信息化灾难事件一:地震震断海底光缆
2006年12月27日9:00,我国各大城市的白领上班时发现同一个现象:MSN登录不上去。很快,消息灵通人士从电信运营商的简短声明中得知,这是台湾海峡地震的影响。
灾难影响:不仅仅是MSN
这次地震震断海底光缆给大多数人留下的第一感觉就是MSN不能登录,但它的影响远远不只如此简单。影响最为严重的是跨国开展业务的企事业单位,比如:在华的跨国公司、外贸企业。不少在华跨国公司使用全球统一的IT系统,光缆断裂之后,系统不能登录,因而,员工无法工作。同时,在华机构也不能与总部通过电话联系,业务难以正常开展。而一些从事进出口业务的企业,由于和海外客户失去了联系,业务不能正常进行。事发之后,很快就是元旦假期,节日工作步伐放慢,减缓了断网事件的影响。
救灾措施:启动应急预案
海底光缆修复是一件复杂的工作,有确定阻断点、打捞、连接、测试、放回等程序,整个过程由水下机器人来完成。
事发后,中国电信、中国网通启动应急预案,查勘因台湾地震造成的国际海光缆受损情况,并积极修复,采取措施保障通信。网通、电信等运营商组织了5艘来自各国的海缆抢修船,陆续派向事发海域组织抢修工作。2007年1月28日,网通和电信几乎同时宣布,故障修复工作基本完成。
灾后思考:连接可否多样化
但是,什么才是解决问题的根本呢?不少专家指出,应该实现连接多样化。以前,一般在单根海缆发生故障时,采取的措施是就近选取光缆替代,比如目前的中美海缆就采取了环路设计,分为南北两路,即便一路发生中断,另一路也可以在短时间顶住压力。但是,本次地震造成海缆中断多达数根,不能采取常规的方式。
卫星通信本身容量与海缆所承担容量有着很大差距,但它是短期内恢复网络连接的有效方式。因而,在非常时期,启用国际卫星通信非常必要。另外一个方法就是采取同国际其他电信运营商联系,选择迂回路由的方式解决,比如取道欧洲陆地光缆来恢复网络连接。
信息化灾难事件二:网银用户资金频频被盗
开通工行卡网上银行业务,本来图个方便,但深圳的蔡女士遭遇到的却是巨大的损失——在家里电脑上查询账户后,她的密码被人盗取。2006年8月,她去银行取钱,才发现账户里面的1万多元存款已经被全部转走。
灾难影响:四面楚歌
其实,不只是蔡女士,不少开通工行网银业务的用户都遭遇到了密码被盗的事情。一些网银受害者开始建立专门网站组成维权联盟,来声讨工行,事情发展愈演愈烈。
无独有偶,2006年8月,江民科技反病毒中心监测到,光大证券阳光网提供的光大证券新版网上交易系统等多款软件的安装程序捆绑有“网银木马”。“网银木马”运行后,会监视IE浏览器正在访问的网页。如果发现用户正在登录个人银行,就会弹出伪造的登录对话框,诱骗用户输入登录密码和支付密码,通过邮件将窃取的信息发送出去。
2006年9月,假银行网站再度现身。北京市民盛先生发现一个网站(www.cmb95555.com),上面的内容和招商银行网站(www.cmbchina.com)一模一样,连个人银行业务都能进入。经过核实,是不法分子试图通过该网址链接到其他网站,从而非法窃取招行网银用户资料。
当时除了包括北京、南京、杭州、合肥等在内的十几个城市70余名用户受害事件外,湖南警方也逮捕了一个专门窃取网银资金的黑客团伙,该团伙控制的银行账户超过1000个,共窃得资金40余万元。
救灾措施:防治结合
网银安全,危机四伏。我们该如何在享受网银便利、快捷的同时,又不让“网银大盗”有机可乘呢?
对于银行来说,给网银再上一把“锁”——USBKEY(俗称U盾)不失为一种好办法。简单来说,U盾就是一把网络钥匙,在外形和用法上类似U盘。一旦用户登录网上银行进行网上转账,除了需要密码外,必须在USB接口上插入U盾,确认后方可实现操作,相对于仅有的密码,随身携带的U盾等于给网络交易上了第二把锁。另外,有专家认为,为网上银行设置专用域名,也有可能很大程度地打击假冒的网银网站。中国银行就在2006年6月1日起更换了域名,以更简捷好记的域名来防止不法分子的伪冒行为。
除了正常的登录交易外,银行是不会以任何理由通过网络向客户索要卡号、密码等重要信息的。因此,对于用户来说,应从正规银行网点取得网络银行网址并牢记,登录网银时尽量避免使用搜索引擎或网络实名,同时要保管好自己的卡号、密码、身份证件号、开卡日期等资料,不要在网吧等公共场合使用网上银行或随手丢弃银行回单。另外,要在自己的计算机上安装防火墙及防病毒软件,并定期更新病毒库及检测病毒,不要打开可疑电邮内含的超级链接或附件。
灾后思考:网银安全,谁的责任
从2006年发生的各类网银失窃案件来看,网上银行的盗窃案主要是利用安全漏洞,在窃取客户账号、密码和证书等信息基础上,再利用转账、ATM机等方式盗窃资金。从银行与客户的协议中看,保障用户资金安全的仅仅是6位数字密码。一旦出现问题,银行没有任何责任,所有损失都应该是用户承担。
其实,在客户与银行的对弈中,银行是强势的一方。专家指出,银行必须从技术、流程和人员三个方面,建立网上银行的安全体系。
从技术上看,应研究建立支持多渠道的安全认证体系,例如支持指纹认证、身份证扫描识别、数字证书等渠道安全认证体系,以避免目前单一密码认证的缺陷。从流程上看,应设计一套与多渠道服务相匹配的服务、管理和内控流程。比如,在去年很多的案件都是不法分子使用假身份证开通网上银行,然后盗窃客户资金。如果银行加强了内部管理控制,这类损失完全可以避免。从人员和组织看,要加强自身员工的安全意识,建立严格的授权和保密制度。
