來源：央視國際

　　不久前，一些在中國工商銀行進行過網上銀行注冊的客戶，收到了一封來自網絡管理員的電子郵件，宣稱由于網絡銀行系統升級，要求客戶重新填寫用戶名和密碼。這一舉動被工行工作人員發現后，經證實是不法分子冒用網站公開信箱，企圖竊取客戶的資料。那么，在這一事件中是否有客戶資料被泄露出去？有沒有對銀行業務產生影響？

　　工商銀行遭遇的這次黑客事件，使我們對信息安全不得不再次提高警惕。當越來越多的交易行為通過網絡來進行的時候，這個虛擬世界能否給我們提供安全保障？我們應該如何運用法律和制度對它加以規范？

　　雖說在國內通過盜用網上銀行公開信箱竊取客戶資料的事還是第一次出現，但是，犯罪分子的這種攻擊行為對所有的網站都是一種威脅。無獨有偶，就在本周，美國政府向全球金融機構發出警告，有一種計算機病毒已經把世界范圍內的1200家銀行作為攻擊目標，企圖通過網絡盜取企業客戶在這些銀行里的賬號和密碼。這1200家金融機構中間包括了摩根大通、美國運通、美洲銀行和花旗銀行等多家跨國金融機構。收到警告，這些銀行又準備了哪些應對措施呢？

　　雖然花旗銀行表示目前為止，他們并沒有受到妖怪病毒的影響，但是，美國聯邦調查局的警告并不是小題大做。妖怪病毒現身以來，就以快得驚人的速度在傳播，美國的信息實驗室計算機安全公司稱，自從6月4日第一次發現了妖怪病毒，截止當地時間6月5日的中午，就已經在125個國家截獲了37000多份的病毒樣本。參與調查的安全專家們認為，這是第一宗專門針對單一經濟部門的網絡攻擊。

　　作為對單一的金融部門網絡進行攻擊的挑戰者，這種妖怪病毒究竟是憑借什么手段發動挑釁的呢？記者走訪了研制生產電腦軟件的公司，找到了專門研究反病毒軟件的技術人員。

　　李鐵軍是一名電腦軟件技術支持工程師，他告訴記者，電腦病毒共分五等，級別越高毒性越大，妖怪現身的當天，就已經被定性為4級病毒，在這個平時用來做實驗的虛擬電腦系統里，李鐵軍為我們做了一番演示。

　　電腦軟件技術支持工程師李鐵軍說：“現在我們在這個機器當中查一下，系統內存當中應該是沒有病毒的，是干凈的。”然后這是一個病毒程序。

　　記者：這是妖怪的病毒程序嗎？

　　李鐵軍：“對，這是病毒程序，直接執行，現在系統已經中毒了。

　　記者：我怎么能看出來呢？

　　李鐵軍：“普通用戶他這邊是感覺不到，有經驗的用戶會發現，我們先看一下這個病毒的郵件是什么樣子的？這就是那封病毒郵件，這是我發給我們同事的，這是我這臺機器中毒之后，發給其他人的，他的主題是hello，然后這里面帶了一個這樣的附件，只要雙擊打開這個郵件，打開這個郵件瀏覽的情況下就中毒了。

　　李鐵軍解釋說，妖怪病毒變化多端，很具有迷惑性。當它以電子郵件的形式出現時，主題往往是“你好嗎”或者“非常有趣”之類，它的傳播途徑總結起來包括電子郵件、共享文件、系統漏洞等，幾乎囊括了流行病毒傳播的所有方式，并且這種病毒即使被發現，用手動刪除根本不起作用，必須依靠專殺軟件進行清除。難怪這種病毒會被稱為妖怪，它的毒性之大令人吃驚，李鐵軍告訴記者，妖怪病毒造成的影響也同樣不容忽視。它會在機器當中開一個后門，開的那個后門可以記錄下來一些用戶最基本的鍵盤記錄，你打鍵盤的一些記錄。如果病毒設計者所有一切都想知道的話，那他都會給你記下來，你都做了些什么。它如果破解了銀行的賬號、密碼，就可以輕松的獲得別人的財富，可能這是他(病毒制造者)的一個主要目的。

　　通過分析，李鐵軍認為，銀行會是妖怪病毒的最終目標，因為假如用戶使用的電子郵件的地址與病毒原型軟件儲存器中存有的金融機構的地址相同，它就會判斷這個人有可能是銀行系統的一個員工。然后通過對他的電腦進行監控就可能獲得銀行系統更多有價值的信息，例如進入系統的密碼。在我們的采訪結束的時候，李鐵軍忽然收到了一封來自朋友的電子郵件，郵件顯示，就在他演示病毒的過程中，妖怪就已經偷走了這臺電腦里的郵件地址，并進行了復制和發送。截至目前，妖怪依然還在興風作浪。我們電話聯系到了本臺駐紐約記者屈小平，他向我們介紹了此次事件最新進展。

　　屈小平：“我剛剛了解到的一個消息，印度一名叫辛格的電腦工程師因為入侵外國銀行的電腦，進行信用卡詐騙，已經被警方拘捕，辛格被捕的時候，警方在他家中找到了50張信用卡、手提電腦，還有影碟機以及5個手提電話。目前這一次的bugbear.B病毒的變種是不是跟他有關還在進一步的證實之中。從網頁表面上看，銀行并沒有受到影響，也沒有受到更多的客戶個人受到侵害的投訴。”

　　互聯網上出現病毒并不少見，但是這種帶有黑客性質、專門針對銀行帳戶的惡性病毒，其危害性遠遠超過了一般病毒。美國網絡安全委員會就發出警告：如果不及時更新病毒防護系統的話，全球任何一家銀行都有可能被妖怪病毒攻擊。而在我國，現在已有20多家銀行的200多個分支機構擁有網址和主頁，其中實際開展網絡銀行業務的分支機構達到了50多家，注冊客戶超過1000萬戶。國內網上銀行的交易安全有沒有保障？銀行采取了哪些措施抵御來自網絡的惡意攻擊？

　　招商銀行的“一卡通”在全國一共發行了有兩千多萬張。而依托于這種儲蓄卡所進行的遠程電子化處理業務，在招行的個人業務當中占到了80%，所以電子網絡的安全問題對于招行來說顯得格外重要。

　　從1998年4月率先在全國推出“網上企業銀行”至今，招商銀行已經建成了網上銀行、電話銀行、手機銀行、自助銀行等在內的較為完善的網上金融服務體系。招行北京分行電腦部經理王建恒告訴記者，為了防止黑客從銀行網站上盜取客戶的金融信息，他們每時每刻都在對網站進行監控，并對系統的防火墻不斷實施加固措施。

　　招商銀行北京分行電腦部經理王建恒說：“系統上我就把防火墻做得足夠得牢固，使得黑客無機可乘，這是系統上的，還有一個是應用上的，就是說，一個客戶在往這邊傳信息的時候，我要在這個路由上進行加密，使得另外一個人他企圖去截獲這個客戶的信息，他截下來也是沒有用的，因為它是受加密保護的。”

　　王建恒告訴記者，目前招行的網上銀行分為大眾版和專業版兩種，對這兩種模式的網上銀行，他們都采取了級別很高的安全防范措施。

　　王建恒說：“對于大眾版來說，即使黑客把這個賬號密碼盜走了，那他也僅僅是能看到這里面的錢，而不能把這錢轉移走，這個是一個非常關鍵的地方。”

　　而對于可轉移資金的專業版網上銀行，招行采取了在客戶個人的計算機里安裝“數字證書”的措施。

　　王建恒告訴記者：“這個必須得裝在每個人自己的計算機里面，然后他再加上登陸帳號的密碼，再加上數字證書，再加上取款密碼，只有這樣才能把錢轉走，要想把這些東西輕而易舉地獲得是非常不容易的，所以我們在數字證書這個體系下，網上銀行的安全性有了極大的提高。”

　　在監控賬戶安全方面，招商銀行還推出了一種利用手機短信息對個人賬戶進行實時監控的新業務。手機用戶在申請了這項業務之后，無論在何時何地，只要自己的賬戶資金有變動，都會在兩三秒鐘之內收到銀行發來的手機短信。王建恒坦言，不斷提高網上銀行的安全性能無疑增加了客戶操作的難度。但是為了保證客戶的利益，銀行還是會把金融信息的安全放在第一位。

　　銀行金融信息的安全問題看來已經引起了金融機構的高度重視，而我身后的這撞大樓，看上去跟普通的寫字樓并沒有任何區別，但在這幢大樓的一個機房里，卻存儲了成千上萬銀行客戶的姓名、帳號、密碼等重要的金融信息。如果這里被黑客侵入的話，將會危及上百億資金的安全。這幢沒有任何建筑標志的大樓，就是中國農業銀行總行的數據處理中心。

　　在經過嚴格的檢查并采取了防護措施后，我們獲準跟隨農行運行中心運行環境處處長唐海泉進入了運行中心的主控機房。在這里我們看到的只是一排排高大的機柜，而銀行與客戶之間發生著的每一筆交易，最終都會記錄在這些機器當中。

　　農行運行中心運行環境處處長唐海泉：“這個系統的安全性是非常高的，在全世界范圍內這個等級也是非常高的，它的整個操作系統和開放式平臺，和一般的WINDOWS平臺、窗口平臺差別非常大，一般的黑客是很難攻擊到的，另外我們這個網絡系統是自己生產網，自稱系統自己組成的系統，和外面的公網基本不發生任何關系，所以說黑客基本進不了這個網，攻擊不到這個網。”

　　雖然唐海泉對農行主機系統的安全性能顯示出很強的自信，但他手下的工作人員仍然在24小時輪流監控著每一臺機器的運行，一旦系統出現異常情況，技術人員會立刻采取果斷措施予以解決。

　　有統計顯示，在過去發生的網絡金融犯罪當中，有80%為金融機構內部人員實施。作為一個員工數最多、營業網點最多的商業銀行，中國農業銀行在提高系統防范措施的同時，也重點對內部人員管理和監控。

　　中國農業銀行科技部副總經理曹少雄說：“比如說我們業務網和我們管理信息系統網，就是嚴格分開的。過去傳統的時候我們叫事后監督，我們用了新一代的軟件，我們的系統在開始做事中進行授權控制，在事中就有人進行復合監督，這樣就大大降低了內部人員違規操作，違章操作這種情況。”

　　網絡是一個虛擬世界，同時也是一個開放的空間。保證網上銀行的安全，除了各家銀行內部采取的防范措施外，還需要銀行外部的合作。只有共同建立一個統一協調的防線，才能防止黑客乘虛而入。

　　與傳統交易相比，網上銀行最大的特點就是交易雙方——銀行和客戶之間不見面。這既帶來了方便，也帶來了安全隱患。對于交易雙方來說，信息傳遞的私密性、真實完整性和不可否認性都是影響交易安全的關鍵因素。其實，早在三年前，國內銀行業已經意識到信息安全的重要，并由中國人民銀行牽頭、聯合十四家全國性商業銀行共同建立了一個國家級金融認證機構——中國金融認證中心，那么，他們對于保障網上銀行交易安全有什么絕招呢？

　　幾經周折，記者才在北京佑安門內大街一個偏僻的胡同里找到了這家金融認證中心。中心總經理劉大隆告訴記者，這段時間，他們不斷接到各種咨詢電話，希望了解中心能夠提供的信息安全服務。劉大隆總經理介紹說，作為目前國內唯一一家能夠全面支持電子商務安全支付業務的第三方專業認證機構，金融認證中心成立的主要目的就是為金融機構提供信息安全服務。談到日前出現的針對銀行的黑客和病毒襲擊行為，以及網上銀行交易可能發生的種種不安全問題，劉大隆總經理表示，他們提供的服務就是目前國際上通用的解決辦法。

　　中國金融認證中心總經理劉大隆說：“在網上的安全當中有一個核心的因素，就是相互之間的信任，我們在做銀行的柜臺交易的時候，客戶要提交自己的證明文件，比如說身份證或者護照，以證明自己是顧客本人，不是假冒的，在網上，因為銀行和客戶互不見面，都在遠端，怎么進行身份認證呢？怎么來實現相互之間的信任呢？這就要采用一種數字證書技術。

　　這種數字證書如何在網上交易中起到安全保護作用的呢？中心負責人現場進行了演示。

　　中國金融認證中心總經理劉大隆說告訴記者：“首先，用戶通過瀏覽器上網(上)銀(行)的網站的時候，數字證書在對雙方進行認證的時候起作用，通過數字證書來確認雙方的身份，建立雙方之間的安全通道，使雙方之間的信息在安全通道里安全的傳輸，當用戶想通過網銀做銀行業務的時候，使用證書和不使用證書有一個比較明顯的差別，就是做一筆交易之后，用戶要通過數字簽名來完成和確認這個交易，數字簽名就是通過數字證書和數字證書提供的安全機制，使用戶做的這份銀行交易得到確認、得到加密，能夠安全的在網上傳輸。”

　　這種操作簡便的數字證書自身的安全性能不能得到保證呢？總經理劉大隆作了肯定的回答。

　　劉大隆說：“數字證書目前來講非常安全，國內外銀行、網上銀行包括電子商務，已經發展了有十年了，在這十年以來，還沒有一例由于數字證書被攻破而讓不法分子得逞的案件。”

　　據介紹，金融認證中心自2000年6月掛牌以來，已經累計發放了12.5萬張數字證書，這個數字相比250萬的網上銀行用戶總數顯然并不成比例，劉總坦言，數字證書的應用和推廣目前面臨的最大問題是成本和效率。

　　劉大隆告訴記者：“數字證書認證系統，包括數字證書的維護，都有一定的成本，當然這個成本并不是很高，拿個人證書來講，每年的年費，也不過就是十塊錢，一次性繳付，企業的也就是一、二百塊錢左右，另外一點就是，如果采用安全措施，可能會影響網上銀行的速度，大家認為，用了數字證書以后，網站的反應速度變慢了。”

　　因為這些，許多銀行和企業客戶就放棄了選擇數字證書。對于這種情況，劉總表明了他的看法。

　　劉大隆說：“網上銀行的安全措施總是需要代價的，但是相對于網上銀行的安全來講，這點代價是值得付出的。”

　　記者從金融認證中心了解到，今年之內，數字證書將實現不同銀行間的跨行身份認證，到時企業用戶只要在一家銀行申領到中國金融認證中心的數字證書就可以在多家銀行的網上銀行同時使用。面對病毒和黑客的襲擊，金融機構正在努力構筑自己的防護網。其實，在這層防護網外圍，還有一層范圍更廣泛的防護網，也給網上銀行提供保護，那就是公安部門在網上構筑的公共安全網。它維護著虛擬世界的安全秩序。

　　公安部十一局是專門負責公共信息網絡安全監察的部門，高級工程師黃小蘇告訴記者，在獲悉妖怪病毒上周在美國大面積發作后，他們已經對國內的情況進行了了解和監控。

　　公安部公共信息網絡安全監察局黃小蘇說：“我們有一個專門的計算機病毒應急處理中心，我們通過這個中心來接受社會的一些舉報，目前只有個別的用戶向我們報告感染了這種妖怪病毒，但是很少。”

　　談到國內也出現了有人使用詐騙手段盜用網上銀行客戶資料的案件，黃小蘇介紹說，雖然這種利用計算機犯罪和直接使用黑客技術犯罪有一定的區別，但是都屬于公安機關嚴厲打擊的對象。

　　公安部公共信息網絡安全監察局黃小蘇說：“用戶資料一旦被竊取，無論是不法分子通過什么樣的方式和手段，公安機關都會依法予以嚴厲的打擊和查處。”

　　黃小蘇提到，近年來，隨著互聯網的廣泛應用，網絡犯罪也出現了新的趨勢和特點。

　　公安部公共信息網絡安全監察局黃小蘇告訴記者：“我們做了兩年的計算機病毒疫情調查，從調查的情況來看，病毒已經發生了一些變化，大量的病毒利用互聯網傳播的趨勢還是比較明顯的，特別是網頁瀏覽病毒，還有植入后門病毒，還有口令猜測病毒，病毒已經不是傳統的、有一些被動的觸發條件來激活，而是主動地利用你的系統的漏洞，利用你系統配置的不合適，能夠主動地感染用戶。”

　　面對網絡犯罪發展的新趨勢，公安機關查處的力度也在不斷加大。黃小蘇介紹說，在與網上犯罪分子的較量中，最重要的是信息渠道的暢通，能夠及時捕獲蛛絲馬跡，了解病毒傳播的途徑和來源。為此，公安機關正在構筑網上的應急處置平臺。

　　黃小蘇說：“通過這個平臺，用戶可以很方便地把你發現的，懷疑或者是已經被病毒感染的情況，通過網絡的這種快速媒體，傳到公安機關的接報警中心來，我們會通過這種方式，能夠快速地發現和查處，包括控制病毒的感染情況和感染趨勢。”

　　記者從采訪中了解到，這種網上應急處理平臺已經在國內部分城市投入試點，目前公安機關正考慮推廣到全國。銀行和公安部門在與網上不法分子的較量中，起決定性作用的就是技術。但俗話說，道高一尺，魔高一丈，病毒和黑客的花樣同時也在翻新。那么，有沒有辦法切實維護網絡安全呢？

　　在層出不窮的病毒和黑客面前，銀行和公共安全部門都為信息安全做出了很多努力，但是，到現在為止，還從來沒有哪家銀行宣稱自己的網絡已經固若金湯。相反，病毒的泛濫、黑客的升級，使信息安全正經受更嚴峻的考驗。到底有沒有技術手段能根本保證網上交易的安全？我們聯系了中國信息安全測評認證管委會專家委員會副主任屈延文教授。屈教授從事信息化研究和實踐40多年，主持策劃過我們國家多個大型信息化建設項目，

　　記者：“頻頻出現的病毒和黑客攻擊是不是說明我們的互聯網本身存在著天生的技術缺陷？”

　　中國信息安全測評認證管委會專家委員會副主任屈延文：“互聯網本身從理論上講是存在著不安全的因素，不安全主要是它的原始技術體制造成的，因為互聯網的誕生，就沒有考慮安全問題，這樣廣泛的發展起來，它的安全從后天往里加進去，它只有一個辦法，那就是有什么問題去解決什么問題，就是我們說的治標的辦法，治本的辦法要改變根本的技術體制，而技術體制都已經定了，全世界花了這么多的資金、設備、系統、軟件、和應用都建在互聯網上，由于改技術體制讓所有的這些應用設備都去改，顯然是不現實的。”

　　記者：“對這一缺陷有根本解決辦法嗎？”

　　中國信息安全測評認證管委會專家委員會副主任屈延文：“我們現在沒有治本的辦法，但是我們還是有針對性的一些治標的辦法。”

　　記者：“那么在現有的條件下，我們的技術手段能夠有效防范黑客和病毒的進攻嗎？”

　　中國信息安全測評認證管委會專家委員會副主任屈延文：“老百姓有這些擔心是可以理解的，但是，擔心應該建立在這樣的一個基礎上，因為我們國家的網絡銀行和我們銀行后面的生產體系是分離的，網絡銀行上就是受到了攻擊和損害的話，也不會對銀行本身造成巨大的危害，對銀行沒有造成根本的危害，老百姓在網絡銀行上持有資金就是有保障的。”

　　記者：“最近發生了這些針對銀行的網絡攻擊后，我聽到這樣一種說法，就是通過互聯網完成網上銀行交易是不安全的。你怎么看這種擔心？”

　　中國信息安全測評認證管委會專家委員會副主任屈延文：“我們從來都是把防護和威脅是聯系在一起的，通常來說，是威脅在先，防護在后，因為防護是針對威脅來研制的，不可能說，在沒有威脅的情況下，就研究出防護技術，因為它不是理論的，它是具體的，它是有針對性的，我們現在可以這樣說，你只要有一個攻擊的方法出現，我們很快就可以有一個防護的技術出現，我們比這個防護技術遲后的時間，從科研的角度上說，還有的個別的小的那種威脅，幾天就可以跟上去了，從大的方面講，從產業的角度上講，兩個月我們就會有新的產品，大概是這樣的情況，所以應該說，我們總是有辦法來解決的。”

　　記者：“在沒有找到根本性技術解決方案之前，我們是不是只能指望銀行來完善自身的網絡安全系統？

　　中國信息安全測評認證管委會專家委員會副主任屈延文：“沒有監管的信息化，沒有信息保障的信息化，沒有信息安全的信息化，我們國家就沒有真正的信息化，整個銀行的安全，我們國家金融的安全，也就是整個信息化的安全，不是靠哪一個部門就能夠搞好的，打個比方來說，我們部門或者一個單位的安全，一個行業的安全，就好像我們各家各戶建的防盜門鐵柵欄一樣，是局部的，各家有防盜門并不等于我們都安全了，馬路上還要有，還應該搞安全，我們還要有社會治安體系，從各方面來保障安全，社會上的安全是我們各家各戶安全的保障，于是我們要建立監管，應急、威懾就是這個道理，還要打擊犯罪，這些東西都要跟上，也就是說我們銀行的安全是一個綜合體系，不是靠銀行一家來建設的，來保障的。”

　　正如屈延文所說的那樣，攻擊和防范就像虛擬世界的一對孿生兄弟，他們之間的較量從互聯網誕生之日起就不曾停息。

　　目前全球與互聯網相聯的計算機約有1億臺，互聯網上大約有30億個網頁，2000萬個網址，每天在網絡上傳送的電子郵件達14億封，平均每分鐘就有97萬個郵件被發送。預計到2004年全球互聯網用戶總數將達到7.091億人。網上的虛擬世界與我們的現實生活正在融為一體，這個世界也同樣需要安全和秩序。(《經濟半小時》記者：孫菁 孫嶺 賓芳 高楊 鄢聞余)