银行信息安全问题

　　网络化后的银行信息安防系统都会存在一些或大或小的问题。银行在安全防范中采用了人防、物防和技防三种防范手段，建立了初步的安防系统，为确保银行业务的安全运行发挥了作用。但由于技术水准及网络安全维护的限制，存在以下网络安全防御问题。首先是银行内外信息互不相通问题，网络化下原本应该畅通八达，但事实上信息孤岛现象严重，，安防管理信息也散布于各个子系统中，没有办法充分运用;再来则是系统功能不统一、不规范，缺乏整体规划和统一的建设标准，技术水准参差不齐等等。

　　银行界约从1982年开始陆续推动存款系统连线作业，但那个年代还未出现因特网，整个银行联机都在一个封闭网络进行，所谓的信息安全问题只在乎临柜的作业层面的安全控管。因此信息安全范围局限于传统信息安全概念的银行内部。

　　网络化后银行信息安全的范围就不一样了。随着科技的发展，负责资安的银行IT人员对U盘的控管倍感压力。U盘用于存取数据，具备便于携带的特点、储存量也不小，若不控管，数据可能很容易就外泄，对于银行不管是客户个人资料还是监控录像都难以控管，加上网络普及，数据外泄时有可闻。同时伴随网络黑客的攻击，网络攻防越演越烈，银行防御难以落实。

　　因而，银行对信息安全应有更多的关心与责任，信息安全的范围应更清楚的跨越出银行内部，达到监控以外的客户及金融信息安全部份。这些信息安全必须要做到以下三项银行信息安全防御方可达成。

　　银行端信息安全的防御

　　银行端信息安全的防御。银行端的防御包括建立安全防护、提高系统可靠性之措施及制定作业管理规范等三方面。建立安全防护上银行可以采取建设安全防护软硬件：如防火墙(Firewall)、安控软件(弱点扫描机制PortScan、安全评估机制SecurityAssessment或渗透测试PenetrationTesting)、侦测软件(入侵检测机制IDS，IntrusionDetectionSystem或入侵防御机制IPS，IntrusionPreventionSystem)等。设计存取权控制(AccessControl)：如使用密码、身份证字号、磁卡、IC卡等机制。系统提供各项服务功能时，应确保个人资料保护措施，如因特网联机通道安全机制(SSL，SecureSocketLayer)或虚拟专用网络(VPN：VirtualPrivateNetwork)。此外近年来，较受银行采用的还有内容保护(ContentProtection)相关安全机制：如文件管制机制、垃圾邮件过滤机制、邮件安全机制、网络内容过滤机制、实时通讯软件(InstantMessenger，简称IM)过滤机制、网页内容实时保护机制等。

　　客户端的防御

　　客户端的防御也就是身分识别(Identification)。客户签入(Login)是网络银行身分识别的方法，目前银行客户签入采“用户代号”及“密码”进行身份识别，根据《金融机构办理电子银行业务安全控管作业基准》之规定，“用户代号”不得使用客户之显性数据(如统一编号、身份证号及账号)，密码与用户代号不应相同，原则上密码效期一年，变更密码不得与前一次相同，首次登入时，应强制变更默认密码，而且用户代号及密码均有复杂性之要求，如不得少于六位，不可订为相同的英数字或连号数字，若连续错误达五次，不得再继续执行交易等等安全设计规范。

　　客户端的信息安全防御

　　客户端的信息安全防御是交易认证(Authentication)，金融界从1993年开始提供“税费EDI服务”(EDI，ElectronicDataInterchange，电子数据交换，系指透过共享的标准数据格式，经由电子传递方式，不同公司不需重复键入，让计算机能够自动传送处理数据的作业)，当时EDI作业的安全核心就是使用PKI(PublicKeyInfrastructure，公共钥匙基础结构)技术，PKI系指传送方与接收方使用非对称性密钥方式，以一对公钥(PublicKey)和私钥(PrivateKey)来进行交易之电子签章(DigitalSignature)，在执行交易的过程中，提供一个安全严密之平台。

(责任编辑：)