目前，Internet银行存在的最大安全隐患是用户的个人资料在传输过程中被第三者窃取的可能性。银行虽然是尽力保障在线服务的安全，但是随着Internet的不断发展以及攻击技术的不断提高，银行也需要采用更新的方法去保护自己及用户的信息。

　　本篇文章将以11个潜在的安全风险为例，说明银行如何减低在线交易的风险，从而提高在线银行的可靠性，赢取用户的信任。

　　风险一: 物理出入的不安全

　　众所周知，银行严格控制物理出入口并让公众注意他们的这些行动，目的是向储户证明存放在银行的贵重物品是很安全的。他们向公众自豪地展示一大堆钢质的银库，令储户深信银行是非常重视物理安全的。在线银行的安全也应该受到同等的重视。例如：银行的服务器、路由器、防火墙甚至电话交换机，一定是被安放在有出入口控制的地方，特别是重要机器更应受到严格控制。用户身份的标识和识别（Identification and authentication, I&A）机制应只允许需要进入的职员进入安全区。适当的I&A 机制有：扫描脸孔、瞳孔、角膜或是指纹；智能卡一次性口令产生器等。此外所有物理进入安全区的信息必须全部用电子手段记录下来。同样，传输设施也要受到控制。如，铜线要穿过集合管，不要经过不安全的地方。此外，还要特别注意向外连接的接点，例如：电话机房应该是上锁的。

　　风险二：防范措施的不严密

　　据报道，Vladimir Levin 在1998年2月被纽约市法庭判处有期徒刑三年。Levin是“1994年非法从花旗银行转移1千2百万美元财产到数个国际银行账户”案件的主谋。花旗银行与FBI及国际刑警合作才把罪犯缉捕。

　　这些事件令银行的公众形象大受影响，用户会怀疑被攻击银行所提供的在线交易的安全性。

　　银行系统和网络被攻击的最大原因之一是用了过期及没有‘补’好的操作系统和应用软件。很多用户忽视了网络及系统软件的必需及时地进行修补，尤其是银行用户更要注意系统软件（如：操作系统）的升级。

　　第二个原因是安全配置参数不规则。有些安全系统例如防火墙，配置时需要非常小心。据ICSA统计，70%的网络漏洞的出现是由对网络安全产品的错误配置造成。假若你的网络管理人员不清楚如何配置路由器、网桥、网关及防火墙时，最好是请教系统供应商或者安全专家。

　　安全的配置因新服务的增加而时常需要变动，参数的变更很容易把原来是安全的计算环境变成不安全的。银行需要不断地进行独立的、有目的的分析，才能保证你的网络防范系统的有效性。

　　第三个原因则是黑客利用系统和网络漏洞的技术日益提高；而黑客工具的泛滥使黑客群体不断扩大。早期的黑客需要有专业的网络知识，而现在的黑客可以使用傻瓜型的黑客攻击软件就可以破坏网络系统了。

　　风险三： 执行不安全的代码

　　今天的高度分布式的计算机环境是安全专家的恶梦。即使是在用户自己严格监管下开发的软件，都难以保证是安全的。例如：1997年6月一家美国财务机构只是因为一个程序错误，使525,000个账号个个都有1900万美元假存款，造成19.9兆美元的误差。Internet 因容许执行如Java applets及ActiveX controls等小程序，强迫所有用户接受某种程度上的不安全。虽然Java 普遍被采用于Web 站点，但Java 有自身存在安全缺陷。用户可以找到有很多applets潜在漏洞的例子。

　　ActiveX在架构上是没有安全局限的，通用的ActiveX Controls电子签名系统应该是有安全保障的。但事实上，即使是带有签名的控件也可以是有害的。在网络上能找到ActiveX示范小程序演示如何运用一些技巧来破坏数据、穿过防火墙传送机要信息或者令系统崩溃等。

　　因为上述的危险已经广为人知，很多用户不再使用Java及ActiveX。银行不应大量使用这些程序语言编写在线交易系统。

　　另外一类有攻击性的代码是病毒。今天已有超过20,000种病毒活跃在PC和Mac的世界里，而传染最广泛的是存在于Microsoft Office文档中的如Microsoft Word及Microsoft Excel宏病毒。大型和中型的服务器以及网络操作系统如：DEC的VMS、IBM的MVS、HP的MPE、Novell的Netware、Banyan的VINES、和不同的UNIX系统（AIX、IRIS、LINUX、AT&T的System V、BSD UNIX等），这些操作系统不象微软系列那么容易受到病毒的侵害。它们不同于Windows95/98及Mac操作系统，它们有安全内核和限制用户级程序活动的机制。银行大量应用个人电脑作为客户端设备，为病毒的传播提供了良好条件。所以为了防止病毒，应把所有银行PC机都安装上最新版本防病毒软件；文件服务器、EMAIL服务器和防火墙上也应配有病毒扫描软件。这听起来似乎很容易做到，但是实际上因为很多公司缺乏有效的PC操作规则，他们甚至不清楚自己有多少台PC，所以很难将这些数以万计的PC都装上最新的防病毒软件。完备的防毒机制少不了中心控制和管理系统，它们自动、定期地获取最新的病毒特征文件，然后分发并安装到所有的PC机和服务器上。

　　特洛伊木马程序看上去是有用的可执行文件，但它们包含有危险的隐蔽指令。最近的一个例子是频频被新闻界提及、臭名昭著的Back Orifice2000程序。只要运行NT 或98的计算机中有一个程序被BO2K感染，BO2K就会把自己安装在系统里而不被用户察觉，这时黑客已经可以随心所欲地访问被感染的计算机了。所以，为了保证在线交易的安全，银行的安全政策应阻止用户尝试安装不合规定的软件。 银行职员不能随意打开他们E-mail中所带的附件，特别是来自银行外部的E-mail，因为它们很可能携带BO一类的特洛伊木马程序。最近流传于世杀伤力强大的HAPPY99.EXE蠕虫就是一个自动经E-mail 散播的程序，这就充分显示出用户执行他们经E-mail收到的程序的危险性。

风险四：地址欺骗和口令冒用

　　假若犯罪分子伪装成合法用户去进行交易，那么这种欺骗可造成很大的经济损失。为了保护存户的财产，在线交易系统应强制执行强硬的I&A机制。遗憾的是一些银行拒绝改进他们所使用的I&A技术。虽然口令已被认为是较为笨拙的认证手段， 但几乎所有在线交易系统仍然使用这种方式。 一些用户甚至使用个人的身份号码或生日日期来做口令。1997年在伦敦金融区进行的口令调查显示，87%的口令很容易被人猜测出来。这些口令大部分是配偶、朋友、足球队、宠物或者是孩子的名字， 有些甚至是输入口令时眼前桌上的东西。PIN（Personal Identification Number个人身份号码）通常只有四个数字长，只要撕开信封就能找到（PIN通常是放在密封信封里，以专递形式送到持卡人手中）。

　　使用电子证书认证是另一可行的办法。合法用户持有一个密钥（其实是一列二进位数据）用来为每一交易产生唯一的加密认证代号。 因为欺骗者很少有机会坐在储存认证代号的计算机面前，就很难冒充持钥人去进行交易。

　　除此之外， 这方面的在线银行系统的安全很难有其他实质性进展， 除非付款过程被改成需要更强地验证交易人的电子身份与真实身份的系统。只要犯罪分子不需要面对面地出示身份证明文件来证明持有该信用卡， 冒充某人去欺骗银行的可能性就存在。

　　同样影响了电子证书普及的另一个缺陷，就是证书发给谁与该用户的真实身份没有很强的联系。欺骗者始终是可以愚弄证书供应方。

　　还有一种被经常利用破坏在线交易的方法是IP地址欺骗和接管会话(Session Hijacking)。作案者改动系统的电子身份变成Internet上另一个计算机身份，有些攻击是接管客户软件的身份，有些是接管服务器的身份，两种冒认都会对银行利益带来严重的损失。

　　假若犯罪分子冒用一个安全的、可信的银行网址并发布相似的Web页面去欺骗用户输入身份及认证代号，犯罪份子就获得了这些机密的信息并可以冒充持卡人欺骗银行。识破这种假冒攻击比较困难， 因为只有利用客户系统上存有的资料才能检测出这种欺骗行为。所以非口令方式的认证仍然是防范这种攻击的首选办法。例如利用智能卡能时常改变应答，即使犯罪者从这些机器抓到一个或多个认证代号也没有用。自身特征认证加上有效的密码算法也可以用来防止这些信息被重用。

　　从另一方面来看，接管一个合法用户与银行服务器之间的会话可以将用户的帐号被利用到无法无天的地步，打击这类攻击是在先进的防火墙上实施适当的安全措施来检测IP欺骗行为。

风险五：监听

　　对电子商务最具威胁性的是监听一个用户与一个站点接受订单或信用卡信息的Internet会话。有调查表明,Web站点的负责人为了消除新用户对信息传输安全的担心， 建议用户利用其他办法如发传真、打电话甚至邮寄他们的个人信用卡等机密信息。其实这纯粹是观点问题，因为甚至不加密，犯罪者随机截取有意义的商用信息的机会是较小的。过去，Internet 网上也被用来传输信用卡号码， 但信用卡号码在传输时被截取的案例很少发生。

　　但是曾经发生过信用卡号码表单被人盗取的案件。作案人进入提供在线交易的公司网络并且在网上安装网络探测器。例如：1990年代初，一个作案者进入一家电话公司的交换中心，把探测器和电话交换器连接在一起，然后窃取了其中的55,000个电话公司的信用卡号码。他将号码卖给一家欧洲电话服务公司。 该公司利用偷来的信用卡号码拨打了数千万美元的欺骗电话。另一个案例是：一个黑客攻入圣地亚哥某一ISP的计算机并盗走10万个信用卡号码。 这个黑客名叫Carlos Salgado Jr.。这10万个号码是他用网络探测器从12家提供网上交易服务的公司资料中非法获取的。 Salgado还计划把这些号码放入CD-ROM中出售。 幸运的是， 当他以260,000美元出售该光盘时被FBI密探拘捕， 这才及时地制止了可能给存户及银行带来的不可估量的损失。

　　换句话说，最有效的防止用户信息被窃取的方式是控制进出计算机机房的人员， 并仔细调查所有能够进入网络及服务器的用户。 还需将存在银行系统中的用户信息全部加密以后再放在硬盘上。 这样， 即使有人进入数据存放的地方也不会得到象账号或信用卡号码等敏感数据。

　　此外，加密为监听传输数据带来另一重障碍。很多商用网络承认Secure Socket Layer(SSL) 的价值（在WEB服务器与客户系统之间提供软件数据加密） 。 有关专家警告用户不要相信不用SSL的网站，较多的浏览器都支持SSL。单从公众及市场角度考虑，银行必须将所有客户交易用SSL加密。还有，为了达到更高的安全性，SSL密钥必须不停地改变。

　　银行也应采用安全电子交易（Secure Electronic Transaction SET）协议，SET 是现今信用卡处理系统的缩影。它是每一个电话及交易纸条的电子版本，Mastercard (万事卡)、IBM、SAIC、GTE、RSA、Terisa Systems 及VeriSign 都承认SET 标准，SET 的目的是统一使用单一的技术标准来保证在开放的网络（如 Internet）中使用信用卡来进行交易的安全性。SET利用电子签名技术对所有交易进行认证以确保交易信息没有在传输的过程中被修改，同时也保证了签名者的商业信用。 SET在银行中的应用将使现存的欺骗行为大大减少。

　　近年来，处理器速度的高速提升及并行处理器的发展令密码分析员可以使用蛮力破译加密信息。在最近几年，高速运算力使得破译Digital Encryption Standard DES 及Rivest-Shamir-Adleman RSA的 PKI 加密信息的速度成倍增加。1997年，14,000 台并行计算机需要8个月破译56-位定义的所有密钥组合的一半；六个月后，即1998年二月， 时间减到22天；到1998年七月， 又减到56个小时； 1999年一月， 只需要22个小时。

　　那么，银行是否应该担忧破译速度的提高？其实不用，因为密钥的长度每增加一位， 密钥组合的可能性就增加两倍。适当地增加密钥的长度和更加先进的密钥算法可以使破译难度大大增加。

　　新发现的现有加密算法中存在的固有弱点其实比破译的问题更加严重。1998年，一位在 Bell Labs 工作的研究员使用一个叫做活跃攻击（active attack）的新方法成功地破译了SSL。虽然一个黑客要向Web 站点发出大约一百万个小心编写的信息条，还要进行仔细分析才能够破译一个真的密钥，但为了防范，Netscape、 Microsoft 及Security Dynamics 的RSA部门马上发布补丁程序来堵塞此漏洞。

　　另外， 银行网络管理人员一定要熟知密码破译技术的发展并保证及时在系统中安装最新的补丁， 以堵塞为公众所关注的漏洞。

　　另一个在线支付的模式是智能卡电子钱包。 在该系统里，银行（或其它财务机构）把用户能够从银行账号中提取的资金数量记录在智能卡里，然后利用电子证书来证实每一个智能卡的合法性，所有参与的商家用特别的阅读器将智能卡上的电子现金读入阅读器里的快速记忆体（Cache）中然后提取金钱。这方法的好处是匿名交易，不好的地方是电子钱包的丢失就等于现金的丢失。 电子钱包在欧洲已非常流行，美国也正在试行。

　　风险六：使用人员的疏忽

　　安全专业人士认为，很多（或大部分）信息系统安全性的减低是由没有足够训练、缺乏常规指导及工作情绪差的员工所造成的。

　　例如， 如果一个客户服务部的职员没有遵守银行关于用户保密的服务标准，在公开场合宣读特别用户的银行资料，这将导致不可收拾的局面。1995年，美国有一千五百多个纳税人档案，未经税务局职员许可被浏览， 他们向朋友、亲属展示电影明星、音乐家及政客的个人税务资料。

　　推行安全政策和训练员工是降低这种风险的重要做法，这样做同时也保持了良好的工作环境。

　　风险七：缺乏信任

　　1997年，两个台湾工业间谍贿赂一位在Bristol-Myers Squibb 工作的科学家， 要求他提供该公司生产的Taxol （一种防癌药品，有数亿美元的潜在市场）的详细操作资料。 此科学家马上向他的上司汇报。 后FBI 经BMS 的帮助缉捕这两名间谍。因为科学家的忠诚而避免了一场经济风波。银行经理必须明白他们要依赖员工的忠诚去处理在线交易，如同依赖忠实的员工去保护银行其它财产及客户关系一样。

　　风险八：拒绝服务攻击

　　有些安全专家认为，拒绝服务（Denial-of-Service DoS）攻击是最严重的威胁，以至影响Internet 的正常发展。 DoS 攻击利用系统和网络之中某些程序的脆弱性使系统重要资源迅速饱和。

　　DoS攻击的危险性在于 攻击者只需要很小的代价就能达到目的。例如，1996年非常有名的 SYN-同步风暴 攻击， 其实攻击者只需发出大量的要求与不存在的IP地址相连接的请求就能造成系统崩溃。 1996年12月， 有人向Santa Cruz 的WebCom 公司每秒发出200个这种攻击，使公司网页在销售高峰期中的40小时里不能接受外界的业务访问， WebCom 因此攻击蒙受了严重经济损失。

　　黑客们不停地推出新的 DoS 攻击模式。 最近在网络上流行的是Smurf 攻击。 黑客的攻击方法是利用网络广播地址产生大量的网络流量，导致网络带宽资源枯竭。

风险九：缺乏ISP信用认证

　　因为在网上用户无法确认服务提供商的信用状况， 所以Internet 网上可能发生严重的诈骗行为。

　　所以合法银行的危险是这些诈骗者建立的看似合法的网站。

　　风险十：缺乏用户保密标准

　　诚实的人在Web 站点开展业务所面临的另一问题是用户隐私被滥用。 很多ISP把用户信息卖到大宗Email 服务公司、散发宣传单的公司及其它直销公司。 用户通常是愤怒自己的名字、地址及其它私人资料，在未经自己同意的情况下被第三者所使用。 银行应制定用户保密标准，例如：

　　·在网站上解释清楚保护隐私政策

　　·主动提供多样化通信方法与用户沟通

　　·非常清晰地告诉用户哪些交来的资料是保密的

　　风险十一：缺乏交互性

　　最后是网上交互的问题。业界统一的技术和通讯标准的缺乏使得来自不同厂商的产品的兼容性大打折扣。 直至截稿为止， Microsoft 被指控有系统地尝试破坏计算机行业的良性竞争。 例如：Microsoft 被指证用不标准的Java 语言破坏Java 编程语言平台的独立性。

　　加密产品更是以不统一著称， 即使是Entrust 及PGP 这两个流行的加密软件（两者都基于相同类型的加密算法）也不能阅读对方的电子签名。 银行对这种状况也无能为力， 只能向生产厂商施加压力，促使他们制定共通的标准作为产品兼容性的保障， 如同汽车行业决定强迫零件生产商遵守共通的标准一样。

　　结束语

　　许多市场因素驱使银行要提供网络在线服务， 最根本的原因是Internet 银行是最便宜的服务方式。一个银行柜台交易的成本可能高达 1.5 美元，但在线交易的成本仅仅是几美分。其他因素包括：

　　·银行之间互相竞争， 争取存款用户

　　·用户要求服务多样化

　　而安全的保障是Internet银行业务正常运转的前提条件。所以，银行在考虑推出在线服务时，必须建立完备的防范及灾难恢复机制。