网上银行安全事件的反思网上银行安全事件的反思2010-08-0223：45整理日期：2007-02-08今年以来，网上银行安全事件层出不群，闹得沸沸扬扬，据网易财经：网银危机()上公布的信息，受害者近千人，损失资金金额也近千万元。如果你在银行的科技部门，就知道这些事件带来的波动效应有多大，几乎所有银行的网上银行都极大的关注这些案件，从上至下，进行安全自查，封闭可能漏洞，关闭风险等级较高的功能，以最大限度地提高系统的安全性，降低客户的资金风险，当然，我也被折腾的够呛。可以说，工行此次事件不但给工行的声誉和上市进程造成了严重影响，而且几乎给所有其它银行的电子银行业务都带来很大的冲击和负面影响，我身边的好多人在了解到这些情况后，有的直接关闭了网上银行的功能，有的则坚定了不相信网上银行系统安全、而且决不开通网上银行功能的想法。就整个事件反思，个人认为：1)工行的对整个事件的态度确实存在问题在网上银行出了安全事件后，不分青红皂白，一律推到受害人身上，按"工行网银受害者联盟"(www.ak.cn)网站上事件相关人的描述，工行把受害人"妖魔化为弱智群体，然后把我们一脚踢到公安机关；甚至工行还混淆其商业银行的企业身份，对我们肆意诬蔑和打压"。可以说，工行的这种态度是很多大型国有企业(包括其他行业)的通病，丝毫不出人意外，大家在日常生活中碰到这样的店大欺店案例并不鲜见。在最新一期的《新金融》杂志上，仍看见工商银行电子银行部的主管领导在推脱责任，说问题全出在用户身上。个人对此也深有感触，有一位同学在工行数据中心，我们在聊起此事时，他仍坚称：整个事件仍是"别有用心"的人在夸大其辞，即使其中真有受害人，那也是他自己太笨。个人以为目前在中国，没有人敢公开地对中国工商银行这样的大目标"别有用心"，所以我宁愿相信，www.ak.cn上公布的受害人，不存在造假的可能。态度决定一切，国家足球队原主主教练米卢这话说得没错，我相信，如果工行不是始终独善其身、推脱责任的态度，事件也不会闹到如此地步。回过头来看看招行，能够在网站上开通论坛，专门收集网友的反馈，来不断地更改和升级系统，印证了其"因您而变"的企业口号，其他哪家银行能有些魄力开这样一个论坛?当然了，以现在这种系统的水平，最好还是不要开，会被口水淹没的。2)工行的系统确实存在问题据我个人估计，这次大面积暴发的网上银行安全事件的主要原因就是出在工商银行网上银行系统登录页面的安全控件上，工行最早的网上银行系统使用的是普通的HTML控件，而且也没有使用验证码，后来，在系统升级时，加入了图片验证码，也加入了安全控件，但这个所谓"安全控件"的安全性并不高，不但不能防止大部分键盘记录软件(KeyLogger)的截获，也没有对数据进行加密(详见于2004年我对此进行的分析：网上银行"安全登录控件"分析)，再后来，他们再次对安全控件进行了升级，对数据进行了加密，也能够防止大部分KeyLogger的截获，但据了解内情的人员透露，仍然存在漏洞，工行也在考虑进行进一步的升级。有人也许会说，工行的系统管不了用户机器上的木马，但是，系统安全是一个整体的概念(信息安全领域的"木桶理论")，光做到银行端的安全是没有用的，黑客不会找最安全的地方来进攻的，即然网上银行系统的页面扩展到了用户端，那么银行就有责任地保护这部分应用(最薄弱的部分)的安全。3)工行的安全事件响应机制存在问题按照中国人民银行和银监会(它们在此次事件中也有监管缺失的问题)有关要求，商业银行在开办网上银行时，一定要建立安全事件响应机制。但就此次事件来看，没看出来他们的响应机制在哪里，首先是没有积极地帮助受害人锁定帐户，其次是没有积极与公安机关配合，尽早对所有事件统一分析，统一处理，而只是在事件闹得沸沸扬扬的时候，才"正面回应"，结果仍是"工行回应网银资金失窃案称系统不存在漏洞"()。按说对于网上银行这种安全性要求非常高的系统来说，系统务必要记录访问客户端的所有细节，不但应包括最重要的客户端IP地址，还应该包括HTTP请求(Request)中的所有变量，如远程主机名、User_Agent、HTTP_REFERER、Accept-Language/Encoding等数据，这些数据将对追踪访问人、电子取证、案例侦破提供提供非常有力的证据，很多系统会记录IP地址，但往往会忽视其它一些特征数据的记录，而通过对这些数据的分析，有助于对那些通过代理来进行犯罪的黑客进行证据搜集。据个人分析，这些重要数据很可能被工行的网上银行系统所忽视，以至于影响了有