劉亞軍

山東省農(nóng)村信用社信息科技部 山東 266520

0 引言

國際互聯(lián)網(wǎng)(Internet)在世界范圍的飛速發(fā)展對社會各方面產(chǎn)生了巨大而深遠的影響，并正在從根本上改變著人類的生活方式，應(yīng)運而生的網(wǎng)上銀行，充分利用了信息產(chǎn)業(yè)日新月異的科技成果，給銀行業(yè)注入了新的活力，代表著未來銀行的發(fā)展方向。

網(wǎng)上銀行與傳統(tǒng)銀行不同就在于其是開放性的支付系統(tǒng)，而開放性的支付系統(tǒng)在為銀行帶來方便和快捷的同時，也帶來了新的安全問題。巴塞爾委員會電子銀行小組的調(diào)查表明，安全風(fēng)險是網(wǎng)上銀行中最受關(guān)注的風(fēng)險。如何保證系統(tǒng)的安全性，成為網(wǎng)上銀行系統(tǒng)建設(shè)的重要內(nèi)容。

1 網(wǎng)上銀行系統(tǒng)安全現(xiàn)狀

據(jù)中國互聯(lián)網(wǎng)信息中心(CNNIC)近日發(fā)布的數(shù)據(jù)顯示，截至2012年6月底，國內(nèi)網(wǎng)上銀行用戶規(guī)模為1.91億，增速達到 14.8%。互聯(lián)網(wǎng)的高速發(fā)展不僅給包括銀行在內(nèi)的金融企業(yè)帶來巨大機遇，同時也讓傳統(tǒng)銀行面臨挑戰(zhàn)，因為銀行正越來越“虛擬”。目前網(wǎng)上銀行安全事故頻繁發(fā)生，對網(wǎng)上銀行安全性的擔憂一直是廣大網(wǎng)民不敢或不愿嘗試使用網(wǎng)上銀行的最主要原因。據(jù) CNNIC相關(guān)調(diào)查報告顯示，不愿選擇網(wǎng)上銀行的客戶中有 76%是出于安全考慮。目前雖然采用了一定的安全措施，但仍存在一些安全隱患。據(jù)OWASP(Open Web Application Security Project，發(fā)布網(wǎng)絡(luò)攻擊組織)調(diào)查，應(yīng)用系統(tǒng)遭受攻擊主要源自以下幾個方面：應(yīng)用軟件、操作系統(tǒng)、硬件設(shè)備等，具體如表1所示。

表1 應(yīng)用系統(tǒng)攻擊占比

黑客通常利用注入用戶電腦中的木馬程序獲取網(wǎng)上銀行用戶的賬號和密碼，“釣魚網(wǎng)站”也是網(wǎng)上銀行一個非常大的安全隱患。目前我國“假銀行”欺詐短信的單月用戶舉報量已超過6千條，其中35%的短信中內(nèi)嵌釣魚網(wǎng)站鏈接, 據(jù)中國互聯(lián)網(wǎng)信息舉報中心監(jiān)測數(shù)據(jù)顯示，假冒中國銀行網(wǎng)站的釣魚網(wǎng)站數(shù)量已多達近70個，欺騙性極強，而且均為在境外網(wǎng)站注冊的免費域名，國內(nèi)目前無法對此實施有效管理。除此之外，對網(wǎng)銀系統(tǒng)威脅較大的手段還有：服務(wù)器攻擊、鍵盤記錄、嵌入瀏覽器惡意代碼、屏幕錄像、竊取數(shù)字證書文件、偽裝窗口等。

網(wǎng)上銀行安全隱患還表現(xiàn)在系統(tǒng)架構(gòu)設(shè)計不合理、操作系統(tǒng)存在漏洞、安全設(shè)備不完善等方面。雖然這是些小概率事件，但是一次這樣的風(fēng)險事件就足以挑戰(zhàn)公眾的信任。所以，隨著網(wǎng)上銀行的普及，網(wǎng)上銀行的安全性成為整個系統(tǒng)中最為至關(guān)重要的部分了。

2 網(wǎng)上銀行系統(tǒng)安全措施

網(wǎng)上銀行系統(tǒng)的安全性極為重要，如何確保其安全關(guān)系到系統(tǒng)的建設(shè)成敗。網(wǎng)上銀行系統(tǒng)安全手段是全方位、多層次的，可從系統(tǒng)層、應(yīng)用層和管理層三個方面來提高系統(tǒng)安全性，如圖1所示。

圖1 網(wǎng)上銀行系統(tǒng)安全層次

2.1 系統(tǒng)層安全

2.1.1 系統(tǒng)架構(gòu)安全

根據(jù)不同的安全級別，應(yīng)對網(wǎng)上銀行系統(tǒng)架構(gòu)劃分安全區(qū)域，如圖 2所示，將系統(tǒng)劃分為互聯(lián)網(wǎng)(INTERNET)區(qū)、停火(DMZ)區(qū)、應(yīng)用(APP)區(qū)和辦公(OFFICE)區(qū)。并在各安全區(qū)域之間部署異構(gòu)防火墻，在各安全區(qū)域內(nèi)部部署安全防護設(shè)備，如安全網(wǎng)關(guān)、漏洞掃描、抗DDoS攻擊設(shè)備、入侵檢測設(shè)備IDS、入侵防御設(shè)備IPS等，從而有效控制非法用戶入侵、防范惡意攻擊，對應(yīng)用系統(tǒng)進行全面安全防護。

圖2 網(wǎng)上銀行系統(tǒng)安全架構(gòu)

2.1.2 數(shù)據(jù)安全

(1) 數(shù)據(jù)傳輸安全：數(shù)據(jù)傳輸時，可利用SSL協(xié)議，通過安全網(wǎng)關(guān)設(shè)備(部署在DMZ區(qū))在服務(wù)器端與客戶端建立安全通道，以保證數(shù)據(jù)在公網(wǎng)傳輸?shù)臋C密性；同時在系統(tǒng)內(nèi)部可通過加密機對待傳輸數(shù)據(jù)加密保證數(shù)據(jù)在內(nèi)網(wǎng)傳輸?shù)陌踩?/p>

(2) 數(shù)據(jù)存儲安全：制訂并嚴格執(zhí)行科學(xué)合理的數(shù)據(jù)備份機制、數(shù)據(jù)訪問機制和災(zāi)難恢復(fù)計劃，以保證業(yè)務(wù)連續(xù)性。

2.2 應(yīng)用層安全

(1) 安全輸入控件：在使用電腦鍵盤輸入時能有效防范鍵盤竊聽敏感信息，在使用軟鍵盤輸入時能對整體鍵盤布局進行隨機干擾并有效防范屏幕錄像，有效保護客戶交易密碼的安全。

(2) 圖形認證碼：能有效避免對網(wǎng)上銀行客戶的惡意重復(fù)攻擊。

(3) 數(shù)字證書：對客戶提交的交易信息進行數(shù)字簽名，從而確保交易信息的不可否認性和完整性。

(4) 服務(wù)器站點證書：幫助用戶更直觀的判斷網(wǎng)站的真實性，有效避免假冒網(wǎng)站和釣魚網(wǎng)站給客戶帶來的風(fēng)險，同時還可保證信息傳輸?shù)臋C密性。

(5) 安全控制機制：不同的控制機制如權(quán)限控制、限額控制、復(fù)核機制、授權(quán)機制、防重發(fā)機制可確保系統(tǒng)使用安全。

2.3 管理層安全

(1) 加強內(nèi)部管理，切實做好系統(tǒng)運行監(jiān)測、維護和入侵檢測，及時發(fā)現(xiàn)和處理潛在風(fēng)險，避免系統(tǒng)中斷運行；做好備份和災(zāi)難恢復(fù)，建設(shè)異地備份數(shù)據(jù)處理中心，確保核心數(shù)據(jù)安全。

(2) 定期進行安全評估，根據(jù)《電子銀行安全評估指引》等相關(guān)規(guī)定(至少每兩年對電子銀行進行一次全面的安全評估)，定期組織網(wǎng)上銀行系統(tǒng)的安全測試、滲透性測試和外部安全評估工作。

(3) 強化宣傳教育，提高網(wǎng)上支付客戶自身安全意識及安全水平，增強操作安全性。

3 結(jié)論

本文通過對網(wǎng)上銀行系統(tǒng)安全性的分析，給出多種安全措施。綜合使用各種安全技術(shù)，可有效確保網(wǎng)上銀行系統(tǒng)的安全，從而為客戶提供安全、快捷的銀行服務(wù)。

[1]中國互聯(lián)網(wǎng)信息中心(CNNIC)第三十次中國互聯(lián)網(wǎng)絡(luò)發(fā)展狀況統(tǒng)計報告.2010.

[2]陳艷.網(wǎng)上銀行的安全運行問題及其對策[J].經(jīng)濟與社會發(fā)展.2010.

[3]龍冬陽.網(wǎng)絡(luò)安全技術(shù)及應(yīng)用[M].華南理工大學(xué)出版社.2006.