银行信息安全亟待提升标准

“这U盾安装证书怎么还下载不了呀？在家操作好多次了，你又让我在你们银行的电脑上操作了三次，怎么还不行呀？心都凌乱掉了，这网上银行（以下简称：网银）安全吗？我输了若干次密码了，都担心上了钓鱼网站了，我卡里的钱不会被转走吧？”中国工商银行柜台前一位女士焦急地问着银行工作人员，这让旁边窗口办业务的《经济》记者也不由地问上一句：银行信息安全吗？

电脑与互联网应用在我国普及虽然很快，但这只限于会用，真正懂的还只有少数专业人士。近期的“棱镜”事件，让网络与信息安全成为了世界焦点，同时也推波助澜地唤起了人们对银行信息安全的担心。2012年，美国一份保安报告显示，全球60家银行连遭网络攻击，至少损失8000万美元。在最近发生的一系列典型网络犯罪事件中，90%以上集中在银行和保险（放心保）领域，这不能不引起人们的恐慌，以致于在全球范围内，逐渐蔓延出一种“网络银行不安全”的悲观情绪。

我国银行信息有些不安全

 “目前我国网络安全状况继续保持平稳状态，未发生造成大范围影响的重大网络安全事件，包括银行等金融机构。” 国家计算机网络应急技术处理协调中心的研究员告诉记者。同时，他也提醒企业与网民们，黑客活动日趋频繁，网站后门、网络钓鱼、移动网络恶意程序、拒绝服务攻击事件呈大幅增长态势，阻碍行业健康发展；针对特定目标的有组织高级可持续攻击（APT攻击）日渐增多，国家、企业的网络信息系统安全面临严峻挑战，特别是金融机构，容易成为谋求发财黑客们的目标。

近期，据国家计算机网络应急技术处理协调中心发布的2012年网络安全报告显示， 2012年，我国境内（我国海关关境以内）被篡改网站数量为16388个，发现针对我国境内网站的钓鱼页面22308个，涉及IP地址2576 个。从钓鱼站点使用域名的顶级域分布来看，以.COM最多，占36.5%，其次是.TK和.CC，分别占20.6%和9.5%；接收到网络钓鱼类事件举报9463起，较2011年大幅增长73.3%，约占总接收事件数量的一半（49.5%）。这些钓鱼网站中，仿冒中国工商银行等网上银行的约占54.8%。国家计算机网络应急技术处理协调中心的研究人员告诉记者，“从报告显示来看，现在与以往通过明显篡改网页内容以表达诉求或炫耀技术不同的是，黑客更倾向于通过隐蔽的、危害更大的后门程序，获得经济利益和窃取网站内存储的信息。目前，网站被植入后门等隐蔽性攻击事件呈增长态势，网站用户信息成为黑客窃取的重点。”他还告诉记者，“钓鱼网站的主要目的是骗取用户的银行账号、密码等网上交易所需信息。2012年，仅CNCERT/CC监测发现被黑客骗取的用户银行卡信息就达1.8万条，这些信息失窃很可能会给用户带来巨额财产安全。”

而在2012年年底，明朝万达根据事件的影响性评选出的“2012年十大信息泄密事件”中，电商银行也是最多的。

对于记者质疑银行网络信息安全的问题，民生银行(600016,股吧)一位金融总监王先生（化名）直截了当地说：“我一直都认为银行网络不安全，将来会出大问题的，”但同时他还强调，“目前，银行是安全的，中国黑客整体技术水平不高，暂时还未能对银行造成威胁。可是，他们会对不懂网络的普通民众下手，请市民与企业在使用网银转账汇款时小心，因为这些例子已经很多了。”

使用网银需小心

随着网络应用的发展，很多人都喜欢在网上办事。网上银行因其不受时间、空间限制，能够在任何时间、任何地点以多种方式给客户提供金融服务，受到越来越多人的青睐。但网银是一把“双刃剑”，在给用户带来巨大方便的同时，也不可避免地潜藏着一定的风险。

据媒体报道，今年2月，在北京工作的锒先生因为蹭“免费WiFi”登录网银，导致银行卡被分17次转账或取现，共损失3.4万元。锒先生的钱是怎么被取走的呢？记者采访了工商银行的网络技术人员，他告诉记者，“蹭网有风险的，有时候免费WiFi是个陷阱，也就是大家所说的钓鱼陷阱。其实钓鱼WiFi信号都含有病毒软件，可以记录下用户的操作记录并破解。当你连接上这个WiFi之后，病毒软件就开始监控你的操作。举个例子，你用浏览器登录邮箱，你的邮箱名和密码就都被软件记录，并传给黑客。”

锒先生真是因小失大呀。在采访过程中，工商银行的客服人员提醒用户，用网银时，一定要看清网站来源及付款信息，还特别强调，一定要直接登录银行的官网，不要在百度或360等搜索引擎里搜。建设银行的工作人员提醒用手机银行的用户，平时最好闭关WiFi自动连接。如长期保持打开状态，手机在进入有WiFi的区域后会自动扫描，并连接没有密码的网络，大大增加误连钓鱼WiFi的几率。

5月28日，360互联网安全中心发布重大安全警报称，“超级网银”跨行账户管理功能已经成为黑客恶意利用的目标，近期全国连续出现多起各大银行客户被骗案例。这也是因为用户安全意识薄弱引起的。

据悉，陈女士在网购衣服时，被骗子诱导进行了“超级网银”授权支付操作，短短24秒内，银行账户中10万元就被洗劫一空。工商银行的网络技术人员讲，“超级网银”是标准化跨银行网上金融服务产品，能够方便用户实时跨行管理不同的银行账户。通俗地说，就是可以用一个网银账户，实现多张银行卡的跨行查询和转账，国内绝大多数银行均默认支持该项功能。然而不法分子恶意利用“超级网银”，通过欺诈手段获取他人银行账户的授权，就可以将对方账户余额全部偷走。

这种事情很多，据卡巴斯基中国区技术总监陈羽兴介绍：“今年上半年的时候卡巴斯基就协助公安调查了一起资金被盗案件，对方自称是检察院，要求受害者上网验证信息而被引导到钓鱼网站上，最后机器被远程控制导致账户里的资金全部被转走。”

对于对网络都不甚了解的网民来说，黑客真是防不胜防呀！陈羽兴建议个人用户，首先要做到的是，不要在网吧、共用的机器上登录银行帐号；在自己的机器里装专业的防恶意程序软件；把经常使用的银行网址记在浏览器里，避免由于记错网址或者打错网址或者用搜索引擎搜索的时候不小心点到钓鱼网站而导致泄露或者损失。另外在任何人或者机构给你打电话自称是银行、公安、检察院等要求你登录网上银行或者政府部门的网站查看或者转帐的都不要理会而且要及时报案。

提高标准很重要

金融机构的专业人员相对于普通网民来说要专业得多，在防黑客方面做得怎样？工商银行客服经理介绍说，因网上银行、支付宝等金融类网站和手机客户端信息经过了层层加密，破解的难度大，只要使用银行发布的官方网站或者银行官方手机客户端，不管是WiFi、2G还是3G网络，都不可能被人盗走账户信息。

陈羽兴说，银行经过多年的网络建设，已经形成一套防护体系。但是，有两个方面容易成为整个防护体系的短木板。第一是新兴系统的加入，比如虚拟化系统/云计算系统，这些系统的防护解决方案整体还比较薄弱。另一方面是不同网络间的数据交换，比如生产网络和办公网络是物理隔离的；银行需要定期跟其他银行比如人民银行之间交换数据；有部分合作伙伴或者业务单位需要上传一些文档等，这些在线和离线数据如何交换、如何实时检测以防止病毒交叉感染、数据丢失和防篡改等都面临一些问题。

“如果国家信息安全委员会不提高验收标准，银行不加大技术投入力度，将来的事情不敢预想，会很可怕的。”民生银行的王先生说，“目前银行验收标准太低，应该提高标准。但提高标准是要投很多钱的，如果国家不要求，银行在感觉自己信息安全方面还可以的情况下，是不愿意多花很多钱去做技术升级改造。因为目前银行在中国的信息安全技术算高的，黑客技术水平相对较低，攻不破银行系统的密码，所以中国在银行偷钱的事还没有。建议相关政府部门未雨绸缪不要亡羊补牢。”

中国人民银行消费者保护局局长焦瑾璞表示，网络金融作为新兴的金融模式，现有的金融监管体系尚无法完全覆盖，存在一定的监管缺位，因此必须尽快明确相应的监管部门和监管职责，既能充分包容创新又能确保监管到位。

中国科学院信息安全国家重点实验室教授、北京知识安全工程中心主任吕述望建议金融行业不要接入因特网，要建立中国金融行业的专业网。还有一部分网络安全专家呼吁有关方面，进一步加大自主研发的网址卫士等国产服务器证书产品的扶持和推广力度，加强中国网络安全保障的自主权，构筑中国网络金融业务防火墙。

采访手记：

时下，斯诺登不仅是国家层面的新闻事件，也是时下最热门的谈资，因此，在不记名采访中，大家谈得淋漓尽致。

通过采访总结出专家们的观点，他们认为加强银行的网络安全：一是从银行防范。建立严密的安全体系，保证网络银行的安全运行。为防止交易服务器受攻击,银行应采取隔离相关网络、高安全级的Web应用服务及实施全天候的安全监控等技术措施；二是从客户防范。客户的安全意识是影响网络银行安全性的重要因素。客户要防止自己网络银行账号及密码流失,上网时应设置好电脑安全措施,不随便点击恶意网站；三是建立全国统一的认证中心，充分发挥第三方认证机构中立、权威的作用；四是加快电子化应用环境风险防范，如加大对计算机物理安全设施的投入和严格中心机房的管理制度等。

也有一位非业界专家提出的观点，记者认为很具特别性。他认为，对于银行信息安全，不能采用头痛医头脚痛医脚的诊断办法，应该从根拔起。他建议，应推行电子货币，逐步取代纸币。他说：“电子货币是一种可以追踪的货币，犯罪分子盗窃银行或者银行用户，最终都是以纸币的形式消化掉，如果取消纸币，他们没办法把盗来的钱花出去，那还偷盗银行与银行用户的消息做什么。”对于如何取消或限制纸币发行，他也有建议，“建议政府层非自然地推行电子货币，应该从国家财政部或者中央银行控制-减少纸币发行，这样做有别于西方国家由银行和用户自然减少纸币使用的现象，我国应直接跳过这个过程，由中央银行及政府部门直接主导施行。”如何实施？“相关部门出台纸币税，存纸币有存纸币税，取时有取纸币税，如果是大额纸币存取银行可问纸币来源，也可直接报警，”他略带兴奋地回答。

这种观点记者也不知是否可行，但博采众长，有些观点记者有必要记录下来与读者分享。