易觀國際：銀行業(yè)信息安全堪憂

　　觀點(diǎn)：

　　銀行新業(yè)務(wù)的發(fā)展對(duì)信息安全提出了新的挑戰(zhàn)，而目前的網(wǎng)上銀行不能滿足在易用性和安全性上的綜合需求。

　　產(chǎn)業(yè)分析：

　　易觀國際(Analysys International)認(rèn)為，銀行業(yè)網(wǎng)絡(luò)系統(tǒng)面臨的風(fēng)險(xiǎn)主要包括：非法訪問銀行網(wǎng)絡(luò)系統(tǒng)；假冒網(wǎng)絡(luò)終端/操作員；數(shù)據(jù)大集中所引起的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)集中；截獲和篡改傳輸數(shù)據(jù)；其他安全風(fēng)險(xiǎn)。接踵而來的銀行新業(yè)務(wù)的發(fā)展對(duì)網(wǎng)絡(luò)安全提出了新的挑戰(zhàn)，城市商業(yè)銀行的區(qū)域擴(kuò)張使銀行內(nèi)聯(lián)網(wǎng)的安全面臨嚴(yán)峻考驗(yàn)；網(wǎng)上銀行、POS機(jī)、ATM等業(yè)務(wù)發(fā)展帶來的互聯(lián)網(wǎng)和用戶端網(wǎng)絡(luò)安全問題；移動(dòng)支付業(yè)務(wù)(手機(jī)銀行、移動(dòng)POS等)的發(fā)展帶來大量的網(wǎng)絡(luò)安全問題；跨行業(yè)務(wù)的大量增加凸顯人行電子聯(lián)行系統(tǒng)的網(wǎng)絡(luò)安全問題，這一系列問題形成了目前銀行業(yè)IT系統(tǒng)中的隱形炸彈。

　　易觀國際(Analysys International)發(fā)現(xiàn)，中國銀行業(yè)2004年發(fā)生信息安全事件約8600起，涉及總金額約2.5億元人民幣，而且每年事件數(shù)量以12%的速度增長(zhǎng)。目前網(wǎng)銀客戶端的大眾版安全措施過于稀疏，身份審核校驗(yàn)方式簡(jiǎn)單，容易給不法分子可乘之機(jī)，并且用戶的安全風(fēng)險(xiǎn)告知不充分。而安全性相對(duì)較高的專業(yè)版申請(qǐng)手續(xù)過于繁瑣無法普及。以上兩種網(wǎng)銀客戶端安全性和易用性結(jié)合不好，都不能適應(yīng)目前客戶的需求。如果不能很好解決安全性、易用性等問題，網(wǎng)上銀行、移動(dòng)支付等新業(yè)務(wù)的發(fā)展將受到制約。

　　策略建議：

　　易觀國際分析師認(rèn)為：“對(duì)儲(chǔ)戶寄放到銀行的財(cái)務(wù)提供必要的安全保障是銀行的義務(wù)，因此銀行必須不斷改善安全措施，盡量減少網(wǎng)上詐騙、帳號(hào)盜用的可能性，并加強(qiáng)對(duì)用戶的風(fēng)險(xiǎn)提示。在目前銀行系統(tǒng)還有待健全的時(shí)期，用戶自身也需要加強(qiáng)一些安全意識(shí)，保管好自己的帳號(hào)密碼，以減少帳號(hào)被盜用的可能性，并盡量使用安全性高的銀行服務(wù)。”

　　新聞背景：

　　網(wǎng)上銀行大眾版暗藏漏洞 客戶獨(dú)自面對(duì)風(fēng)險(xiǎn)

　　www.sina.com.cn 2005年06月28日 02:39 每日經(jīng)濟(jì)新聞

　　據(jù)央行即將出臺(tái)的新規(guī)，大眾版?zhèn)�人網(wǎng)上銀行客戶可能須獨(dú)自面對(duì)風(fēng)險(xiǎn)

　　唐赟 每日經(jīng)濟(jì)新聞

　　從來不知道“網(wǎng)上銀行”為何物的四川省樂山市普通工人丁杰，從未開通過網(wǎng)上銀行，但他在工行樂山市五通橋支行的6000多元存款一夜之間被人以網(wǎng)上購物方式一掃而空。

　　上周，在美國爆發(fā)的

　　“我從來沒想到，放在銀行的錢會(huì)莫名其妙地飛了，而且銀行告訴我，是我自己網(wǎng)上購物給花光了。”丁杰情緒激動(dòng)地告訴《每日經(jīng)濟(jì)新聞》。

　　在蓬勃興起的網(wǎng)上銀行業(yè)務(wù)中，丁杰的遭遇并非個(gè)案。其重要原因在于，安全級(jí)別較低的大眾版網(wǎng)上銀行賬戶容易被“黑”。問題的嚴(yán)重性還在于，目前網(wǎng)上銀行業(yè)務(wù)當(dāng)中，大眾版用戶占據(jù)了絕大多數(shù)，而使用有一定安全保證的專業(yè)版的客戶并不多。

　　不僅如此，數(shù)以千萬計(jì)的大眾版用戶們又要面臨一個(gè)新挑戰(zhàn)。上海銀行界人士向《每日經(jīng)濟(jì)新聞》透露，根據(jù)央行近期出臺(tái)的《電子支付指引(征求意見稿)》，今后大眾版用戶賬戶被“黑”掉的損失，很可能將由客戶自己承擔(dān)，銀行則可能將被免責(zé)。

　　專業(yè)版申辦繁瑣大眾版風(fēng)險(xiǎn)很高工行一位電子銀行專家表示，個(gè)人網(wǎng)上銀行一般分為大眾版和專業(yè)版，本質(zhì)區(qū)別在于安全級(jí)別。專業(yè)版必須由用戶本人到銀行網(wǎng)點(diǎn)辦理，采用的數(shù)字安全證書擁有上百位的簽名密鑰，安全級(jí)別很高；而大眾版允許客戶憑身份證號(hào)、賬號(hào)和密碼在網(wǎng)上自助開通，手續(xù)簡(jiǎn)便，運(yùn)行后保密性較差，防護(hù)措施僅僅是客戶自設(shè)的登陸密碼和付款密碼。

　　“各家銀行專業(yè)版的用戶都少得可憐。”浦東發(fā)展銀行電子銀行部一位負(fù)責(zé)人透露，招商銀行是最早推廣網(wǎng)上銀行業(yè)務(wù)的銀行之一，其網(wǎng)上銀行客戶數(shù)量上千萬，但專業(yè)版客戶不過數(shù)萬。據(jù)招商銀行統(tǒng)計(jì)，今年1-4月份招行超過50%的個(gè)人業(yè)務(wù)不是在柜臺(tái)上完成，而是通過網(wǎng)上銀行操作的。

　　工行的網(wǎng)上銀行業(yè)務(wù)量也在國內(nèi)銀行業(yè)前列，但大眾版客戶仍然占據(jù)絕大多數(shù)。來自工行總行的數(shù)據(jù)顯示，截至今年3月，工行個(gè)人網(wǎng)上銀行客戶數(shù)量達(dá)到1106萬戶。“其中絕大多數(shù)都是大眾版用戶，專業(yè)版客戶很少。”工行總行一位知情人士透露。以該行浙江省分行為例，這家分行60多萬的網(wǎng)上銀行客戶中，專業(yè)版本客戶不足萬人。

　　作為中國網(wǎng)上銀行業(yè)務(wù)的領(lǐng)先者，招行和工行的數(shù)據(jù)某種程度上是整個(gè)行業(yè)的寫照。浦發(fā)行上述負(fù)責(zé)人表示，由于專業(yè)版網(wǎng)上銀行業(yè)務(wù)開通手續(xù)比較復(fù)雜，使得銀行在推廣時(shí)遇阻，從而轉(zhuǎn)向大眾版。

　　而且，銀行急于拓展業(yè)務(wù)量，紛紛簡(jiǎn)化了大眾版用戶的開通手續(xù)，建行、工行、農(nóng)行等銀行的個(gè)人網(wǎng)上銀行大眾版客戶都可以輕松實(shí)現(xiàn)網(wǎng)上購物。網(wǎng)上購物簡(jiǎn)單的開通手續(xù)和稀疏的防范措施使其成了網(wǎng)上銀行盜用風(fēng)險(xiǎn)頻發(fā)的高危渠道。

　　丁杰的遭遇就是大眾版網(wǎng)上銀行被“黑”的典型方式。他告訴《每日經(jīng)濟(jì)新聞》，自己根本就沒有開通過網(wǎng)上銀行，但存在樂山市工行五通橋支行的6000多元存款在一夜之間被人以網(wǎng)上購物的方式一掃而空。因?yàn)殚_辦工行大眾版網(wǎng)上銀行業(yè)務(wù)時(shí)，客戶不需要到網(wǎng)點(diǎn)、不需要原卡和身份證件原件，只需要幾個(gè)號(hào)碼即可開通，大大“便利”了盜取資金的行為。

　　央行新規(guī)(草案)：使用大眾版被盜用銀行免責(zé)盡管損失已經(jīng)發(fā)生，但丁杰“無辜”的遭遇能找銀行理論嗎？

　　根據(jù)央行先前發(fā)布《電子支付指引(征求意見稿)》，其中第四十五條規(guī)定：“非資金所有人盜取他人存取工具發(fā)出電子支付指令，并且其身份認(rèn)證和交易授權(quán)通過了發(fā)起行或轉(zhuǎn)發(fā)人的安全程序，發(fā)起行或轉(zhuǎn)發(fā)人對(duì)該指令進(jìn)行處理所產(chǎn)生的后果不承擔(dān)責(zé)任。”

　　根據(jù)此條規(guī)定，只有在賬戶“使用數(shù)字證書和電子簽名等作為安全認(rèn)證方式”和“因轉(zhuǎn)發(fā)人或銀行原因造成客戶安全認(rèn)證數(shù)據(jù)被盜”兩種情況下，銀行才會(huì)負(fù)相關(guān)責(zé)任。在沒有直接責(zé)任的情況下，銀行只被要求“積極配合客戶查找原因，盡量減少客戶的損失”。

　　浦發(fā)行電子銀行部的一位人士對(duì)此的通俗化解釋是：所謂“使用數(shù)字證書和電子簽名等作為安全認(rèn)證方式”的就是指專業(yè)版用戶，客戶使用網(wǎng)上銀行專業(yè)版進(jìn)行網(wǎng)上購物，發(fā)生的賬戶盜用損失由銀行買單，而“非使用數(shù)字證書和電子簽名等作為安全認(rèn)證方式”的即指大眾版用戶，客戶使用網(wǎng)上銀行大眾版進(jìn)行網(wǎng)上購物，只要銀行系統(tǒng)不存在問題，無法追回的賬戶盜用損失由客戶自己承擔(dān)。

　　《電子支付指引(征求意見稿)》尚在征求意見之中，最終結(jié)果仍不得而知。銀行對(duì)第四十五條的規(guī)定非常贊成，表示此前銀行遇到大眾版網(wǎng)銀被盜的案例通常也是不賠，央行的規(guī)定讓這一慣例有了法規(guī)依據(jù)。

　　銀行沒有充分的風(fēng)險(xiǎn)提示法律專家：銀行對(duì)客戶不公客戶希望銀行能夠負(fù)起相應(yīng)的責(zé)任。丁杰說：“我卡上的錢是在凌晨2點(diǎn)被人分7次在同一個(gè)網(wǎng)站上花掉的，銀行難道都不會(huì)覺得奇怪嗎？銀行對(duì)網(wǎng)上購物難道沒有任何單日額度限制嗎？”

　　據(jù)報(bào)道，工行日前稱，該行的個(gè)人網(wǎng)上銀行規(guī)則在今年6月10日進(jìn)行了調(diào)整。對(duì)于使用個(gè)人網(wǎng)上銀行的無證書(大眾版)客戶，如果需要對(duì)外轉(zhuǎn)賬或匯款，其單筆交易限額為2000元，當(dāng)日累計(jì)交易限額為5000元。但使用證書(專業(yè)版)的客戶不受此限制。

　　除了在電子系統(tǒng)上進(jìn)行完善，法律專家還表示，銀行應(yīng)該加強(qiáng)對(duì)客戶的風(fēng)險(xiǎn)提示。上海嚴(yán)義明律師事務(wù)所的嚴(yán)義明律師認(rèn)為，即使銀行沒有法律上的賠償責(zé)任，但從商業(yè)倫理角度來講，在安全不能完全得到保證的前提下，銀行為了商業(yè)利潤(rùn)而簡(jiǎn)化開通手續(xù)，這對(duì)客戶來說是不公平的。

　　目前，銀行對(duì)大眾版客戶的風(fēng)險(xiǎn)提示都不太明確。招行工作人員表示，所有招行的持卡人都自動(dòng)成為個(gè)人網(wǎng)上銀行大眾版客戶，無需任何注冊(cè)手續(xù)。如此，客戶根本沒有機(jī)會(huì)從銀行那里得到風(fēng)險(xiǎn)提示。工行工作人員則表示，他們不會(huì)主動(dòng)向客戶提示：使用大眾版網(wǎng)銀賬戶被盜用的風(fēng)險(xiǎn)需由客戶自己承擔(dān)。但如果客戶主動(dòng)問起，他們會(huì)如實(shí)告知。

　　在工行個(gè)人網(wǎng)上銀行網(wǎng)頁注冊(cè)大眾版賬戶時(shí)，《每日經(jīng)濟(jì)新聞》發(fā)現(xiàn)唯一的風(fēng)險(xiǎn)提示出現(xiàn)在“電子銀行個(gè)人客戶服務(wù)協(xié)議”中，其客戶義務(wù)中的第五條顯示：“甲方(即客戶)應(yīng)按照機(jī)密的原則設(shè)置和保管密碼：……取其他合理措施，防止本人密碼被竊取。由于密碼泄露造成的后果由甲方承擔(dān)。”

　　香港網(wǎng)銀推出雙重認(rèn)證

　　浦發(fā)行一位電子銀行專家透露，美國的銀行一般對(duì)外承諾：客戶網(wǎng)上銀行交易發(fā)生風(fēng)險(xiǎn)，銀行照單全收。而香港金融管理局、香港銀行公會(huì)及香港警務(wù)處也于今年5月30日聯(lián)合宣布，香港銀行界推出網(wǎng)上銀行的雙重認(rèn)證。

　　報(bào)道稱，鑒于網(wǎng)上銀行服務(wù)日漸普及，網(wǎng)上銀行詐騙伎倆層出不窮，香港銀行界達(dá)成普遍共識(shí)，認(rèn)為銀行應(yīng)就高風(fēng)險(xiǎn)的網(wǎng)上銀行零售交易推出雙重認(rèn)證。銀行將于2005年6月底前準(zhǔn)備妥當(dāng)，以供客戶進(jìn)行雙重認(rèn)證。客戶若要進(jìn)行上述交易，將須采用雙重認(rèn)證。

　　據(jù)了解，香港銀行最常采用的雙重認(rèn)證方法有三種：電子證書、通過手機(jī)短信發(fā)出只用一次的密碼，以及由保安顯示器發(fā)出只用一次的密碼。