今年以来,国内的网银安全问题层出不穷,从年初各银行网银频现钓鱼网站类诈骗事件到3·15用户投诉网银安全状况为当前最突出和不能容忍的金融问题,中国金融业信息安全问题再一次被推倒风口浪尖上,甚至迫使众多国内商业银行开始大幅下调网银转账限额,并由该事件引发了一系列社会关注的焦点问题。
当银行不断通过新技术丰富电子银行、手机支付、网销网贷等商业功能的同时,用户就要不断应对日益复杂的诈骗手段和诈骗工具,所以怎样提高银行业整体的信息安全保障实力和用户的风险意识才是解决问题的根本途径,而如何确保高应用质量、高安全性的银行IT系统无疑是银行需要面对的首要问题。
对此,作为国内最大的商业银行之一,中国工商银行(以下简称工行)的IT应用质量管理体系建设、信息安全风险控制测试又是如何展开的?中国信息主管网记者采访了工行北京数据中心技术管理办公室高级经理王军。
技术团队蜕变成资本DNA
2010年底工行电子银行交易额已超过200万亿元人民币,交易额大幅增长的幕后是广大用户对工行电子银行IT系统提供可靠服务的认可,目前工行的个人网上银行和企业网上银行的客户总数已分别达到9400万户和240万户,遥遥领先于国内同业,并且客户数量仍在不断增长中,现在工行电子银行每天处理的业务量在该行全部业务量中已占据了半壁江山,占比达到58.2%,等于在虚拟系统上再造了一个工行。
“在银行业,对系统应用质量和安全要求是比其他行业要高很多的,毕竟每一个功能都关系到客户的真金白银”,王军表示,以工行个人网上银行应用为例,除了基本的查询、转账、帐户管理等功能外,还有网上理财、网上基金、网上保险、网上贵金属等业务,可以这样说,除了提取现金外,工行的业务基本上都可以在网上办理。
222 工行在交易额、客户量和业务收入不断取得迅猛发展的同时,其网银系统也一直面临着来自网络病毒、蠕虫的攻击威胁,用户信息与账户安全受到了严重的挑战,针对网银应用质量与安全问题,工行数据中心采取了很多系统测试措施,从技术角度出发,提升系统应用质量,防范和打击各类银行犯罪,为网上支付和网上转账等交易添上一道安全保险。
王军表示,工行北京数据中心有一支500多人的专业化测试队伍,不仅包含信息技术人员,还包含有个人金融、会计、信贷等10多个业务的专业人员,该团队负责对软件开发中心研发的所有应用产品进行适应性测试,首先是测试软件版本,其目的主要是发现应用软件在性能和效率上的缺陷,以预测投产后生产系统的性能变化情况,同时也为生产系统的容量评估和规划提供依据;其次是对生产系统的性能测试与问题诊断,例如进行可靠性、破坏性、疲劳性等测试内容;最后是对系统性能进行优化调整,其目的在于证明系统性能在当前环境下的性能优越性,例如进行系统的安装、投产演练等测试内容,测试通过的应用产品就可以交付给上海数据中心投产。
全力打造网银应用质量
现代银行服务正朝着电子化、节能环保、绿色低碳的银行服务方向转变,大力发展电子银行对提升银行的生存竞争能力,加快业务创新具有十分重要的意义,同时,越来越丰富的业务功能与应用,对系统的质量要求也就越来越高,对此王军表示,目前工行数据中心主要是针对3个方面进行测试以提高应用质量:
在功能方面,工行北京数据中心不仅要对每个版本系统的每个新增功能进行详尽测试,还要对该版本不涉及的其他功能进行回归测试,以确保每一个功能的准确性。不仅要根据客户需求编制测试案例进行测试,还通过测试迁移模式,及时与一线业务人员沟通模拟业务场景,有针对性地进行重点测试。
在性能方面,一个应用版本系统从交付到投产,工行北京数据中心要安排多轮的性能测试,以确保应用性能达到设计要求,同时在投产时,资源的配置也要求能够满足当前最高交易量的200%。
在信息安全方面,由于银行网站一般是黑客攻击的主要目标,对于网上银行类的应用,工行北京数据中心的信息安全小组会定期对应用系统的安全性进行评估,封堵技术漏洞,部署安全防护措施,确保客户资金的安全。