客戶(hù)資金頻遭盜刷�����,信息系統接連出現故障�,業(yè)務(wù)系統出現停滯���,正在沖刺H股發(fā)行的光大銀行遭遇來(lái)自客戶(hù)和投資者的雙重質(zhì)疑:光大銀行的信息系統能否保證客戶(hù)的資金安全����?頻頻發(fā)生事故的信息系統能否支持光大銀行下一步的業(yè)務(wù)發(fā)展��?
針對光大銀行信息系統的重大漏洞����,銀監會(huì )前不久專(zhuān)門(mén)委托了權威的國家信息安全測評機構對該行網(wǎng)上銀行和網(wǎng)站系統進(jìn)行測試��,發(fā)現光大銀行存在銀行內部信息泄露風(fēng)險����、釣魚(yú)網(wǎng)站攻擊風(fēng)險����、信息安全防護措施不嚴密等三方面重大漏洞����,并責令其立即整改���。
危險的光大網(wǎng)銀
2011年1月28日�����,星期五���,正是春節前刷卡的高峰日���,然而����,有些光大銀行的持卡用戶(hù)卻發(fā)現手中的卡無(wú)法使用�,不僅借記卡無(wú)法用�����,信用卡也無(wú)法刷卡�,光大銀行對此事卻秘而不宣���。
原來(lái)�,這次是光大銀行在北京陶然亭機房的一臺光傳輸設備板卡出現故障�����,造成線(xiàn)路運行不穩定���,導致光大銀行部分銀聯(lián)和貸記卡業(yè)務(wù)一度中斷�����。更令人不可思議的是���,光大銀行用了近一周的時(shí)間才更換了該設備板卡����,在這期間��,所有業(yè)務(wù)均在無(wú)備用線(xiàn)路的情況下運行����,潛在風(fēng)險極大�����。
其實(shí)����,這已不是光大銀行第一次發(fā)生這樣的事故��。也就在今年年初����,光大銀行客戶(hù)遭釣魚(yú)網(wǎng)站惡意盜取密碼�,客戶(hù)資金發(fā)生損失�����。去年光大銀行南京分行客戶(hù)也是遭遇網(wǎng)上銀行被盜�,涉及金額高達20萬(wàn)元���。而該行上海分行對外銷(xiāo)售的面值1000元的銀行儲值卡��,被犯罪嫌疑人通過(guò)網(wǎng)上銀行盜轉部分資金�,此事已由上海銀監局進(jìn)行核查��。
而去年光大銀行發(fā)生的核心業(yè)務(wù)系統故障更是驚動(dòng)了國務(wù)院�,銀監會(huì )專(zhuān)門(mén)就此事向國務(wù)院做了匯報����。
2010年8月30日中午12時(shí)02分起����,光大銀行核心系統及總行前置系統交易出現擁堵�����,造成全國網(wǎng)點(diǎn)交易緩慢��,柜面業(yè)務(wù)�、網(wǎng)上銀行����、電話(huà)銀行����、電子支付等業(yè)務(wù)均受到影響�����。該事故引起業(yè)務(wù)交易擁堵�,系統完全中斷時(shí)間達12分34秒�����,對外正常服務(wù)受到影響時(shí)間約5小時(shí)左右����。事后查證���,該事故造成核心業(yè)務(wù)系統未成功記賬及重復記賬共計5萬(wàn)多筆���。
銀監會(huì )評估光大網(wǎng)銀
光大銀行信息科技系統接連出現故障��,引起了銀監會(huì )的高度關(guān)注�。
前不久��,銀監會(huì )委托國家信息安全專(zhuān)業(yè)測評機構對光大銀行網(wǎng)上銀行和網(wǎng)站系統進(jìn)行測試�����,發(fā)現了該網(wǎng)站存在內部信息泄露風(fēng)險�����、釣魚(yú)網(wǎng)站攻擊風(fēng)險以及信息安全防護措施不嚴密等問(wèn)題���。
銀監會(huì )認定����,光大銀行網(wǎng)站存在內部敏感信息泄露風(fēng)險��,可能為外部攻擊者利用以了解網(wǎng)站機制����、內部網(wǎng)絡(luò )結構�����,甚至獲取管理權限����,進(jìn)一步攻擊網(wǎng)站��。例如:網(wǎng)站主頁(yè)和網(wǎng)上銀行等頁(yè)面沒(méi)對網(wǎng)頁(yè)出錯信息進(jìn)行有效保護���,出錯信息包含內部地址及網(wǎng)站配置信息���,信用卡中心頁(yè)面網(wǎng)站和基金咨詢(xún)頁(yè)面網(wǎng)站源代碼包含內部地址信息���,外部攻擊者可進(jìn)一步了解當前網(wǎng)站所屬網(wǎng)絡(luò )的結構情況�����、收集有關(guān)應用程序的敏感信息���。
銀監會(huì )同時(shí)認定光大銀行信息安全防護措施不嚴密�����。該行網(wǎng)站養老金管理中心頁(yè)面登錄請求信息在發(fā)送至服務(wù)器的過(guò)程中使用明文傳輸����,易造成用戶(hù)登錄信息被截獲�。
銀監會(huì )的檢測還發(fā)現��,光大網(wǎng)銀有被釣魚(yú)網(wǎng)站攻擊的風(fēng)險���。光大銀行養老金管理中心頁(yè)面和基金咨詢(xún)頁(yè)面存在釣魚(yú)漏洞風(fēng)險�����,由于網(wǎng)站應用程序未對用戶(hù)的輸入參數進(jìn)行有效檢驗�,惡意攻擊者可能誘騙用戶(hù)訪(fǎng)問(wèn)含有惡意腳本代碼的鏈接地址�,竊取用戶(hù)敏感信息�����。
銀監會(huì )根據這個(gè)評估結果�,要求光大銀行進(jìn)一步深入分析上述各類(lèi)風(fēng)險��,認真研究其深層次的技術(shù)根源和管理漏洞�����,針對有關(guān)問(wèn)題制定切實(shí)可行的解決方案和整改計劃����,并盡快實(shí)施��,及時(shí)堵塞漏洞�����,化解上述各類(lèi)風(fēng)險��。