在線支付遇安全殺手 最終用戶成攻擊薄弱點

申請免費試用、咨詢電話：400-8352-114

文章來源：泛普軟件 6月份，由于一家第三方支付數據處理公司的安全缺陷，使得約4000萬張各種品牌信用卡的資料被泄露。據美國市場調研廠商加特納在對美國的5000名消費者進行的調查顯示，3/4 的在線購物者對于在線商務更小心，還有1/3 的人由于安全擔憂，將減少在線購物。   此次事故波及到了近9000名國內信用卡用戶，雖然并沒有給這些國內用戶帶來太大的直接經濟損失，但是對于本來就對網上銀行、電子支付持懷疑和觀望態(tài)度的中國用戶來說，這一消息無疑加深了他們的疑慮。   這次事件被稱為有史以來最大的隱私泄露案，甚至被認為能夠進入《世界吉尼斯記錄大全》，雖然事件的發(fā)生影響了用戶對電子商務的熱情，不過實際上這類事件發(fā)生的幾率并不像人們擔憂得那么頻繁。安全專家認為，相反，對于個人金融用戶來說，更大的危險可能就在自己身邊，就在已經融入大多數人工作和生活的電子郵件中，就在看似熟悉的互聯網網頁上。   趨勢科技公司的技術客戶經理鄭敏支持這一看法，相對于金融企業(yè)對病毒、黑客的攻擊防護體系而言，針對個人用戶的病毒、網絡釣魚、木馬等安全隱患的防護體系更為薄弱。   最終用戶才是攻擊薄弱點   據市場研究公司Gartner 的調研顯示，從2004年5 月。2005年5 月的一年中，收到過釣魚式攻擊的垃圾郵件的消費者數量較上年增長了28%. 有240 萬在線消費者稱他們直接因釣魚式欺詐攻擊而受到了經濟損失。   賽門鐵克中國區(qū)金融行業(yè)總監(jiān)王笑丹，用賽門鐵克在2005年3 月公布的《互聯網安全威脅報告》中的一組數據證實了這一點。報告顯示， 2004年后半年，網頁仿冒欺騙攻擊的數量每周都平穩(wěn)增長。2004年7 月1 日到12月31日，賽門鐵克檢測到1.031 萬次網頁仿冒欺騙攻擊，平均每周將近400 次。王笑丹認為，網頁仿冒欺騙明年仍將是非常嚴重的一個問題……。   McAfee北亞區(qū)技術總監(jiān)陳聯認為，越來越多的漏洞和攻擊是針對金融系統(tǒng)的，這其中用戶終端出現問題的可能性在增大。   從相應的攻擊手段來看，病毒的威脅相對在下降，而間諜軟件變得愈發(fā)聰明、可怕，它們通過仿冒支付網頁或者提示信息等獲取用戶保密的金融信息。而國際性的網頁假冒，跨國的間諜軟件的攻擊，由于時差和語言障礙增加了迅速解決這些問題的復雜度。   在線業(yè)務信任度下降   金融企業(yè)，特別是銀行業(yè)，一直希望依靠互聯網降低成本和提高營銷效果。但如果消費者對電子支付的信任度持續(xù)下滑，企業(yè)就無法達到這樣的效果，而且會對合法的在線銀行業(yè)務和交易產生一系列不利的影響。   加特納調查顯示，約30% 的在線銀行服務用戶表示，數字攻擊已影響到了他們對在線銀行服務的使用。近70% 的用戶已安裝了額外的安全軟件，54% 的人放棄了特價優(yōu)待。   在我國，金融企業(yè)基本都采用了物理隔離的方式，將內部數據與互聯網分離，目前尚沒有大規(guī)模的用戶數據泄露情況的發(fā)生，但是國際頻頻出現的金融安全危機卻對我國具有巨大市場潛力的在線業(yè)務用戶的影響非常他介紹說，目前工商銀行推出了USBKey服務以確保網絡安全。   USBKey是一種硬件加密系統(tǒng)，就像一把網絡鑰匙。用戶在網上銀行進行交易，除需密碼外，必須在USB 接口上插入USBKey，確認后方可實現操作，相對于“赤裸裸”的密碼，隨身攜帶的USBKey等于給網絡交易上了第二把鎖。   崔彥剛處長也已經為網上銀行業(yè)務的開通，做了大半年的準備工作。相對于大型的全國性銀行，銀川商業(yè)銀行的資金不夠充足。如何確保網上銀行的安全？   在整個項目中安全投入的比例應大。王笑丹認為這些威脅影響包括使品牌資產受損、喪失消費者的信任和對品牌的忠誠，相關機構還要為減小這種欺騙行為造成的影響而付出巨大成本。   銀川商業(yè)銀行科技處處長崔彥剛在接受記者采訪時表示，萬事達事件的出現，讓銀行業(yè)警醒。以前提到信息安全似乎更多的是網絡安全，是依靠防火墻等安全產品來提供技術保障。而現在看來，防止信息失密的管理安全策略才是最重要的保障依據。   而趨勢科技鄭敏認為，銀行除了要完善自己的安全策略外，還應該采取一系列措施提升消費者的信任度，重要的一點就是要幫助消費者增強對各種網絡攻擊的免疫力。   多方參保網上支付   長期專業(yè)從事電子支付的網銀在線最近正在跟國內一家做安全身份認證的廠商洽談，希望把CA認證搬到電子支付平臺上。   其執(zhí)行總裁趙國棟介紹說，電子簽名(CA)是國際公認的安全的身份識別技術。而我國《電子簽名法》的頒布使得數字證書的方式更加普及。目前國際上用得比較多的方式是VISA 3D 認證，就是由發(fā)卡行、收單行和國際信用卡組織(第三方)，對持卡人身份的檢驗工作，以降低冒用盜刷的風險，維護網路交易的安全。   然而中國工商銀行總行信息科技部處長蔣衛(wèi)華卻認為，CA認證只是安全防范的一種方式。該占到多少為宜？這些問題時刻困擾著崔彥剛。為此他希望透過媒體提出一個建議，就是希望通過中國銀聯為多家中小銀行建立一個統(tǒng)一的安全平臺，在個人用戶進入各銀行進行網上支付之前多把一道關。他說，這可整合中小銀行的資金，滿足共同的安全需求，既能夠減少重復建設，又能夠加大安全投入力度。   安全支付環(huán)境仍有待完善   保障金融信息安全的基礎還是金融企業(yè)內部的安全環(huán)境。   McAfee的陳聯在接受采訪過程中，一再強調“安全策略”在金融企業(yè)保證信息安全中的重要性。這其中不僅包括安全技術架構、數據管理、人員管理，還包括與合作伙伴的責權，以及針對安全問題的預警機制等。   銀川商業(yè)銀行剛剛完成了其內控體系建設項目的方案，并將在今年年底根據方案開始采購。內控體系包括應急方案，不同級別的風險有不同的應急方案；版本投產管理，以了解應用產品是否有漏洞等，這包括銀行自己開發(fā)和外來應用系統(tǒng)的管理；還有對操作者的管理，包括管理人員和所有的系統(tǒng)使用者。   崔彥剛今年另一個工作重點就是災難備份系統(tǒng)，他說，雖然災難備份剛剛起步，但是相應的應急預案要經過不斷的演練來修正其中的問題，才能真正保證順利實施。   中國建設銀行山東省分行信息中心總經理馬衛(wèi)東，就一再強調他們目前通過PDCA(計劃- 執(zhí)行- 監(jiān)察- 改進)過程管理方法，對每個流程進行識別和規(guī)范，逐步達到高質高效的管理水平。目前建行的網絡銀行是通過建行總行的三層防火墻進入，并采用了國際通用的加密令牌。   在安全與易用間尋找平衡   網上銀行頻頻的危機讓各家銀行收緊神經，并加大對銀行網絡安全工作的力度。但是種種安全措施的使用也給用戶帶來了很多不便。因此，網銀在線的趙國棟認為，網上業(yè)務應該在安全和易用之間找到一個平衡點。   網銀在線在參與網上支付的過程中感覺到，各大銀行應該有統(tǒng)一的網上操作平臺，這樣將使得用戶操作更加簡便。   崔彥剛在實踐中也逐漸感到，雖然CA中心的建設是重點，目前國內許多銀行都已運行CA中心，人民銀行也已建立了CA中心，但是這些CA 中心將來如何整合，包括對公和對私的客戶管理手段方面的差異性管理將是一個潛在的問題。未來客戶是否會因為要獲得各銀行的服務而需要不同的證書，從而增加了操作的復雜度？   目前大多數銀行信息安全方面的投入占整體信息化投入的10%。15%，但是由于安全效果并不容易評估，因此包括崔彥剛在內的大多數銀行信息化負責人對網絡安全投入應該占總體的比例非常困惑。有專家認為集中式的數據處理中心的建設，能解決權限控制不利而導致的安全隱患。   避免了有些地市分行，存在一個人管理各種系統(tǒng)，通曉全部密碼的現象，潛在隱患很多，非常容易出現內部作案的情況。但是數據集中也不是萬事大吉，數據的大集中無疑增加了銀行管理的風險。蔣衛(wèi)華處長說，中國工商銀行采取了實時災難備份的方式，而且大集中的數英銀行尋打擊網絡欺詐依據努力建立一套確保網上用戶身份的方法據與互聯網物理隔離同時應用。   即使銀行開始大面積加強自己的信息安全防護意識和防護體系，安全廠商們仍然建議，相關機構對用戶個人數據的傳輸需要進行加密，這樣即使信息被竊取也能保證用戶的安全。關于如何保證金融安全的討論仍在繼續(xù)，作為普通用戶，您所能做的就是——小心、再小心。   來源：ZDNet China