沈 威

（中國郵政儲蓄銀行福建省分行 信息科技部，福州 350001）

銀行業(yè)移動展業(yè)接入安全的相關(guān)措施研究

沈 威

（中國郵政儲蓄銀行福建省分行 信息科技部，福州 350001）

隨著互聯(lián)網(wǎng)金融、移動智能終端的高速發(fā)展，現(xiàn)階段銀行的發(fā)展已經(jīng)離不開靈活的業(yè)務(wù)終端和安全的網(wǎng)絡(luò)接入。移動展業(yè)是一種基于平板電腦的新型營銷模式，廣泛被保險和金融行業(yè)采用。與客戶使用的移動金融服務(wù)不同，移動展業(yè)大多由銀行內(nèi)部員工操作，接入銀行內(nèi)部系統(tǒng)，不僅需要高效、便捷的操作速率，更需要完善的信息安全保障措施。因此，本文針對移動展業(yè)接入的關(guān)鍵安全措施作了詳細(xì)描述，為相關(guān)建設(shè)提供參考依據(jù)。

移動展業(yè)；移動終端；管理；信息安全；防護(hù)

近年來，隨著智能手機和平板電腦技術(shù)的高速發(fā)展，移動應(yīng)用已逐步普及到人們的日常生活中，在這種情況下，我國的銀行業(yè)也開始開展技術(shù)改革和經(jīng)營模式及理念的轉(zhuǎn)變，移動POS支付、微信銀行等公眾金融業(yè)務(wù)日益發(fā)展成熟，互聯(lián)網(wǎng)小微貸款也在蓬勃發(fā)展。在銀行內(nèi)部，也逐漸衍生出了移動展業(yè)系統(tǒng)，員工可以通過平板電腦等智能終端，直接查詢客戶數(shù)據(jù)或辦理金融業(yè)務(wù)，因此，移動展業(yè)接入安全尤其重要。應(yīng)主要考慮移動終端管理、抗DDOS攻擊、應(yīng)用防護(hù)、入侵防御檢測和漏洞掃描等安全加固手段。

1　移動終端管理

移動終端管理（MDM）是一種針對移動終端的安全管理工具，幫助企業(yè)將IT管理能力從傳統(tǒng)的PC延伸到移動設(shè)備甚至移動應(yīng)用APP，實現(xiàn)包括設(shè)備全生命周期管理以及配置管理、安全管理和資產(chǎn)管理等功能。根據(jù)移動展業(yè)的特點，移動終端管理應(yīng)主要對操作系統(tǒng)、終端軟件和系統(tǒng)網(wǎng)絡(luò)配置等進(jìn)行統(tǒng)一管理和安全加固。

1.1移動終端操作系統(tǒng)防護(hù)

目前主流的移動操作系統(tǒng)有：谷歌安卓、蘋果IOS以及微軟Windows等。近年來隨著移動終端的普及，出現(xiàn)了大量操作系統(tǒng)級安全漏洞，通過越獄和Root等方式獲取系統(tǒng)最高權(quán)限，給移動終端帶來了大量安全隱患。為避免相關(guān)操作帶來的風(fēng)險，MDM操作系統(tǒng)策略可以識別終端操作系統(tǒng)是否進(jìn)行了越獄、Root等非法操作，對于執(zhí)行該操作的終端，將拒絕入網(wǎng)并及時發(fā)送告警。

1.2移動終端軟件防護(hù)

除了IOS有指定的軟件發(fā)布平臺外，目前大多數(shù)操作系統(tǒng)的軟件都可以通過第三方進(jìn)行安裝。以安卓平臺為例，第三方更新源的軟件大多都攜帶了廣告、病毒或用戶隱私竊取的惡意代碼，一旦安裝惡意軟件的終端接入內(nèi)網(wǎng)，將造成嚴(yán)重的安全隱患。因此需要嚴(yán)格定義終端的軟件安裝。通過MDM的軟件黑白名單策略，可以定義終端只能安裝指定的軟件，一旦有私自安裝其他軟件的行為，可以通過策略禁止設(shè)備入網(wǎng)。

1.3移動終端其他安全加固

除了上述安全手段外，還需要對用戶操作進(jìn)行安全加固。以網(wǎng)絡(luò)配置為例，如果用戶私自更改了WiFi接入點，或?qū)⒁苿咏K端作為熱點共享給其他設(shè)備，將對銀行現(xiàn)有網(wǎng)絡(luò)和數(shù)據(jù)造成嚴(yán)重威脅。因此需要嚴(yán)格定義用戶操作，通過技術(shù)手段，封堵系統(tǒng)的關(guān)鍵配置。MDM軟件可以通過集中配置系統(tǒng)設(shè)置模板，鎖定終端關(guān)鍵配置，一旦用戶通過非法渠道更改配置，其設(shè)備將不得入網(wǎng)并及時發(fā)送告警。

2　信息安全防護(hù)

2.1抗拒絕服務(wù)攻擊防護(hù)

考慮到業(yè)務(wù)的靈活性，大多數(shù)銀行都會采用互聯(lián)網(wǎng)專線接入?；ヂ?lián)網(wǎng)入口容易遭受DDOS攻擊，目前有效的防護(hù)手段是購買運營商流量清洗服務(wù)并自建一套抗拒絕服務(wù)攻擊防護(hù)體系：運營商主要清洗大的DDOS流量；銀行將自建設(shè)備安裝到專線出口，深入排除拒絕服務(wù)攻擊流量。由于運營商清洗后，惡意流量相對較小，設(shè)備組網(wǎng)可以應(yīng)用透明串聯(lián)的技術(shù)，降低對現(xiàn)有網(wǎng)絡(luò)的影響。

選擇DDOS攻擊防護(hù)技術(shù)時，應(yīng)盡可能采用嵌入式系統(tǒng)技術(shù)，在最底層的協(xié)議棧中完成計算，通過減少整體的運算成本，同時省略處理高層系統(tǒng)網(wǎng)絡(luò)堆棧的工作。這種運算能充分利用硬件加速計算，促進(jìn)系統(tǒng)效率的提升。

2.2入侵防護(hù)系統(tǒng)

入侵防護(hù)系統(tǒng)可以對進(jìn)出各級局域網(wǎng)的常見操作進(jìn)行實時檢查、監(jiān)控、報警和阻斷，從而防止針對網(wǎng)絡(luò)的攻擊與犯罪行為。將系統(tǒng)透明的串聯(lián)入網(wǎng)絡(luò)當(dāng)中，通過特征庫和建模學(xué)習(xí)，能自動阻斷黑客、木馬入侵和僵尸網(wǎng)絡(luò)等移動端發(fā)起的攻擊行為。相關(guān)系統(tǒng)應(yīng)擁有7個層深度的入侵防護(hù)能力。

2.3Web應(yīng)用防火墻

在傳統(tǒng)的安全防護(hù)架構(gòu)中，基本的工作原理是匹配特征代碼，而這種方式基本上只能防護(hù)已知攻擊的黑名單，無法準(zhǔn)確認(rèn)識和解析客戶具體的Web應(yīng)用程序。將Web應(yīng)用防火墻串聯(lián)入網(wǎng)絡(luò)當(dāng)中，能夠有效防護(hù)掃描、篡改Cookie、WebShell等攻擊行為，提高前臺和后臺系統(tǒng)安全防護(hù)能力。而在部署時，需要對現(xiàn)有系統(tǒng)Web應(yīng)用的合法訪問特征進(jìn)行動態(tài)構(gòu)建，從而生成用戶應(yīng)用的正向校驗?zāi)Ｐ?。通過這種方式，就能夠利用白名單的方式，防御很多未知的攻擊，進(jìn)一步提高Web服務(wù)的安全性和可靠性。

2.4漏洞掃描系統(tǒng)

漏洞掃描系統(tǒng)要能夠?qū)T系統(tǒng)中的不牢固性進(jìn)行整體檢測，及時發(fā)現(xiàn)安全漏洞、安全配置缺陷和應(yīng)用系統(tǒng)安全漏洞等，及時檢查系統(tǒng)中的弱口令，全部的安全風(fēng)險報告應(yīng)包含不需要系統(tǒng)公開的賬號、服務(wù)和端口等，這能有效促進(jìn)安全管理人員及早找到問題所在，并進(jìn)行修補和完善，避免攻擊者進(jìn)行攻擊。

主要參考文獻(xiàn)

［1］趙劍鋒.平安保險移動展業(yè)平臺項目建設(shè)效果評價研究［D］.北京：華北電力大學(xué)，2012.

［2］張子賢.基于防火墻的Internet/Intranet安全解決方案［J］.計算機時代，1999（7）：29-30.

［3］姚琳琳.基于分布式對等架構(gòu)的Web應(yīng)用防火墻設(shè)計與實現(xiàn)［D］.桂林：桂林電子科技大學(xué)，2012.

［4］王成元.平安人壽濟南分公司個險渠道人力發(fā)展對策研究［D］.濟南：山東大學(xué)，2012.

10.3969/j.issn.1673 - 0194.2015.16.130

TP3

A

1673-0194（2015）16-0183-01

2015-06-13