網上銀行信息安全現狀不容樂觀
來自新華網的統計表明:2006年上半年網上銀行的交易總則達到了40萬億����,個人網銀用戶達到3500萬��,企業網銀的用戶達到900萬�,網上銀行有48家,而且近幾年基本上每年保持在100%的增長速度����。
相應而來的是各類有威脅的攻擊和病毒層出不窮�。耳熟能詳的就有包括網銀大盜��、灰鴿子病毒����、廣外女生病毒����,還有去年年底很熱門的熊貓燒香病毒。
與之同時�,網銀大盜事件也在逐年增長��。在2004年的時候,網銀大盜有60例安全事件�,2005年則達到了1100例����,而2006年的時候達到3.7萬例�。每年都是幾何級數的增長,這表明安全廠商在對付這種病毒和攻擊的同時�,病毒也在不斷地升級和擴展����,而且在每一個版本上都會加入新的攻擊特征和功能��,目的就是達到一個更好的攻擊效果。
現象背后的思考
現在針對于網銀���,還有各種各樣的公司和企業的網絡安全事件越來越多。實際上背后隱藏著這樣一個事實:地下的黑金產業現在已經形成了很龐大的一個規模�����,也已經形成了一個比較成熟的鏈條���。
首先是病毒和木馬的編寫者��,這一部分人會把新型的病毒和木馬��,包括更新的版本會不斷地編寫出來;再向下會有一個銷售的渠道�����,這個渠道專門把這些高手編出來的攻擊程序銷售給的攻擊者���。需要注意的是�����,攻擊者不再需要很高的技術��,技術問題都被病毒和木馬的編寫者解決了。攻擊者只要是能使用這個工具去攻擊網銀的用戶即可�����。而在攻擊成功之后會有很多的利益�����,例如�,攻破了一個經常上網��、游戲用戶的計算機�,一些Q幣�、游戲的賬號和虛擬物品都會被黑客得到。這些東西被盜取以后還有專門的銷售渠道,去換取現實中的人民幣。
整個的黑金產業鏈條已經分工得非常明確了��。黑客的攻擊已經不再是出于獵奇���、報復等個人的主觀目的��,而是從金錢利益方面獲得了最強烈的驅動力�����,通過攻擊網銀的客戶或商務網站可以獲得直接的金錢利益,這導致現在黑客的攻擊愈演愈烈��。
從安全保護的角度講����,需要我們全面地主動去考慮一些安全的問題。比如我們可以從黑客的心理出發�,提高黑客的攻擊成本�����,降低他們攻擊所能得到的收益,這樣就可以很好地對黑客攻擊的行為進行防范。
從銀行的角度如何考慮網銀安全
從客戶端提交交易申請��,在局端受理后進行統一的交易處理����,所以我們可以從局端和網銀的客戶端兩方面出發去考慮網銀的安全���。
局端的安全需求來可以分為三個方面����。首先是合規性需求,是指建設網銀系統需要符合國家和管理機關的相關政策、法規和規范;其次是安全保障的需求���,這部分比較傳統,需要保證網銀的數據可靠、網銀的系統可用�、并且提升效率��;第三是第三方的認證需求,如ISO27001安全管理體系認證,這些第三方認證也日益成為同業競爭的一個需要。
在合規需求方面����,國信辦�、人民銀行�����、銀監會都出了相應的法規與管理辦法�,從宏觀要求到具體的操作指南�����。針對于這些管理辦法�,銀行的網銀系統需要對它進行符合性的設計����。銀行在設計和更新網銀系統的時候,需要確切了解這些條文的要求����、需要遵守什么規定,需要滿足什么條件�����。
在安全保障需求方面����,可以使用安全手段和相應的安全管理策略,進行全面的信息安全管理體系建設�����。信息安全管理體系不但涉及到安全的網絡架構、安全的系統��,數據的安全���,還包括相關的人員配置�、管理制度等等一整套東西,并且有更新�����、維護的一套辦法�����,是一個非常龐大的工程���。在這個系統里面���,可以利用下面這些產品和手段來達到數據可靠��、系統可用和提升效率等等一些目的。
入侵檢測/保護系統���。發現攻擊或者蠕蟲或者木馬攻擊并進行阻斷(入侵保護)���。
遠程安全評估系統����。遠程安全檢查,發現主機和系統上是否存在的漏洞�����,對漏洞生命周期的整個過程加以控制��。
抗拒絕服務的設備���。防范現在非常流行的DDoS攻擊��。
終端管理系統。對銀行內部客戶端進行保護與安全管理�����。
安全審計系統����。統計網內用戶的各種各樣的行為,是否有違反安全規定的操作與活動。
第三方認證的需求,以ISO27001認證為例���,是對信息安全管理體系的認證。銀行的信息安全管理體系ISMS通常是基于BS7799這個標準來建立的,而有了這個安全管理體系以后��,是否達到了BS7799標準要求的水平���?這就需要用ISO27001標準來審核���。如果能通過該認證�����,就說明符合體系的要求。
在網銀局端安全以后,還需要關注一下網銀客戶端的安全。現在網銀客戶端的安全手段基本上集中在客戶端的認證安全這一塊���,做法都是通過認證手段來確認網銀客戶端上操作的用戶,是否為一個合法的用戶。
第一類手段是在國內網銀早期出現的賬號�、口令和證書等認證方式�����,它的易用性非常好,普及率高,但是相應安全性比較差���。
第二類是USBKEY認證,這種方法有很好的安全性保護��,本身它的芯片是用特殊算法進行設計的,里面的證書信息,從理論講外界不能讀到���,這樣可以保護里面的證書安全。
第三類是口令卡,是USBKEY相對廉價的替代品����?诹羁ㄒ部梢赃M行比較安全的身份驗證�。
不過����,從理論上來講,僅僅考慮安全認證還不能完全解決現在所有的安全隱患�����,黑客有可能進行底層消息的篡改��。安全認證雖然是需要采用,但是還是需要結合其他一些安全手段來解決整體的安全問題。下面是一些建議的方式:
在網銀的客戶端安全控件里,加入一個安全保護的控件����,它可以起到兩部分的作用����。第一是保護本地的安全性�����,如升級本地的客戶端病毒庫��,而且進行補丁的管理,如果補丁不是最新的話��,它可以到官方的補丁網站去下載操作系統���,還有IE瀏覽器之類的補丁��。另外��,還包括其他賬號、口令��、權限設置等方面的安全檢查與糾正����。
第二,檢查客戶端中已經存在的木馬,客戶端在安裝安全控件之前����,有可能已經被黑客控制了��,這種時候如果能加以發現并且識別,就可以防止進一步被侵害����。
最后介紹的是比較可靠的雙信道方式,即用個人客戶端->Internet這個信道傳輸網銀的數據�����,用另外一個信道去傳送���,如手機去認證或者確認這次交易的信息�。這樣的話無論網銀客戶端是否被種了木馬,都可以保證網銀交易是安全的�。我們申請網銀客戶帳戶的時候����,可以和一個手機號碼加以綁定���,賬戶和這個手機號碼是一對一的關系����。如果是經過了認證確實以后,客戶端發出交易指令���,網銀局端會向客戶端手機發短信,這個短信會把這次交易的詳細信息顯示出來�����,還會有一個確認碼K,包括日期時間����、對方賬戶號����、轉賬金額等信息��,如果信息正確,則用戶把確認碼K回復給網銀局端�����,局端得到確認之后�����,才會進行相應的轉賬操作����。
第二信道能很好地保證安全性�。黑客一般都是從網上攻擊網銀,它不可能又控制計算機,同時又把這個用戶的手機也控制了,這樣的情況幾乎不可能發生。
網銀安全將來會如何發展
從將來的發展來看��,個人用戶����、銀行和安全公司應該進行一個良好的配合。個人用戶的安全水平和安全意識需要很好的提高���,這樣才能跟利用銀行和安全公司提供的安全手段,配合整體安全體系����。安全公司就需要對個人的用戶還有銀行�����,提供這個長期的技術支持,不斷研究新的安全技術來支持他們����。
最后網銀的安全還需要一個整體的社會環境���,比如說法律法規,以及個人用戶的安全意識和安全基本技能�����。這幾方面的結合才能使以后網銀達到全面安全的目的�����。國家和政府需要制訂合理的法律法規���,在IT舉證和法規方面進行加強���。如果從IT的取證����、定罪到制裁的過程有一套很完整�����、很合理的法律法規去保證的話����,黑客攻擊網銀就能抓到�����,根據確實的證據進行定罪�����,后面再進行合理的懲罰,讓IT犯罪不再是一個成名之路��,這樣對網銀犯罪會有一個很大的震懾作用���。
另外����,還需要建立國家級的信用體系。如果在IT方面的犯罪會導致你的信用下降����,讓罪犯在這個社會上難以立足�。這樣給黑客的攻擊成本和風險加大�,也可以從另一方面有效地制止IT犯罪。
