浅析工商银行网上银行面临的安全挑战和应对措施.docVIP

浅析工商银行网上银行面临的安全挑战和应对措施 　　【摘要】随着网上银行发展的不断提高，网络安全面临的风险与挑战也在加强。以工商银行为例，阐述我国现阶段网上银行的发展现状、面临的安全挑战及相应的保护措施，从而意识到网上银行发展的快速性、危险性、及时性，对于安全挑战刻不容缓。 　　【关键词】工商银行；网上银行；网络安全；应对措施；风险管理 　　一、工行网上银行现状 　　中国工商银行网上银行连续多年获得“中国最佳个人网上银行”的称号，目前工行网银客户达到1.02亿，成为国内首家拥有“亿级”个人网上银行客户群的商业银行，进一步确立了“中国第一电子银行”的市场地位。工行电子银行类产品总数达1085个，占全行产品总数的45.9%，成为国内同业产品功能最丰富的电子银行。与此同时，庞大的客户群、丰富的业务功能也使得工行网上银行和其他大型电子商务网站一样面临着巨大挑战。 　　二、工行网上银行面临的安全挑战 　　网上银行系统作为一种典型的互联网应用，主要面临应用及系统服务、网络和用户终端三个层面的安全挑战。 　　（一）新技术和业务需求的迅猛发展给应用及系统服务安全带来挑战 　　以工行为例，目前个人网上银行能够为客户提供账户管理、转账汇款、缴费站、个人理财等23类400多项服务。这些业务应用逻辑的需求实现需要考虑与多家银行，多种电子商务支付平台，工作量和工作难度都非一般互联网应用能比。而网上银行有别于传统银行业务，它通过在银行后台搭建一套成型的技术平台，无需银行人员介入而直接通过开放性的互联网服务于最终用户。 　　近年来，随着信息技术的发展创新，黑客对系统漏洞的攻击愈演愈烈，系统漏洞不断曝光，大型商业网站后台服务被入侵的案例时有发生。在商业银行提供的网上银行服务中，需要多种不同类型的后台服务器作为技术支撑，通过定期检测分析发现漏洞并及时补修，是网银安全保障工作的关键环节。 　　（二）互联网的开放性给网上银行带来挑战 　　互联网的成功得益于其开放性，而互联网的最大安全难题也正是由于其开放性。当网银用户试图访问一个正确的网上银行站点时，如何检验其身份的合法性；当用户成功登录网上银行系统后，如何保障在开放的网络环境下，用户敏感信息的机密性、可用性和完整性；网络防护体系如何保障在加固网银安全性的同时不妨碍正常用户的使用体验，些都是摆在网上银行系统维护者面前的挑战。 　　一是传统的网络安全威胁愈演愈烈，二是新的网络安全威胁层出不穷。在云计算如火如荼的今天，黑客已经步入云端，安全厂商预计，网络犯罪借鉴“服务即安全”的理念，效仿企业对云计算的应用，利用云工具更有效率的部署远程攻击。在新技术应用上，黑客的脚步远比想象的要快的多。紧密跟踪安全动向，适时调整安全策略是工行网上银行建设中必须面对的另一个问题。 　　三、工行网上银行安全措施 　　工行历来重视网上银行所面临的各种风险与挑战，坚持通过推进各个领域的规范化、标准化管理，有针对性地部署信息安全技术措施。可体现在如下几方面。 　　（一）应用及系统服务安全 　　在应用及系统服务安全方面，工商银行着力从系统、中间件、业务应用三个层面进行规范化管理和安全防护。 　　1.系统层面 　　首先，着力提升系统规范化水平，数据大集中为工商银行信息系统的集约化、规范化和统一化奠定了基础。经过十几年的不懈努力，工行逐步将多平台、多版本的系统进行规范和统一，化繁为简，对系统环境进行规范化管理，增强了系统的可管理性和标准化。其次，建立动态系统漏洞管理体系。工行已经与多家安全组织、商业伙伴合作建立了长效的沟通机制，每月定期与合作伙伴沟通，及时获取最新系统漏洞修复补丁和安全防护补丁。 　　2.中间件层面 　　第一，建立Web页面发布系统，定时刷新页面，防止页面被篡改；第二开展例行化Web扫描，周期性覆盖全部信息系统；第三组建专业信息安全技术团队，对网站进行内部渗透性测试，并对安全漏洞进行全流程的跟踪整改；第四每年定期聘请第三方公司进行外部渗透性测试和评估。 　　3.业务应用层面 　　业务应用逻辑是网银系统的核心，工行一贯坚持自主开发的策略，强调在系统安全方面的自主可控性：①加强软件开发的需求管理，从需求设计初期即进行安全需求分析。②建立全行统一的应用系统开发团队，制定统一的开发规范。③建立成熟、完善的应用系统测试团队，并将安全测试纳入应用系统投产前的测试范畴。④建立全行统一的应用系统版本管理平台，有效加强版本的生命周期管理。 　　（二）终端用户安全 　　在终端系统层面，工行选择了在主流平台上搭配轻量级客户端安全软件（包括IE安全控件、小e安全检测工具等）的策略，避免了终端多样性带来的安全问题。针对不同层?客户的不同安全需求，推出了大量安全产品和服务，包括在客户身份认证方面，对于对交易安全要求较高