银行业互联网应用安全态势与防护策略.pdf

行、II，，联网 川安 念势J防护策略 文 中国农业银行数据中心 李之森 能组件版本过旧、错误的功能和安全配置等问题所导致的安 随 喜 全隐患。 在线支付、金融资讯、金融社交等都是传统银行业务向互联 第三，互联网应用系统业务逻辑漏洞逐步显现。相较于 网金袖转型的典型 ．．与此同时，基于Web端或移动客户端 网站本身的安全漏洞 ，业务逻辑安全漏洞的威胁程度更大。 等互联网应用的系统上线投产数量与日俱增，由此带来的互 例如业务越权的查询、修改、删除，支付信息的篡改等 ．．若 联网应用系统安全漏洞和风险不断增加 。为此 ，笔者从 Web 涉及核心的互联网应用系统，如网上银行系统 ，则问题将更 端和移动客户端两方面对银行互联网应用安全态势现状进行 为严重。此外 ，随着各类业务办理渠道增多，还出现了一些 分析，并提出了对应的安全防护策略 ，为进一步提高银行互 通过整合各平台的业务逻辑并关联利用而导致的安全隐患 联网应用系统和产品的安全防护能力提供参考。 【 2．移动端互联网应用系统安全 。移动客户端作为传统 Web端的补充 ，其应用比重正不断提高 ，带来的安全风险不 银行互联网应用安全态势分析 断增加。 1．传统Web类应用系统安全。作为主要的互联网应用 第一 客户端本身的安全风险可分为两个层面 ，即手机 接入渠道之一，传统 Web端应用系统依旧存在较高的安全 操作系统引入的安全威胁，以及客户端 自身程序的安全风险 风险。具体可细分为以下几个层面。 随着手机操作系统的不断发展 ，更多的手机操作系统版 第一 ，互联网应用及其关联系统的常见Web安全隐患 本、功能模块被发现存在安全漏洞。此外 ，有各类 “root”及 “越 依然普遍存在 。相对于传统业务系统 ，互联网应用系统在需 狱”版本的安卓、lOS、Windows等操作系统被用户使用 ， 求定义、业务评审、系统开发、功能测试、业务投产等方面 导致操作系统的安全权限控制受到威胁。若手机整体操作系 具有更高I~O,Et,1-效性要求和更快的业务更新迭代频率。相关的 应用开发存在自研、外购 、合作开发集成等多种形式 ，可能 表 在应用开发方面主要存在的安全漏洞 会存在系统的部署环境多样，开发人员能力参差不齐和安全 lIIll圈 ‘高 篙 ≤ 开发意识不强的情况。直接或间接导致互联网业务系统存在 豳 躏 禾 哥 各式各样的常见网站漏洞 ，如 OWASPTOP10排名较高的 SQL注入 、跨站脚本、{昔误的安全配置、敏感数据泄露、伪 幽 弋嚣 嚣詈 七奠 造跨站请求等安全漏洞。 圈 第二 ，基础架构相应版本及配置漏洞事件高发。随着信 息安全技术研究水平的不断提升 ，更多的基础架构类安全漏 I置 师 翥 篙 场上。只 FJ被 发现。例如 ApacheStruts2，OpenSSL，JAVA反 I圈 嗲艇仃盱明序 序列化等安全漏洞。与此同时 ，一些常见的网站组件 ，例如 幽 酽端 巽 瓢哪呲 imagemagick、fckeditor等网站功能组件也被安全人员发 现存在高危的安全隐患。此外 ，还存在一些相关基础架构功 l蘸9嗣 相应银行专用密码键盘、安全控件等可被反编译并植入恶警序 7BI2O17年3月 统被植入恶意代码并获取相应的系统权限，手机上部署的各 在风