電子銀行的安全與風險防范

弱技術配強管理的電子銀行安全效果，與強技術配弱管理的安全效果是一樣令人擔憂的。銀行要通過強技術強管理的組合來保證電子銀行的安全。

由于方便、快捷，電子銀行越來越為銀行和客戶所青睞，其業務量在銀行業務中的占比逐漸增加。與此同時，電子銀行的安全問題也引起了越來越多的關注。近兩年，網上銀行發生的安全事件增加了人們對電子銀行安全性的擔心，英國破獲黑客盜劃2.2億英鎊的新聞，讓客戶疑慮自己的財富是否會在眨眼間化為烏有，所以不少人選擇了小規模、低頻率使用網上銀行的下策。而對于銀行來說，安全事件給銀行造成聲譽和經濟上的重大損失，而且今后還可能面對賠償訴訟。如何保證電子銀行的安全、有效防范風險成為各銀行的頭等大事。

電子銀行的安全問題千頭萬緒，要分析清楚，還得從電子銀行的系統架構和風險點說起（見圖1）。

電子銀行風險點

操作系統的安全

操作系統安全的主要考慮有：（1）連續無故障運行天數。（2）超級用戶指令保管與使用。操作系統的口令是系統安全的命門，一旦超級用戶指令被人知曉，該知情者就可以遠程控制計算機，進而修改數據庫用戶的密碼，從而無障礙地進入數據庫系統進行任何操作。（3）壓力指標。操作系統提供的緩沖空間、進程數等是數據庫、應用軟件運行的基礎參數，需要根據運行情況進行參數最優化配置。通常操作系統要與應用系統一起進行壓力測試，以便測出業務量等極限值。針對極限值，把系統裝備相應的預防、處理、應急機制，如自動或人為分流流量、報警等，避免系統癱瘓。

數據庫的安全

數據庫安全的主要考慮有：（1）操作系統登錄時的用戶名與口令如果泄密將危及整個數據庫的安全，數據的修改將無法控制。（2）數據庫的用戶名和密碼不要簡單得讓人猜出來，不少系統就使用用戶名sa和口令sa，這樣做不但使數據庫安全受威脅，操作系統的安全也受到威脅。因為可以通過一種數據庫遠程控制機制控制遠程操作系統。（3）數據庫操作審計，將運行主機上所有數據庫操作及數據變更寫入日志。這個日志將迅速膨脹，需要專門的日志管理員進行外部備份和清理，否則系統硬盤過一段時間就會漲滿。但是，中小銀行可能會屏蔽數據庫審計功能，以減少日志清理和管理的麻煩。這樣，數據庫安全失去了重要的、可跟蹤恢復的操作監視手段。（4）數據同步、一致性問題。數據操作是以事件驅動的，事件沒有完成，則數據庫將自動恢復到事件前狀態。軟件編程要注意應用數據表之間的邏輯一致性，否則，數據挖掘就得浪費大量的時間清理無效數據。

核心系統的安全

第二代核心系統主要有信貸、柜臺、賬務、現金管理等，第三代核心業務系統模型則包括了客戶關系管理、風險管理、市場營銷分析等模塊。第四代核心系統正在建設當中，思路更加清晰，更加強調數據共享和SOA架構，更好地進行業務流程整合與信息管理整合。

核心系統安全的考慮包括：（1）源程序是否有漏洞、后門和錯誤代碼。由于當代銀行軟件主要采用的是黑匣子測試，而不是白匣子測試，因而大量“死角”無法發現，隱藏的風險是較大的。2007年底，一客戶在廣州市某銀行ATM機上取現金1000元，而賬戶卻只扣一元，客戶因取現17.5萬元被判重刑而引起爭議。其實在這個案件中，銀行過錯在先，因為銀行軟件測試沒有發現程序錯誤。（2）系統壓力測試。如某銀行的基金理財平臺屬于核心系統，由于股市行情的井噴，致使2007年8月的一天網上銀行占用主機資源過多，主機Down機幾個小時。這種現象斷斷續續持續約一個月時間，銀行其他業務也受到影響。事后，該銀行制定了應對策略，讓分行分流部門網上理財業務。分行業務數據通過電信、網通專網與總行相連，避免流量都擠在公網入口的局面。高峰期，專網的傳輸速度比公網快，速度有保證。另外，在分行增設業務流控制界面，一旦全國行情井噴，則由分行控制流量，避免由于理財產品等邊緣業務導致整個核心系統癱瘓的惡性事件。（3）核心系統的管理員用戶名和密碼。（4）核心系統的易維護性、易擴展性。如果元數據標準等標準化建設達到了一定的水平，則外圍系統容易擴展核心系統的功能，共享核心系統的數據。同時，核心系統如果獲得越多的外圍子系統的數據，則越可能做數據挖掘等建模工作，而風險管理、管理決策、客戶分析等都離不開數據挖掘和商務智能。（5）版本升級、新產品上線、定期系統在線清理、操作運行主機等操作行為的風險控制。在核心系統down機的嚴重故障中，部分原因恰是系統切換、系統升級或新產品上線欠周全造成的。操作運行主機要有一定的程序要求，要求雙人共同操作，且不可進行試驗性操作。試驗性操作要在備份機器上進行，確認無誤后才可在運行主機上操作。另外，主機長年累月地運行，不可避免地會出現內存、進程等方面的問題，需要人為適當干預。隨著硬件功能越來越強大，以及SOA設計理念和設計能力的普及，核心系統的能力范圍會逐漸擴大，安全性也越來越有保證。（6）數據備份與系統備份。大銀行都有南北兩個異地數據中心，每個數據中心有本地同步備份，共有四套系統。目前，監管部門強調在數據中心災備就屬于核心系統安全的重要范疇。

路由器、入侵檢測、防火墻的安全

路由器提供了網絡連接的路徑。入侵檢測可以對非法訪問內部網絡的數據包進行檢測并預警。防火墻是通過對網絡層傳輸的數據包中的目標地址進行檢測，控制數據包的流向，從而避免對核心系統的非正常訪問。如果路由器的端口密碼被人攻破，則黑客可以通過直接添加路由，使得外來的訪問變得合法。這時，獲得的內網訪問能力是十分危險的。

區分外網與內網是重要的安全方法。一般對外網的防護要嚴格些，而對內網的防護則簡單得多。某證券公司嚴禁客戶在內網上炒股，就是擔心客戶反復試驗出總部主機的密碼。因為內網沒有設置相應的安全防護措施。

網上銀行包括個人網銀和企業網銀。由于個人網上銀行功能日益豐富，如匯款、基金買賣、外匯買賣、黃金買賣、銀證通、代繳費、網上商家等，數量龐大的客戶群的集中操作給核心系統造成了巨大壓力。

應用軟件服務器

應用軟件服務器處在客戶端和核心系統之間，解決渠道的多變與核心系統穩定之間的關系。花旗銀行的產品達6000個左右，這種方式明顯保持了核心系統的穩定。我國銀行核心系統每五六年重新設計一次，達到核心系統穩定性與靈活性的統一，每過五六年銀行的硬件就要更新一次。

應用服務器通過數據接口與核心系統相連，也需要有相應審計措施跟蹤人為操作。否則，由于超級權限造成的對客戶數據的直接、非法修改，會危及系統的安全。黑客也可以攻擊應用服務系統，從而修改重要客戶資料。內網用戶也可以攻破應用服務器的關鍵密碼，以獲得超級權限。

應用服務器一般采用雙備份、雙線路方式，一旦由于硬件損壞等原因造成系統故障，可以迅速切換到正常系統。

網絡傳輸的安全

現有網絡安全技術不少是用來解決網絡傳輸數據安全問題的，如數據加密、數字認證、安全標準。數據加密主要有對稱加密算法DES和非對稱加密算法RSA。從理論上說，有些現行算法已經被數學家攻破，能夠在現有條件下解密，所以隨著計算機芯片速度的不斷提升，有些算法需要淘汰。

數字認證技術，包括數字簽名、數字證書、生物特征識別等，正面很難攻破。但是每一種技術都存在軟肋，通常這些認證證書的保管等是軟肋。

安全標準有SSL、SET。這些標準保證了交易的不可否認性，以及網絡傳輸數據的不可修改性。

客戶端的安全

終端用戶的安全是最脆弱的，攻破的成本也最低。主要問題有：

數字證書文件被病毒竊走。這種軟證書比硬證書的安全性低，存在硬盤和外設中，病毒可以將證書文件通過網絡傳給主人。數字證書的弱點在于證書的保管，如硬件證書被挪用，軟證書被復制。

網銀密碼被木馬程序竊走。網銀大盜病毒可以竊取客戶在鍵盤上輸入的賬號和密碼，并通過郵件發給病毒的主人。英國最近破獲的金額達2.2億英鎊的國際大案，就是黑客知道客戶的賬號和密碼后，轉出客戶資金。對付這類病毒的方法除殺毒、系統打補丁外，可以采用軟鍵盤，即在屏幕上出現鍵盤界面，用鼠標點擊屏幕上的相應鍵符來代替手工鍵盤輸入。用這種方法，病毒無法捕捉鍵盤輸入信息。

信用卡賬戶和密碼被竊取。現在信用卡采用的是磁條技術，極易仿造。由于信用卡都是標準化的，其磁條信息的格式是已知的。如果知道了卡號，就可以使用專用的寫卡器，寫入卡號，偽造出一張信用卡。知道了密碼，該信用卡可以在取款機上取款。要想從根本上解決這個問題，只有采用更新的EMV2000技術。這是一種多操作系統的IC卡技術，攜帶不可復制的加密區，保證IC卡的不可復制。但是，從目前的磁條信用卡標準向EMV2000智能卡標準過渡，成本很高。盡管我國監管機構積極推進信用卡向EMV2000標準遷移，但實際進展不大。

POS系統。如果設法通過客戶輸入密碼的操作來獲得客戶的密碼，則客戶資金就危險了。

客戶對賬號、密碼、證書的管理是網銀、手機銀行、ATM機、POS系統等薄弱之處，此外還有釣魚網站法，如騙子網站www.1cbc.com.cn，其頁面通常做得與實際網站www.icbc.com.cn的頁面幾乎完全相同，以欺騙信用卡客戶輸入用戶和密碼。他們的主要作案手法，是篡改公網上指向實際銀行的鏈接地址，指向釣魚網站地址；或者在BBS論壇等網頁空間設置釣餌，文字上看是某某銀行，實際鏈接地址卻是釣魚網站地址。由于釣魚網站域名與真實網址域名相似，沒有警惕性的人是注意不到這些細微差別的。客戶一旦受騙輸入賬戶和密碼，賬號和密碼就被竊取了。

客戶端的安全方面，銀行有義務教育、協助客戶保持賬號、密碼、證書的安全。建議建立反釣魚網站法律、組織、技術措施，動態跟蹤釣魚網站。客戶使用簡單但可靠的安全方法，如輸入網址、使用動態口令卡、取款短信提醒服務、支付的計算機綁定等。對于中小銀行的企業銀行業務來說，生物指紋識別是一種可靠的和使用簡單的方法。但這種方法對大銀行不適用，因為目前指紋識別的技術還不很成熟，采樣多，識別時間長。對于大銀行來說，幾億客戶量的指紋讀寫是系統繁重的負擔。

電子銀行安全不止包括技術安全，還包括信息安全。敏感數據被刪除、竊取、篡改、非法訪問，用戶身份被冒充，交易被抵賴，機密信息被公開等等，都是信息安全。我國還缺少對公開客戶信息方面的法律懲戒措施，如果與國際慣例接軌，則要頒布隱私保護法等相應法律。

風險防范對策

銀行轉變觀念，主動承擔起電子銀行各個環節的安全義務。以前我國銀行在客戶資金被盜問題上采取了拒絕賠償的立場，使銀行聲譽到影響。所以，銀行不能采取駝鳥政策，應該主動采取措施保證電子銀行的安全，而不能將責任全部推給終端客戶。

技術和管理并重。弱技術配強管理的電子銀行安全效果，與強技術配弱管理的安全效果是一樣的。銀行要通過強技術強管理的組合來保證電子銀行的安全。

所有小型機、大型機的登錄密碼，數據庫登錄密碼都要復雜得讓人記不住。可以采用雙人或多人復合密碼的形式，各人記一段，分段保密。但是也要避免密碼保管過于復雜，以免導致密碼遺失。要加強對密碼保管方式的研究，可以適用保密級別的方法。當然，再怎么保密，還得基于對人的信任。如果對所有人都不信任，那么密碼保管成本將相當高，使用起來也相當麻煩。

運行主機上的所有操作都要有可追蹤的記錄。無論是操作系統操作，還是數據庫操作，都要由系統自動記載。對于應用軟件的操作，在數據表中要有相應的操作記錄，供操作風險審計員使用。一旦發生重大問題，可以依靠這些記錄來確定責任人和責任原因。否則，責任無法定位的系統從根本上就不是安全的系統，是十分可怕的。

運行機雙人操作、版本升級管理、備份等的管理制度。運行機雙人操作，避免操作人因為情緒激動和僥幸原因而人為導致重大操作失誤。各銀行在版本升級管理方面是交了學費才總結出一套操作規程經驗的。備份有災備、備份數據中心、系統熱備份等不同級別的方法和措施。

不斷就最新的安全技術進行實驗使用，跟蹤國際電子銀行安全技術，參與國際交流。災備中心平時就是實驗中心，可以就最新的安全技術進行實驗性使用。銀行對于軟硬件的使用，偏好于穩定性好的技術系統，而不是技術最新的不穩定技術。銀行通常要等新技術通過其他實際部門一段時間有效使用后，才大規模地使用。新技術有入侵檢測技術、防火墻技術、加密技術、反病毒技術、數字認證技術、安全標準等等，銀行要加強對這些技術的弱點的研究和把握，以便分析電子銀行安全所處的態勢，并研究實際中發生的安全問題的原因，提出對策。矛與盾總是此消彼長，任何一門技術總有破解的新方法。同樣，新技術被破解之后，更新的技術又會出現，而且風險防范的技術也相應演化。對于安全態勢和技術的研究是目前我國銀行的弱點，需要建立相應的合作機制。銀行要獨立、自主地關注電子銀行的安全問題，而不能完全依賴第三方安全公司。銀行要在電子銀行的安全領域有所作為，有自主知識產權的產品和理念。

設置客戶端電子銀行安全保障崗位。銀行總行應有相應的崗位就目前客戶端的電子銀行的安全問題進行調查、分析，提出對策，并反饋、主導建立電子銀行客戶端安全保障機制。安全既是技術又是管理，可以通過強化技術來改善安全管理的預見性、可控性，在保證整體安全效果的情況下，降低安全管理的難度和風險。

備份和應急機制。在市場成熟技術條件下，投入越大，安全水平越高。但是，投入水平與安全水平并不成線性關系，而是非線性關系。當安全要求達到閥值時，市場上沒有相應的安全產品，此時需要進行研發，或者為了把安全水平提高一點，需要幾倍的投入。在一套系統的運行故障率是a的情況下，兩套系統熱備份運行時的故障概率是a2。工行要保障系統運行的正常率是99.99%，從概率學來說，若兩套系統同行運行，自動切換，一套系統的故障率就能容忍達到1%的較高故障水平。

正是由于高安全的高成本，銀行應該有計劃地加大對安全的研究性投入，包括安全產品、技術、標準的投入。從機會成本上說，這是劃算的。電子銀行應用的首要問題就是安全問題，銀行有義務在此領域保持領先地位。

絕對的安全是不存在的。所以，要建立應急機制。應急機制有技術應急和管理應急。筆者認為，沒有必要建立千年蟲那種級別的應急機制，成本太高，而可以建立中等級別的應急機制，比如說切換系統演練。對于異地備份系統來說，由于數據不同步，系統切換就面臨著無從考證的數據包丟失問題。這將使銀行面臨復雜的舉證責任。如果是客戶取錢沒有入賬，客戶可能不會主動找銀行退錢。但若是客戶的系統入賬沒有收到，而出賬已經劃賬的情形，客戶必然要求銀行核實并糾正錯誤。銀行可以考察賬戶的資金劃出流向，一般來說是可以追蹤的，通過橫向不同賬戶和縱向不同時間的對賬，可以發現賬戶的真實改變情形。一套運行系統，銀行基本上需要四套系統配套，本地備份一套，異地備份一套和異地的本地備份一套。這就是電子銀行安全的備份成本。

在銀證通、銀期通等系統中，常會出現單邊賬情況，如2007年第三方存管業務的高峰期時，銀行系統無法滿足證券交易系統的大量交易和實時性要求，反復出現單邊賬情形，雙方日終對賬要對到午夜十二點，有時甚至到凌晨三四點。

制定標準與法律，加強監管。借鑒國外標準，修改完善現有電子銀行安全標準，包括安全建設、運行管理、安全組織設置等。企業的軟件開發、安全達標，以及監管機構的安全監管都依據此標準，以此提高電子金融的安全水平。我們要做以下方面的工作：完善信息安全的行業規范與法規；系統安全評估；信息系統戰略規劃；系統和網絡安全；業務持續性經營計劃；外包業務監控。不止安全標準，基礎標準、技術標準、管理標準、應用標準等都會對電子銀行的安全產生影響。頒布《電子銀行安全法》，以便對電子銀行安全的義務與權利認定、犯罪量刑等做出框架性的規定。業已生效的《電子合同法》、《電子簽名法》為電子銀行的發展奠定了基礎。加大對電子銀行犯罪的打擊力度，保護消費者的權益，將是電子銀行再一次爆發式增長的重要推動力。短期內，借鑒《薩班斯法案》加強對上市銀行的信息化監管。

利用ITIL進行信息技術基礎設施建設。作為銀行信息化的參考模型，可以指導包括網絡建設在內的銀行基礎技術設施升級改造。軟硬件方面的基礎性投入如存貯系統、入侵檢測系統、網絡管理監控系統等，是必要的，而多條專網則保證了穩定的帶寬。這些投入通常是很大的。對于那些中小銀行，可以探索外包方式。

加強對電子銀行開發、維護、呼叫中心、銀行業務、ATM運維等外包風險的管理，制定相應的外包風險控制程序，并加強對金融服務提供商的監管。對于銀行來說，要制定外包的邊界，核心數據、關鍵系統等不能外包，銀行必須保持對電子金融的控制力。這方面要加強行業經驗交流。不同銀行在外包管理中確實積累了一些經驗，如某銀行軟件開發堅持銀行開發人員與企業開發人員共同組成開發小組的模式，你中有我，我中有你，制約金融IT公司對電子金融項目的實際控制能力。由于一部分技術掌握在銀行員工手中，金融IT公司想把開發隊伍全部拉走，從而實現對產品的控制就變得不太現實了。經驗表明，如果電子金融產品由金融IT公司全部負責設計開發，則銀行必然處于被動地位。對外包的管理包括法律層面、技術層面和體制層面。銀行要與外包公司簽定保密協議，一旦發生泄密，金融IT公司要承擔法律后果。

（作者單位：首都經濟貿易大學）