|
|
|
 |
|
網(wǎng)銀安全不容樂觀 應(yīng)該如何應(yīng)對
|
|
來源:IT168 2007-11-14 11:38:34
|
|
網(wǎng)上銀行信息安全現(xiàn)狀不容樂觀 來自新華網(wǎng)的統(tǒng)計表明:2006年上半年網(wǎng)上銀行的交易總則達到了40萬億,個人網(wǎng)銀用戶達到3500萬,企業(yè)網(wǎng)銀的用戶達到900萬,網(wǎng)上銀行有48家,而且近幾年基本上每年保持在100%的增長速度。 相應(yīng)而來的是各類有威脅的攻擊和病毒層出不窮。耳熟能詳?shù)木陀邪ňW(wǎng)銀大盜、灰鴿子病毒、廣外女生病毒,還有去年年底很熱門的熊貓燒香病毒。 與之同時,網(wǎng)銀大盜事件也在逐年增長。在2004年的時候,網(wǎng)銀大盜有60例安全事件,2005年則達到了1100例,而2006年的時候達到3.7萬例。每年都是幾何級數(shù)的增長,這表明安全廠商在對付這種病毒和攻擊的同時,病毒也在不斷地升級和擴展,而且在每一個版本上都會加入新的攻擊特征和功能,目的就是達到一個更好的攻擊效果。 現(xiàn)象背后的思考 現(xiàn)在針對于網(wǎng)銀,還有各種各樣的公司和企業(yè)的網(wǎng)絡(luò)安全事件越來越多。實際上背后隱藏著這樣一個事實:地下的黑金產(chǎn)業(yè)現(xiàn)在已經(jīng)形成了很龐大的一個規(guī)模,也已經(jīng)形成了一個比較成熟的鏈條。 首先是病毒和木馬的編寫者,這一部分人會把新型的病毒和木馬,包括更新的版本會不斷地編寫出來;再向下會有一個銷售的渠道,這個渠道專門把這些高手編出來的攻擊程序銷售給的攻擊者。需要注意的是,攻擊者不再需要很高的技術(shù),技術(shù)問題都被病毒和木馬的編寫者解決了。攻擊者只要是能使用這個工具去攻擊網(wǎng)銀的用戶即可。而在攻擊成功之后會有很多的利益,例如,攻破了一個經(jīng)常上網(wǎng)、游戲用戶的計算機,一些Q幣、游戲的賬號和虛擬物品都會被黑客得到。這些東西被盜取以后還有專門的銷售渠道,去換取現(xiàn)實中的人民幣。 整個的黑金產(chǎn)業(yè)鏈條已經(jīng)分工得非常明確了。黑客的攻擊已經(jīng)不再是出于獵奇、報復(fù)等個人的主觀目的,而是從金錢利益方面獲得了最強烈的驅(qū)動力,通過攻擊網(wǎng)銀的客戶或商務(wù)網(wǎng)站可以獲得直接的金錢利益,這導(dǎo)致現(xiàn)在黑客的攻擊愈演愈烈。 從安全保護的角度講,需要我們?nèi)娴刂鲃尤タ紤]一些安全的問題。比如我們可以從黑客的心理出發(fā),提高黑客的攻擊成本,降低他們攻擊所能得到的收益,這樣就可以很好地對黑客攻擊的行為進行防范。 從銀行的角度如何考慮網(wǎng)銀安全 從客戶端提交交易申請,在局端受理后進行統(tǒng)一的交易處理,所以我們可以從局端和網(wǎng)銀的客戶端兩方面出發(fā)去考慮網(wǎng)銀的安全。 局端的安全需求來可以分為三個方面。首先是合規(guī)性需求,是指建設(shè)網(wǎng)銀系統(tǒng)需要符合國家和管理機關(guān)的相關(guān)政策、法規(guī)和規(guī)范;其次是安全保障的需求,這部分比較傳統(tǒng),需要保證網(wǎng)銀的數(shù)據(jù)可靠、網(wǎng)銀的系統(tǒng)可用、并且提升效率;第三是第三方的認證需求,如ISO27001安全管理體系認證,這些第三方認證也日益成為同業(yè)競爭的一個需要。 在合規(guī)需求方面,國信辦、人民銀行、銀監(jiān)會都出了相應(yīng)的法規(guī)與管理辦法,從宏觀要求到具體的操作指南。針對于這些管理辦法,銀行的網(wǎng)銀系統(tǒng)需要對它進行符合性的設(shè)計。銀行在設(shè)計和更新網(wǎng)銀系統(tǒng)的時候,需要確切了解這些條文的要求、需要遵守什么規(guī)定,需要滿足什么條件。 在安全保障需求方面,可以使用安全手段和相應(yīng)的安全管理策略,進行全面的信息安全管理體系建設(shè)。信息安全管理體系不但涉及到安全的網(wǎng)絡(luò)架構(gòu)、安全的系統(tǒng),數(shù)據(jù)的安全,還包括相關(guān)的人員配置、管理制度等等一整套東西,并且有更新、維護的一套辦法,是一個非常龐大的工程。在這個系統(tǒng)里面,可以利用下面這些產(chǎn)品和手段來達到數(shù)據(jù)可靠、系統(tǒng)可用和提升效率等等一些目的。 入侵檢測/保護系統(tǒng)。發(fā)現(xiàn)攻擊或者蠕蟲或者木馬攻擊并進行阻斷(入侵保護)。 遠程安全評估系統(tǒng)。遠程安全檢查,發(fā)現(xiàn)主機和系統(tǒng)上是否存在的漏洞,對漏洞生命周期的整個過程加以控制。 抗拒絕服務(wù)的設(shè)備。防范現(xiàn)在非常流行的DDoS攻擊。 終端管理系統(tǒng)。對銀行內(nèi)部客戶端進行保護與安全管理。 安全審計系統(tǒng)。統(tǒng)計網(wǎng)內(nèi)用戶的各種各樣的行為,是否有違反安全規(guī)定的操作與活動。 第三方認證的需求,以ISO27001認證為例,是對信息安全管理體系的認證。銀行的信息安全管理體系ISMS通常是基于BS7799這個標(biāo)準(zhǔn)來建立的,而有了這個安全管理體系以后,是否達到了BS7799標(biāo)準(zhǔn)要求的水平?這就需要用ISO27001標(biāo)準(zhǔn)來審核。如果能通過該認證,就說明符合體系的要求。 在網(wǎng)銀局端安全以后,還需要關(guān)注一下網(wǎng)銀客戶端的安全。現(xiàn)在網(wǎng)銀客戶端的安全手段基本上集中在客戶端的認證安全這一塊,做法都是通過認證手段來確認網(wǎng)銀客戶端上操作的用戶,是否為一個合法的用戶。 第一類手段是在國內(nèi)網(wǎng)銀早期出現(xiàn)的賬號、口令和證書等認證方式,它的易用性非常好,普及率高,但是相應(yīng)安全性比較差。 第二類是USBKEY認證,這種方法有很好的安全性保護,本身它的芯片是用特殊算法進行設(shè)計的,里面的證書信息,從理論講外界不能讀到,這樣可以保護里面的證書安全。 第三類是口令卡,是USBKEY相對廉價的替代品。口令卡也可以進行比較安全的身份驗證。 不過,從理論上來講,僅僅考慮安全認證還不能完全解決現(xiàn)在所有的安全隱患,黑客有可能進行底層消息的篡改。安全認證雖然是需要采用,但是還是需要結(jié)合其他一些安全手段來解決整體的安全問題。下面是一些建議的方式: 在網(wǎng)銀的客戶端安全控件里,加入一個安全保護的控件,它可以起到兩部分的作用。第一是保護本地的安全性,如升級本地的客戶端病毒庫,而且進行補丁的管理,如果補丁不是最新的話,它可以到官方的補丁網(wǎng)站去下載操作系統(tǒng),還有IE瀏覽器之類的補丁。另外,還包括其他賬號、口令、權(quán)限設(shè)置等方面的安全檢查與糾正。 第二,檢查客戶端中已經(jīng)存在的木馬,客戶端在安裝安全控件之前,有可能已經(jīng)被黑客控制了,這種時候如果能加以發(fā)現(xiàn)并且識別,就可以防止進一步被侵害。 最后介紹的是比較可靠的雙信道方式,即用個人客戶端->Internet這個信道傳輸網(wǎng)銀的數(shù)據(jù),用另外一個信道去傳送,如手機去認證或者確認這次交易的信息。這樣的話無論網(wǎng)銀客戶端是否被種了木馬,都可以保證網(wǎng)銀交易是安全的。我們申請網(wǎng)銀客戶帳戶的時候,可以和一個手機號碼加以綁定,賬戶和這個手機號碼是一對一的關(guān)系。如果是經(jīng)過了認證確實以后,客戶端發(fā)出交易指令,網(wǎng)銀局端會向客戶端手機發(fā)短信,這個短信會把這次交易的詳細信息顯示出來,還會有一個確認碼K,包括日期時間、對方賬戶號、轉(zhuǎn)賬金額等信息,如果信息正確,則用戶把確認碼K回復(fù)給網(wǎng)銀局端,局端得到確認之后,才會進行相應(yīng)的轉(zhuǎn)賬操作。 第二信道能很好地保證安全性。黑客一般都是從網(wǎng)上攻擊網(wǎng)銀,它不可能又控制計算機,同時又把這個用戶的手機也控制了,這樣的情況幾乎不可能發(fā)生。 網(wǎng)銀安全將來會如何發(fā)展 從將來的發(fā)展來看,個人用戶、銀行和安全公司應(yīng)該進行一個良好的配合。個人用戶的安全水平和安全意識需要很好的提高,這樣才能跟利用銀行和安全公司提供的安全手段,配合整體安全體系。安全公司就需要對個人的用戶還有銀行,提供這個長期的技術(shù)支持,不斷研究新的安全技術(shù)來支持他們。 最后網(wǎng)銀的安全還需要一個整體的社會環(huán)境,比如說法律法規(guī),以及個人用戶的安全意識和安全基本技能。這幾方面的結(jié)合才能使以后網(wǎng)銀達到全面安全的目的。國家和政府需要制訂合理的法律法規(guī),在IT舉證和法規(guī)方面進行加強。如果從IT的取證、定罪到制裁的過程有一套很完整、很合理的法律法規(guī)去保證的話,黑客攻擊網(wǎng)銀就能抓到,根據(jù)確實的證據(jù)進行定罪,后面再進行合理的懲罰,讓IT犯罪不再是一個成名之路,這樣對網(wǎng)銀犯罪會有一個很大的震懾作用。 另外,還需要建立國家級的信用體系。如果在IT方面的犯罪會導(dǎo)致你的信用下降,讓罪犯在這個社會上難以立足。這樣給黑客的攻擊成本和風(fēng)險加大,也可以從另一方面有效地制止IT犯罪。 |
