觀點

網路銀行的安全如何做

2003 / 01 / 27
網路銀行的安全如何做

文/邱詩琁


傳統銀行業務現在要轉移到電子平台上,銀行業者除了需要資訊服務廠商來協助其e化,更需要資訊安全的相關廠商來保障其資訊安全,讓駭客不得其門而入、機密資料不外流,最重要的是讓客戶有信心,放心在線上進行金流交易,網路銀行才有蓬勃發展的可能。而資訊安全廠商如何替銀行規劃這塊安全地帶?本文帶您一同來了解。

銀行案子規劃、建置期長
每天經手龐大金流的銀行業,對安全的需求自然較其他產業更為嚴苛,廠商表示一個案子執行下來經常是經年費時的。寬華網路執行副總鄧中淦指出,銀行業對安全的要求、期望較高,因此建置期前的評估、規劃期會很長,有些甚至達一至二年,而緊接下來的建置期最短也要半年;因此對廠商的要求自然較高,在爭取銀行客戶時,廠商都必需提出非常詳盡的企劃書,才能博得銀行的青睞。


這也許說明銀行業背後那隻推動網路運作或資訊安全的手往往是較大規模的廠商,擁有多家銀行客戶的IBM便是憑其完整的產品及服務線,和豐富的經驗,而成為銀行業的首選。IBM資訊服務部協理陳長榮表示,IBM曾有過一個案子,光是在建置前協助客戶擬定相關的IT政策,就花了一年的時間,且動用了兩位台灣籍顧問、四位外國籍顧問團隊。


鄧中淦也舉其最近完成的銀行案子為例,其建置期長達八個月,再加上建置完成後的調校期二個月,總共花了近一年的時間進行;而之前的規劃期為建置期的二至三倍,因此這個案子總共進行了兩年多。


由於規劃、建置一個銀行案子,要花極長的時間,相對的要投入許多人力和物力,廠商因此也必須在規劃時做詳細的評估,有時在關鍵處的變動和修正,會嚴重影響專案的進度,因此需要有足夠的經驗去做判斷;而之間的風險,廠商也必需要有承受的能力。


且因銀行業對安全的需求高,鄧中淦提到,銀行資訊部門的人員常會去參加研討會、課程了解最新的產品、技術和趨勢,且會不斷對廠商提出問題和需求,因此合作期間便要符合銀行端的需求,不斷再做調整。例如前年發生DDoS(阻斷式服務攻擊)事件時,除了要替銀行客戶解決當時面臨的問題,銀行客戶想得長遠,還會詢問若往後發生類似狀況,該如何因應。因此資訊安全廠商常常需預想各種狀況,提供一本Q&A教戰手冊,供銀行的資訊人員參考。

安全能做到什麼程度?
銀行業要面臨的風險遠較許多行業為大,因此要做到什麼樣程度的安全保護才能保證其安全萬無一失?陳長榮指出,大概在二、三年前銀行業者開始紛紛建置網路銀行,而從去年下半年,因為越來越多的駭客、病毒入侵事件,甚至是行員監守自盜等案件,才讓銀行業者更留意安全問題,並重新檢討過往未齊備的安全機制。


因此針對安全這塊領域便逐步、陸續去補強和加強,從短期來看,當初未考慮到的安全面向,現在要即刻加以補強;而長遠來看,未來因提供的網上服務增加,而相對要加進去的安全機制,現階段便要開始考量、規劃和建置。


鄧中淦提到,安全是沒有百分之百的。安全是長期性的工作,因此客戶都是採取每年編列預算,以滿足當時的需求,逐步將其安全防護牆架構得更堅固。陳長榮便指出,目前網路銀行仍在發展階段,銀行業也在觀察其發展趨勢,目前網路銀行的交易量並不大,在需求還不夠大時,就先將安全措施做得固若金湯,也有違常理。


此外,由於經濟不景氣,客戶的IT預算難免縮水,因此多半先將預算運用在和業務最相關的應用上,其餘需求的會較慢考慮;但最基本的保護措施一定會先設置;但要做到什麼樣的安全程度,需要先去評估需求和預算,並從中取得平衡點。精誠資訊產品專案處處長陳駿為提到,銀行業為了保障其安全,一定會做備份和備援工作,例如裝設防火牆、防毒產品都是採取一對的;但並非所有設備產品都會備份,主要是評量其重要性,通常和存取安全最直接相關的會率先著手。


鄧中淦指出,把銀行對安全的期望及他們目前所擁有的環境整合起來,需求也跟著被創造出來,當然需求還必須和預算相結合。廠商會先為銀行客戶做資訊資產調查,首先要知道需保護的是什麼,坐落在哪個位置,再替其描繪出安全規劃架構圖。


例如某台存放有兩萬筆客戶資料的機器,其價值為何?要用多少的預算和設備來保護它?因此在建置期之前,會花二到三週的時間,針對其資訊資產做分類,檢視其弱點何在?能否改善?及要如何改善;接下來再做風險的評估,除了技術面外,管理面、政策面的改善方法都會一併將其考慮進去。

安全問題不只出在技術面
近來發生的金融案件,帶出了資訊安全並不單靠產品、技術的防護就足夠,人員的管理和稽核面亦非常重要。鄧中淦強調,思考資訊安全一開始看到的是產品,產品是必需品,但緊接其後的便是管理面的考量。就像遇到緊急事件時,要立即做出適切的危機處理,平常若沒有極佳的管理和維護機制,危難發生時恐怕也派不上用場。


因此資訊安全服務廠商,除了要替銀行規劃、建置相關的產品和設備外,有時亦須協助客戶訂定相關的安全政策。目前銀行業的資訊部門多半並沒有專門負責資訊安全這領域的人員,鄧中淦表示,銀行目前仍需要讓其員工多接受資訊安全的教育訊練,將資訊安全的觀念和做法落實在每位員工的每日工作上。畢竟銀行業的多數員工都有可能經手到極為機密的客戶資料。


關於保障網路銀行的安全,陳長榮強調PKI(公開金鑰基礎建設)建置的重要性,銀行端除了保護其設備的安全、網路傳輸的安全及內部系統的稽核和控管外,網路上交易安全所要保障的交易資料的完整性、私密性、身份確認及交易不可否認性,就有賴以密碼演算為基礎的PKI金鑰機制來保障。陳駿為亦提到,PKI是銀行業、金融業最迫切需要的基礎建設。


從資訊安全常常被提到的涵蓋範圍如網路安全、應用安全及管理系統的安全來看,要保障網路銀行的交易安全,不只單靠廠商所提供的設備、產品,PKI的運用,及落實一套健全的管理政策,都是保障其安全的重要環節。就如同廠商所言,沒有百分之百的安全,銀行端要提供一個安全的交易環境,只有不斷地在這三個面向持續努力,畢竟安全是一刻也鬆懈不得的事。