胡蓉萍

　　今年1月以來，網銀客戶資金被盜案件頻發，引起了監管層的注意。

　　本報獲悉，近日，銀監會陸續向銀行發出了網銀和網站系統安全性漏洞的風險提示，同時要求相關銀行和財務公司在今年3月底之前報送數字證書控件相關漏洞整改情況。

　　“很多風險提示有防患于未然的作用，而非真正出現了相關的案例，現在首當其沖的風險就是動態口令的風險。但無論如何，監管機構都是未雨綢繆。”某股份制銀行電子銀行相關負責人表示。

　　信息泄露隱患

　　近日，國家信息安全專業測評機構對商業銀行進行了網上銀行的滲透性測試，發現部分銀行存在信息泄露和系統漏洞等安全風險。該機構在測試中發現，某銀行的基金超市存在漏洞，基金用戶的用戶名、密碼等信息容易泄露，攻擊者可以用以登錄網銀系統，外部攻擊者還可能利用其進行數據庫非法操作，甚至獲取管理員賬號信息，以控制整個系統。

　　“很多基金超市其實是在基金公司網站上，通過銀聯的合作來實現各個銀行卡可以買基金的功能。這相對安全，不是百分之百的安全，安全隱患是可能存在的。”上述銀行電子銀行部相關負責人表示。另外，還有銀行的網上房屋交易平臺未對登錄過程加密，容易造成用戶信息泄露。

　　據接近監管層人士透露，測試中還發現某銀行的網絡學院頁面存在內網網絡結構信息泄露的風險，某銀行的公眾服務頁面也存在著其路徑信息泄露的漏洞。部分銀行網站則存在外部攻擊者可能利用漏洞對用戶進行釣魚攻擊的可能性，例如某銀行的通用版個人網上銀行登錄頁面、某銀行的養老金管理中心網站等。

　　接近監管層人士表示，監管層除了希望銀行做好在整個信息系統完善的過程中加強對系統安全性的考慮之外，外圍系統的安全保護工作也應該引起足夠的重視。

　　此次滲透性測試表明，國內不少銀行的外圍系統的安全防護水平較低，攻擊者容易獲得外圍系統控制權，并以此為跳板進入銀行網上銀行系統。

　　監管層同時要求銀行加強外包管理，嚴格執行安全管理策略及程序，加強對外包商開發的系統的測試和驗證。

　　數字證書控件漏洞整改

　　在中行網銀動態口令用戶網上資金被盜的案件頻發之后，數字證書被越來越多的金融機構認為是網上銀行使用中更為安全的手段。

　　但中國信息安全測評中心發布的信息安全漏洞通報顯示，部分銀行網銀系統所使用的中國金融認證中心(CFCA)的數字證書控件存在可被遠程利用的安全漏洞，對客戶端系統造成重大安全隱患。

　　CFCA對本報稱，技術上來講，CFCA的證書應用工具包是基于微軟的底層安全接口進行開發的，隨著微軟的Windows操作系統和IE瀏覽器的不斷升級，一些微軟原有的底層安全接口不再建議使用。同時隨著IT技術的發展，一些軟件實現方式也被發現存在一定的安全隱患。

　　“為了保證數字證書的最終用戶能夠正常使用數字證書，不受微軟操作系統和IE瀏覽器升級的影響。同時也為了避免因IT技術發展，對數字證書最終用戶的終端系統帶來的潛在風險，CFCA對證書應用工具包產品進行了軟件升級。”CFCA在回復本報采訪提綱時表示。

　　安全漏洞通報出來后，銀監會就此和中國信息安全測評中心、中國金融認證中心以及工行、華夏銀行、民生銀行、興業銀行和廣發銀行等相關金融機構就安全漏洞整改問題進行了討論，督促金融認證中心加快數字證書控件升級改造及相關安全測試工作。

　　監管機構要求在金融認證中心的數字證書升級版經國家有關信息安全部門測試合格后，各銀行應盡快完成整改工作，在3月底之前將整改情況上報。

　　來源：經濟觀察網