“這U盾安裝證書怎么還下載不了呀？在家操作好多次了，你又讓我在你們銀行的電腦上操作了三次，怎么還不行呀？心都凌亂掉了，這網(wǎng)上銀行（以下簡稱：網(wǎng)銀）安全嗎？我輸了若干次密碼了，都擔(dān)心上了釣魚網(wǎng)站了，我卡里的錢不會被轉(zhuǎn)走吧？”中國工商銀行柜臺前一位女士焦急地問著銀行工作人員，這讓旁邊窗口辦業(yè)務(wù)的《經(jīng)濟(jì)》記者也不由地問上一句：銀行信息安全嗎？

電腦與互聯(lián)網(wǎng)應(yīng)用在我國普及雖然很快，但這只限于會用，真正懂的還只有少數(shù)專業(yè)人士。近期的“棱鏡”事件，讓網(wǎng)絡(luò)與信息安全成為了世界焦點(diǎn)，同時(shí)也推波助瀾地喚起了人們對銀行信息安全的擔(dān)心。2012年，美國一份保安報(bào)告顯示，全球60家銀行連遭網(wǎng)絡(luò)攻擊，至少損失8000萬美元。在最近發(fā)生的一系列典型網(wǎng)絡(luò)犯罪事件中，90%以上集中在銀行和保險(xiǎn)領(lǐng)域，這不能不引起人們的恐慌，以致于在全球范圍內(nèi)，逐漸蔓延出一種“網(wǎng)絡(luò)銀行不安全”的悲觀情緒。

我國銀行信息有些不安全

“目前我國網(wǎng)絡(luò)安全狀況繼續(xù)保持平穩(wěn)狀態(tài)，未發(fā)生造成大范圍影響的重大網(wǎng)絡(luò)安全事件，包括銀行等金融機(jī)構(gòu)?！?國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心的研究員告訴記者。同時(shí)，他也提醒企業(yè)與網(wǎng)民們，黑客活動日趨頻繁，網(wǎng)站后門、網(wǎng)絡(luò)釣魚、移動網(wǎng)絡(luò)惡意程序、拒絕服務(wù)攻擊事件呈大幅增長態(tài)勢，阻礙行業(yè)健康發(fā)展；針對特定目標(biāo)的有組織高級可持續(xù)攻擊（APT攻擊）日漸增多，國家、企業(yè)的網(wǎng)絡(luò)信息系統(tǒng)安全面臨嚴(yán)峻挑戰(zhàn)，特別是金融機(jī)構(gòu)，容易成為謀求發(fā)財(cái)黑客們的目標(biāo)。

近期，據(jù)國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心發(fā)布的2012年網(wǎng)絡(luò)安全報(bào)告顯示， 2012年，我國境內(nèi)（我國海關(guān)關(guān)境以內(nèi)）被篡改網(wǎng)站數(shù)量為16388個(gè)，發(fā)現(xiàn)針對我國境內(nèi)網(wǎng)站的釣魚頁面22308個(gè)，涉及IP地址2576 個(gè)。從釣魚站點(diǎn)使用域名的頂級域分布來看，以.COM最多，占36.5%，其次是.TK 和.CC，分別占20.6%和9.5%；接收到網(wǎng)絡(luò)釣魚類事件舉報(bào)9463起，較2011年大幅增長73.3%，約占總接收事件數(shù)量的一半（49.5%）。這些釣魚網(wǎng)站中，仿冒中國工商銀行等網(wǎng)上銀行的約占54.8%。國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心的研究人員告訴記者，“從報(bào)告顯示來看，現(xiàn)在與以往通過明顯篡改網(wǎng)頁內(nèi)容以表達(dá)訴求或炫耀技術(shù)不同的是，黑客更傾向于通過隱蔽的、危害更大的后門程序，獲得經(jīng)濟(jì)利益和竊取網(wǎng)站內(nèi)存儲的信息。目前，網(wǎng)站被植入后門等隱蔽性攻擊事件呈增長態(tài)勢，網(wǎng)站用戶信息成為黑客竊取的重點(diǎn)?！彼€告訴記者，“釣魚網(wǎng)站的主要目的是騙取用戶的銀行賬號、密碼等網(wǎng)上交易所需信息。2012年，僅CNCERT/CC監(jiān)測發(fā)現(xiàn)被黑客騙取的用戶銀行卡信息就達(dá)1.8萬條，這些信息失竊很可能會給用戶帶來巨額財(cái)產(chǎn)安全。”

而在2012年年底，明朝萬達(dá)根據(jù)事件的影響性評選出的“2012年十大信息泄密事件”中，電商銀行也是最多的。

對于記者質(zhì)疑銀行網(wǎng)絡(luò)信息安全的問題，民生銀行一位金融總監(jiān)王先生（化名）直截了當(dāng)?shù)卣f：“我一直都認(rèn)為銀行網(wǎng)絡(luò)不安全，將來會出大問題的，”但同時(shí)他還強(qiáng)調(diào)，“目前，銀行是安全的，中國黑客整體技術(shù)水平不高，暫時(shí)還未能對銀行造成威脅?？墒?，他們會對不懂網(wǎng)絡(luò)的普通民眾下手，請市民與企業(yè)在使用網(wǎng)銀轉(zhuǎn)賬匯款時(shí)小心，因?yàn)檫@些例子已經(jīng)很多了。”

使用網(wǎng)銀需小心

隨著網(wǎng)絡(luò)應(yīng)用的發(fā)展，很多人都喜歡在網(wǎng)上辦事。網(wǎng)上銀行因其不受時(shí)間、空間限制，能夠在任何時(shí)間、任何地點(diǎn)以多種方式給客戶提供金融服務(wù)，受到越來越多人的青睞。但網(wǎng)銀是一把“雙刃劍”，在給用戶帶來巨大方便的同時(shí)，也不可避免地潛藏著一定的風(fēng)險(xiǎn)。

據(jù)媒體報(bào)道，今年2月，在北京工作的鋃先生因?yàn)椴洹懊赓M(fèi)WiFi”登錄網(wǎng)銀，導(dǎo)致銀行卡被分17次轉(zhuǎn)賬或取現(xiàn)，共損失3.4萬元。鋃先生的錢是怎么被取走的呢？記者采訪了工商銀行的網(wǎng)絡(luò)技術(shù)人員，他告訴記者，“蹭網(wǎng)有風(fēng)險(xiǎn)的，有時(shí)候免費(fèi)WiFi是個(gè)陷阱，也就是大家所說的釣魚陷阱。其實(shí)釣魚WiFi信號都含有病毒軟件，可以記錄下用戶的操作記錄并破解。當(dāng)你連接上這個(gè)WiFi之后，病毒軟件就開始監(jiān)控你的操作。舉個(gè)例子，你用瀏覽器登錄郵箱，你的郵箱名和密碼就都被軟件記錄，并傳給黑客?！?/p>

鋃先生真是因小失大呀。在采訪過程中，工商銀行的客服人員提醒用戶，用網(wǎng)銀時(shí)，一定要看清網(wǎng)站來源及付款信息，還特別強(qiáng)調(diào)，一定要直接登錄銀行的官網(wǎng)，不要在百度或360等搜索引擎里搜。建設(shè)銀行的工作人員提醒用手機(jī)銀行的用戶，平時(shí)最好閉關(guān)WiFi自動連接。如長期保持打開狀態(tài)，手機(jī)在進(jìn)入有WiFi的區(qū)域后會自動掃描，并連接沒有密碼的網(wǎng)絡(luò)，大大增加誤連釣魚WiFi的幾率。

5月28日，360互聯(lián)網(wǎng)安全中心發(fā)布重大安全警報(bào)稱，“超級網(wǎng)銀”跨行賬戶管理功能已經(jīng)成為黑客惡意利用的目標(biāo)，近期全國連續(xù)出現(xiàn)多起各大銀行客戶被騙案例。這也是因?yàn)橛脩舭踩庾R薄弱引起的。

據(jù)悉，陳女士在網(wǎng)購衣服時(shí)，被騙子誘導(dǎo)進(jìn)行了“超級網(wǎng)銀”授權(quán)支付操作，短短24秒內(nèi)，銀行賬戶中10萬元就被洗劫一空。工商銀行的網(wǎng)絡(luò)技術(shù)人員講，“超級網(wǎng)銀”是標(biāo)準(zhǔn)化跨銀行網(wǎng)上金融服務(wù)產(chǎn)品，能夠方便用戶實(shí)時(shí)跨行管理不同的銀行賬戶。通俗地說，就是可以用一個(gè)網(wǎng)銀賬戶，實(shí)現(xiàn)多張銀行卡的跨行查詢和轉(zhuǎn)賬，國內(nèi)絕大多數(shù)銀行均默認(rèn)支持該項(xiàng)功能。然而不法分子惡意利用“超級網(wǎng)銀”，通過欺詐手段獲取他人銀行賬戶的授權(quán)，就可以將對方賬戶余額全部偷走。

這種事情很多，據(jù)卡巴斯基中國區(qū)技術(shù)總監(jiān)陳羽興介紹：“今年上半年的時(shí)候卡巴斯基就協(xié)助公安調(diào)查了一起資金被盜案件，對方自稱是檢察院，要求受害者上網(wǎng)驗(yàn)證信息而被引導(dǎo)到釣魚網(wǎng)站上，最后機(jī)器被遠(yuǎn)程控制導(dǎo)致賬戶里的資金全部被轉(zhuǎn)走?！?/p>

對于對網(wǎng)絡(luò)都不甚了解的網(wǎng)民來說，黑客真是防不勝防呀！陳羽興建議個(gè)人用戶，首先要做到的是，不要在網(wǎng)吧、共用的機(jī)器上登錄銀行帳號；在自己的機(jī)器里裝專業(yè)的防惡意程序軟件；把經(jīng)常使用的銀行網(wǎng)址記在瀏覽器里，避免由于記錯(cuò)網(wǎng)址或者打錯(cuò)網(wǎng)址或者用搜索引擎搜索的時(shí)候不小心點(diǎn)到釣魚網(wǎng)站而導(dǎo)致泄露或者損失。另外在任何人或者機(jī)構(gòu)給你打電話自稱是銀行、公安、檢察院等要求你登錄網(wǎng)上銀行或者政府部門的網(wǎng)站查看或者轉(zhuǎn)帳的都不要理會而且要及時(shí)報(bào)案。

提高標(biāo)準(zhǔn)很重要

金融機(jī)構(gòu)的專業(yè)人員相對于普通網(wǎng)民來說要專業(yè)得多，在防黑客方面做得怎樣？工商銀行客服經(jīng)理介紹說，因網(wǎng)上銀行、支付寶等金融類網(wǎng)站和手機(jī)客戶端信息經(jīng)過了層層加密，破解的難度大，只要使用銀行發(fā)布的官方網(wǎng)站或者銀行官方手機(jī)客戶端，不管是WiFi、2G還是3G網(wǎng)絡(luò)，都不可能被人盜走賬戶信息。

陳羽興說，銀行經(jīng)過多年的網(wǎng)絡(luò)建設(shè)，已經(jīng)形成一套防護(hù)體系。但是，有兩個(gè)方面容易成為整個(gè)防護(hù)體系的短木板。第一是新興系統(tǒng)的加入，比如虛擬化系統(tǒng)/云計(jì)算系統(tǒng)，這些系統(tǒng)的防護(hù)解決方案整體還比較薄弱。另一方面是不同網(wǎng)絡(luò)間的數(shù)據(jù)交換，比如生產(chǎn)網(wǎng)絡(luò)和辦公網(wǎng)絡(luò)是物理隔離的；銀行需要定期跟其他銀行比如人民銀行之間交換數(shù)據(jù)；有部分合作伙伴或者業(yè)務(wù)單位需要上傳一些文檔等，這些在線和離線數(shù)據(jù)如何交換、如何實(shí)時(shí)檢測以防止病毒交叉感染、數(shù)據(jù)丟失和防篡改等都面臨一些問題。

“如果國家信息安全委員會不提高驗(yàn)收標(biāo)準(zhǔn)，銀行不加大技術(shù)投入力度，將來的事情不敢預(yù)想，會很可怕的?！泵裆y行的王先生說，“目前銀行驗(yàn)收標(biāo)準(zhǔn)太低，應(yīng)該提高標(biāo)準(zhǔn)。但提高標(biāo)準(zhǔn)是要投很多錢的，如果國家不要求，銀行在感覺自己信息安全方面還可以的情況下，是不愿意多花很多錢去做技術(shù)升級改造。因?yàn)槟壳般y行在中國的信息安全技術(shù)算高的，黑客技術(shù)水平相對較低，攻不破銀行系統(tǒng)的密碼，所以中國在銀行偷錢的事還沒有。建議相關(guān)政府部門未雨綢繆不要亡羊補(bǔ)牢?！?/p>

中國人民銀行消費(fèi)者保護(hù)局局長焦瑾璞表示，網(wǎng)絡(luò)金融作為新興的金融模式，現(xiàn)有的金融監(jiān)管體系尚無法完全覆蓋，存在一定的監(jiān)管缺位，因此必須盡快明確相應(yīng)的監(jiān)管部門和監(jiān)管職責(zé)，既能充分包容創(chuàng)新又能確保監(jiān)管到位。

中國科學(xué)院信息安全國家重點(diǎn)實(shí)驗(yàn)室教授、北京知識安全工程中心主任呂述望建議金融行業(yè)不要接入因特網(wǎng)，要建立中國金融行業(yè)的專業(yè)網(wǎng)。還有一部分網(wǎng)絡(luò)安全專家呼吁有關(guān)方面，進(jìn)一步加大自主研發(fā)的網(wǎng)址衛(wèi)士等國產(chǎn)服務(wù)器證書產(chǎn)品的扶持和推廣力度，加強(qiáng)中國網(wǎng)絡(luò)安全保障的自主權(quán)，構(gòu)筑中國網(wǎng)絡(luò)金融業(yè)務(wù)防火墻。

采訪手記：

時(shí)下，斯諾登不僅是國家層面的新聞事件，也是時(shí)下最熱門的談資，因此，在不記名采訪中，大家談得淋漓盡致。

通過采訪總結(jié)出專家們的觀點(diǎn)，他們認(rèn)為加強(qiáng)銀行的網(wǎng)絡(luò)安全：一是從銀行防范。建立嚴(yán)密的安全體系，保證網(wǎng)絡(luò)銀行的安全運(yùn)行。為防止交易服務(wù)器受攻擊，銀行應(yīng)采取隔離相關(guān)網(wǎng)絡(luò)、高安全級的Web應(yīng)用服務(wù)及實(shí)施全天候的安全監(jiān)控等技術(shù)措施；二是從客戶防范?？蛻舻陌踩庾R是影響網(wǎng)絡(luò)銀行安全性的重要因素。客戶要防止自己網(wǎng)絡(luò)銀行賬號及密碼流失，上網(wǎng)時(shí)應(yīng)設(shè)置好電腦安全措施，不隨便點(diǎn)擊惡意網(wǎng)站；三是建立全國統(tǒng)一的認(rèn)證中心，充分發(fā)揮第三方認(rèn)證機(jī)構(gòu)中立、權(quán)威的作用；四是加快電子化應(yīng)用環(huán)境風(fēng)險(xiǎn)防范，如加大對計(jì)算機(jī)物理安全設(shè)施的投入和嚴(yán)格中心機(jī)房的管理制度等。

也有一位非業(yè)界專家提出的觀點(diǎn)，記者認(rèn)為很具特別性。他認(rèn)為，對于銀行信息安全，不能采用頭痛醫(yī)頭腳痛醫(yī)腳的診斷辦法，應(yīng)該從根拔起。他建議，應(yīng)推行電子貨幣，逐步取代紙幣。他說：“電子貨幣是一種可以追蹤的貨幣，犯罪分子盜竊銀行或者銀行用戶，最終都是以紙幣的形式消化掉，如果取消紙幣，他們沒辦法把盜來的錢花出去，那還偷盜銀行與銀行用戶的消息做什么?！睂τ谌绾稳∠蛳拗萍垘虐l(fā)行，他也有建議，“建議政府層非自然地推行電子貨幣，應(yīng)該從國家財(cái)政部或者中央銀行控制-減少紙幣發(fā)行，這樣做有別于西方國家由銀行和用戶自然減少紙幣使用的現(xiàn)象，我國應(yīng)直接跳過這個(gè)過程，由中央銀行及政府部門直接主導(dǎo)施行。”如何實(shí)施？“相關(guān)部門出臺紙幣稅，存紙幣有存紙幣稅，取時(shí)有取紙幣稅，如果是大額紙幣存取銀行可問紙幣來源，也可直接報(bào)警，”他略帶興奮地回答。

這種觀點(diǎn)記者也不知是否可行，但博采眾長，有些觀點(diǎn)記者有必要記錄下來與讀者分享。