网络条件下金融业务风险及对策.docVIP

网络条件下金融业务风险及对策 　　摘要：现代金融业务的开展越来越依赖互联网技术，网络安全隐患已成为金融机构面临的主要风险之一。金融机构的信息安全建设必须坚持管理、技术两手抓，才能有效防范网络金融风险。 　　关键词：网络；金融业务；信息安全；风险；安全管理 　　中图分类号：F830，49 　　文献标识码：A 　　文章编号：1006-3544{2009)01-0045-02 　　 　　计算机和互联网的出现，给金融业务的推广提供了极大的便利，金融机构对网络的重视程度越来越高。网络化信息技术的发展进一步提升了银行等金融企业的计算机应用水平和信息处理能力，但同时也给金融信息的安全带来了更大和更多的风险。由于金融业务的特殊性，要求金融网络必须是“健壮”的，甚至在“带病”的情况下依然能够具有足够的性能以维持业务的正常运行，金融信息网络相关的软硬件支撑必须能保证24小时×365天可靠运转；金融信息网络必须是安全的，要有严格的用户验证和完善的管理体系。本文主要分析了现行金融业务中存在的安全隐患，并从管理和技术的角度提出了一些解决方案。 　　 　　一、互联网环境下金融业务面临的风险 　　 　　在黑客行为商业化日趋明显的今天，金融行业由于其信息内容的敏感性，自然而然地成为黑客的攻击目标。从目前来看，金融信息网络受到的攻击主要来自以下途径： 　　1，非授权访问。目前。大量基于网络的金融业务产品(如增值业务、代理业务、网上支付等)的推广，需要广泛的网络支持才能实现，这必然要求金融业务部门能够提供多样化的对外互联接口。因此金融企业信息对外开放的程度会加深，受到攻击的途径也就更加多样和复杂。很多黑客利用系统漏洞或者网络安全策略的缺陷非法侵入金融企业网络内部，窃取大量的敏感信息、篡改系统数据或用户资料、泄露敏感信息，给金融企业造成经济损失和信誉损失。 　　2，非法窃取账户等机密信息。用户账户密码信息的失窃事件时有发生，盗窃用户账户也是大多数普通攻击者的目的。攻击者往往采用搭线、嗅探工具等方式窃取用户的数据，并在需要的情况下解密用户的敏感信息，或者通过木马之类的??段对用户的信息进行截取并发送给攻击者。 　　3，内部破坏。据统计，在所有网络攻击事件中，来自网络内部的攻击占总量的80％。对于金融业务网络来说，尽管由于其承担任务的特殊性，从管理上会尽最大可能避免此类事件的发生，但对于熟悉金融业务和计算机技术的人而言，仍然有可能利用其掌握的知识篡改系统数据、泄露信息。 　　4，病毒侵扰。日趋扩大的网络环境为病毒的大量传播提供了条件，网络病毒已经给人类生活带来了广泛的影响。随着国内多种操作系统的普及，除了Windows平台的病毒外，针对其他操作系统平台的病毒也逐渐增多，对于广泛使用UNIX的银行等金融部门来说，更是越来越容易受到病毒的侵扰。更何况很多金融部门的计算机本身就是使用Windows，一旦中毒会影响到通讯子网的运行，甚至会导致网络及其承担业务的瘫痪。 　　5，拒绝服务。拒绝服务简称DOS(DENIAL OF SERVICE)攻击，目前常用的是分布式拒绝服务DDOS。由于这种攻击并不是利用系统漏洞，而是直接使用SYN FLOODING方式，是一种简单而有效的攻击方式，故非常难以防范。拒绝服务攻击发生时会导致被攻击主机无法提供正常的服务，比如网上银行、电子支付等，由于其服务器是在互联网条件下访问，其受到拒绝服务攻击的可能性相当大。一旦受到攻击或由于安全策略等其他问题而出现无法提供正常服务的情况，不但会造成经济损失，更会给企业带来信誉上的损害。 　　 　　二、金融网络安全风险根源及共性分析 　　 　　如前所述，虽然金融网络信息安全风险既有可能来自网络外部也有可能来自网络内部。但究其原因，导致安全风险的根源不外乎两种：技术漏洞和管理漏洞。金融信息安全面临风险的原因主要有以下几个方面： 　　1，互联网环境的改变。利用互联网开展金融业务极大推动了金融业的发展，也给普通用户办理金融业务带来了便利，但由于金融网络和普通用户接入互联网使用了相同的TCP／IP协议，在此基础之上建立起来的金融服务和用户的关系与实现网络化之前有很大的不同。由于服务商和客户的网络基于相同的TCP／IP协议，从网络技术角度上看，用户获得了以往任何形式下都不具备的和服务商几乎相同的“话语权”。因此，不法分子假冒银行实施诈骗的可能性大大增加，很多对网络不熟悉或者粗心大意的用户为此遭受了经济损失。另外，用户连人互联网的成本降低使得使用网上金融业务的用户数不断增加，黑客利用技术手段窃取用户银行账号、密码的可能性随之提高，木马、间谍软件都是比较常见的方式。网络环境的改善和上网用户的增多，也为某些针对服务器的攻击提供了便利条件。若黑客计划针对某金融服务器展开DDOs攻击，