友情提示:如果本网页打开太慢或显示不完整,请尝试鼠标右键“刷新”本网页!
入世带来的-第4部分
快捷操作: 按键盘上方向键 ← 或 → 可快速上下翻页 按键盘上的 Enter 键可回到本书目录页 按键盘上方向键 ↑ 可回到本页顶部! 如果本书没有阅读完,想下次继续接着阅读,可使用上方 "收藏到我的浏览器" 功能 和 "加入书签" 功能!
索取资料的人,先要向〃电脑〃输入一定的密码。密码相符,〃电脑〃才输出信息,就如同开保险箱一定要持有特定的钥匙对上号码一样。但这种保密措施很不保险。即使有些比较复杂的密码,只要借助于一种专门破译密码的电子计算机,也可以很快算出来。
上述诈骗案,都是银行系统关键位置职员的监守自盗行为。但是,程序员能随时造假而无人发现,密码只有一重而非多重,都说明了银行监管体系自身的一些问题。
三、破坏银行电子系统
黑客闯入银行的计算机系统之后,可能向系统中安置所谓的逻辑炸弹,或病毒等,这些逻辑炸弹或病毒潜伏在计算机系统中,等到一定条件满足的时候,比如到了一定时间,或等到黑客发出指令,才会发作,对银行计算机系统造成巨大的破坏。因此,一些黑客,或者银行以前的雇员就以放置逻辑炸弹,病毒威胁,要求银行满足其条件,比如给钱。美国、欧洲、新加坡都发现了这样的案件。据估计,1993年1月到1996年6月,金融机构因此受到5亿美元的损失。但大量的金融机构由于考虑自己的形象,一般都不向执法机构报告,总的损失可能会更大。
例如著名的〃蠕虫〃程序
蠕虫(worm)是一种短小程序,它可以在存贮空间内自行蔓延,具有极强的再生能力是一种可以在计算机中蔓延的程序。
蠕虫具有重新定位的能力。如果它检测到计算机网络中的某台机器未被占用,就会把自身的拷贝重新定位于这一台机器中。蠕虫程序不一定是有害的,它可以作为网络设备中的一种诊断工具,但如果被利用,使它在网络中高速地复制自己,长时期占用系统资源,使系统负担过重,就会造成网络的瘫痪。
自1987年12月,ibm专用邮电网的35万台终端被所谓〃圣诞树〃蠕虫堵塞以来,世界上已发生多起蠕虫事件,其中最著名的恐怕要数1988年的〃莫里斯〃蠕虫事件了。1988年11月2日,internet网遭到来自内部的攻击,一个蠕虫程序通过unix系统的漏洞进入计算机系统,并通过复制自身而在计算机网络中迅速蔓延。一些计算机系统由于遭到反复感染而超载,甚至有些计算机系统已陷入瘫痪,从而在计算机用户中引起混『乱』和惊慌。11月3日,伯克利的加利福尼亚大学和麻省理工学院的研究人员才〃捕获〃到蠕虫副本,并通过对它的研究分析而找到阻止〃蠕虫〃入侵的方法,但这时已造成6000台计算机停止运行和几千万美元的损失。
据unix专家分析,这个蠕虫是通过3种途径侵入系统的:(1)通过伯克利unix43〃sendmail〃中的程序故障,使调试位置通态;(2)在〃finger〃程序中的一部分使缓冲器过载,使之对蠕虫程序的另一部分进行编译和连接;(3)通过获取口令进入系统。很多人容易把蠕虫程序和病毒相混淆,其实这两者之间是有区别的。蠕虫是一种可经单独运行的程序,它在网络上传播,从一个系统到另一个系统,不断地拷贝自己而不用改变系统,就象在网络中慢慢爬行的〃虫子〃。而病毒更象寄生虫,它是把自己附加在每一个程序上,自己不能独立运行,只有运行附有病毒的程序时,这个病毒才可以获得控制权。
四、针对电子货币的犯罪
目前,世界上比较著名的电子货币实验有两种类型:一种是digicash公司开发的电子硬币。使用者预先用钱(现金、atm卡,信用卡等支付手段)购买电子货币,存在自己的计算机上或一个中央的系统上,交易时,通过一系列确认,最后,这些电子硬币通过互联网传送到对方手里。在这种类型中,涉及使用者,商家和一个中央监测系统,电子货币的使用在一定程度上受到监控。而在蒙得克斯(modex)模型中,电子货币可以存储在使用者手里的卡中,使用时,可以通过设备在两个使用者之间传输电子货币,也可以通过互联网传送。后一种电子货币,已经接近于真实的货币。因此,针对其进行的犯罪活动,比如伪造电子货币、利用电子货币进行洗钱,都是潜在可能的。
比如,〃特洛伊木马〃就是一例。
〃特洛伊木马〃来源于古希腊传说被用来比喻在对方营垒里埋下伏兵,诱使对方上当,里应外合的行动。
我们这里所说的〃特洛伊木马〃,通常表面上看是合法程序,但其中却隐瞒着秘密指令,使计算机在仍能完成原先指定任务的情况下,执行非授权的『操』作。这种程序可以用来收集信息,设置逻辑炸弹或扰『乱』数据。尽管特洛伊木马是有害的,但它并不传染,也不破坏其他程序,而且它往往看上去是有吸引力的。它常出现于网络中的电子显示牌上,如果用户通过网络引入自己的计算机,使用一段时间后,就会出现各种问题。
1988年9月12日,发生在日本〃pc…vaiv〃网络中的病毒,实际上就是一种〃特洛伊木马〃。它在网络上通过电子邮件发送一些实用程序,只要网络上的用户打开计算机并引入该实用程序,就等于把〃特洛伊木马〃牵入了自己的计算机中。当用户要接通网络,办理入网认证手续,输入密码口令时,特洛伊木马便窃取了这些关键数据,并存于程序内,然后提供给施放〃特洛伊木马〃的非法用户。在这次事件中,有13个合法用户的密码被盗窃。
五、非法入侵计算机系统
比如黑客入侵金融机构的计算机系统后,放置逻辑炸弹、释放病毒。比较常见的是某人被银行解雇之后,为了自己留有进入银行计算机系统的〃后门〃,然后将病毒释放到计算机系统里,对其造成破坏。
比如:
德杜塞尔多夫公司一女职员,伪造打孔卡176次,共骗取了30多万马克。汉堡某建筑公司两名工程师,冒充承接订货的单位,诈骗了订货款30万马克。他们的办法是,先搞到标准化的订单和支付帐单表,设法盖上必要的图章,再请摄影师伪造签字,填上订货款43。5万马克,要求分期支付30万马克。伪造的帐单表和打孔卡一起输进了电子计算机,未被查出假造,这样,电子计算机打出了订货款的汇款单,并汇出了30万马克。后来只是由于伪造者填写的收款人地址、单位有漏洞,银行汇款的信被退回,引起了怀疑,这才被发现。甚至还有这样的情况:有的犯罪分子被捕后,由于输入的伪造数据仍留在机内,计算机仍在按这些不实的数据进行运算,打出汇款单,以至犯罪分子家里还不断接到汇款。
六、计算机犯罪的特点
对于计算机和网络犯罪特点,不同的人有不同的归纳。就针对银行的计算机和网络犯罪来讲,如果我们将它同传统的银行抢劫犯罪相比,我们发现,前者有以下几个比较明显的特点。
1传统的银行抢劫犯罪是罪犯在正常的营业时间内,面对着众多的证人(银行里存钱取钱的人),面对面进行的,它通常是一种暴力犯罪,大多数是由银行以外的人进行的。而针对银行的计算机和网络犯罪则不一样,它可以在任何一个时间进行,犯罪分子通常是通过一定设备从远处进行,没有证人可以作证,也不是一种暴力犯罪。同时,有统计表明,85%的犯罪分子是内部人员或者同内部有关的人员,只有15%是银行以外的人员。
2有关计算机和网络犯罪的立法还处在摇篮阶段。在有关传统的银行抢劫犯罪立法中,对于抢劫的『性』质已经没有任何疑义,经过100多年的发展,立法是比较明确的,证据的采用规则,量刑的幅度通常也是比较清楚的。从后面我们对计算机立法介绍的时候可以发现,针对银行的计算机和网络犯罪的立法只是近一二十年的事情。关于计算机证据规则各个国家、地区不尽相同,量刑幅度也有很大差异,这都是打击这些犯罪的障碍。随着互联网的采用,犯罪分子可以跨国进行犯罪,有的学者提出的〃网络空间法〃、〃网络管辖〃、〃网络诉讼〃等更进一层次的法律更是连萌芽都谈不上。比如对针对美国花旗银行的犯罪分子列文在英国被捕,即便是英国和美国两个法律制度非常相近的国家也为引渡问题进行了长时间的争论。
3对于传统的银行抢劫犯罪,监督机构和执法机构都有一套比较完善的办法和措施。犯罪分子作案以后,犯罪事件的发生是毫无疑问的事情,损失可以迅速查明,收集证据、保护现场、采用何种调查方法都是执法机构非常熟悉的事情。但在针对银行的计算机和网络犯罪中,情况却不一样,有的时候,银行甚至不知道已经遭受了损失。即便发现以后,保护现场、收集证据这些对于执法机构的人员来讲都是比较陌生的事情。执法机构本身对这些新技术犯罪还不十分了解,因而更谈不上调查案件、惩罚犯罪分子。
4许多银行还没有完全意识到采用技术在带来收益的同时所造成的潜在风险。在对付传统银行抢劫的过程中,由于抢劫具有暴力犯罪的危险,同时抢劫的损失易于估量(包括由此造成的名誉损失,比如客户可能不愿意再到某银行来存钱取钱),因此,银行对传统抢劫的潜在风险是非常清楚的,也会相应的采取措施,比如安装录象设备,防弹设备,增加保安等等。但在计算机和网络犯罪问题上,许多银行还没有很好的心理准备,对于潜在的风险并没有认真的进行评估和审查。其实,这也不仅仅是银行的问题,许多其他更为重要的机构也是如此,比如美国国防部多次被黑客入侵,一些从事研究的人,甚至黑客自己也声称,造成这种情况的原因是计算机和网络的管理人没有安装本来应该安装的转接线设备(patches)。此外,由于银行比较注重自己的信誉,许多遭受入侵的银行不愿意公开这样的事实,害怕公众知道这些情况以后对银行的经营不利,但这更加助长了犯罪分子的气焰。
第三节对计算机犯罪的防范
自90年代中期以后,银行的管理和对银行的监管都向着风险管理(risk management)方向发展。在防范计算机和网络犯罪给银行带来的损失时,目前主要国家和国际组织都开始采用风险管理的方法对采用计算机和网络技术的银行进行监管,银行的管理也向着风险管理方向发展。1998年3月,巴塞尔银行监管委员会向各个国家发布了《电子银行和电子货币业务的风险管理》报告,作为各个国家对银行进行监管的框架,这个报告主要从风险类别和风险控制两方面对银行由于采用电子技术而产生的风险进行防范。一些国家的银行监管机构也纷纷发布符合自己国家情况的指南或报告,其中以采用信息技术较为广泛的美国最为突出。美国监管银行的有不同的机构,〃通货管制局〃(office of comptroller of currency)1998年初颁布了《技术风险管理》指南,该指南同巴塞尔委员会的报告类似,都是在指明电子银行的各种风险之后,介绍了如何进行风险的控制和管理;美国联邦储备委员会1997年12月颁布了《网络信息安全健全做法指南》,这个指南专门针对银行内部网和互联网的安全及其控制措施进行了详细的介绍;此外,美国联邦存款保险公司1998年8月也发布了名为《电子银行》报告,这个报告主要侧重于对电子银行的监管措施。这些报告主要从预防和监管的角度阐述了防范计算机和网络采用给银行带来的风险,包括犯罪活动带来的风险。本文在以下几个部分就分别介绍西方银行在这方面所采取的一些措施和要求。
一、加强计算机网络的安全控制
银行采取的安全措施随着技术的发展而发展,应该说没有一种措施是绝对安全的。拿加密技术来讲(encryption),上面我们提到,犯罪分子可以采用一定的方法破译经过加密的信息,原因在于加密技术所使用的密钥不够强大,通常只有40位(bit),因此,业内人士就开发更强的密钥来加密所传送的信息,比如56位的密钥,有的金融机构还使用112位密钥或更长的密钥来保证一些机密信息不被截获。但随着犯罪分子手段的不断发展,这些更强的密钥也终有可能被破译的一天。因此,安全只是一时的,业内需要不断的开发新的技术来为银行网络提供安全保障。另一方面,许多事故的出现并不是纯粹的安全问题,而可能是管理上的疏漏,雇员的马虎,如何使现有的技术发挥最大的效用,也必然涉及对现有安全措施的管理问题。
银行的计算机系统包括内阅网络和外部网络两种,后者主要指可以供银行之外的人士进入的网络比如互联网。美国联邦储备委员会的报告在现在可以利用的技术基础上,着重介绍了对银行网络(内部网和互联网)的安全防范措施,这些措施既涉及技术层面,同时也涉及管理层面。下面,本文从内部网的安全控制和外部网的安全控制两个方面介绍美国银行所采取的安全管理方面的措施。
内部网的安全控制包括以下几个方面:
1资料秘密『性』控制(confidentiality)。银行内部存储的资料通过网络传送的资料信息很容易成为犯罪的对象,对资料的秘密『性』进行控制是非常重要的安全措施。从成本和效益的考虑出发,银行业内人士认为,并非所有的信息都一样重要,因此,首先要对资料进行分类,分成〃高度机密〃、〃机密〃和〃公开〃信息三类,不同种类的信息采取的保密措施不相同。对于高度机密信息,在储存和通过内部网络传送时必须加密。在技术和资金允许的情况下,可以尽量采用更强一些的加密钥匙。同时,要强化密钥的管理,建立有效的密钥管理制度,其要素应该包括保护密钥不受篡改和违法使用,根据资料的秘密程度,定期换密钥。至于通过公开网络传递的信息,都必须进行加密。其次,要采用一定设备将网络信息进行定向分流。比较常见的方法是使用网络转向盘(switches)和智慧网络集线器(intelligent hubs),以限制无关人员获得信息。网络集线器(hubs)是计算机和网络之间的连接设备,其缺点是某一个网络集线器上连接的所有计算机都可能获得通过该网络传输给其他计算机的内容。也就是说,如果有适合的硬件和软件,联在某一个网络集线器上的计算机就可能截获和解密(被称为sniff)通过这个网络集线器的网络所有信息,如果装上所谓的智慧网络集线器或者网络转向盘将通过网络传递的信息特定化,将特定的信息传送到特定的计算机上,就可以避免出现上述的情况。
2进入系统控制(acomess control)。所谓进入系统控制主要是控制进入系统人员的身份,只有真正的合法使用者才能进入系统,无关的人员则不能进入系统。常见的控制方法包括使用密码(password)等。银行业内采用的控制手段包括:
(1)使用更为安全的身份认证手段,限制进入关键设备、系统和高度机密资料。所谓比较安全的身份认证手段主要包括〃一次『性』〃密码(one time password),数字证书和生物技术措施。通常情况下,密码是多次使用的,使用者需要记住自己使用的密码,每次进入时根据机器的提示输入密码才能进入。多次使用密码容易造成密码的遗失(使用者忘记自己的密码),更为重要的是容易被犯罪分子盗取。一次『性』密码也就是只使用一次的密码,每次进入计算机系统时,密码都不同。通常是用〃智能卡〃这样的设备根据每次进入的情况随机产生,有时,这些智能卡本身还需要密码才能进入和使用。数字证书就是同密钥管相联系的,由第三方向银行发布认证证书来确认某人的身份,其原理就像开介绍信一样。生物技术措施主要是采用指纹、声音识别、面部特征和眼部特征等人的生物特征来识别人的身份。
(2)将内部网络进行分割防止信息被截获。由于内部网络本身容易被截获和破译,因此,可以根据内部网络的情况,采肜网桥(bridges)、路游器(routers)、防火墙等技术对网络本身进行分割,特定的网络部分只能履行特定的职能,供特定的人使用,其原理就像安装网络转向盘一样将信息分流,但分割网络则显得更为彻底。
(3)将所有支持内部网络的关键设备、辅助设备(键盘、控制服务器的计算机)、防火墙等集中放在玻璃室(glass houses)里,限制外来人员进入这些地方,同时设置24小时警卫。如果由于地域和经营的角度需要,必须将一些设备分开放置,则可以建设几个玻璃室,采取同样的安全措施。此外,有的人通过『操』作台(console)攻击服务器,获取相关的资料比如密码,要限制进入玻璃室里的『操』作台(console),通过密码保护其屏幕,经常更换密码等等。此外,由于连接点(例如hub)是最容易受到攻击的设备,因此,对于这些连接点,也要尽可能采用类似于玻璃室的措施将其置于安全的场所。
(4)创建所有网络使用者的安全档案。根据网络使用者的业务职责,安全档案记录每一个网络使用者进入设备和某些资料的情况。如果雇员变动工作,必须随之变动其安全档案和有关资料,使其不能继续进入原有的设备,如果雇员离开银行,则必须立刻取消其进入银行网络的权利。目前,已经开始研制一些商业软件,可以用来自动实现上述职能,一旦这些软件被开发应用,银行要及时采用。
(5)对桌面系统(desktop system,主要反映与网络相连的计算机)进行有效的安全控制。首先,由于桌面系统最容易受到犯罪分子的攻击(盗取资料、破坏系统),因此,要尽量减少高度机密信息储存在个人计算机上,尽可能的将这些信息储存在有安全保护措施的中央服务器上,如果必须保存在个人计算机上,则要求采取相应的加密、控制进入和定期备份等措施。其次,如果个人计算机同关键网络连,则使用需要开机才能输入密码的装置来加强安全控制。这样,如果有外人非法侵入计算机,通常需要切断电源,等待约20分钟,才能得逞,这样就可以延长时间,便于发现犯罪活动。再次,如果有的计算机既同内部网相连,又同外部公共网相连,那么就要安装特殊的中央调制解调器(dial…in dial out modem pool)来严格控制这些计算机远程进入内部网。也就是说,将这些计算机和内部网再用防火墙等设备隔开,严格控制进入。此外,定期的对本银行内部的所有计算机进行拨号检查(war…dial),可以顺序拨号,也可以随机拨号,主要目的是检查是否所有的调制解调器都是合法的,避免他人非法安装调制解调器进入内部网络。最后,还可以通过各种各样的办法来加强安全控制。比如,要控制使用这些计算机的时间,只允许工作时间使用,下班之后就自动切断;每一个计算机都应该有具备经过一定时间不使用之后,比如键盘一段时间不用之后,自动停止工作的功能,或需要密码才能重新进入的设置,主要目的是防止利用别人的计算机进行犯罪活动。时间间隔可以不相同,一些重要的计算机(比如涉及资金转移)间隔时间可以非常短;有时,一些罪犯成功侵入某一计算机后,计算机就再也无法控制,可以考虑对一些储存高度机密资料的设备具备定期的(比如5分钟)重新认证的程序,这样可以限制罪犯获得资料。
入世带来的…… 第2章 警惕国际计算机诈骗(2)
(6)一些重要人物,比如系统的管理员,可以毫无障碍的进入任何计算机和数据库,对于这样的人则必须采用类似于双人临柜等责任分离,相互监督等手段来进行控制。
此外,对于一些高度机密文件的备份,也要采取同样的人员实际进入控制和逻辑进入(密码等)控制的措施。在清除计算机硬件之前,一定要清除所有的机密文件。
3密码管理
银行对密码的使用必须建立有效的管理制度。密码管理制度有一些基本的要素需要遵循,比如银行的计算机系统自动促使使用者定期修改密码,使用者之间不要相互合用密码,不要使用一些很容易被猜到的密码等等。具体的措施包括:(1)如果密码被多次使用或通过网络传递,必须对密码进行加密才能存储或传送。(2)使用安全子系统和应用程序建立密码的历史档案,防止重复使用不久前才使用过的密码。(3)使用已经开发出来的一些软件,当使用人输入密码之后,自动进行检测,以检测出那些可以很容易猜到的密码,防止常见的字典式攻击(dictionary attacks)等。(4)如果一些使用者的帐户过了一段合理时间后,也没有使用,则停止其使用,如果继续没有反映,则彻底清除该帐户。时间的间隔根据机构不同而不同。(5)为了防止犯罪分子使用一些自动的程序软件猜测密码,必须规定一个界限,比如多少次出现错误则停止其进入,并通知系统的管理员。(6)为了防止犯罪分子盗用他人的合法密码进入内部网络,应该随时将上次使用密码的时间等情况通知�
快捷操作: 按键盘上方向键 ← 或 → 可快速上下翻页 按键盘上的 Enter 键可回到本书目录页 按键盘上方向键 ↑ 可回到本页顶部!
温馨提示: 温看小说的同时发表评论,说出自己的看法和其它小伙伴们分享也不错哦!发表书评还可以获得积分和经验奖励,认真写原创书评 被采纳为精评可以获得大量金币、积分和经验奖励哦!