信息安全——金融行业面临的挑战

　　全球的银行都面临着越来越大的压力，它们要建立并保持适当的内部控制，保护数据的秘密性，量化经营风险，并提高其报告和存储信息的能力。中国金融行业也是如此，但是又有自己的特点。全国各地的银行，都在做数据的集中化管理和实时处理。那么怎样保证信息的安全?这是中国金融行业目前面临的一个比较大的挑战。

　　现在，越来越多的金融企业都在把自己的业务网络化，例如开展网上银行业务，网上证券的买卖交易等。这种网络化业务需要银行采取很好的措施来控制，以确保用户网上交易的安全。另外，银行的ATM系统正承担着越来越大的业务量，但他们缺乏安全手段来保护，目前银行在ATM方面的防护也都是很弱的。

　　银行都在积极开发各种新的业务。业务部门提出需求，IT部门就要做各种相应的技术开发工作，IT部门每天面对的压力是很大的。IT部门总在研究需要在多长时间才能够使这个新业务上线，但上线之后的安全问题是不是也都考虑进去了?恐怕有时候就考虑得不太全面，可能会留下安全隐患。

　　金融行业的特点和所面临的安全威胁

　　金融行业有其独特的地方，那就是不管提供的是新业务，还是旧业务，不管是柜台业务，还是电子银行业务，归根结底它最终涉及的都是钱的流动。

　　一涉及到钱的问题，就要面临很多危险，包括个人用户和金融行业自身。以往黑客和病毒去攻击一个对象，不管是企业还是客户，许多情况下是为了出名，损人而不利己。但是现在很多攻击的目的，就是为了钱，因而也更有组织性。以盈利为目的的网络攻击，更多的是针对像电子商务、在线交易、电子银行等这些与网络有关的商业性业务。其中下面几类影响较大。

　　第一类是银行自身的信息安全问题。商业银行所做的数据集中业务，就是把用户的数据进行集中存储，进行统一的集中管理。当银行在把数据业务进行集中管理时，确保这些信息的安全，对银行的用户和银行自身都很关键。

　　第二类安全问题是网上欺诈。从2005年的1月份到现在，几乎每个月都会出现欺诈网站的报道。其实这种网上欺诈的攻击，从技术角度来看非常简单，它不像黑客的攻击那么复杂，但它非常有效，影响力也非常大。在2005年4月间的两周时间里，据报道有831个假的银行网站出现。如果用户不小心访问了这样的银行网站，并且向这个网站提供了自己的账号密码，那用户账号里的钱可能会在几分钟之内就被窃取。这些假的网站从何处来?美国是最多的，中国(包括台湾和香港)排在第二，然后是韩国。去年，网上欺诈的行为造成的损失是20亿美元，前年大约是12亿美元。

　　第三类安全问题是网络钓鱼，网络钓鱼基本上有两种方式，一种通过电话，另一种通过电子邮件。现在电话的方式比较少，90%的网络钓鱼都是通过发送电子邮件进行的。这种电子邮件是冒充某一个金融机构的名义，给你发送电子邮件，而且这种电子邮件会大量发送，用户收到后，如果一不小心点击到邮件里面的某一个链接，或者是执行了邮件里的某一个步骤，你的账号和密码就可能泄露，网络钓鱼就是通过这种方式窃取用户的金钱。

　　网络钓鱼从技术上来讲很简单，但它的影响力非常大。我们怎么防范呢?这是一个比较困难的问题。因为这种电子邮件基本上没有特别的标志，它是一个非常普通的电子邮件，因而不能用一些专门的防病毒的软件把它挡住。而且它的发送量很大，它有可能发送给世界上所有只要有电子邮箱的人。所以，这种针对银行用户和个人用户的网上欺诈，需要引起人们的特别关注。

　　第四类安全问题就是银行的ATM机。即使银行的ATM从技术上讲本身是安全的，但如果黑客控制了这一台ATM机，当用户拿着银行卡去ATM取钱时，包括密码和账户等交易信息都会被黑客记录，然后自动送到黑客指定某一个地方。这种攻击对用户来讲是非常致命的。

　　从目前的情况来看，ATM对网络攻击的防护尚不能称为坚强。几乎所有的银行对ATM网络攻击所采取的安全措施就是隔离，ATM系统用的是专用网络，与其他业务和办公网络隔离，这样能保证ATM业务系统相对比较干净。但ATM毕竟是要连接到网络上进行交易，还要连到ATM的后台进行数据的交换和处理，这就带来很多的安全隐患。ATM机本身是一个操作系统，里面安装了一台微机，既然有操作系统，所以它也是会有漏洞的。例如在去年，有一些ATM机感染了病毒，当时在北京大概有五六家银行的ATM机受到影响。以上这四类安全问题，只要有一类被黑客利用了，银行都会受到很大的负面影响。

　　应对银行安全建立弹性防护体系

　　那么如何去防范银行的这类安全问题呢?我们认为，金融行业需要建立主动安全防范体系，建立弹性的企业基础架构。

　　银行的业务是建立在客户信任的基础上。市场压力、法律法规、行业规则，以及包括黑客入侵在内的互联网威胁等等，所有这些因素都迫使银行不得不改进其技术基础架构，使其更具响应能力、更经济高效并且更安全。信息安全的重要性正与日俱增。信息及银行控制信息系统的完整性，是确保银行与客户间关系完整的基石。对于当今银行业面临的关键业务挑战的需求，银行客户需要建立弹性的企业基础架构，通过建立和维护弹性基础型架构，就可以利用各种专门技术来抵御攻击，同时维护业务的连续性。(作者为赛门铁克中国区金融行业总监)