金融业网络信息安全建设初探文档.docVIP

金融业网络信息安全建设初探 一、信息安全的现实性，一个攻击的方案 目标：化100-200万美金，窃取几千万到上亿美金 主要过程 买通内线，了解银行的网络系统、主机系统、业务流程和管理制度 获得内部的账号 寻找安全漏洞，设法进入系统 寻找有用的资料：源代码、更高级别的账号、安全漏洞、主要服务器的账号、业务的流程等 建立必要的准备：在本银行和取钱银行开账户 作几次与窃取类似的正常交易，降低银行审计的敏感性 编写窃取程序，装入业务主机。以不明显的方式从银行客户的账户转钱 到一定金额，将款项转出 将款项取出 马上消失 二、网络信息安全问题越来越严重 由此可见，网络，尤其是金融业的网络系统，有一个最大的问题就是安全问题。八年以前，金融业务的计算机核算系统以单机为主，网络较少，无法远程对计算机进行攻击和扩散病毒。随着计算机的普及，网络系统的建立，了解计算机的人增多，但计算机网络系统维护人员对安全的知识了解比较缺少，而对于网络系统安全来说潜在的入境已经够用。另外，以前编写攻击工具和病毒，需要专业技术。现在，随着开发工具丰富，使用简便，很容编写一个病毒，很容易得到各种攻击工具。 计算机系统的使用已深入到金融业的核心业务中，银行业务和计算机网络系统、应用系统的紧密结合构成银行核心业务系统，已经成为建设现代银行的标志之一。网络系统的互联，导致入侵的范围增大；使用人员的增多，导致入侵的可能性增大；系统复