1. 銀行交易系統被非法入侵。
2. 信息通過網絡傳輸時被竊取或篡改。
3. 交易雙方的身份識別;賬戶被他人盜用。
從銀行的角度來看,開展網上銀行業務將承擔比客戶更多的風險。因此,我國已開通“網上銀行”業務的招商銀行、建設銀行、中國銀行等,都建立了壹套嚴密的安全體系,包括安全策略、安全管理制度和流程、安全技術措施、業務安全措施、內部安全監控和安全審計等,以保證“網上銀行”的安全運行。
銀行交易系統的安全性
“網上銀行”系統是銀行業務服務的延伸,客戶可以通過互聯網方便地使用商業銀行核心業務服務,完成各種非現金交易。但另壹方面,互聯網是壹個開放的網絡,銀行交易服務器是網上的公開站點,網上銀行系統也使銀行內部網向互聯網敞開了大門。因此,如何保證網上銀行交易系統的安全,關系到銀行內部整個金融網的安全,這是網上銀行建設中最至關重要的問題,也是銀行保證客戶資金安全的最根本的考慮。
為防止交易服務器受到攻擊,銀行主要采取以下三方面的技術措施:
1. 設立防火墻,隔離相關網絡。
壹般采用多重防火墻方案。其作用為:
(1) 分隔互聯網與交易服務器,防止互聯網用戶的非法入侵。
(2) 用於交易服務器與銀行內部網的分隔,有效保護銀行內部網,同時防止內部網對交易服務器的入侵。
2. 高安全級的Web應用服務器
服務器使用可信的專用操作系統,憑借其獨特的體系結構和安全檢查,保證只有合法用戶的交易請求能通過特定的代理程序送至應用服務器進行後續處理。
3. 24小時實時安全監控
例如采用ISS網絡動態監控產品,進行系統漏洞掃描和實時入侵檢測。在2000年2月Yahoo等大網站遭到黑客入侵破壞時,使用ISS安全產品的網站均幸免於難。
身份識別和CA認證?
網上交易不是面對面的,客戶可以在任何時間、任何地點發出請求,傳統的身份識別方法通常是靠用戶名和登錄密碼對用戶的身份進行認證。但是,用戶的密碼在登錄時以明文的方式在網絡上傳輸,很容易被攻擊者截獲,進而可以假冒用戶的身份,身份認證機制就會被攻破。
在網上銀行系統中,用戶的身份認證依靠基於“RSA公鑰密碼體制”的加密機制、數字簽名機制和用戶登錄密碼的多重保證。銀行對用戶的數字簽名和登錄密碼進行檢驗,全部通過後才能確認該用戶的身份。用戶的惟壹身份標識就是銀行簽發的“數字證書”。用戶的登錄密碼以密文的方式進行傳輸,確保了身份認證的安全可靠性。數字證書的引入,同時實現了用戶對銀行交易網站的身份認證,以保證訪問的是真實的銀行網站,另外還確保了客戶提交的交易指令的不可否認性。 由於數字證書的惟壹性和重要性,各家銀行為開展網上業務都成立了CA認證機構,專門負責簽發和管理數字證書,並進行網上身份審核。2000年6月,由中國人民銀行牽頭,12家商業銀行聯合***建的中國金融認證中心(CFCA)正式掛牌運營。這標誌著中國電子商務進入了銀行安全支付的新階段。中國金融認證中心作為壹個權威的、可信賴的、公正的第三方信任機構,為今後實現跨行交易提供了身份認證基礎。
網絡通訊的安全性
由於互聯網是壹個開放的網絡,客戶在網上傳輸的敏感信息(如密碼、交易指令等)在通訊過程中存在被截獲、被破譯、被篡改的可能。為了防止此種情況發生,網上銀行系統壹般都采用加密傳輸交易信息的措施,使用最廣泛的是SSL數據加密協議。
SSL協議是由Netscape首先研制開發出來的,其首要目的是在兩個通信間提供秘密而可靠的連接,目前大部分Web服務器和瀏覽器都支持此協議。用戶登錄並通過身份認證之後,用戶和服務方之間在網絡上傳輸的所有數據全部用會話密鑰加密,直到用戶退出系統為止。而且每次會話所使用的加密密鑰都是隨機產生的。這樣,攻擊者就不可能從網絡上的數據流中得到任何有用的信息。同時,引入了數字證書對傳輸數據進行簽名,壹旦數據被篡改,則必然與數字簽名不符。SSL協議的加密密鑰長度與其加密強度有直接關系,壹般是40~128位,可在IE瀏覽器的“幫助”“關於”中查到。目前,建設銀行等已經采用有效密鑰長度128位的高強度加密。
客戶的安全意識?
銀行卡持有人的安全意識是影響網上銀行安全性的不可忽視的重要因素。目前,我國銀行卡持有人安全意識普遍較弱:不註意密碼保密,或將密碼設為生日等易被猜測的數字。壹旦卡號和密碼被他人竊取或猜出,用戶賬號就可能在網上被盜用,例如進行購物消費等,從而造成損失,而銀行技術手段對此卻無能為力。因此壹些銀行規定:客戶必須持合法證件到銀行櫃臺簽約才能使用“網上銀行”進行轉賬支付,以此保障客戶的資金安全。
另壹種情況是,客戶在公用的計算機上使用網上銀行,可能會使數字證書等機密資料落入他人之手,從而直接使網上身份識別系統被攻破,網上賬戶被盜用。
安全性作為網絡銀行賴以生存和得以發展的核心及基礎,從壹開始就受到各家銀行的極大重視,都采取了有效的技術和業務手段來確保網上銀行安全。但安全性和方便性又是互相矛盾的,越安全就意味著申請手續越煩瑣,使用操作越復雜,影響了方便性,使客戶使用起來感到困難。因此,必須在安全性和方便性上進行權衡。到目前為止,國內網上銀行交易額已達數千億元,銀行方還未出現過安全問題,只有個別客戶由於保密意識不強而造成資金損失。
總 結
據有關資料顯示,現在美國有1500多萬戶家庭使用“網上銀行”服務,“網上銀行”業務量占銀行總業務量的10%,到2005年,這壹比例將接近50%。而我國網上銀行業務量尚不足銀行業務總量的1%,就此點講我國網上銀行業務的發展前景極為廣闊,我們有理由相信,隨著國民金融意識的增強,國家規範網上行為的法律法規的出臺,將會有更好的網上銀行使用環境,能為客戶提供“3A服務”(任何時間、任何地點、任何方式)的“網上銀行”壹定會贏得用戶的青睞。
自從美國在1995年推出世界第壹家網絡銀行------安全第壹網絡銀行,世界各國網絡銀行的發展勢頭十分迅猛。美國在2002年時,約有560萬個家庭每月至少使用壹次網絡銀行功能或在線支付功能。2003
年,東亞銀行、匯豐銀行等均在我國內地開辦了網絡銀行業務。我國第壹家網絡銀行出現於1998年。有報道說,到2004年底,我國網絡銀行個人客戶已達到1758萬戶,企業用戶已達60萬戶,網絡銀行交易量達到了49萬億元。
但是,正當消費者接受並嘗試著這壹新鮮事物帶來的新奇和便捷時,因安全問題引發的欺詐案件卻接踵而來。這使得消費者開始產生質疑,不得不重新審視網絡銀行的可信度。網絡銀行的安全究竟該如何認識?問題是出在銀行,還是在消費者自身缺乏防範意識?安全問題確實已成為網絡銀行發展過程中的壹個聚焦。
形形色色的網銀安全問題
網絡銀行,又稱網上銀行或在線銀行,是指銀行以自己的計算機系統為主體,以單位和個人的計算機為入網操作終端,借助互聯網技術,通過網絡向客戶提供銀行服務的虛擬銀行櫃臺。簡單地說,網絡銀行就是互聯網上的虛擬銀行櫃臺,它把傳統銀行的業務“搬到”網上,在網絡上實現銀行的業務操作。
在西方發達國家,網絡銀行業務壹般分為三類,即信息服務、客戶交流服務和銀行交易服務。信息服務是銀行通過互聯網向客戶提供產品和服務。客戶交流服務包括電子郵件、帳戶查詢、貸款申請等。銀行交易服務包括個人業務和公司業務,前者包括轉帳、匯款、代繳費用、按揭貸款、證券買賣、外匯買賣等;後者包括結算、信貸、投資等。銀行交易服務是網絡銀行的主體業務。
網絡銀行的特點是客戶只要擁有帳號和密碼,便能在世界各地通過互聯網,進入網絡銀行處理交易。與傳統銀行業務相比,網絡銀行的優勢體現在,不僅能夠大大降低銀行的經營成本,還有利於擴大客戶群,交叉銷售產品,吸引和保留優質客戶。由於客戶采用的是公***瀏覽器軟件和公***網絡資源,節省了銀行對客戶端的軟、硬件開發和維護費用。網絡銀行的無時空限制的特點,打破了傳統業務受地域和時間的限制,能在任何時候、任何地方為客戶提供金融服務;並且在整合各類交叉銷售產品信息的基礎上,實現金融創新,為客戶提供更具個性化的服務。
網絡銀行發展的模式有兩種,壹是完全依賴於互聯網的無形的電子銀行,也叫“虛擬銀行”;另壹種是在現有的傳統銀行的基礎上,利用互聯網開展傳統的銀行業務交易服務。因此,事實上,我國還沒有出現真正意義上的網絡銀行,也就是“虛擬銀行”,國內現在的網絡銀行基本都屬於第二種模式。
對於銀行來講,歷來是“信用第壹”。網絡銀行既然是互聯網的產物,互聯網所帶來的壹切安全隱患,自然會波及網絡銀行,影響其信用。因此,網絡銀行的安全問題不僅是客戶最擔心的事情,也為各傳統銀行所關註和重視。網絡銀行面臨的安全隱患除了來自數據傳輸風險、應用系統設計的缺陷和計算機病毒的攻擊三個方面外,利用網絡銀行進行欺詐的行為是當前危害最大、影響最惡劣的壹個安全問題。這些欺詐手段包括假冒銀行網站、電子郵件欺詐和網上交易陷阱等。
假冒銀行網站具有很強的隱蔽性,其域名通常和真實銀行的域名相差壹個字母或數字,主頁則與真實銀行的非常相似。欺詐郵件是提供壹個與銀行或購物網站極為相似的鏈接,收到此類郵件的用戶壹旦點擊這個鏈接,緊接著頁面會提示用戶繼續輸入自己的帳戶信息;如果用戶填寫了此類信息,這些信息將最終落入詐騙者手中。而網上交易陷阱則是,壹些不知名的購物網站通常會打出超低價商品等信息,待用戶點擊付款鏈接時就將用戶的銀行資料騙取出去。面對發生在網絡銀行上形形色色的安全問題,各家銀行的反映如何?它們都采取了哪些相應的措施?
銀行篇:該出手時就出手
8月份,國內14家商業銀行與中國金融認證中心(CFCA)聯合推出“2005放心安全用網銀”的活動。銀行界與第三方安全認證機構聯手行動,為廣大消費者提供了壹次了解網上銀行和信息安全知識的機會。
在這14家銀行中,中國工商銀行於2000年推出了網上銀行。通過采用國際先進的技術安全措施和嚴格的風險控制手段,工行建立了壹整套嚴密的網上銀行技術與制度體系,確保了網上銀行安全的運行。
中國工商銀行電子銀行部副處長尚陽向記者介紹說,利用網上銀行進行欺詐行為,騙取客戶資金,目前主要有四種類型:壹是不法分子通過電子郵件冒充知名公司,特別是冒充銀行,以系統升級等名義誘騙不知情的用戶點擊進入假網站,並要求他們同時輸入自己的賬號、網上銀行登錄密碼、支付密碼等敏感信息。二是不法分子利用網絡聊天,以網友的身份低價兜售網絡遊戲裝備、數字卡等商品,誘騙用戶登錄犯罪嫌疑人提供的假網站地址,輸入銀行賬號、登錄密碼和支付密碼。三是不法分子利用壹些人喜歡下載、打開壹些來路不明的程序、遊戲、郵件等不良上網習慣,有可能通過這些程序、郵件等將木馬病毒置入客戶的計算機內,壹旦客戶利用這種“中毒”的計算機登錄網上銀行,客戶的賬號和密碼就有可能被不法分子竊取。
例如,人們在網吧等公***電腦上網時,網吧電腦內有可能預先埋伏木馬程序,賬號、密碼等敏感信息。四是不法分子利用人們怕麻煩而將密碼設置得過於簡單的心理,通過試探等方式可能猜測出密碼。所以,為了保證信息和資金的安全,我們不僅需要具備辨識網絡詐騙的能力,更需要養成良好的網上銀行使用習慣。當然,如果用戶申請了客戶證書,就可以有效防範目前常見的各種網絡犯罪,確保用戶資金安全無憂。
工商銀行網上銀行系統的安全保障是多層的,包括網上銀行技術安全和業務安全,二者***同構成了壹個完備的網上銀行安全體系。從技術安全的層面上,網上銀行的技術安全包括網絡安全和交易安全兩個方面。網絡安全確保工行網站的安全可靠,交易安全確保客戶通過網上銀行進行交易的資金安全。其中,網絡安全涉及系統安全、網絡運行安全等。
系統安全實際上指的是主機和服務器的安全,主要包括反病毒、系統安全檢測、入侵檢測(監控) 和審計分析;網絡運行安全就是指要具備必須的針對突發事件的應急措施,如數據的備份和恢復等等。工商銀行為保障網上銀行的網絡安全性,采取了壹系列措施,包括:在互聯網與網上銀行服務器之間設置第壹道防火墻, 在門戶網站服務器和工行內部網絡(應用服務器)之間設置第二道防火墻。第二道防火墻與入口的第壹道防火墻采用的是不同廠商的產品,設置不同的安全策略,使黑客即使攻破第壹道防火墻,也無法輕易攻破第二道防火墻而進入內部網絡,等等。
在確保網絡安全的同時,工行網上銀行還采取了壹系列確保網上交易安全的措施,包括采用中國金融認證中心(CFCA)提供的、目前最嚴密的1024位證書認證和128位SSL加密的公鑰證書安全體系等等。根據客戶對方便性和安全級別要求的不同,工行將客戶分為無證書客戶和證書客戶兩大類。沒有申請證書的客戶要進入網上銀行,首先要驗證客戶的賬號(或自己設立的登錄ID)和登錄密碼,對外支付還必須驗證支付密碼。
此外,通過增加密碼難度(必須是6—30位數字與字母的組合)、設置虛擬“e”卡(專門用於網上購物)和每日支付最高限額等壹系列方式,最大限度地保證客戶安全使用網上銀行。對於申請了證書的客戶,工行USBKey客戶證書是壹個外形類似U盤的智能芯片,是網上銀行的“身份證”和“安全鑰匙”,也是目前安全級別最高的壹種安全措施。客戶申請了這個證書後,網上所有涉及資金對外轉移的操作,都必須通過這個客戶證書才能完成,而此證書,僅客戶自己保管和使用。換句話說,賬號、登錄密碼、支付密碼、客戶證書、證書密碼等種種安全防範措施,只要其中壹樣沒有丟失或泄露,或即使丟失,只要密碼和證書沒有被同壹個人獲得,就不存在資金安全問題。
除了技術安全外,工行在業務安全層面上,制定了健全的內部櫃員操作管理機制。整個網上銀行的內部管理系統,都通過工行內網向全行提供統壹的內部管理功能。系統內部從總行、省行到市行建立4類9級櫃員制度,逐級管理,每壹級對下壹級有管理、監督的權限。同時櫃員在進行壹些關鍵性操作時,還需要上壹級櫃員的實時審核,防止單人作案。
那麽,用戶應該如何安全使用網上銀行?尚陽副處長說,對於有了客戶證書的客戶來說,只要密碼和證書沒有被同壹個人獲得,就能確保客戶資金的安全。而沒有申請客戶證書的客戶,只要保管好自己的賬號和密碼以及支付密碼,就是非常安全的。總而言之,有幾點需要提醒人們:1.要妥善保管好自己的賬號和密碼。2.謹防假網站索要賬號、密碼、支付密碼等客戶敏感信息。3.維護好自己的電腦。不要輕易下載壹些來歷不明的軟件。最好不要在公***場所(如網吧、公***圖書館等)使用網上銀行。4、最有效的方式就是到工行網點申請壹個客戶證書。壹旦擁有了自己的客戶證書,就可以有效防範諸如假網站、“木馬”病毒等網絡詐騙;換句話說,即使假網站、“木馬”病毒通過欺騙等手段獲得了您的賬號、密碼等敏感信息,但有了證書,照樣可以安心使用網上銀行。