi)者數(shù)量較上年增長了28%. 有240 萬在線消費(fèi)者稱他們直接因釣魚式欺詐攻擊而受到了經(jīng)濟(jì)損失。
賽門鐵克中國區(qū)金融行業(yè)總監(jiān)王笑丹,用賽門鐵克在2005年3 月公布的《互聯(lián)網(wǎng)安全威脅報告》中的一組數(shù)據(jù)證實(shí)了這一點(diǎn)。報告顯示, 2004年后半年,網(wǎng)頁仿冒欺騙攻擊的數(shù)量每周都平穩(wěn)增長。2004年7 月1 日到12月31日,賽門鐵克檢測到1.031 萬次網(wǎng)頁仿冒欺騙攻擊,平均每周將近400 次。王笑丹認(rèn)為,網(wǎng)頁仿冒欺騙明年仍將是非常嚴(yán)重的一個問題……。
McAfee北亞區(qū)技術(shù)總監(jiān)陳聯(lián)認(rèn)為,越來越多的漏洞和攻擊是針對金融系統(tǒng)的,這其中用戶終端出現(xiàn)問題的可能性在增大。
從相應(yīng)的攻擊手段來看,病毒的威脅相對在下降,而間諜軟件變得愈發(fā)聰明、可怕,它們通過仿冒支付網(wǎng)頁或者提示信息等獲取用戶保密的金融信息。而國際性的網(wǎng)頁假冒,跨國的間諜軟件的攻擊,由于時差和語言障礙增加了迅速解決這些問題的復(fù)雜度。
在線業(yè)務(wù)信任度下降
金融企業(yè),特別是銀行業(yè),一直希望依靠互聯(lián)網(wǎng)降低成本和提高營銷效果。但如果消費(fèi)者對電子支付的信任度持續(xù)下滑,企業(yè)就無法達(dá)到這樣的效果,而且會對合法的在線銀行業(yè)務(wù)和交易產(chǎn)生一系列不利的影響。
加特納調(diào)查顯示,約30% 的在線銀行服務(wù)用戶表示,數(shù)字攻擊已影響到了他們對在線銀行服務(wù)的使用。近70% 的用戶已安裝了額外的安全軟件,54% 的人放棄了特價優(yōu)待。
在我國,金融企業(yè)基本都采用了物理隔離的方式,將內(nèi)部數(shù)據(jù)與互聯(lián)網(wǎng)分離,目前尚沒有大規(guī)模的用戶數(shù)據(jù)泄露情況的發(fā)生,但是國際頻頻出現(xiàn)的金融安全危機(jī)卻對我國具有巨大市場潛力的在線業(yè)務(wù)用戶的影響非常他介紹說,目前工商銀行推出了USBKey服務(wù)以確保網(wǎng)絡(luò)安全。
USBKey是一種硬件加密系統(tǒng),就像一把網(wǎng)絡(luò)鑰匙。用戶在網(wǎng)上銀行進(jìn)行交易,除需密碼外,必須在USB 接口上插入USBKey,確認(rèn)后
方可實(shí)現(xiàn)操作,相對于“赤裸裸”的密碼,隨身攜帶的USBKey等于給網(wǎng)絡(luò)交易上了第二把鎖。
崔彥剛處長也已經(jīng)為網(wǎng)上銀行業(yè)務(wù)的開通,做了大半年的準(zhǔn)備工作。相對于大型的全國性銀行,銀川商業(yè)銀行的資金不夠充足。如何確保網(wǎng)上銀行的安全?
在整個項(xiàng)目中安全投入的比例應(yīng)大。王笑丹認(rèn)為這些威脅影響包括使品牌資產(chǎn)受損、喪失消費(fèi)者的信任和對品牌的忠誠,相關(guān)機(jī)構(gòu)還要為減小這種欺騙行為造成的影響而付出巨大成本。
銀川商業(yè)銀行科技處處長崔彥剛在接受記者采訪時表示,萬事達(dá)事件的出現(xiàn),讓銀行業(yè)警醒。以前提到信息安全似乎更多的是網(wǎng)絡(luò)安全,是依靠防火墻等安全產(chǎn)品來提供技術(shù)保障。而現(xiàn)在看來,防止信息失密的管理安全策略才是最重要的保障依據(jù)。
而趨勢科技鄭敏認(rèn)為,銀行除了要完善自己的安全策略外,還應(yīng)該采取一系列措施提升消費(fèi)者的信任度,重要的一點(diǎn)就是要幫助消費(fèi)者增強(qiáng)對各種網(wǎng)絡(luò)攻擊的免疫力。
多方參保網(wǎng)上支付
長期專業(yè)從事電子支付的網(wǎng)銀在線最近正在跟國內(nèi)一家做安全身份認(rèn)證的廠商洽談,希望把CA認(rèn)證搬到電子支付平臺上。
其執(zhí)行總裁趙國棟介紹說,電子簽名(CA)是國際公認(rèn)的安全的身份識別技術(shù)。而我國《電子簽名法》的頒布使得數(shù)字證書的方式更加普及。目前國際上用得比較多的方式是VISA 3D 認(rèn)證,就是由發(fā)卡行、收單行和國際信用卡組織(第三方),對持卡人身份的檢驗(yàn)工作,以降低冒用盜刷的風(fēng)險,維護(hù)網(wǎng)路交易的安全。
然而中國工商銀行總行信息科技部處長蔣衛(wèi)華卻認(rèn)為,CA認(rèn)證只是安全防范的一種方式。該占到多少為宜?這些問題時刻困擾著崔彥剛。為此他希望透過媒體提出一個建議,就是希望通過中國銀聯(lián)為多家中小銀行建立一個統(tǒng)一的安全平臺,在個人用戶進(jìn)入各銀行進(jìn)行網(wǎng)上支付之前多把一道關(guān)。他說,這可整合中小銀行的資金,滿足共同的安全需求,既能夠減少重復(fù)建設(shè),又能夠加大安全投入力度。
安全支付環(huán)境仍有待完善
保障金融信息安全的基礎(chǔ)還是金融企業(yè)內(nèi)部的安全環(huán)境。
McAfee的陳聯(lián)在接受采訪過程中,一再強(qiáng)調(diào)“安全策略”在金融企業(yè)保證信息安全中的重要性。這其中不僅包括安全技術(shù)架構(gòu)、數(shù)據(jù)管理、人員管理,還包括與合作伙伴的責(zé)權(quán),以及針對安全問題的預(yù)警機(jī)制等。
銀川商業(yè)銀行剛剛完成了其內(nèi)控體系建設(shè)項(xiàng)目的方案,并將在今年年底根據(jù)方案開始采購。內(nèi)控體系包括應(yīng)急方案,不同級別的風(fēng)險有不同的應(yīng)急方案;版本投產(chǎn)管理,以了解應(yīng)用產(chǎn)品是否有漏洞等,這包括銀行自己開發(fā)和外來應(yīng)用系統(tǒng)的管理;還有對操作者的管理,包括管理人員和所有的系統(tǒng)使用者。
崔彥剛今年另一個工作重點(diǎn)就是災(zāi)難備份系統(tǒng),他說,雖然災(zāi)難備份剛剛起步,但是相應(yīng)的應(yīng)急預(yù)案要經(jīng)過不斷的演練來修正其中的問題,才能真正保證順利實(shí)施。
中國建設(shè)銀行山東省分行信息中心總經(jīng)理馬衛(wèi)東,就一再強(qiáng)調(diào)他們目前通過PDCA(計劃- 執(zhí)行- 監(jiān)察- 改進(jìn))過程管理方法,對每個流程進(jìn)行識別和規(guī)范,逐步達(dá)到高質(zhì)高效的管理水平。目前建行的網(wǎng)絡(luò)銀行是通過建行總行的三層防火墻進(jìn)入,并采用了國際通用的加密令牌。
在安全與易用間尋找平衡
網(wǎng)上銀行頻頻的危機(jī)讓各家銀行收緊神經(jīng),并加大對銀行網(wǎng)絡(luò)安全工作的力度。但是種種安全措施的使用也給用戶帶來了很多不便。因此,網(wǎng)銀在線的趙國棟認(rèn)為,網(wǎng)上業(yè)務(wù)應(yīng)該在安全和易用之間找到一個平衡點(diǎn)。
網(wǎng)銀在線在參與網(wǎng)上支付的過程中感覺到,各大銀行應(yīng)該有統(tǒng)一的網(wǎng)上操作平臺,這樣將使得用戶操作更加簡便。
崔彥剛在實(shí)踐中也逐漸感到,雖然CA中心的建設(shè)是重點(diǎn),目前國內(nèi)許多銀行都已運(yùn)行CA中心,人民銀行也已建立了CA中心,但是這些CA 中心將來如何整合,包括對公和對私的
客戶管理手段方面的差異性管理將是一個潛在的問題。未來客戶是否會因?yàn)橐@得各銀行的服務(wù)而需要不同的證書,從而增加了操作的復(fù)雜度?
目前大多數(shù)銀行信息安全方面的投入占整體信息化投入的10%。15%,但是由于安全效果并不容易評估,因此包括崔彥剛在內(nèi)的大多數(shù)銀行信息化負(fù)責(zé)人對網(wǎng)絡(luò)安全投入應(yīng)該占總體的比例非常困惑。有專家認(rèn)為集中式的數(shù)據(jù)處理中心的建設(shè),能解決權(quán)限控制不利而導(dǎo)致的安全隱患。
避免了有些地市分行,存在一個人管理各種系統(tǒng),通曉全部密碼的現(xiàn)象,潛在隱患很多,非常容易出現(xiàn)內(nèi)部作案的情況。但是數(shù)據(jù)集中也不是萬事大吉,數(shù)據(jù)的大集中無疑增加了銀行管理的風(fēng)險。蔣衛(wèi)華處長說,中國工商銀行采取了實(shí)時災(zāi)難備份的方式,而且大集中的數(shù)英銀行尋打擊網(wǎng)絡(luò)欺詐依據(jù)努力建立一套確保網(wǎng)上用戶身份的方法據(jù)與互聯(lián)網(wǎng)物理隔離同時應(yīng)用。
即使銀行開始大面積加強(qiáng)自己的信息安全防護(hù)意識和防護(hù)體系,安全廠商們?nèi)匀唤ㄗh,相關(guān)機(jī)構(gòu)對用戶個人數(shù)據(jù)的傳輸需要進(jìn)行加密,這樣即使信息被竊取也能保證用戶的安全。關(guān)于如何保證金融安全的討論仍在繼續(xù),作為普通用戶,您所能做的就是——小心、再小心。
來源:ZDNet China