银行网络系统安全风险与防范探析.docVIP

银行网络系统安全风险与防范探析 　　摘要：随着互联网技术的快速发展传统银行进入网上银行时代，在带来高效便捷的同时安全问题也随之而来。本文对用户安全意识风险、网上银行技术风险进行了深入的剖析，在此基础上有针对性的对各种风险防范措施进行了有益的探讨，对用户安全使用网上银行具有指导意义。 　　关键词：互联网 网上银行 高效 安全 技术 防范措施 　　1 概念 　　网上银行（Internet Bank），是随着互联网的高速发展开始出现的银行服务的新渠道，由商业银行等金融机构通过互联网向其客户提供金融信息发布和金融交易等各种服务。网上银行突破了传统银行的局限性，打破了传统银行业的经营模式和经营理念。网上银行是指通过互联网或其他共用信息网将客户的电脑终端连接到银行，将银行的服务直接送到客户家中或办公室的服务系统，又称网络银行和在线银行。通过网络，网上银行能够向客户提供开户、销户、查询、对账以及跨行转账、网上证券以及投资理财等服务项目，使客户不受限于银行地理环境、上班时间的限制，从而突破空间距离和物体媒介的限制。由于客户在管理活期和定期存款以及信用卡和个人投资等业务时，足不出户，这样就大大方便了客户与银行之间的联系。因此说，在网络上，网上银行是虚拟的银行柜台。网上银行给人们的生活带来了极大的便利与快捷，但是我们还没有来得及去感受，就被不断出现的黑客和“网银大盗”将一切美好的愿望打碎。尤其近期频繁发生的网银钱财被盗的事件，更为网银用户的心头蒙上了一层阴影。 　　2 网上银行目前存在的风险 　　随着网上银行业务的发展，网络银行服务器暴露在互联网上，因而它不可避免地会面临来自互联网上的各种安全风险，主要有以下几种： 　　2.1 系统漏洞带来的安全风险 系统漏洞往往会带来不可预计以及不可控制的安全后果，如在2009年5月由于暴风影音软件的一个微小漏洞导致多省发生大面积断网事件。目前，多数在Unix操作系统上架设网银系统，采用WebSphere等中间件和DB2等数据库，也有一部分网银采用了Windows系统。网银业务赖以运转的基础软件都会不可避免的且不时的出现一些系统漏洞，如果被互联网的攻击者利用，就会造成网银账号失窃或数据篡改。如果黑客利用OS系统漏洞入侵网银系统，就会盗取客户的身份证号码、银行账号以及密码等敏感信息，从而非法转移网银用户的资金。 　　2.2 Web安全问题带来的风险 由于网银业务通常采用B/S架构，因此，网银的引用安全与Web安全密切相关。根据知名Web安全与数据库安全研究组织OWASP提供的报告显示，SQL注入攻击和跨站脚本攻击是威胁Web业务最严重的两种方式。SQL注入攻击的原理是：程序员在编写代码的时候没有对用户输入的数据进行合法性判断，从而导致入侵者通过恶意的SQL命令执行，从而读取数据以及修改权限。 　　2.3 数据库安全问题带来的风险 数据库作为网银系统的核心，前两种安全风险最终也会危害数据库的安全。但是针对网银系统，滥用数据库权限也会带来安全问题，如违规越权操作以及恶意入侵等导致数据库敏感信息失窃，并且事后无法有效追溯和审计。 　　2.4 DDoS攻击带来的安全风险 攻击合法或非法利用互联网上的大量其他机器是DDOS的本质，其对攻击目标发起多对一的攻击，并且随着攻防对抗的发展，当前基于应用层的DDOS攻击方式逐渐成为了DDOS的主流。DDOS攻击的危害体现在网银上，即攻击报文占用网银系统的服务器资源或宽带资源，从而导致网银业务无法正常运行。另外，利用超级网银的“授权支付”欺诈是2013年年初截获的新型高危骗术。骗子通过钓鱼链接、交易失败提示、客服聊天等组合，诱骗受害者进行“网银授权支付”，授权骗子用另一个网银账户对自己账户进行资金操作，短短几分钟内就能将受害者账户中的资金大量转出，受害者损失高达数千甚至数万元。 　　3 银行信息系统安全分析及管理建议 　　客户隐私、用户权益、信息内容安全以及客户可信接入银行网等问题是目前银行用户关注的信息化安全问题，如： 　　全面整合银行信息化安全建设，在此基础上建立银行信息安全保障、应急以及监管系统。银行系统在考虑建设信息安全保障体系的同时，应当围绕标准控制与管理中心的建设，以及数据与内容安全、边界安全、信息基础设施安全以及数字证书、业务行为监管和服务等方面进行安全建设。 　　以安全观点再度审核银行应用数据大集中的安全建设问题。同时对银行的重点ISP、ICP的安全也应加以足够的重视。 　　建立功能强大的网络管理与标准化监管中心，这个中心要对数据管理、系统管理、网络管理、安全管理、密钥管理、内部人员行为监控、代理（agent）管理、网络远程服务监控和标准化执行实施统一监管。 　　银行使用卫星通信的重要系统尽快实施多星、多转发器备份、天地备份项目