銀行信息安全防護研究

隨著網絡和信息技術的快速發展，網絡化、信息化已經成為當前銀行業的重要特征，除了傳統的網點柜臺、ATM等渠道，網上銀行、手機銀行、移動金融等新型渠道正在被廣泛使用，這些線下、線上的多種渠道在給銀行客戶帶來方便的同時也帶來了一些新的安全問題，如用戶敏感信息泄露、遠程滲透性攻擊等。面對如此復雜的多渠道環境和日益嚴重的網絡安全威脅，商業銀行急需建立縱深立體的信息安全技術防護體系。本文通過對銀行業信息安全現狀和多渠道安全問題分析，從渠道終端、渠道邊界、渠道后臺服務三個維度提出加固方案，并通過大數據分析，形成縱深立體的信息安全技術防護體系，探索商業銀行多渠道環境下信息安全技術防護的有效解決方法。

一、銀行業信息安全現狀

當前，網絡和信息安全已上升為戰略，銀行作為現代金融業的支撐力量，是國民經濟運轉的樞紐，其安全穩定運行關乎經濟安全。銀行的本質是通過貨幣數字化和信息再組合實現社會資源的優化分配，而這些數字化的信息都在銀行的內部系統和網絡中存儲、傳輸和交換，如果產生泄露或損壞則可能直接影響公眾利益、社會穩定，甚至經濟的正常運行。

一方面，網絡安全形勢日漸嚴峻。黑客攻擊行為逐漸產業化、利益化、復雜化，更多地是以經濟利益為目的，利用多種手段進行針對性攻擊，甚至開展APT攻擊，且黑客攻擊已經形成了較為完整的產業鏈條，造成的損失和后果更加嚴重。同時，網絡攻擊門檻和攻擊成本降低，網絡攻擊數量成倍增長，新的攻擊形式不斷出現，針對銀行的仿冒網上銀行等釣魚網站也成倍增長。此外，一些基礎構件的安全漏洞頻現，高危漏洞增多，所產生的安全危害更大、傳播更廣，如Struct2、OpenSSL等漏洞，使得國內的多家銀行面臨被攻擊的風險。

另一方面，銀行業務快速互聯網化。網上銀行、手機銀行、互聯網金融、移動金融等新的業務形態促使銀行業務從傳統的網點柜臺遷移至PC和移動互聯網，這使得銀行暴露在互聯網上的業務系統越來越多，互聯網用戶也急劇增加，安全問題變得更加嚴重。同時，云計算、虛擬化、大數據等新興技術在支撐銀行業務快速創新和發展的同時，也逐漸暴露出一定的安全隱患。

面對外部威脅和內部隱患，銀行業現階段需要深入分析可能的風險，采取有針對性的措施，建立較為全面的信息安全技術防護體系。

二、銀行業面臨的多渠道安全問題分析

目前銀行業對外接觸客戶的渠道主要為線上、線下兩種方式。線下渠道主要包括網點柜臺、移動智能終端、ATM等自助終端設備;線上渠道主要包括網上銀行、手機銀行等。其中除網點柜臺由銀行內部員工操作，安全風險較低外，其余各渠道都可能面臨來自外部的安全威脅，所以銀行急需解決多渠道安全問題。點我查看銀行培訓資訊》》》

一是ATM等自助終端的安全問題。由于商業銀行一般擁有大量ATM、查詢機等自助終端設備，并且部分設備處于離行狀態，普遍采用外包運維方式，第三方運維人員具有較高權限，存在較大的安全滲透和運維操作風險，除了管理制度約定外，銀行自身也需要在技術上采取一定的安全防護手段。

二是移動智能終端的安全問題。隨著智能終端和網絡新技術發展，借助移動智能終端可以為客戶提供方便快捷的金融服務，如移動營銷、信用卡辦卡等。但由于移動智能終端便攜性強，所處網絡環境復雜，惡意代碼傳播途徑多樣，且其上面可能存放客戶敏感信息和銀行經營數據，容易產生數據泄密、惡意軟件下載等問題。

三是網銀出口的安全問題。網上銀行、手機銀行等都通過互聯網從銀行的網銀出口接入銀行內部網絡，這也給外網黑客提供了入侵銀行網絡的入口，一方面黑客可以通過SQL注入、跨站腳本等方式直接威脅銀行業務系統，另一方面黑客也可通過數據偽造等手段，利用漏洞繞過防火墻等安全設備，侵入銀行網絡內部和重要應用服務器，對銀行數據和信息系統安全造成重大威脅。

基于以上分析，商業銀行從業務終端到網絡渠道再到后臺服務都存在較大的安全威脅，需要建立多渠道的信息安全防護體系，全方位提升安全防護能力。

三、多渠道信息安全防護體系建設

針對商業銀行多渠道安全防護問題，本文提出構建以多渠道終端安全加固為基礎，渠道邊界安全防護加強為提升，渠道后臺服務運行控制為強化，大數據流量日志綜合收集分析為補充的多層次立體化信息安全技術防護體系(如圖1所示)，實現商業銀行多渠道環境下的安全防護加固和風險管控。

1.多渠道終端安全加固

銀行的終端數量眾多、種類繁雜、使用場景多樣，接入內網后帶來較嚴重的安全隱患，特別是ATM、查詢機、網銀體驗機等自助終端往往采用外包運維，部分設備仍采用windows XP系統，面臨嚴重的安全漏洞隱患和外包運維風險，對此，應采取終端系統加固的方法提升終端安全性。

首先將銀行各類終端按終端所有者、行為主體、終端角色、終端網絡位置等維度進行劃分，制定不同的安全策略;其次在終端上部署終端安全管理軟件，在接入交換機上實施網絡準入功能，并部署終端安全管理準入控制和修復系統，通過在終端上實施相應的安全策略，進行主機完整性檢查、應用程序控制、補丁分發、端口限制、外接設備控制等，實現系統整體加固。當不符合所設定的安全策略時，終端將被禁止接入銀行內網，并進行安全策略同步修復。同時通過權限分配和特定外設控制降低第三方運維人員可能帶來的風險。

對于移動智能終端，由于其便攜性強，所處網絡環境復雜，且其上可能存放客戶敏感信息和銀行經營數據，容易產生數據泄密等問題，可通過部署移動智能終端安全管理系統，實現對移動終端的應用安全管理、設備資產管理、網絡接入控制、數據安全管理等，減少安全隱患。

2.渠道邊界安全防護加強

網上銀行、移動支付等業務通過互聯網從銀行的網銀出口接入銀行內部網絡，這給外網黑客帶來了入侵銀行內網的入口。傳統的網絡邊界防護“老三樣”主要側重于網絡層面的防護，通過抗DDOS設備對網絡流量過濾，通過防火墻對服務端口屏蔽，通過入侵檢測設備對網絡流量進行旁路分析，但這些措施都無法及時有效地對惡意行為進行實時檢測和阻斷，特別是針對應用層的滲透和攻擊。

對此，通過部署入侵防御系統(IPS)、Web應用防火墻(WAF)，并優化策略，可實現應用層的實時攻擊檢測、告警和阻斷，對SQL注入、跨站腳本、應用層協議攻擊、網站掛馬等攻擊行為進行安全防護，實現基于特征和已知威脅的滲透行為識別和阻斷。

同時針對越來越多的未知惡意代碼和攻擊行為，采用深度流量檢測和沙箱技術，通過對網絡流量抓取、還原、分析和模擬運行，檢測網絡流量中是否包含可疑攻擊行為，得到相應的動態防護規則和日志記錄，再將規則反饋給防病毒網關、IPS/WAF等設備，實現動態的、具有自我學習更新能力的渠道邊界安全防護。

3.渠道后臺服務運行控制

網絡攻擊和滲透行為一般從終端入手，經過渠道和邊界，以后臺服務器為目標。銀行的后臺服務器往往承載著重要的信息系統和敏感的數據信息，一旦遭竊取將會產生嚴重的社會影響和經濟損失，并可能對銀行的聲譽造成嚴重損害。

從風險防范的角度看，后臺服務器可分為硬件、操作系統、中間件、數據庫、應用程序幾個部分，分別存在不同種類的漏洞和風險類別。可采取的安全措施，一是通過漏洞掃描發現并修復后臺服務器存在的漏洞和弱口令等安全風險，及時升級版本，規范配置;二是通過對后臺服務器的運行進程進行實時監測和控制，限制可疑進程的運行，并對可疑行為進行阻止，通過白名單技術保障可信程序正常運行，防范對后臺服務的滲透攻擊行為。

4.大數據綜合流量日志分析

目前黑客攻擊越來越有針對性，特別是APT攻擊等，可利用零日漏洞或目標環境缺陷定制惡意代碼，綜合利用多種途徑入侵目標系統，傳統基于特征的防護手段完全無法檢測，同時由于其長期潛伏、滲透，沙盒等深度分析工具也無法獨自有效識別。

通過采用大數據技術對銀行多種傳輸渠道中的網絡流量和多個設備日志進行全面收集和統一分析，建立從入口到后臺的立體式流量日志分析模型，充分利用多種設備異構屬性，深入挖掘隱蔽攻擊流量，將網絡流量、安全設備日志、后臺服務器系統日志、應用程序操作日志等匯集起來，并存儲較長時間的日志信息，進行大數據關聯分析，可實現對潛在威脅的挖掘，并可對攻擊行為進行取證和事后審計。

綜上，多渠道、立體化的信息安全防護體系的建設主要包括以下幾個方面：一是通過多渠道終端安全加固將傳統的網絡邊界防護工作分散化，從集中式的網絡防護轉化為在每個終端上建立安全防線，細化防護粒度;二是通過應用層攻擊實時檢測與阻斷、網絡流量深度檢測與沙箱模擬運行等手段加強渠道邊界，特別是網銀出口的安全防護;三是通過后臺服務器的安全掃描評估，及時發現漏洞并修復，同時采用白名單技術監測并控制后臺服務進程，實現渠道后臺服務運行控制;四是通過大數據技術對網絡流量、設備日志、系統日志等進行收集匯總和綜合分析發現潛在隱蔽威脅，并進行攻擊取證和事后審計。

　　金程推薦：

　　公司培訓精品課程

　　企業培訓成功案例　　

　　銀行內訓精品課程　　