淺析工商銀行網上銀行面臨的安全挑戰和應對措施

曹碩洋

【摘要】隨著網上銀行發展的不斷提高，網絡安全面臨的風險與挑戰也在加強。以工商銀行為例，闡述我國現階段網上銀行的發展現狀、面臨的安全挑戰及相應的保護措施，從而意識到網上銀行發展的快速性、危險性、及時性，對于安全挑戰刻不容緩。

【關鍵詞】工商銀行；網上銀行；網絡安全；應對措施；風險管理

一、工行網上銀行現狀

中國工商銀行網上銀行連續多年獲得“中國最佳個人網上銀行”的稱號，目前工行網銀客戶達到1.02億，成為國內首家擁有“億級”個人網上銀行客戶群的商業銀行，進一步確立了“中國第一電子銀行”的市場地位。工行電子銀行類產品總數達1085個，占全行產品總數的45.9%，成為國內同業產品功能最豐富的電子銀行。與此同時，龐大的客戶群、豐富的業務功能也使得工行網上銀行和其他大型電子商務網站一樣面臨著巨大挑戰。

二、工行網上銀行面臨的安全挑戰

網上銀行系統作為一種典型的互聯網應用，主要面臨應用及系統服務、網絡和用戶終端三個層面的安全挑戰。

（一）新技術和業務需求的迅猛發展給應用及系統服務安全帶來挑戰

以工行為例，目前個人網上銀行能夠為客戶提供賬戶管理、轉賬匯款、繳費站、個人理財等23類400多項服務。這些業務應用邏輯的需求實現需要考慮與多家銀行，多種電子商務支付平臺，工作量和工作難度都非一般互聯網應用能比。而網上銀行有別于傳統銀行業務，它通過在銀行后臺搭建一套成型的技術平臺，無需銀行人員介入而直接通過開放性的互聯網服務于最終用戶。

近年來，隨著信息技術的發展創新，黑客對系統漏洞的攻擊愈演愈烈，系統漏洞不斷曝光，大型商業網站后臺服務被入侵的案例時有發生。在商業銀行提供的網上銀行服務中，需要多種不同類型的后臺服務器作為技術支撐，通過定期檢測分析發現漏洞并及時補修，是網銀安全保障工作的關鍵環節。

（二）互聯網的開放性給網上銀行帶來挑戰

互聯網的成功得益于其開放性，而互聯網的最大安全難題也正是由于其開放性。當網銀用戶試圖訪問一個正確的網上銀行站點時，如何檢驗其身份的合法性；當用戶成功登錄網上銀行系統后，如何保障在開放的網絡環境下，用戶敏感信息的機密性、可用性和完整性；網絡防護體系如何保障在加固網銀安全性的同時不妨礙正常用戶的使用體驗，些都是擺在網上銀行系統維護者面前的挑戰。

一是傳統的網絡安全威脅愈演愈烈，二是新的網絡安全威脅層出不窮。在云計算如火如荼的今天，黑客已經步入云端，安全廠商預計，網絡犯罪借鑒“服務即安全”的理念，效仿企業對云計算的應用，利用云工具更有效率的部署遠程攻擊。在新技術應用上，黑客的腳步遠比想象的要快的多。緊密跟蹤安全動向，適時調整安全策略是工行網上銀行建設中必須面對的另一個問題。

三、工行網上銀行安全措施

工行歷來重視網上銀行所面臨的各種風險與挑戰，堅持通過推進各個領域的規范化、標準化管理，有針對性地部署信息安全技術措施?？审w現在如下幾方面。

（一）應用及系統服務安全

在應用及系統服務安全方面，工商銀行著力從系統、中間件、業務應用三個層面進行規范化管理和安全防護。

1.系統層面

首先，著力提升系統規范化水平，數據大集中為工商銀行信息系統的集約化、規范化和統一化奠定了基礎。經過十幾年的不懈努力，工行逐步將多平臺、多版本的系統進行規范和統一，化繁為簡，對系統環境進行規范化管理，增強了系統的可管理性和標準化。其次，建立動態系統漏洞管理體系。工行已經與多家安全組織、商業伙伴合作建立了長效的溝通機制，每月定期與合作伙伴溝通，及時獲取最新系統漏洞修復補丁和安全防護補丁。

2.中間件層面

第一，建立Web頁面發布系統，定時刷新頁面，防止頁面被篡改；第二開展例行化Web掃描，周期性覆蓋全部信息系統；第三組建專業信息安全技術團隊，對網站進行內部滲透性測試，并對安全漏洞進行全流程的跟蹤整改；第四每年定期聘請第三方公司進行外部滲透性測試和評估。

3.業務應用層面

業務應用邏輯是網銀系統的核心，工行一貫堅持自主開發的策略，強調在系統安全方面的自主可控性：①加強軟件開發的需求管理，從需求設計初期即進行安全需求分析。②建立全行統一的應用系統開發團隊，制定統一的開發規范。③建立成熟、完善的應用系統測試團隊，并將安全測試納入應用系統投產前的測試范疇。④建立全行統一的應用系統版本管理平臺，有效加強版本的生命周期管理。

（二）終端用戶安全

在終端系統層面，工行選擇了在主流平臺上搭配輕量級客戶端安全軟件（包括IE安全控件、小e安全檢測工具等）的策略，避免了終端多樣性帶來的安全問題。針對不同層級客戶的不同安全需求，推出了大量安全產品和服務，包括在客戶身份認證方面，對于對交易安全要求較高的用戶，率先推出了擁有專利技術的二代u盾，使用成熟的數字簽名算法和完善的PKI體系，通過在u盾屏幕上顯示交易要素信息并要求用戶確認，做到“所見即所簽”，保障客戶交易與自身真實意愿的一致性，提供最高強度的安全防護等。

除了以上安全認證介質外，工行網銀還提供了大量安全服務，包括手機短信認證、預留信息驗證、小e安全檢測工具、防釣魚安全控件、余額變動提醒、短信登錄提醒、計算機綁定等技術手段，工行還采取了多項業務措施控制安全風險，包括為不同安全級別的客戶設置不同的交易限額，在內管風控系統中對可疑的資金流動進行限制等；為了提高用戶的安全意識，工行在客戶柜面開戶、登錄網銀操作等各個環節以柜員口頭宣傳、發放宣傳冊、演示動畫、網站安全專題等多種方式加強客戶安全教育。

工商銀行網上銀行還處在穩步發展階段，業務通過分支機構輸的傳統模式正在改變。網上銀行已經成為中國工商銀行核心部分，是最為成功的商務之一，因此，應把握機會，合理地運用科技手段，不斷完善中國工商銀行網上銀行業務，建立全新的中國工商銀行。

參考文獻：

[1]張博.網絡銀行：發展-5監管[J].環渤海經濟了望，2006（4）

[2]胡奎張黎：網上銀行發展的法律思考[J].杭州商學院報，2007（1）

[3]梁瑤蘭：招商銀行網上銀行的成功案例與經驗[J].中國信用卡，2007（6）

[4]金暉：商業銀行個人理財業務現狀[J].中國金融，2006（4）

[5]董德民：移動銀行網上銀行新業務[J].浙江金融，2007（4）