网络银行的技术风险监管
一、网络银行技术风险概述
电子商务的发展推动和促进了网络银行的发展。网络银行系统是建立在计算机、通信和信息技术等这些高科技产品基础上的,这些高新技术是一把“双刃剑”,在带给人们快捷、方便的同时,也使自己处于“开放”的状态,这种“开放”状态意味着任何人可以以任何身份对它进行访问,如果遇到心怀不轨之人,那么网络的安全性将受到严峻的考验。而且,计算机、信息技术等都是日新月异地发展着,无论是硬件还是软件,都不可能是完美无缺的,都存在一定的薄弱环节,存在一些不安全的因素,在实际工作中,又存在各种管理漏洞,给网络黑客以可乘之机。所以从网络诞生的那一天起,网络的这种正义与邪恶的斗争就未曾停止。“道高一尺,魔高一丈”,在这里永远只是变数,而不是定数。网络银行同样面临着相同的问题,而且网络银行对安全性的要求比一般网络机构更高,这是由银行本身的经营性质所决定的。同时,网络银行的业务特点,也决定了其更容易受到网络黑客的攻击。网络银行是经营货币的特殊行业,网络银行系统是一个开放式的庞大系统,各类网络银行系统的数据传输,都伴随着资金的转移,必然是电脑犯罪的首要攻击目标,因为攻击网络银行具有成本低,收益高的特点;而银行业务转为计算机处理后,接触银行业务系统的人员,从银行的内部扩展到社会各界,这给银行的经营管理带来新的风险和各种新的问题;共享系统中频繁的数据流动,也给作案者窃取和篡改数据提供了条件,这些都是造成计算机作案的客观条件。货币商品的特殊性,引发金融犯罪日益增多,犯罪手段和种类日益多样化,给银行的资金安全、社会的信用秩序和人们的生活带来极大的危害,严重影响了金融秩序的稳定。
在网络上,货币的存在形式表现为电子化的数据,即我们通常所称的电子货币。电子货币的活动在网络上主要表现为数据的存储和传输,无论是存储还是传输,任何一个环节产生问题,都会影响数据的真实性和正确性,进而影响到电子货币活动的准确性,并造成难以估量的损失,1995年8月21日,设防严密的美国某银行网络系统,被黑客通过Internet入侵,损失高达1160万美元,为搞清楚原因并防患于未然,该银行不惜耗用上亿美元让入侵者讲述入侵的秘密和详细策略。根据美国官方统计,全美银行每年在网络上被偷窃的资金达6000万美元。美国安全第一网络银行开始营业后的前6个月,遭到网络黑客1.5万次的攻击。网络银行不仅容易遭到攻击,而且难以及时发现,据美国联邦调查局(FBI)推测,有85%~95%的计算机网络入侵事件没有被发现,FBI在1993年的犯罪调查分析表明,非法窃取资料的电脑犯罪案,有80%是通过计算机网络进行的。美国国防部1996年的测试结果显示,在过去6年的3.5万次电脑犯罪中,有2.3万次得手,平均150次入侵仅有1次被侦测到。1998年2~3月间的电脑黑客大闹美国五角大楼事件,使美国一所大学原子能实验室的计算机系统、美国国防部所在地五角大楼的4个海军系统和7个空军系统的电脑网页都遭到入侵,而且在美国国防部发现的情况下,黑客还能继续进行整整一周的“骚扰”,美国国防部特别办案组经过一个多月的调查才侦破此案。在我国境内发生的计算机高科技犯罪也层出不穷。由此可见,网络银行面临的主要问题和最棘手的问题就是网络交易的安全性。如何防止交易资金不被截取,交易资料不被盗取是网络银行正常开展业务的安全保证。
二、网络银行面临的主要技术风险
从技术层面分析,如何通过网络真实表达交易双方的意愿,就是如何确保数据的真实性、保密性和可靠性的问题。而网络本身的脆弱性和隐秘性又使得网络银行在处理安全问题时更加棘手。目前,网络银行所使用的多为Web访问这种形式。Web访问是Internet服务形式的一种,并且最具有生命力,但这种网络的应用操作系统、网络的应用程序和网络通讯系统所依赖的TCP/IP协议中存在一个又一个的安全漏洞,而且Internet上的主要服务,如电子邮件、文件传输、远程终端访问和命令执行、网络文件系统以及TCP/IP中的服务Echo、Netstat、Bootp、Udp、Tftp、Link、Nfs、XII等也都存在一定的安全隐患。
网络银行系统一旦被黑客攻击或被犯罪分子破坏,都将引起整个系统的震荡,而且瞬间波及到系统的每一个角落。所以,安全性在某种程度上说是网络银行的生命线,如果网络银行不能有效解决安全性问题,那将会给它带来致命的打击。
具体地讲,网络银行在技术层面面临的安全威胁主要有以下5种:(1)物理威胁。网络是虚拟的,但网络又是物理存在的。网络实实在在存在于服务器和众多的PC机以及连线中,这些服务器和PC机及其他通讯设施物理存在于现实生活中,我们可以用眼看到,用手触摸到它的存在。数据正是通过这些物理介质进行传输和储存。进行存储的介质,如硬盘、软盘和磁带也很容易遭受物理损失,如盗窃、损伤或者火灾等,损失的将不仅仅是这些设施,更严重的是存储在这些设施中的电子数据。(2)线缆连接。网络是通过大量的线缆将众多的服务器和PC机连接起来的。这些线缆包括网络电缆、光缆、无线传输等各种形式以及路由器等配套设施,这些设备工作时会产生电磁波或是占有一定的频道。如果检测到这些连线上的电磁波或是查出载波频率,则是很容易对其进行监听的,使系统存储的信息外泄。(3)身份鉴定。身份鉴定是计算机所进行的逻辑判断,判定进入某一操作系统的人是否有权进行某种操作。计算机对身份进行鉴定主要是对你的账号和口令进行归类分析,因此,账号和口令如果被破解,则整个系统的保密性将不复存在。事实上,对于IT界来讲,没有解不开的账号和口令,只是解开的时间有长短之分而已。现在的高级计算机计算速度能够达到每秒1012次,简单的账号和口令只需几分钟甚至几秒钟就能破解,而目前国内市场使用的浏览器和Web服务器只支持512位的公式算法,整个系统的安全性较低,很容易被攻破。(4)编程。很多安全漏洞源于代码,多数情况下,这些漏洞是毁灭性的,能够摧毁数据,现在很多黑客就是利用这些漏洞来编制一些程序攻击计算机。我们称这种被破坏的编程代码为特洛伊木马,它包括计算机病毒、代码炸弹等。如Internet蠕虫能够进入Internet,利用UNIX的安全漏洞,破坏整个系统。现在已知的计算机病毒多达几千种,它们的存在严重影响着计算机的安全。(5)系统自身的漏洞。系统漏洞通常是操作系统开发者有意设计的,比如现在普遍使用的UNIX和WindowsNT等操作系统都存在安全漏洞,为攻击者破坏系统提供了渠道。最近发现Inter公司生产的PIII及Win98、Windows也都存在安全问题和安全“后门”,这也使得个人的隐私权和安全性受到破坏。上述五种安全威胁都不同程度地给数据信息的保密性、完整性和可访问性造成不同程度的影响。网络银行面临的具体风险主要有以下几种:(1)电子扒手。一些被称为“电子扒手”的银行偷窃者专门窃取别人的物理地址,这类窃案近年来呈上升趋势。因Internet服务在给银行和用户提供资源共享的同时,也为窃取银行业、用户秘密数据的非法“侵入者”敞开了大门。一些窃贼盗取银行或企业秘密卖给竞争对手,或因商业利益,或因对所在银行或企业不满,甚至因好奇盗取银行或企业密码,浏览企业和银行的核心机密。据美国官方统计,银行每年在网络上被偷窃的资金达6000万美元,而每年在网络上企图进行电子盗窃的总数达5亿~100亿美元之间,“电子扒手”平均作案值是25万美元,而持枪抢劫银行的只有7500美元。“电子扒手”多数为解读密码的高手,作案手段隐蔽,不易被抓获,通常能够被查获的约为1/6,而只有2%的网络窃贼被抓获。(2)网络诈骗。网络诈骗已经成为世界上第二种最常见的网络风险。一些不法分子通过发送电子邮件或在互联网络提供各种吸引人的免费资料等引诱互联网用户,当用户接受他们提供的电子邮件或免费资料时,不法分子编制的病毒也随之进入用户的计算机中,并偷偷修改用户的金融软件;当用户使用这些软件进入银行的网址时,修改后的软件就会自动将用户账户上的资金转移到不法分子的账号上。据最近的《北京晚报》报道,一种对用户的银行存款有威胁的计算机病毒开始在互联网络传播。这种被称为“妖怪”(Bugbear)的电脑病毒除了从电脑上盗取信用卡号码和网络银行的资料外,还能够让黑客们取用银行密码。电脑专家称,这种病毒以50多个不同的邮件标题骗倒了不少用户。这种网络诈骗的方式成本低廉,获益却很高,所以很受网络黑客的青睐。网络诈骗除了上述方式外,还包括市场操纵、知情人交易、无照经纪人、投资顾问活动、欺骗性或不正当的销售活动、误导进行高科技投资等多种互联网网络诈骗方法。据北美证券管理者协会调查,网络诈骗每年估计使投资者损失100亿美元。(3)电脑黑客。据美国参议院一个小组委员会的估计,全球企业界1995年损失在“黑客”手中的财富高达8亿美元,其中,美国企业损失4亿美元。“黑客”对网络银行安全的潜在风险是巨大的。(4)计算机病毒。计算机病毒对银行电脑系统形成了巨大的威胁。据英国《金融时报》报道,在1996~1997年度,世界范围新发现的计算机病毒数量几乎翻了一番。平均每个月新发现的计算机病毒从过去的200种上升到500种左右。全世界已知的计算机病毒达18000种,尚有上百种待查明的计算机病毒在流传。此外,随着国际互联网网络的普及,银行的电子函件也成为计算机病毒传播的主要渠道。
三、网络银行技术风险监管
国际标准化组织(ISO)对计算机安全进行了定义,它认为计算机安全是指为数据处理系统建立和采取技术和管理的安全保护,保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄露。计算机安全的内容包括两个方面:物理安全和逻辑安全。物理安全是指系统设备及相关设施受到物理保护,免于破坏、丢失等。逻辑安全包括信息完整性、保密性和可用性。完整性是指信息不会被非授权修改及信息保持一致性等;可用性是指合法用户的正常请求能及时、准确、安全地得到服务或回应。根据国际标准化组织对计算机安全的定义,网络银行为最大限度地降低风险,需要将目光放到技术安全防范问题上。因为网络银行的发展需要科技作为保障,同样,网络银行的安全运营也需要依靠技术做保障。对于国内的网络银行来讲,技术保障上的要求更为迫切,因为国内计算机系统是以国外产品为主的,其操作系统的安全性基本上属于最低层次,即使最高级也只为美国标准的C级。从技术层面讲,应从以下几个方面入手:
首先,明确网络银行的安全需求,然后才能对症下药。网络银行的安全需求表现在以下几个方面:(1)解决网络的边界安全问题;(2)保证网络的内部安全;(3)实现系统的安全及数据的安全;(4)建立全网通行的身份识别系统,并实现用户统一管理;(5)在用户和资源之间进行严格的访问控制;(6)实现信息传输时数据的完整性和保密性;(7)建立一套审计、记录的机制;(8)融合技术手段和行政手段,形成全局的安全管理。其次,针对网络银行的安全需求,网络银行安全系统的技术重点在于:第一,侦查系统存在的安全漏洞,采取“补丁”的措施堵漏洞,研究和开发安全漏洞侦查技术工具,包括易损性分析、安全评估和定位技术等;第二,在系统运行中监视、检测入侵攻击事件,研究相应的技术和工具;第三,在系统遭到攻击并部分损坏时,能及时隔离故障,恢复系统以支持关键职能的执行,为此必须研究和开发有关的技术和工具,包括抗攻击的系统体系结构、动态资源重组与功能恢复、系统数据备份与恢复以及防病毒系统技术等。这三个方面在技术上表现为:攻击检测技术、数据加密技术和数据恢复技术。只有这三种技术相互配合,有机结合,才能建立网络银行的安全机制。网络的安全问题不能简单地分解为若干问题及其解决办法。网络安全必须上升到系统的高度,从系统的总体出发,制定网络安全策略,建立安全机制,明确用户权限与责任,制定网络安全技术体系结构与基本框架,达到抗入侵、抗病毒、抗损失的安全目的。
