“如果銀行不改變,我們就改變銀行”。2012年,阿里巴巴集團董事長馬雲幾年前講的這句話突然在網際網路廣泛流傳。緊接著,阿里巴巴推出“餘額寶”,“阿里小貸”等業務,讓中國的銀行業經歷了一次不大不小的地震。而騰訊、百度、新浪等網際網路巨頭緊追其後,先後推出了自己的金融業務,更讓中國的銀行業感受到從所未有的衝擊與壓力。
很多銀行紛紛開始做出行動,建設銀行推出“善融商務”平臺,招商銀行推出“微信銀行”,光大銀行推出“融e貸”線上實時貸款服務……,中國的銀行似乎真的開始
“改變”了。縱觀這些改變,都圍繞著“網際網路”和“金融”兩大主題,說明網際網路技術的發展已經逐漸滲透到銀行的各項主營業務,併產生一系列深刻的影響。網上銀行作為銀行網際網路業務的主要渠道和入口,被提到了前所未有的戰略高度。
另一方面,網際網路的威脅也在迅速的發展,龐大的黑色產業鏈,掌握精湛滲透技術的黑客、複雜高明的病毒木馬以及無所不在的釣魚網站和欺詐,都對網上銀行的安全提出了挑戰。而年初的斯諾登
“稜鏡門事件”更為國人的資訊保安意識敲響警鐘。
面對複雜的網路環境,各大銀行網上銀行的安全建設水平怎樣?監管政策的符合程度如何?
這些安全防禦系統在資深的安全專家面前,是牢靠如傳說中“宙斯盾”,還是根本脆弱的不堪一擊?
這些問題,無論是網銀使用者還是網上銀行的管理者都非常迫切的想知道答案。
2013年初,綠盟科技的安全專家們根據2012年末標準普爾釋出的《中國50大銀行》報告,對這50大銀行的個人網上銀行登入進行了調查、分析和深入研究,並於近期釋出了《個人網上銀行登入安全研究報告》。報告站在個人使用者,滲透專家,監管機構以及安全架構專家幾個不同視角,對當前中國50大銀行的網上銀行登入安全給出了一個較為全面的比較,分析和評判。
個人使用者:安全措施日益多樣,且細節豐富
安全會話、身份鑑別、輸入保護、驗證碼、失敗處理、瀏覽器功能遮蔽、預留資訊、登入提醒及限制策略……,從使用者角度看,網上銀行的安全防護策略真的是層出不窮,讓人眼花繚亂。彷佛對於銀行機構來講策略越多就越安全。
但對中國50大銀行網上銀行登入安全策略進行研究後發現了新的觀點,例如:驗證碼是登入過程中負面體驗、預留資訊的安全作用並不明顯、與登入限制相關的策略雖然百花齊放,但效果並不很好等等,這些觀點都可以為銀行網上銀行安全策略的調整提供參考。
1. 攻與防:解決突出的五大威脅是保障網上銀行登入安全的關鍵
從滲透專家的視角來看:網路釣魚、惡意程式碼攻擊、暴力破解密碼、登入的惡意濫用及使用者身份假冒仍然是目前網上銀行登入的五大威脅。而對抗這些威脅,銀行所採取的措施起到了明顯的作用,但登入的惡意濫用和使用者身份假冒依然讓人頭疼,無法有效解決。
2. 監管機構:合規不是終點,而是起點,不要輸在起跑線上
2012年,中國人民銀行陸續下發紅標頭檔案提醒銀行機構注意提升資訊保安,並將《網上銀行資訊保安通用規範》再次修訂併發布,銀監會也陸續做出一系列的行動,監管機構的良苦用心可見一斑。而從安全的防護角度來講,合規是最基本的驅動力,滿足法規的要求也是資訊保安建設的基礎。然而通過對50大銀行機構的調查發現,從網路通訊、安全控制元件和軟鍵盤三個方面,銀行機構的資訊保安建設都不容樂觀,尚有較大的提升空間。合規不是終點而是起點,似乎銀行機構們還沒有為網際網路金融業務的起跑做好充分的準備。
雨林木風xp系統下載2013最新版下載 dgjlf.cn/
3. 侷限性:技術也有不足,得失都要自己承擔
最後,綠盟科技的安全顧問指出,每一項安全技術都有不足和侷限,如何使用多種不同的安全技術相互彌補,達到最佳的防禦效果是網上銀行安全防護的難題。畢竟,銀行機構要為網上銀行安全的結果負責,而不是其中的過程。
報告從四個不同的視角對網上銀行登入的安全進行重新審視,希望可以為建設較為完善的銀行機構提供一點啟發,找到進一步提升網上銀行登入安全的思路或靈感。為安全建設尚不完善的機構明晰不足,對其後續網上銀行資訊建設提供一些建議。正如綠盟科技資深安全顧問白雷所講:
“資訊保安的實踐告訴我們一個事實,沒有100%的安全,網上銀行的安全也同樣如此,因此建議各網上銀行應當提高網銀自身的抗打擊能力,最大限度的提高攻擊的成本和實施攻擊的難度,對網銀客戶端應當綜合採取防護、管理、控制與稽核等多層次、協調一致的安全措施”。
網上銀行的安全之路漫長修遠,而綠盟科技將與銀行同仁們一起努力,在提升網上銀行登入安全的路上不斷探索發現,共同捍衛網銀使用者的資金安全。