淺析金融行業(yè)信息系統(tǒng)典型安全問(wèn)題及防護(hù)策略

李夏菁

摘 要 我國(guó)金融市場(chǎng)已經(jīng)成為世界金融領(lǐng)域中一個(gè)重要的標(biāo)志，與此同時(shí)，金融行業(yè)面臨的信息安全風(fēng)險(xiǎn)和威脅也愈加嚴(yán)重。本文通過(guò)總結(jié)近年來(lái)金融行業(yè)信息系統(tǒng)滲透性測(cè)試的經(jīng)驗(yàn)，簡(jiǎn)要介紹和分析了金融行業(yè)信息系統(tǒng)面臨的典型安全問(wèn)題，并對(duì)行業(yè)內(nèi)的信息安全防護(hù)策略提出一些改進(jìn)建議，為金融行業(yè)信息安全建設(shè)提供思路。

關(guān)鍵詞 金融 信息安全 風(fēng)險(xiǎn)和威脅 防護(hù)策略

一、簡(jiǎn)要分析金融行業(yè)信息系統(tǒng)典型安全問(wèn)題

根據(jù)FREEBUF的統(tǒng)計(jì)數(shù)據(jù)顯示，2016年上半年金融行業(yè)的漏洞統(tǒng)計(jì)TOP10中，傳統(tǒng)金融行業(yè)的高危漏洞數(shù)和可能造成的危害要遠(yuǎn)遠(yuǎn)大于互聯(lián)網(wǎng)金融，其中保險(xiǎn)行業(yè)高危漏洞達(dá)到86.22%，是大數(shù)據(jù)金融的17倍。[1]

其中，典型的高風(fēng)險(xiǎn)漏洞如弱口令、SQL注入等較多，暴露了業(yè)務(wù)應(yīng)用系統(tǒng)在軟件開發(fā)時(shí)對(duì)安全性的考慮比較欠缺。同時(shí)，各類安全問(wèn)題導(dǎo)致潛在風(fēng)險(xiǎn)如泄露用戶數(shù)據(jù)等，對(duì)金融企業(yè)以及投資者個(gè)人造成的損失難以統(tǒng)計(jì)。

（一）弱口令漏洞

弱口令（weak password），指通常容易被別人猜測(cè)到或被工具破解的口令。弱口令通常指的是那些僅包含簡(jiǎn)單數(shù)字和字母的口令，例如“123”“abc”等，由于這類口令非常容易被人破解，一旦破解之后用戶的計(jì)算機(jī)便會(huì)面臨風(fēng)險(xiǎn)。[2]而對(duì)于大多數(shù)金融公司的信息系統(tǒng)來(lái)說(shuō)，無(wú)論是面向公眾的網(wǎng)上交易、在線開戶等業(yè)務(wù)系統(tǒng)，還是那些僅對(duì)內(nèi)部員工開放的集中交易、郵件收發(fā)等辦公系統(tǒng)，普遍仍采用的是用戶名加口令這一較為傳統(tǒng)的身份鑒別方式。由于管理者和使用者的安全意識(shí)參差不齊，其便會(huì)伴隨著各種弱口令漏洞廣泛存在于金融企業(yè)的各類應(yīng)用系統(tǒng)中。

（二）SQL注入漏洞

SQL注入（SQL injection），指通過(guò)把構(gòu)造巧妙的SQL語(yǔ)句插入Web表單中遞交或者是輸入域名或頁(yè)面請(qǐng)求的查詢字符串，最終達(dá)到欺騙服務(wù)器執(zhí)行惡意的SQL命令的目的。[3]

通常攻擊者可以利用SQL注入漏洞得到數(shù)據(jù)庫(kù)中保存的管理員賬號(hào)和密碼，然后利用這些賬號(hào)登錄到應(yīng)用系統(tǒng)的管理后臺(tái)從而實(shí)施進(jìn)一步的入侵。對(duì)于一些特殊的數(shù)據(jù)庫(kù)，攻擊者便能夠?qū)ζ鋵?shí)施插入、更新、刪除等關(guān)鍵性操作；如果該賬戶有足夠的權(quán)限，攻擊者甚至可以通過(guò)數(shù)據(jù)庫(kù)自帶的擴(kuò)展存儲(chǔ)過(guò)程執(zhí)行任意指令，使信息系統(tǒng)的安全性受到嚴(yán)重威脅。導(dǎo)致這種風(fēng)險(xiǎn)的主要原因是應(yīng)用程序沒(méi)有細(xì)致地過(guò)濾用戶輸入的數(shù)據(jù)，使得信息系統(tǒng)接收了非法數(shù)據(jù)并隨即進(jìn)行了處理和響應(yīng)。

（三）跨站腳本漏洞

跨站腳本漏洞（Cross-Site Scripting，常簡(jiǎn)寫為XSS），指Web應(yīng)用程序?qū)τ脩糨斎脒^(guò)濾不足，導(dǎo)致攻擊者可以利用構(gòu)造的惡意腳本或代碼數(shù)據(jù)顯示在瀏覽用戶頁(yè)面上對(duì)其造成影響的漏洞。與SQL注入漏洞通常攻擊數(shù)據(jù)庫(kù)服務(wù)器的方式不同，跨站腳本漏洞一般是在客戶端發(fā)起攻擊行為造成威脅，也就是說(shuō)，利用跨站腳本漏洞注入的惡意代碼是可以在用戶電腦上的瀏覽器中運(yùn)行的。

二、金融行業(yè)信息系統(tǒng)的安全防護(hù)策略

面對(duì)越來(lái)越多的安全問(wèn)題，金融行業(yè)應(yīng)當(dāng)全面考慮信息化建設(shè)過(guò)程中可能遇到的各類安全威脅，并建立一套適合本行業(yè)特點(diǎn)的安全防護(hù)策略。筆者根據(jù)多年實(shí)施行業(yè)內(nèi)安全測(cè)評(píng)以及安全評(píng)估工作的經(jīng)驗(yàn)，總結(jié)出了幾點(diǎn)安全防護(hù)策略的建議，旨在為金融行業(yè)信息安全建設(shè)工作提供參考。

（一）增加身份鑒別措施

要規(guī)避傳統(tǒng)口令認(rèn)證方式所帶來(lái)的風(fēng)險(xiǎn)，勢(shì)必需要增加對(duì)用戶的身份鑒別措施，而目前較為適用于金融行業(yè)業(yè)務(wù)的有以下幾種：

第一，動(dòng)態(tài)口令。動(dòng)態(tài)口令依靠每次不同的登錄密碼，來(lái)有效保障系統(tǒng)賬戶的安全性。即使當(dāng)前口令被惡意人員截獲后，對(duì)用戶合法身份的冒用依舊無(wú)法實(shí)現(xiàn)，用戶身份鑒別的安全性得到了很大的提高。采用動(dòng)態(tài)口令是用于解決身份鑒別的有效措施，當(dāng)前，手機(jī)動(dòng)態(tài)短信、口令卡、動(dòng)態(tài)口令令牌、電子密碼器等是動(dòng)態(tài)口令的主要實(shí)現(xiàn)方式。

第二，硬件綁定。硬件綁定是將用戶賬號(hào)同用戶計(jì)算機(jī)特征碼實(shí)施綁定，并保存至后臺(tái)認(rèn)證庫(kù)中，而用戶只有通過(guò)特定計(jì)算機(jī)才能進(jìn)行該賬號(hào)下的操作。該認(rèn)證方式的關(guān)鍵是要通過(guò)程序來(lái)將機(jī)器標(biāo)志（如硬盤、網(wǎng)卡MAC等）逐一讀取出來(lái)，再經(jīng)過(guò)特定的算法將所生成的特征碼存入數(shù)據(jù)庫(kù)當(dāng)中，并作為驗(yàn)證判斷的依據(jù)。系統(tǒng)可將用戶經(jīng)常操作的幾臺(tái)計(jì)算機(jī)作為指定的操作終端，而不允許通過(guò)其他計(jì)算機(jī)登錄操作。該認(rèn)證方式的缺點(diǎn)在于對(duì)非授權(quán)計(jì)算機(jī)不允許執(zhí)行交易操作，且需要進(jìn)行及時(shí)的計(jì)算機(jī)變更維護(hù)。

第三，CA認(rèn)證。CA認(rèn)證是通過(guò)用戶證書簽名來(lái)為證書持有者身份及其公鑰擁有權(quán)提供保證。金融企業(yè)可嘗試引入CA服務(wù)器，通過(guò)相應(yīng)的部署，于信息系統(tǒng)的客戶端與后臺(tái)服務(wù)器間進(jìn)行CA認(rèn)證的增設(shè)，以進(jìn)一步強(qiáng)化信息系統(tǒng)的安全性。CA證書的制造、簽發(fā)、認(rèn)證及管理等由CA服務(wù)器完成，采取這一認(rèn)證手段，可在網(wǎng)絡(luò)信息傳輸過(guò)程中實(shí)現(xiàn)加密解密、數(shù)字簽名及驗(yàn)證等一系列環(huán)節(jié)，以最大限度確保信息的完整性、保密性傳遞。

（二）加密傳輸、存儲(chǔ)敏感數(shù)據(jù)

根據(jù)等級(jí)保護(hù)相關(guān)要求并結(jié)合金融企業(yè)自身業(yè)務(wù)特點(diǎn)對(duì)敏感信息進(jìn)行分級(jí)，建立數(shù)據(jù)的統(tǒng)一安全策略，依據(jù)該策略對(duì)各系統(tǒng)涉及的敏感數(shù)據(jù)進(jìn)行標(biāo)記，并通過(guò)HTTPS等應(yīng)用層面的加密措施，保障口令、敏感業(yè)務(wù)數(shù)據(jù)在傳輸過(guò)程中的完整性和保密性。

針對(duì)數(shù)據(jù)存儲(chǔ)的加密，主要包括數(shù)據(jù)庫(kù)敏感數(shù)據(jù)加密以及其他基于操作系統(tǒng)文件的加密保護(hù)。通過(guò)采取加密相關(guān)技術(shù)確?？诹?、敏感業(yè)務(wù)數(shù)據(jù)在存儲(chǔ)過(guò)程中的保密性。

（三）規(guī)范應(yīng)用開發(fā)安全

規(guī)范應(yīng)用開發(fā)安全，制定軟件開發(fā)編碼規(guī)范，要求開發(fā)人員遵守。開發(fā)的信息系統(tǒng)應(yīng)當(dāng)能夠?qū)赡艿母黝惞粜袨榫哂幸欢ǖ姆雷o(hù)作用，如對(duì)于用戶提交表單，應(yīng)使用標(biāo)準(zhǔn)輸入驗(yàn)證機(jī)制，驗(yàn)證所有輸入數(shù)據(jù)的長(zhǎng)度、類型、語(yǔ)法以及業(yè)務(wù)規(guī)則；使用圖形驗(yàn)證碼、倒計(jì)時(shí)等方式來(lái)防范惡意提交；對(duì)于上傳功能一定要校驗(yàn)提交文件的類型，校驗(yàn)應(yīng)在包括客戶端校驗(yàn)和服務(wù)器端同時(shí)進(jìn)行，對(duì)上傳文件存放的路徑進(jìn)行限定，對(duì)存放的文件夾進(jìn)行權(quán)限控制；系統(tǒng)部署完畢后應(yīng)檢查系統(tǒng)發(fā)布的目錄，查看是否存在備份文件、源代碼文件等。此外，在系統(tǒng)上線前應(yīng)當(dāng)按照等級(jí)保護(hù)基本要求對(duì)源代碼是否存在后門進(jìn)行安全審查，對(duì)信息系統(tǒng)應(yīng)當(dāng)進(jìn)行安全性測(cè)試，[4]以確保上線前能夠盡最大可能發(fā)現(xiàn)潛在的問(wèn)題并加以解決。

三、結(jié)語(yǔ)

隨著金融行業(yè)在我國(guó)的迅速發(fā)展，金融企業(yè)信息系統(tǒng)日趨復(fù)雜，同時(shí)信息安全事件也已屢見不鮮，金融企業(yè)所面臨的信息安全形勢(shì)也越來(lái)越嚴(yán)峻。本文在多年來(lái)對(duì)金融行業(yè)信息系統(tǒng)安全測(cè)評(píng)和安全評(píng)估的基礎(chǔ)上，闡述了金融行業(yè)信息系統(tǒng)面臨的典型安全問(wèn)題，并對(duì)該行業(yè)信息系統(tǒng)相應(yīng)的安全防護(hù)策略的建立提出了建議，希望由此能對(duì)金融行業(yè)信息安全建設(shè)工作帶來(lái)參考意義。

當(dāng)然，信息安全建設(shè)不可能一次性考慮和解決所有的安全問(wèn)題，因此，隨著安全環(huán)境及應(yīng)用需求的不斷變化，金融行業(yè)的信息安全防護(hù)策略也需要持續(xù)不斷地發(fā)展和改進(jìn)，也只有這樣，才能做到未雨綢繆，保證信息系統(tǒng)的安全性。

（作者單位為上海交通大學(xué)信息安全學(xué)院）

參考文獻(xiàn)

[1] FreeBuf發(fā)布2016年上半年金融行業(yè)應(yīng)用安全態(tài)勢(shì)報(bào)告[EB/OL].

[2] 弱口令[EB/OL].百度百科，http：//baike.baidu.com/view/98458.htm.

[3] 馮谷，高鵬.新型SQL注入技術(shù)研究與分析[J].計(jì)算機(jī)科學(xué)，2012（Z3）.

[4] GB/T 22239—2008信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求[S].endprint