ZDNET至顶网安全频道 11月28日 北京报道(文/陈广成):网络银行在给用户带来便捷和高效率的同时,也伴随着安全风险的出现。据国内某媒体的调查,针对网上银行安全性的用户平均满意度得分仅为59.2分。年内爆出某网上银行出现的安全问题,也佐证了用户在使用网银过程中的担忧。
另据易观国际最近的调研数据显示,目前在网民面临的各类安全问题中,“账户密码被盗”和“遭遇木马钓鱼”造成的资金损失比分别达33.9%和24%。同时,调查发现受访互联网用户中仍有54%的用户因为担心安全问题未使用网络支付。
我们看到,国内银行也在不断完善风险防控机制,网银、网上支付平台不断推广使用数字证书、手机动态口令、U盾、动态密码等安全防护工具,保证用户资金安全。RSA全球副总裁Ann Johnson在接受ZDNet记者采访时表示,“中国银行面对欺诈风险的意识不断提升,并不断投资于银行的基础架构和基础设施。在内部组织建设方面,还有制定防欺诈的政策,尤其是在防钓鱼方面已经做得比较领先了。”
RSA,EMC信息安全事业部全球副总裁 Ann Johnson
在美国,银行100%重视客户的便利程度,所以在美国很少有向客户发放令牌的做法,更多的美国银行是采用基于风险的认证和强认证的方法。在中国,看起来银行用户对令牌的接受程度还是可以的,但也制约着一部分用户的使用。如何平衡网络银行的安全性和便捷性?Ann介绍说,要想协调者两者之间的关系,对银行来说最好是采用分层的安全方法。比如部署解决方案检测用户登录的情况,并对客户的交易进行监督。
保障内部及外围安全 构建全面风险管理体系
现在无论是中国的银行还是国际的银行,在防范外部攻击方面已经做得非常好。但来自银行内部的威胁开始显现,内网的犯罪活动越来越多。“对于RSA来说,最好的解决方案就是部署分层的解决方案,在内部需要有足够的身份认证和加密,以及日志、合规和治理。除此之外,像RSA的NetWitness 的解决方案,也能够很好的检测网络上发生的一切行为的变化。”Ann说到。
Ann进一步说道银行构建全面风险管理体系的三个建议。
第一,银行业内部必须加强合作,无论是中国的银行还是国外的银行,在这样一个组织结构里,共同分享所面临的攻击信息。根据这些攻击的信息来进行合作,从而最大限度的减少所遭受的损失。
第二,作为技术提供商,也需要跟银行之间继续加强合作,技术厂商需要提供更多、更好的解决方案来供银行使用。
第三,安全产品的解决方案,要运用到更多动态和智能化的技术。威胁的不断变化,需要更主动的防范措施去应对。
针对移动设备的网络银行安全策略
Ann认为,未来三到五年,网络银行一定会越来越多的采用移动的方式进行交易。调查显示,Android系统是第三季度唯一受到所有新型移动恶意软件攻击的操作系统。过去一年针对Android系统上的恶意软件的数量增长了400%,黑客已经开始把注意力转移到移动设备上来了。
一方面我们看到恶意软件变得越来越复杂,钓鱼攻击也会变得越来越复杂。这些针对移动支付的攻击行为,对银行来说形成新的挑战。如何在未来进一步提升自己在银行领域的竞争力,一定要吧注意力放在移动领域的应用。Ann强调,要预测一些未来针对移动设备的攻击,需要做最好的准备和打算,比如自适应的解决方案。同时要对解决方案不断调整,针对不断涌现出来的威胁进行主动的防范和应对。
“在移动应用中采用强大的一次性口令和基于风险的验证,有助于消除移动支付的担忧。”Ann介绍说,RSA推出为移动应用开发人员设计的软件开发工具包(SDKs),作为基于Web的自适应认证产品,可以检测设备本身,也可以检测设备的位置,并且可以从全球的智能信息网络里抓取信息,并基于RSA的风险引擎对用户进行分析。Ann进一步说到,这种自适应的产品,最重要的功能就是行为分析,采用行为的算法看使用这些设备的人,是不是和平时使用人的习惯相匹配。另外,和基于软件的令牌产品,在移动产品中集成强大的一次口令和基于风险的验证,因此可以提高安全性和可信性。
