互动论坛：银行的网络安全防范实录

　　2006年12月6日，电子金融网络安全论坛在北京举行，新浪财经独家直播。下为互动论坛：银行的网络安全防范实录。

　　主持人：：今天我们讨论一下网上的安全，我们邀请辛全龙，它是农村商业银行的副行长，包括孙国军，是我们金山软件公司业务部门的副总裁。有请两位上台。

　　辛全龙：：下午好，非常荣幸有这么一个机会和大家共同讨论网络安全的问题，因为我想利用这个时间简要地把我们行里面刚做好的安全体系向大家展示一下，然后我就互联网安全的问题，包括我们网络银行的安全问题，我们防范来自外界的这些攻击，采取的一些措施，这些问题再简要地向大家汇报一下。

　　首先我用很简单的时间，把我带来的PPT给大家放一下，过一下。我们这个安全体系是和我们天中信公司合作建成在中国银行界第一个，安全体系分三部分，第一部分是安全的防护，第二部分是我们安全的制度体系，第三个是我们安全管理体系，最近我们安全体系刚通过了由公安部门组织的北京市网络行业协会安全等级测评中心，安全测试，我们在国内是第一家，我们测试的批准问号是NO.1，下面我就把这个PPT快速地给大家过一遍，这个我就不说了，客户要不要互联网，这是肯定的，再过五年银行没有互联网就要关闭了，就要退出市场竞争，未来五年以后，谁拥有先进的网络银行，谁就拥有金融市场，谁就会拥有非常雄厚的竞争力。

　　我们安全措施，今天大家讨论的技术比较多，实际上我认为安全是三分在技术，七分在管理，在制度，所以互联网并不可怕，从我们的实际来看，只要把安全防护做好，我们中国有句话，明知山有虎、偏向虎山行，所以我们并不可怕，所以我们银行里，是发展互联网，发展网络银行是重中之重，放在各项工作的首位，这地方我不再说它的道理了。

　　这是我们行的网络银行，网络银行我们主要是通过三个渠道介入，一个是手机，一个是我们的远程终端或者叫客户自助终端，我们通过指纹识别进入的，我们最近向外界已经公布，我们即将推出指纹银行这个概念，实际上是一个客户自助终端，第三个是通过互联网访问，我们主要提供的交易，还是放在我们传统的银行柜台所提供的交易，我们希望通过网络银行把我们传统柜台的交易，用两到三年的时间把90%的柜台交易转到网上去。

　　大家看一下这个图，发现这个互联网太可怕，来自各方面的安全的威胁，包括病毒，包括恶意代码、流氓软件，包括说的比较可怕的木马病毒，包括大量的拒绝访问，这么多的安全，我们还做不做网上银行，当然一定要做，我们怎么做？

　　我们做主要是从几个方面，第一方面我们按照公安部门的要求，把我们的网络分成安全级和安全域，对不同的级和不同的域进行管理，第二我们要进行一套安全的管理体系，第三个我们要积极地与客户沟通，向他们宣传互联网会给他们带来便利，带来交易成本的下降，带来客户效率的提升，现在在中国，特别是跟一些企业客户，和高端个人客户，谈业务的时候，没有互联网是不可能谈成的，主要解决的问题做好同客户的沟通，做好我们的风险防范机制。

　　这个就是我们的整个体系建设的情况。我就不再说了，我们这个体系从建设到专家认证，到测评中心测评，我们在国内是第一个通过测评的银行，现在有很多银行到我们这儿学习，最近刚得到一个消息，我们的奥组委要到我们银行看一下，以我们这套安全体系建立我们奥运会的这套安全体系，所以从这个方面来看，我们的工作做得还是比较出色的。这就是我们银行的分域保护的体系，我不再详细地说了。如果把图详细地说完，可能得到晚上七点了，所以不再多说。

　　下面说一下安全阶段是个过程，是一个循环，是从安全的计划到安全的实施到安全的检查到改进，到新的安全的威胁，解决新的安全威胁的计划到这个计划的实施，是一个轮子不停地在转，随着互联网上出现的安全的威胁，我们要随时改进，调整实施改进我们的安全体系。

　　这是我简单给大家过一下我们银行的安全体系，我是希望在网络安全方面，希望有一些问题我在这儿简单地跟大家探讨一下，第一个，我想是这么一个问题，我们安全和效益的问题，或者说有安全怎么来解决安全和发展业务的问题，我们认为网络的安全带来的并不可怕，虽然我们国内有很多银行受到攻击，但是从目前来看，它的数额还是很小的，和我们银行的贷款损失来说还是不再一个数量级上面，从这个角度来看互联网并不可怕，我们现在银行还是大力发展互联网，这是第一个。

　　第二个我要说的，我们怎么解决黑客或者木马病毒，或者来自于因特网的攻击，可能大家在研究问题的时候，专家太多会把问题搞得很复杂，我们有一个非常行之有效的办法，就像丁磊说的比较妥的办法，我们有两套认证，第一套是在网上面的，我们日常的认证，比如说数字证书，比如说密码，但是我们在支付的时候，通过手机这个系列，我们在支付的时候，在线地给你的信息发一个确认函，接到这个确认函做两件事，第一个统一支付，第二要把手机上的动态密码输到网页上，木马水平再高，看不到我们手机，因为手机和我们网银系统是两个系统，如果密码和账户被盗，手机不确认永远丢不了。

　　第二我们通过远程终端访问我们网络银行，我们网络银行后代是一个，前面有两个，一个是因特网，一个是我们的专线，像DDN，像ATM这些专线，专线是很安全的，我们是通过指纹来确定客户的身份，因特网输入我们就通过这种方式确定身份，到目前为止我们行里没有发现任何一个支付的问题，所以我们很好地解决了网络安全的问题。

　　第三个我想说一下，安全的风险防范机制，或者叫做风险管理机制，我们太多的说安全了，把互联网说得非常可怕，甚至有人说，这个互联网还能不能在银行运用，这个信息时代，我刚才已经重复了一遍，我们怎么办？我们发生了问题要解决问题，如果是因为客户使用了互联网造成了资金安全，我们会有一个风险补偿机制，我们会很好地给客户来解决。

　　我们银行千万不能说，你那个电脑染了病毒，你那个电脑染了木马，你的密码被盗，不是银行的责任，这样的话客户不敢用了，我们是用赔偿机制，如果客户不是恶意地偷盗银行资金，发信是第三方黑客造成客户的损失，我们有一个风险补偿金，把客户的损失迅速弥补，保证我们的互联网金融畅通无阻，谢谢大家。

　　(掌声)

　　主持人：：谢谢辛先生。我们可以看一下你们的发言吗？

　　孙国军：：我是孙国军，来自于中国的金山软件公司，我有一个简单PPT，在前面包括有我们的同行，包括在银行界的朋友提出了各种方案，包括前面的像周先生和江民他们都通过各个侧面讲述了网络安全，我这里带给大家更多可能是关于网络安全探讨的一些内容。

　　(播放PPT)

　　大家下午好，我要跟大家探讨的内容是怎么样去构建一个面向终端用户的一个金融保护系统，在此之前我用三句话的形式介绍一下金山软件公司，创建于1988年，在中国的一个领先的应用软件和服务的提供商，目前主要有三大支撑业务，一个是以WPS为代表的办公软件，和金山毒霸为品牌的信息安全传播和翻译软件，最后一个是数字娱乐三大部分。

　　我要介绍的几个部分是这样的，一个是我们的运用背景，第二是信息安全目前所遇到的挑战，第三在这个挑战中，我们提出的一些思路或者是做法。

　　第一个，为什么我们面向终端用户呢？前面有很多在金融和政府这样的机构提出了很多各种各样的解决方案，应该说都是非常好的解决方案，但是我们回过头来看，作为普通用户这一级，和专业系统来比，设备非常简单，成本也非常低，没有什么防护系统，同时网络应用还多种多样，一个系统里所有的都要跑，唱歌、聊天、看看新闻、玩儿玩儿游戏，操作技能也不是很高，没有专业人员维护，同时面临的网络，并且也是多种多样的，前面提到传统的像病毒、木马，还有蠕虫，随着网络运用的越来越多，网络攻击针对金融的有钓鱼网站、恶意软件，多种多样的威胁，我们传统的信息安全产品，面临了新的挑战，包括安全威胁的不确定性，就像刚才我们前面很多专家提到的，我们除了病毒以外还可能有钓鱼网站和恶意人间，用传统的反病毒软件就难以奏效，打个最通俗的比方，你在网吧的时候很有可能后面站了一个人看你的输入。这是有可能的。

　　第二是传统反病毒技术，在这种情况下，我们怎么去在这种基础上进行扩充，面对新的这种运用的需求，我们提出了一些关于这种终端用户的这种金融保护的一些思路，第一个，我们提出了一个叫“按需防御”，实际上大家知道，我们现在开始推广等级保护，实际上按需防御是等级保护在用户客户端的一个延伸，我们知道用户的电脑实际上是一个非常通用的电脑，我们不可能在这个电脑上做的像一个铁桶一样，任何时刻像一个铁桶一样，用户的需求是多种多样的，通知用户还有别的运用，不可能性能也非常低，这种情况下要找到一个平衡，把各种用户的运用分阶段的运行，在做网上交易的时候，系统最安全，可操作的自由度也是最低的，其他的我仅仅是浏览了一下新闻，自由度就会比较高，这种情况下，从而在性能和安全之间得到一个平衡，针对这种按照用户的需求进行防御的方案，针对于金融保护来说我们提出了反钓鱼保护的内容，比如在白名单和黑名单的提出上我们增加了智能比对，当用户有恶意邮件进行访问的时候，我们可以及时地提醒用户，第二点是用户的历史操作记录，突然有一天发生改变的时候，我们也可以提醒用户，通过这样的一些方式，能够结合我们现在的白名单、黑名单，能够进一步提高反钓鱼的效果。第三点提到的事件关联，前面都提出了，实际上病毒的威胁的多种多样性，在这种情况下，把传统的检查威胁变成保护运用，比如说大家知道杀毒软件可以保护自身，我们可以把它扩展一下，比如用户进行金融操作的时候，我们保护IE，作为自身的程序一样，任何的注入都可能不起作用，这是一种思路，这是第一点。

　　第二点，我们可以分析用户的操作，以前我们行为分析总是分析病毒的行为，总是暗地的，我们很难找出它，我们可以尝试分析用户的操作，用户的操作总是明的，在这种情况下，比如用户的交易，在网上登陆银行网站的时候，他自己所在的环境需要提出什么样的安全需求，我们做相对应的防护，我们做一种反向的思维，这样来看，我们就有了几点比较新的一些思路，变成保护运用，行为分析分析用户的运用，基于这样的思路，我们把反病毒的软件本身以病毒为基础，以查杀病毒为目的，变成一个广义的，保护用户金融安全或者各种操作安全的这样一个新的思路上来，我的介绍大概这么多，谢谢各位专家。

　　(掌声)

　　主持人：：谢谢两位，我讲一个比较简单的大概的问题，怎么样提供一个网络银行的按照使用环境，同时一个成本低和便于使用的环境，这是一个比较大概的问题。

　　辛全龙：：我来说一下大概的看法，我们行的网上银行，自己认为在中国的银行界是最领先的，第一方面是安全的，第二方面是快捷的，比如说我们网上的网页，和客户在我们柜台上见到的页面是同一个页面，客户既可以在网上做，也可以到柜台做，这样的话担心安全的人，到柜台点一下指纹，很快不用带卡不用带折，不用带传统的凭证，带一个指头就可以办银行业务，这是非常快的，比如说贷款、购买基金、股票、

理财产品，这都可以，我们基本上做到一个客户号下面可以办若干个业务，给客户造成非常大的便利，这个便利在网上和我们柜台服务是一样的，这是第一个。

　　第二个，我们解决安全的问题，我们是不追求客户数，追求客户服务的品质，因为我们因特网的用户全部是证书用户，带IK的，其他银行所谓的大众用户，带账户和密码的在我们这儿没有用，第三个，有些客户会带来不便，我们有一个网上支付账户，是这样，是一个只能在网上支付，不能在柜台ATM取款的账户，如果客户的密码和户名被盗以后，能够攻击的就是这个账户，这个账户往往就几千块钱，够日常的支付用，如果需要动他在银行的传统账户，比如另外一个账户有两千万人民币，需要通过另外一个渠道，通过网上发指令，比如刚才我说的手机电话进行确认，才能动这笔传统的账户，这样的话我们做到安全和快捷的统一。所以我们网说银行好用就是因为特别快捷，其他的网上银行对安全进行了过多的限制，造成客户一看安全这套措施头就晕，不会操作，操作出的问题又不承担责任，这样的话给客户造成畏惧，使用我们行的网上银行是非常快捷、非常方便，我们每个人有一个网页、页面，可以自己定制，真正地把客户的快捷抢在第一位，把安全放在第一位，把银行的服务放在第三位。两个并列第一，一个第二，这么一个关系，谢谢。

　　(掌声)

　　主持人：：谢谢谢谢，孙先生，同一个问题。

　　孙国军：：大家好！刚才主持人提到的问题，我来讲一下金山公司的思路，我们提出的一个最鲜明的观点就是互联网，互联网上的信息安全产品，我们所有的思路都立足于互联网，寄托于互联网，在这里边有两点，第一点我们强调技术本身，技术本身用来解决的是安全性的问题，就是技术影响，比如我们怎么样快速应对安全威胁，我们提出的一些制度化，我们内部叫K3A，类似这样比较好的方案，我们在用户的自动分析和自动给用户提供在线升级的这样一整套的服务，相对应的一系列的快速解决用户安全的机制。

　　第二点，我们同时还是用户体验，用户体验来源以，注重于用户在使用安全性的同时能够得到更好的性能、利用性，特别是针对普通初级用户的这样一些特点的解决方法，比如能够灵活运用，我们的查杀速度，我们查杀病毒的数量，或者解决安全威胁的数量的同时，我们讲求它的处理速度，不仅仅是把安全的，我能处理多少威胁放在第一位，而是两个并重。取得一个平衡，同时比如说我们的下载包，我们总是把它打到最小，让用户在网上下载的时候，总能最快地速度获得我们的服务，当其他的产品达到几十兆上百兆的时候，我们小于十兆帮助用户快速地解决，占的内存更小，平衡这两点之间的关系。我的介绍这么多。谢谢。

　　主持人：：谢谢，现在下面的观众可以问问题，有没有问题？如果没有问题，我就要感谢两位发言人。让Byron来主持我们的会议。