胡蓉萍

　　今年1月以来，网银客户资金被盗案件频发，引起了监管层的注意。

　　本报获悉，近日，银监会陆续向银行发出了网银和网站系统安全性漏洞的风险提示，同时要求相关银行和财务公司在今年3月底之前报送数字证书控件相关漏洞整改情况。

　　“很多风险提示有防患于未然的作用，而非真正出现了相关的案例，现在首当其冲的风险就是动态口令的风险。但无论如何，监管机构都是未雨绸缪。”某股份制银行电子银行相关负责人表示。

　　信息泄露隐患

　　近日，国家信息安全专业测评机构对商业银行进行了网上银行的渗透性测试，发现部分银行存在信息泄露和系统漏洞等安全风险。该机构在测试中发现，某银行的基金超市存在漏洞，基金用户的用户名、密码等信息容易泄露，攻击者可以用以登录网银系统，外部攻击者还可能利用其进行数据库非法操作，甚至获取管理员账号信息，以控制整个系统。

　　“很多基金超市其实是在基金公司网站上，通过银联的合作来实现各个银行卡可以买基金的功能。这相对安全，不是百分之百的安全，安全隐患是可能存在的。”上述银行电子银行部相关负责人表示。另外，还有银行的网上房屋交易平台未对登录过程加密，容易造成用户信息泄露。

　　据接近监管层人士透露，测试中还发现某银行的网络学院页面存在内网网络结构信息泄露的风险，某银行的公众服务页面也存在着其路径信息泄露的漏洞。部分银行网站则存在外部攻击者可能利用漏洞对用户进行钓鱼攻击的可能性，例如某银行的通用版个人网上银行登录页面、某银行的养老金管理中心网站等。

　　接近监管层人士表示，监管层除了希望银行做好在整个信息系统完善的过程中加强对系统安全性的考虑之外，外围系统的安全保护工作也应该引起足够的重视。

　　此次渗透性测试表明，国内不少银行的外围系统的安全防护水平较低，攻击者容易获得外围系统控制权，并以此为跳板进入银行网上银行系统。

　　监管层同时要求银行加强外包管理，严格执行安全管理策略及程序，加强对外包商开发的系统的测试和验证。

　　数字证书控件漏洞整改

　　在中行网银动态口令用户网上资金被盗的案件频发之后，数字证书被越来越多的金融机构认为是网上银行使用中更为安全的手段。

　　但中国信息安全测评中心发布的信息安全漏洞通报显示，部分银行网银系统所使用的中国金融认证中心(CFCA)的数字证书控件存在可被远程利用的安全漏洞，对客户端系统造成重大安全隐患。

　　CFCA对本报称，技术上来讲，CFCA的证书应用工具包是基于微软的底层安全接口进行开发的，随着微软的Windows操作系统和IE浏览器的不断升级，一些微软原有的底层安全接口不再建议使用。同时随着IT技术的发展，一些软件实现方式也被发现存在一定的安全隐患。

　　“为了保证数字证书的最终用户能够正常使用数字证书，不受微软操作系统和IE浏览器升级的影响。同时也为了避免因IT技术发展，对数字证书最终用户的终端系统带来的潜在风险，CFCA对证书应用工具包产品进行了软件升级。”CFCA在回复本报采访提纲时表示。

　　安全漏洞通报出来后，银监会就此和中国信息安全测评中心、中国金融认证中心以及工行、华夏银行、民生银行、兴业银行和广发银行等相关金融机构就安全漏洞整改问题进行了讨论，督促金融认证中心加快数字证书控件升级改造及相关安全测试工作。

　　监管机构要求在金融认证中心的数字证书升级版经国家有关信息安全部门测试合格后，各银行应尽快完成整改工作，在3月底之前将整改情况上报。

　　来源：经济观察网