安全無止境 預算無上限 ~分享中國國際商銀完善安全機制

資料對於銀行的重要性
中國商銀資訊處長黃永貴表示，銀行之所以願意花費鉅資不惜成本來保障各項資料，實在是因為這些資料都是銀行機密且核心的重要資產。「如果銀行受外力重挫，7天之內不能做好資料的復原，這家銀行就垮了…」黃永貴如是表示，同時他又指出，大樓垮了、主機毀了，資料也就損毀；但大樓、主機可以重建、重買，但資料毀了，沒了就是沒了。中國商銀在資料安全的防護措施上，之所以做的非常嚴密，沒有其他原因，就是為了保護銀行的重要資產。對資料的安控機制其相關做法如下：
1. 連線主機的資料，採高權限存 取；另外增設一主機，專做各類系統開發之線上測試之用。
2. 資料備份（利用磁帶備份資料 ，備份資料約3年複製一次；存放磁帶資料之磁帶庫，慎選特殊材質且耐高溫）。
3. 磁帶資料採異地存放。
4. 安全考量資訊大樓（資訊單位 ）獨立作業；安全管理從門禁卡、樓層載重量、重要機房…等等建置，都經過特別設計。
5. 建置災難備援中心，同時在異 地設置第二備援中心。為了減少與中心與各備援中心之資料落差，以二條高速專線將資料傳輸至各備援中心。

安全無止境
資訊安全的防護工作是無止境的，外在環境一直在改變，新病毒不斷冒出、駭客入侵手法一直翻新，銀行的防護工作也必須跟得上大環境的變化；加上Internet之興起，其無遠弗界的特質及開放性的環境，對銀行的衝擊更大，尤以線上交易安全最受影響。在Internet的環境下，如何加強線上交易的安全防護機制，將是銀行的一大挑戰。

線上交易的安全機制常會與銀行交易的方便與成本造成衝突，由於銀行對安全的要求較高，所以成本部份不是問題，但在方便性上則造成相當的困擾，主要是因為目前一般人對憑證觀念的不足，加上憑證的過程麻煩，又有使用期限，雖然憑證機制對線上交易的安全性高，但一般使用者普遍接受度不高。中國商銀先期針對以非約定戶頭轉帳的B2B企業用戶做推廣，因為是高風險的交易，對安全的要求較高，加上企業用戶的交易量大，又有專人負責，所以中國商銀在PKI等憑證機制部份會先從B2B做起，然後再做全面性的推廣。

動態密碼卡
另外，針對定位簡單、方便的B2C個人使用端部份，在使用高風險性的非約定戶頭轉帳時，提供多重安控機制，中國商銀推出「動態密碼卡」（One Time Password）。用戶在使用線上交易時，只要輕按「動態密碼卡」即可輸入密碼進行交易，而每次交易時所得的密碼都不同，如此便可防範密碼資料外洩或被竊取盜用。「動態密碼卡」可以解決電話銀行或個人網路銀行用戶使用非約定戶頭轉帳之用，讓網路銀行的交易更加安全。強調安全、方便的「動態密碼卡」，中國商銀目前是以100元低價做推廣。

資訊安全委外部份
要做好資安的防禦工作，像是外部駭客的攻擊，可說是防不甚防，所以在安控系統部份，由於CA資安產品線齊備，又有中控系統機制，所以中國商銀選擇採用CA之系列產品。針對網路及伺服器之安控部份，中國商銀所使用的CA產品，有下列三大項：
1. 安全管理eTrust
a. 防毒牆（Content Inspection）
b. 入侵防護（Intrusion Detection）
c. 存取控管（Access Control）
d. 集中稽核管理（Audit）
2. 企業系統監控與效能分析（Unicenter NSM）
3. 儲存管理BrightStor 另外，為了避免遭受病毒攻擊，以維持工作效率與生產力，整個中國商銀在網際網路閘道、伺服器和桌上電腦都裝設防毒軟體。並以集中機制做掃毒，由資訊中心提供專用的伺服器做掃毒，讓各分行落實執行定時掃毒及更新病毒碼的工作。

中國商銀資訊中心以集中機制提供各分行掃毒的做法，除了可以解決分行沒有習慣做定期掃毒及更新病毒碼的問題外，最重要的是解決了資訊人員的痛，因為可以不用再三不時五時接到分行之中毒求救電話了！ 黃永貴表示，中國商銀除核心業務不做委外，其他專案則交由廠商所提供之委外服務來做。由於中國商銀人員之不足，加上缺乏開發新系統之經驗，為了借重外面的專業人才以及縮短開發時間，所以選擇委外。與其他企業不同的地方，中國商銀要求這些委外服務廠商必須進駐至銀行，以方便管理，而最後的維護則由中國商銀自己接手。

內部人員控管問題
黃永貴表示，至今為止，曾經發生過的銀行舞弊案，很少是由兩人以上共同串通預謀的案例，之所以會發生的主要原因是原先規定必須經過兩人處理的事，最後由一人去做。其實這部份銀行機構早有訂定相關規定，但卻是有規定，沒有落實執行。為了落實二人做一事，中國商銀的解決之道是將密碼分成兩段，前後4碼分交別由二人持有，必須經過兩人前後輸入完整的密碼後才可進入系統或做資料的存取。 中國商銀認為安全是無價的，尤其是對銀行而言，所以只要有需求，有關資安的預算是不設上限的。但是潛在的風險無所不在，防不甚防。就連資安已經做到相當完備的中國商銀也只能感嘆道高一尺，但魔高卻不只一丈！中國商銀是如此，各企業也應是相差不遠。資訊安全工作無止境，只有堅持下去者，才是最後贏家。