来源：央视国际

　　不久前，一些在中国工商银行进行过网上银行注册的客户，收到了一封来自网络管理员的电子邮件，宣称由于网络银行系统升级，要求客户重新填写用户名和密码。这一举动被工行工作人员发现后，经证实是不法分子冒用网站公开信箱，企图窃取客户的资料。那么，在这一事件中是否有客户资料被泄露出去？有没有对银行业务产生影响？

　　工商银行遭遇的这次黑客事件，使我们对信息安全不得不再次提高警惕。当越来越多的交易行为通过网络来进行的时候，这个虚拟世界能否给我们提供安全保障？我们应该如何运用法律和制度对它加以规范？

　　虽说在国内通过盗用网上银行公开信箱窃取客户资料的事还是第一次出现，但是，犯罪分子的这种攻击行为对所有的网站都是一种威胁。无独有偶，就在本周，美国政府向全球金融机构发出警告，有一种计算机病毒已经把世界范围内的1200家银行作为攻击目标，企图通过网络盗取企业客户在这些银行里的账号和密码。这1200家金融机构中间包括了摩根大通、美国运通、美洲银行和花旗银行等多家跨国金融机构。收到警告，这些银行又准备了哪些应对措施呢？

　　虽然花旗银行表示目前为止，他们并没有受到妖怪病毒的影响，但是，美国联邦调查局的警告并不是小题大做。妖怪病毒现身以来，就以快得惊人的速度在传播，美国的信息实验室计算机安全公司称，自从6月4日第一次发现了妖怪病毒，截止当地时间6月5日的中午，就已经在125个国家截获了37000多份的病毒样本。参与调查的安全专家们认为，这是第一宗专门针对单一经济部门的网络攻击。

　　作为对单一的金融部门网络进行攻击的挑战者，这种妖怪病毒究竟是凭借什么手段发动挑衅的呢？记者走访了研制生产电脑软件的公司，找到了专门研究反病毒软件的技术人员。

　　李铁军是一名电脑软件技术支持工程师，他告诉记者，电脑病毒共分五等，级别越高毒性越大，妖怪现身的当天，就已经被定性为4级病毒，在这个平时用来做实验的虚拟电脑系统里，李铁军为我们做了一番演示。

　　电脑软件技术支持工程师李铁军说：“现在我们在这个机器当中查一下，系统内存当中应该是没有病毒的，是干净的。”然后这是一个病毒程序。

　　记者：这是妖怪的病毒程序吗？

　　李铁军：“对，这是病毒程序，直接执行，现在系统已经中毒了。

　　记者：我怎么能看出来呢？

　　李铁军：“普通用户他这边是感觉不到，有经验的用户会发现，我们先看一下这个病毒的邮件是什么样子的？这就是那封病毒邮件，这是我发给我们同事的，这是我这台机器中毒之后，发给其他人的，他的主题是hello，然后这里面带了一个这样的附件，只要双击打开这个邮件，打开这个邮件浏览的情况下就中毒了。

　　李铁军解释说，妖怪病毒变化多端，很具有迷惑性。当它以电子邮件的形式出现时，主题往往是“你好吗”或者“非常有趣”之类，它的传播途径总结起来包括电子邮件、共享文件、系统漏洞等，几乎囊括了流行病毒传播的所有方式，并且这种病毒即使被发现，用手动删除根本不起作用，必须依靠专杀软件进行清除。难怪这种病毒会被称为妖怪，它的毒性之大令人吃惊，李铁军告诉记者，妖怪病毒造成的影响也同样不容忽视。它会在机器当中开一个后门，开的那个后门可以记录下来一些用户最基本的键盘记录，你打键盘的一些记录。如果病毒设计者所有一切都想知道的话，那他都会给你记下来，你都做了些什么。它如果破解了银行的账号、密码，就可以轻松的获得别人的财富，可能这是他(病毒制造者)的一个主要目的。

　　通过分析，李铁军认为，银行会是妖怪病毒的最终目标，因为假如用户使用的电子邮件的地址与病毒原型软件储存器中存有的金融机构的地址相同，它就会判断这个人有可能是银行系统的一个员工。然后通过对他的电脑进行监控就可能获得银行系统更多有价值的信息，例如进入系统的密码。在我们的采访结束的时候，李铁军忽然收到了一封来自朋友的电子邮件，邮件显示，就在他演示病毒的过程中，妖怪就已经偷走了这台电脑里的邮件地址，并进行了复制和发送。截至目前，妖怪依然还在兴风作浪。我们电话联系到了本台驻纽约记者屈小平，他向我们介绍了此次事件最新进展。

　　屈小平：“我刚刚了解到的一个消息，印度一名叫辛格的电脑工程师因为入侵外国银行的电脑，进行信用卡诈骗，已经被警方拘捕，辛格被捕的时候，警方在他家中找到了50张信用卡、手提电脑，还有影碟机以及5个手提电话。目前这一次的bugbear.B病毒的变种是不是跟他有关还在进一步的证实之中。从网页表面上看，银行并没有受到影响，也没有受到更多的客户个人受到侵害的投诉。”

　　互联网上出现病毒并不少见，但是这种带有黑客性质、专门针对银行帐户的恶性病毒，其危害性远远超过了一般病毒。美国网络安全委员会就发出警告：如果不及时更新病毒防护系统的话，全球任何一家银行都有可能被妖怪病毒攻击。而在我国，现在已有20多家银行的200多个分支机构拥有网址和主页，其中实际开展网络银行业务的分支机构达到了50多家，注册客户超过1000万户。国内网上银行的交易安全有没有保障？银行采取了哪些措施抵御来自网络的恶意攻击？

　　招商银行的“一卡通”在全国一共发行了有两千多万张。而依托于这种储蓄卡所进行的远程电子化处理业务，在招行的个人业务当中占到了80%，所以电子网络的安全问题对于招行来说显得格外重要。

　　从1998年4月率先在全国推出“网上企业银行”至今，招商银行已经建成了网上银行、电话银行、手机银行、自助银行等在内的较为完善的网上金融服务体系。招行北京分行电脑部经理王建恒告诉记者，为了防止黑客从银行网站上盗取客户的金融信息，他们每时每刻都在对网站进行监控，并对系统的防火墙不断实施加固措施。

　　招商银行北京分行电脑部经理王建恒说：“系统上我就把防火墙做得足够得牢固，使得黑客无机可乘，这是系统上的，还有一个是应用上的，就是说，一个客户在往这边传信息的时候，我要在这个路由上进行加密，使得另外一个人他企图去截获这个客户的信息，他截下来也是没有用的，因为它是受加密保护的。”

　　王建恒告诉记者，目前招行的网上银行分为大众版和专业版两种，对这两种模式的网上银行，他们都采取了级别很高的安全防范措施。

　　王建恒说：“对于大众版来说，即使黑客把这个账号密码盗走了，那他也仅仅是能看到这里面的钱，而不能把这钱转移走，这个是一个非常关键的地方。”

　　而对于可转移资金的专业版网上银行，招行采取了在客户个人的计算机里安装“数字证书”的措施。

　　王建恒告诉记者：“这个必须得装在每个人自己的计算机里面，然后他再加上登陆帐号的密码，再加上数字证书，再加上取款密码，只有这样才能把钱转走，要想把这些东西轻而易举地获得是非常不容易的，所以我们在数字证书这个体系下，网上银行的安全性有了极大的提高。”

　　在监控账户安全方面，招商银行还推出了一种利用手机短信息对个人账户进行实时监控的新业务。手机用户在申请了这项业务之后，无论在何时何地，只要自己的账户资金有变动，都会在两三秒钟之内收到银行发来的手机短信。王建恒坦言，不断提高网上银行的安全性能无疑增加了客户操作的难度。但是为了保证客户的利益，银行还是会把金融信息的安全放在第一位。

　　银行金融信息的安全问题看来已经引起了金融机构的高度重视，而我身后的这撞大楼，看上去跟普通的写字楼并没有任何区别，但在这幢大楼的一个机房里，却存储了成千上万银行客户的姓名、帐号、密码等重要的金融信息。如果这里被黑客侵入的话，将会危及上百亿资金的安全。这幢没有任何建筑标志的大楼，就是中国农业银行总行的数据处理中心。

　　在经过严格的检查并采取了防护措施后，我们获准跟随农行运行中心运行环境处处长唐海泉进入了运行中心的主控机房。在这里我们看到的只是一排排高大的机柜，而银行与客户之间发生着的每一笔交易，最终都会记录在这些机器当中。

　　农行运行中心运行环境处处长唐海泉：“这个系统的安全性是非常高的，在全世界范围内这个等级也是非常高的，它的整个操作系统和开放式平台，和一般的WINDOWS平台、窗口平台差别非常大，一般的黑客是很难攻击到的，另外我们这个网络系统是自己生产网，自称系统自己组成的系统，和外面的公网基本不发生任何关系，所以说黑客基本进不了这个网，攻击不到这个网。”

　　虽然唐海泉对农行主机系统的安全性能显示出很强的自信，但他手下的工作人员仍然在24小时轮流监控着每一台机器的运行，一旦系统出现异常情况，技术人员会立刻采取果断措施予以解决。

　　有统计显示，在过去发生的网络金融犯罪当中，有80%为金融机构内部人员实施。作为一个员工数最多、营业网点最多的商业银行，中国农业银行在提高系统防范措施的同时，也重点对内部人员管理和监控。

　　中国农业银行科技部副总经理曹少雄说：“比如说我们业务网和我们管理信息系统网，就是严格分开的。过去传统的时候我们叫事后监督，我们用了新一代的软件，我们的系统在开始做事中进行授权控制，在事中就有人进行复合监督，这样就大大降低了内部人员违规操作，违章操作这种情况。”

　　网络是一个虚拟世界，同时也是一个开放的空间。保证网上银行的安全，除了各家银行内部采取的防范措施外，还需要银行外部的合作。只有共同建立一个统一协调的防线，才能防止黑客乘虚而入。

　　与传统交易相比，网上银行最大的特点就是交易双方——银行和客户之间不见面。这既带来了方便，也带来了安全隐患。对于交易双方来说，信息传递的私密性、真实完整性和不可否认性都是影响交易安全的关键因素。其实，早在三年前，国内银行业已经意识到信息安全的重要，并由中国人民银行牵头、联合十四家全国性商业银行共同建立了一个国家级金融认证机构——中国金融认证中心，那么，他们对于保障网上银行交易安全有什么绝招呢？

　　几经周折，记者才在北京佑安门内大街一个偏僻的胡同里找到了这家金融认证中心。中心总经理刘大隆告诉记者，这段时间，他们不断接到各种咨询电话，希望了解中心能够提供的信息安全服务。刘大隆总经理介绍说，作为目前国内唯一一家能够全面支持电子商务安全支付业务的第三方专业认证机构，金融认证中心成立的主要目的就是为金融机构提供信息安全服务。谈到日前出现的针对银行的黑客和病毒袭击行为，以及网上银行交易可能发生的种种不安全问题，刘大隆总经理表示，他们提供的服务就是目前国际上通用的解决办法。

　　中国金融认证中心总经理刘大隆说：“在网上的安全当中有一个核心的因素，就是相互之间的信任，我们在做银行的柜台交易的时候，客户要提交自己的证明文件，比如说身份证或者护照，以证明自己是顾客本人，不是假冒的，在网上，因为银行和客户互不见面，都在远端，怎么进行身份认证呢？怎么来实现相互之间的信任呢？这就要采用一种数字证书技术。

　　这种数字证书如何在网上交易中起到安全保护作用的呢？中心负责人现场进行了演示。

　　中国金融认证中心总经理刘大隆说告诉记者：“首先，用户通过浏览器上网(上)银(行)的网站的时候，数字证书在对双方进行认证的时候起作用，通过数字证书来确认双方的身份，建立双方之间的安全通道，使双方之间的信息在安全通道里安全的传输，当用户想通过网银做银行业务的时候，使用证书和不使用证书有一个比较明显的差别，就是做一笔交易之后，用户要通过数字签名来完成和确认这个交易，数字签名就是通过数字证书和数字证书提供的安全机制，使用户做的这份银行交易得到确认、得到加密，能够安全的在网上传输。”

　　这种操作简便的数字证书自身的安全性能不能得到保证呢？总经理刘大隆作了肯定的回答。

　　刘大隆说：“数字证书目前来讲非常安全，国内外银行、网上银行包括电子商务，已经发展了有十年了，在这十年以来，还没有一例由于数字证书被攻破而让不法分子得逞的案件。”

　　据介绍，金融认证中心自2000年6月挂牌以来，已经累计发放了12.5万张数字证书，这个数字相比250万的网上银行用户总数显然并不成比例，刘总坦言，数字证书的应用和推广目前面临的最大问题是成本和效率。

　　刘大隆告诉记者：“数字证书认证系统，包括数字证书的维护，都有一定的成本，当然这个成本并不是很高，拿个人证书来讲，每年的年费，也不过就是十块钱，一次性缴付，企业的也就是一、二百块钱左右，另外一点就是，如果采用安全措施，可能会影响网上银行的速度，大家认为，用了数字证书以后，网站的反应速度变慢了。”

　　因为这些，许多银行和企业客户就放弃了选择数字证书。对于这种情况，刘总表明了他的看法。

　　刘大隆说：“网上银行的安全措施总是需要代价的，但是相对于网上银行的安全来讲，这点代价是值得付出的。”

　　记者从金融认证中心了解到，今年之内，数字证书将实现不同银行间的跨行身份认证，到时企业用户只要在一家银行申领到中国金融认证中心的数字证书就可以在多家银行的网上银行同时使用。面对病毒和黑客的袭击，金融机构正在努力构筑自己的防护网。其实，在这层防护网外围，还有一层范围更广泛的防护网，也给网上银行提供保护，那就是公安部门在网上构筑的公共安全网。它维护着虚拟世界的安全秩序。

　　公安部十一局是专门负责公共信息网络安全监察的部门，高级工程师黄小苏告诉记者，在获悉妖怪病毒上周在美国大面积发作后，他们已经对国内的情况进行了了解和监控。

　　公安部公共信息网络安全监察局黄小苏说：“我们有一个专门的计算机病毒应急处理中心，我们通过这个中心来接受社会的一些举报，目前只有个别的用户向我们报告感染了这种妖怪病毒，但是很少。”

　　谈到国内也出现了有人使用诈骗手段盗用网上银行客户资料的案件，黄小苏介绍说，虽然这种利用计算机犯罪和直接使用黑客技术犯罪有一定的区别，但是都属于公安机关严厉打击的对象。

　　公安部公共信息网络安全监察局黄小苏说：“用户资料一旦被窃取，无论是不法分子通过什么样的方式和手段，公安机关都会依法予以严厉的打击和查处。”

　　黄小苏提到，近年来，随着互联网的广泛应用，网络犯罪也出现了新的趋势和特点。

　　公安部公共信息网络安全监察局黄小苏告诉记者：“我们做了两年的计算机病毒疫情调查，从调查的情况来看，病毒已经发生了一些变化，大量的病毒利用互联网传播的趋势还是比较明显的，特别是网页浏览病毒，还有植入后门病毒，还有口令猜测病毒，病毒已经不是传统的、有一些被动的触发条件来激活，而是主动地利用你的系统的漏洞，利用你系统配置的不合适，能够主动地感染用户。”

　　面对网络犯罪发展的新趋势，公安机关查处的力度也在不断加大。黄小苏介绍说，在与网上犯罪分子的较量中，最重要的是信息渠道的畅通，能够及时捕获蛛丝马迹，了解病毒传播的途径和来源。为此，公安机关正在构筑网上的应急处置平台。

　　黄小苏说：“通过这个平台，用户可以很方便地把你发现的，怀疑或者是已经被病毒感染的情况，通过网络的这种快速媒体，传到公安机关的接报警中心来，我们会通过这种方式，能够快速地发现和查处，包括控制病毒的感染情况和感染趋势。”

　　记者从采访中了解到，这种网上应急处理平台已经在国内部分城市投入试点，目前公安机关正考虑推广到全国。银行和公安部门在与网上不法分子的较量中，起决定性作用的就是技术。但俗话说，道高一尺，魔高一丈，病毒和黑客的花样同时也在翻新。那么，有没有办法切实维护网络安全呢？

　　在层出不穷的病毒和黑客面前，银行和公共安全部门都为信息安全做出了很多努力，但是，到现在为止，还从来没有哪家银行宣称自己的网络已经固若金汤。相反，病毒的泛滥、黑客的升级，使信息安全正经受更严峻的考验。到底有没有技术手段能根本保证网上交易的安全？我们联系了中国信息安全测评认证管委会专家委员会副主任屈延文教授。屈教授从事信息化研究和实践40多年，主持策划过我们国家多个大型信息化建设项目，

　　记者：“频频出现的病毒和黑客攻击是不是说明我们的互联网本身存在着天生的技术缺陷？”

　　中国信息安全测评认证管委会专家委员会副主任屈延文：“互联网本身从理论上讲是存在着不安全的因素，不安全主要是它的原始技术体制造成的，因为互联网的诞生，就没有考虑安全问题，这样广泛的发展起来，它的安全从后天往里加进去，它只有一个办法，那就是有什么问题去解决什么问题，就是我们说的治标的办法，治本的办法要改变根本的技术体制，而技术体制都已经定了，全世界花了这么多的资金、设备、系统、软件、和应用都建在互联网上，由于改技术体制让所有的这些应用设备都去改，显然是不现实的。”

　　记者：“对这一缺陷有根本解决办法吗？”

　　中国信息安全测评认证管委会专家委员会副主任屈延文：“我们现在没有治本的办法，但是我们还是有针对性的一些治标的办法。”

　　记者：“那么在现有的条件下，我们的技术手段能够有效防范黑客和病毒的进攻吗？”

　　中国信息安全测评认证管委会专家委员会副主任屈延文：“老百姓有这些担心是可以理解的，但是，担心应该建立在这样的一个基础上，因为我们国家的网络银行和我们银行后面的生产体系是分离的，网络银行上就是受到了攻击和损害的话，也不会对银行本身造成巨大的危害，对银行没有造成根本的危害，老百姓在网络银行上持有资金就是有保障的。”

　　记者：“最近发生了这些针对银行的网络攻击后，我听到这样一种说法，就是通过互联网完成网上银行交易是不安全的。你怎么看这种担心？”

　　中国信息安全测评认证管委会专家委员会副主任屈延文：“我们从来都是把防护和威胁是联系在一起的，通常来说，是威胁在先，防护在后，因为防护是针对威胁来研制的，不可能说，在没有威胁的情况下，就研究出防护技术，因为它不是理论的，它是具体的，它是有针对性的，我们现在可以这样说，你只要有一个攻击的方法出现，我们很快就可以有一个防护的技术出现，我们比这个防护技术迟后的时间，从科研的角度上说，还有的个别的小的那种威胁，几天就可以跟上去了，从大的方面讲，从产业的角度上讲，两个月我们就会有新的产品，大概是这样的情况，所以应该说，我们总是有办法来解决的。”

　　记者：“在没有找到根本性技术解决方案之前，我们是不是只能指望银行来完善自身的网络安全系统？

　　中国信息安全测评认证管委会专家委员会副主任屈延文：“没有监管的信息化，没有信息保障的信息化，没有信息安全的信息化，我们国家就没有真正的信息化，整个银行的安全，我们国家金融的安全，也就是整个信息化的安全，不是靠哪一个部门就能够搞好的，打个比方来说，我们部门或者一个单位的安全，一个行业的安全，就好像我们各家各户建的防盗门铁栅栏一样，是局部的，各家有防盗门并不等于我们都安全了，马路上还要有，还应该搞安全，我们还要有社会治安体系，从各方面来保障安全，社会上的安全是我们各家各户安全的保障，于是我们要建立监管，应急、威慑就是这个道理，还要打击犯罪，这些东西都要跟上，也就是说我们银行的安全是一个综合体系，不是靠银行一家来建设的，来保障的。”

　　正如屈延文所说的那样，攻击和防范就像虚拟世界的一对孪生兄弟，他们之间的较量从互联网诞生之日起就不曾停息。

　　目前全球与互联网相联的计算机约有1亿台，互联网上大约有30亿个网页，2000万个网址，每天在网络上传送的电子邮件达14亿封，平均每分钟就有97万个邮件被发送。预计到2004年全球互联网用户总数将达到7.091亿人。网上的虚拟世界与我们的现实生活正在融为一体，这个世界也同样需要安全和秩序。(《经济半小时》记者：孙菁 孙岭 宾芳 高杨 鄢闻余)