光大銀行網(wǎng)銀事故頻發(fā) 銀監(jiān)會親自問診
每日經(jīng)濟新聞
2011-08-19 15:39:56
每經(jīng)記者 金榮 發(fā)自北京
客戶資金頻遭盜刷,信息系統(tǒng)接連出現(xiàn)故障��,業(yè)務(wù)系統(tǒng)出現(xiàn)停滯���,正在沖刺H股發(fā)行的光大銀行(3.04,-0.02,-0.65%)(601818�����,SH)遭遇來自客戶和投資者的雙重質(zhì)疑:光大銀行的信息系統(tǒng)能否保證客戶的資金安全����?頻頻發(fā)生事故的信息系統(tǒng)能否支持光大銀行下一步的業(yè)務(wù)發(fā)展���?
針對光大銀行信息系統(tǒng)的重大漏洞���,銀監(jiān)會前不久專門委托了權(quán)威的國家信息安全測評機構(gòu)對該行網(wǎng)上銀行和網(wǎng)站系統(tǒng)進行測試,發(fā)現(xiàn)光大銀行存在銀行內(nèi)部信息泄露風(fēng)險���、釣魚網(wǎng)站攻擊風(fēng)險、信息安全防護措施不嚴密等三方面重大漏洞�����,并責令其立即整改。
危險的光大網(wǎng)銀
2011年1月28日��,星期五�����,正是春節(jié)前刷卡的高峰日�,然而,有些光大銀行的持卡用戶卻發(fā)現(xiàn)手中的卡無法使用���,不僅借記卡無法用��,信用卡也無法刷卡��,光大銀行對此事卻秘而不宣���。
原來,這次是光大銀行在北京陶然亭機房的一臺光傳輸設(shè)備板卡出現(xiàn)故障�����,造成線路運行不穩(wěn)定�,導(dǎo)致光大銀行部分銀聯(lián)和貸記卡業(yè)務(wù)一度中斷���。更令人不可思議的是,光大銀行用了近一周的時間才更換了該設(shè)備板卡�����,在這期間���,所有業(yè)務(wù)均在無備用線路的情況下運行����,潛在風(fēng)險極大����。
其實,這已不是光大銀行第一次發(fā)生這樣的事故�����。也就在今年年初�,光大銀行客戶遭釣魚網(wǎng)站惡意盜取密碼,客戶資金發(fā)生損失�����。去年光大銀行南京分行客戶也是遭遇網(wǎng)上銀行被盜���,涉及金額高達20萬元���。而該行上海分行對外銷售的面值1000元的銀行儲值卡,被犯罪嫌疑人通過網(wǎng)上銀行盜轉(zhuǎn)部分資金���,此事已由上海銀監(jiān)局進行核查�����。
而去年光大銀行發(fā)生的核心業(yè)務(wù)系統(tǒng)故障更是驚動了國務(wù)院���,銀監(jiān)會專門就此事向國務(wù)院做了匯報。
2010年8月30日中午12時02分起�����,光大銀行核心系統(tǒng)及總行前置系統(tǒng)交易出現(xiàn)擁堵�,造成全國網(wǎng)點交易緩慢,柜面業(yè)務(wù)��、網(wǎng)上銀行�����、電話銀行、電子支付等業(yè)務(wù)均受到影響�。該事故引起業(yè)務(wù)交易擁堵,系統(tǒng)完全中斷時間達12分34秒��,對外正常服務(wù)受到影響時間約5小時左右���。事后查證�����,該事故造成核心業(yè)務(wù)系統(tǒng)未成功記賬及重復(fù)記賬共計5萬多筆�。
銀監(jiān)會評估光大網(wǎng)銀
光大銀行信息科技系統(tǒng)接連出現(xiàn)故障��,引起了銀監(jiān)會的高度關(guān)注���。
前不久���,銀監(jiān)會委托國家信息安全專業(yè)測評機構(gòu)對光大銀行網(wǎng)上銀行和網(wǎng)站系統(tǒng)進行測試���,發(fā)現(xiàn)了該網(wǎng)站存在內(nèi)部信息泄露風(fēng)險���、釣魚網(wǎng)站攻擊風(fēng)險以及信息安全防護措施不嚴密等問題�。
銀監(jiān)會認定���,光大銀行網(wǎng)站存在內(nèi)部敏感信息泄露風(fēng)險�,可能為外部攻擊者利用以了解網(wǎng)站機制�����、內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)���,甚至獲取管理權(quán)限��,進一步攻擊網(wǎng)站�。例如:網(wǎng)站主頁和網(wǎng)上銀行等頁面沒對網(wǎng)頁出錯信息進行有效保護�����,出錯信息包含內(nèi)部地址及網(wǎng)站配置信息,信用卡中心頁面網(wǎng)站和基金咨詢頁面網(wǎng)站源代碼包含內(nèi)部地址信息��,外部攻擊者可進一步了解當前網(wǎng)站所屬網(wǎng)絡(luò)的結(jié)構(gòu)情況��、收集有關(guān)應(yīng)用程序的敏感信息����。
銀監(jiān)會同時認定光大銀行信息安全防護措施不嚴密。該行網(wǎng)站養(yǎng)老金管理中心頁面登錄請求信息在發(fā)送至服務(wù)器的過程中使用明文傳輸����,易造成用戶登錄信息被截獲����。
銀監(jiān)會的檢測還發(fā)現(xiàn)��,光大網(wǎng)銀有被釣魚網(wǎng)站攻擊的風(fēng)險���。光大銀行養(yǎng)老金管理中心頁面和基金咨詢頁面存在釣魚漏洞風(fēng)險,由于網(wǎng)站應(yīng)用程序未對用戶的輸入?yún)?shù)進行有效檢驗�����,惡意攻擊者可能誘騙用戶訪問含有惡意腳本代碼的鏈接地址�,竊取用戶敏感信息����。
銀監(jiān)會根據(jù)這個評估結(jié)果,要求光大銀行進一步深入分析上述各類風(fēng)險�����,認真研究其深層次的技術(shù)根源和管理漏洞���,針對有關(guān)問題制定切實可行的解決方案和整改計劃�,并盡快實施��,及時堵塞漏洞�����,化解上述各類風(fēng)險��。
