传统防范措施保障支付环境中的账户安全更有效

　　2011年11月2-3日，第二届RSA中国大会在北京举行。Trustwave's SpiderLabs部门亚太地区管理顾问Marc Bown在接受ZDNet记者采访时表示，支付款环境中的账户数据威胁事件变得日趋严重，并介绍了一些关键的应对措施。

Trustwave's SpiderLabs部门亚太地区管理顾问Marc Bown

　　目前，国内金融机构在大力推广网上银行的业务，Marc介绍了两种容易被黑客窃取账户信息的方式。

　　一是银行系统本身的安全问题，就是黑客针对银行本身系统和账户系统的攻击。二是客户端的信息，有些黑客会攻击客户私人电脑获取信息，进入银行账户。一般说来，网上银行业务更多的风险来自客户端，也就是客户端的风险大于银行系统的风险。Marc表示，在客户端安全方面，传统的安全防范措施往往比技术防范措施更有效。

　　银行有义务指导客户如何保护自己的资金安全和账户安全。比如，通过一些宣传活动，告诉客户不要随便点击一些信息，随便填写账户和用户信息。SpiderLabs发现许多账户被侵入的案例都和密码有关，大多数入侵者并没有利用什么新技术，只是猜出密码，就把账户盗用了。APT的攻击并不广泛，大部分还是玩一些数字游戏。银行方面也需要有强大的仿冒识别技术，可以随时识别仿冒信息，保证客户账户不被侵犯。

　　对于银行在U盾的推广导致用户体验差的问题，Marc表示，这确实是一个大问题，无论在美国、澳大利亚也一样。一方面客户要便利性，另一方面银行要保障安全。他坦言，确实没有很好的办法解决，只能在其中寻找平衡。只有银行和用户很好的互动，让客户提高安全防范意识，知道U盾在保障账户安全有关键的作用。另外，根据SpiderLabs的调查研究，在银行系统的生态安全方面，他们发现确实有黑客攻入银行系统，但发现黑客的技术并非高明，都是传统的技术，之所以被侵入是因为银行忘记某项防范措施造成的。

　　“银行可以做的事有两方面，一方面是不断改善流程，比如定期进行测试，看看系统是否有什么问题。另外也可以在项目中整合安全防护措施，比如网络银行项目在推行环节中，需让专业人士对潜在的风险进行评估。”Marc说到。

　　在问到SSL面临越来越来的安全挑战时，Marc表示，的确现在很多攻击致使SSL的可靠性也在下降。但商业上并没有可替代的方法，比如浏览器还是用SSL保护相关的加密信息。虽然有很多攻击，但没有哪次攻击能让SSL完全无用，所以也不用慌张。