浅析银行业互联网金融安全防护体系构建 史相冬 (同济大学电信学院,上海201804) 摘要:目前国内银 .亍的互联网金融业务均是以快速发展和推广为主,互联网金融安全是较新的安全技术领域,业内大 多处在探索阶段,尚未形成完整的体系方案。通过分析互联网金融的信息安全问题,对互联网金融安全防护体系进行研 究并提出构建设想,期待通过提高银行互联网金融信息安全风险防范能力,建设强大的保障体系来维护整个市场的稳定 健康发展。 关键词:银行;互联网金融;风险分析;信息安全防护; Analysis of The Information Security Protection System Banking lnternet Finance SHI Xiang dong (ElectronlcS /RfoiTna ̄ioR Engikeer/ng,Tongs UnlPersity,Shanghai zioso4) for Abstract:With the rapid development and popularization of domestic banks’internet finance,it。S a relatively new technology field of the information security protection system for internet-based financing,the industry mostly in the stage of technology exploration,has not formed a complete system solution.In this paper,through the analysis of the risk and problem of internet finance security,conducts research to the lnternet financial security protection system and proposes the plan of construction,expecting through the increase of information security risk prevention capacity,to building a St’ong security system to protect the whole market stability and healthy development. Key words:bank;internet finance;gisk analysis;Information security 1)rotection 58 1互联网金融安全现状和威胁 互联网金融是 前国内外发展最为迅速的新兴 表1互联网金融面临安全威胁一览表 牟号 威祷名诈 说明 堆息的机密睦 通过互联飘金融平音开展支付、贷鼓、还敕等韭再时+平台 上流动弗税密售息可能在传递过程中被l#法截取 领域,在快速发展的同时,面临着诸多安全威胁。 举例来说,通过 :二维码+账号体系+LBS+支付+ 信息的完整性 敏感、机密信息在互联蕊金融平台之间传递可能被非往鬲 恶意篡改 造成用户的重大损夫 对于信患茕布、支付谈 、支I寸旨匿签署、支付平台的信息 学 e术 信息的不可抵赣性 提供等燕键交易步骤,一旦有一方于以否认,另一方没有己 整名的记录作为仲裁的妖据 交易吾方发育的漕岜、交易谈判瞎患和电子化交易台属等是 关系链”的线上到线下的闭环体系,形成了新的“消 鲁恳 真实性 否是真安的信息,掰子互联网的匿名佳,提得可班提交一些盎{霾的潼息,运副教骗的行为 些投机分子 盯 授 费场景”,但值得担忧的是,二维码支付突破了传统 受理终端的业务模式.其风险控制水平直接关系到 移动支付是在支付菩方互雨见面神情况下通过移动通信弼、 身份n迁 互联需和丽络技求完成的 蔫要确认骧此的真实身跨任关系.保证支付全过程曲安±进行 同上支付过程审产生的账号、密码等信患是高衰敏感的瞎雇 支付手段的安全性 如果受到幔害,将篷蹶窖羲受很大的损失如果没育一种让 建立 用户认 、可行的措施来确保支 过程是安全的 悸较大 响用户执事互联弼金融业务的信心和积段性, 客户的信息安全和资金安全。而目前.将二维码应 用于支付领域有关技术.终端的安全标准尚不明确 相关支付验证方式的安全性尚存质疑,存在一定的 支付风险隐患。 用户豹支对参是通过联踊Pc、手机、PDA等垫端进行 下安 支封终端的安垒性 全的支封终端将导致I 人在输入账号、密码等敏感信息时受 到病毒、木马程序的攻击 支持行为碓强追踪 与抟绩商务活动相比 电子支}寸是无纸化支纣.支时行为建 以留下凭证.不便于对支付进行记录、分析、追踪和管理。 支}寸过程中声生的诸多问题如价格约定、订赞、旨同笠1T、 移动支付环节保障不健生 拉赞、博被、违约、售岳责任、遵货、纳税、技饔开具、支 付宙计等方丽均萄嘧藿一系列的管理问题,蔫要有配套的 标准及堰范的支持,蓬要建立相应的争议解决和仲裁机制 由于互联网的广泛性、公开性和匿名性,班受支纣过程中存 在售启真实性、机密性、完整性和抗抵赖等行为,缝博移动 谁强建立诚信鲍支纣环境 支付难强在一^诫信的环境中进行,或者说,还没有建立 个有效的机制(包括技术的、法律的、市场的 来确保支付 的安全、可瞎、台法的进行 分析总结互联网金融面临的安全威胁如表1所示。 网络攻击 来自互联网的APT(高级持续性威胁j攻击目盏碍獗.对互 联网金融系统造成_r:小的威胁 12 0 1 4.1 1l计算蠢兀安 www nsc 0rq 嘲 2银行互联网金融信息安全体系构建内容 目前,大部分国有银行及股份制商业银行都已建 立了完善的网上银行、手机银行、微信银行、网上商 城等电子渠道,并在此基础上进~步打造备类创新型 的互联网金融平台。互联网金融的主要业务是由客户 通过互联网与平台间直接实时交互实现的 加上大数 据和云计算等新技术的逐步推广使用.各类移动终端 越来越成为潮流,互联网金融所面临的环境具备很高 的开放性和复杂性。因此.和银行的传统业务相比, 互联网金融平台更容易受到诸如数据和客户信息泄漏 交易信息篡改、外部攻击等安全威胁。 2.1移动支付安全防护 结合移动支付领域的特点 突破现有的移动支付 安全保护的模式,从移动支付安全入手,有效解决移 动端支付的安全问题。在移动支付终端运用各类新技 术,包括新兴的高强度生物识别技术,实现身份认证 S9 设备的小型化 并利用安全可靠的APP程序安防平台 强化移动应用的安全防护 最终在不降低安全性的前 提下 实现移动支付终端的高性能和小型化,并基于 移动支付终端提供安全便利的银行服务。 2.2系统后台安全加固 系统后台安全加固主要包括对主机访问控制平台 建设、数据中心终端安全管控、网络层安全审计等后 台运维安全的强化。规范生产主机访问申请审批管 控,完善主机访问控制平台协议支持能力,提高管理 效率,主机访问控制平台在支持相关协议访问控制的 同时 也应满足口令托管、口令代填等用户管理需求。 完成动态令牌服务整合.结合上海农商银行集中身份 认证平台建设.将动态令牌服务转移至集中身份认证 平台进行实现,充分考虑安全产品国产化等要求,对 动态令牌服务进行改造和整合,为主机访问控制平 台、网络访问控制平台等运维管理平台提供安全可靠 的身份认证服务。针对数据中心终端 部署管理客 户端,实现防MAC地址伪造、防病毒软件状态检测、 代理服务器、安全控制软件状态检测等安全管控 措施。落实涉密数据使用监控,通过收集数据中心交 _ 割 换核心网络流量,对互联网出口等节点进行监控。网 络安全审计系统针对互联网行为提供有效的行为审计 内容审计、行为报警、行为控制及相关审计功能。从 管理层面提供互联网的有效监督,预防、制止数据泄 密。满足对互联网行为审计备案及安全保护措施的要 求,提供完整的上网记录 便于信息追踪、系统安全 管理和风险防范。 2.3外部攻击防范 外部攻击防护主要包括APT攻击防范及SSL加密 数据检测,APT攻击防范解决方案主要包括主机文件 保护 大数据分析检测、恶意代码检测和网络入侵检 测等策略。主机文件保护的主要思路是采用白名单方 法来控制个人主机上应用程序的加载和执行情况 从 而防止恶意代码在员工电脑上执行。大数据分析检测 方案并不重点检测APT攻击中的某个步骤 而是通 过搭建企业内部的可信文件知识库 全面收集重要终 端和服务器上的文件信息 在发现APT攻击的蛛丝 马迹后,通过全面分析海量数据,杜绝APT攻击的 发生。恶意代码检测解决方案其实就是检测APT攻 击过程中的恶意代码传播步骤 因为大多数APT攻 击都是采用恶意代码来攻击员工个人电脑以进入目标 网络 网络入侵检测通过网络边界处的入侵检测系统 来检测APT攻击的命令和控制通道。SSL防护主要是 指SSL加密数据检测 通过SSL加密数据检测可以提 高业务处理速度,降低网络带宽占用率,并通过优化 TCP和HTTP协议设定,以及压缩和高速缓存技术来 提高服务器性能。它通过卸载服务器的大流量SSL加 密以及检查加密数据流,以确保网络安全设备的作用 保障网络应用和交易的安全。ssL加密数据检测为设 备提供检测所有数据流包括SSL加密数据的处理能力 和安全智能,可阻止病毒、木马程序、蠕虫病毒和恶 意签名的入侵攻击。 2.4数据防泄漏 根据数据防泄漏工作“先控后防 的原则,结 合上海农商银行实际环境中各类复杂的业务场景和庞 大的终端网络,制定了先做信息集中,再做隔离控制 加强例外防护,全面监控风险的工作策略。数据防泄 漏是一项需循序渐进开展的工作,虽然业内数据防泄 漏方案普遍提供了较完整成熟的屏蔽和阻断电子信息 泄露的功能,但由=F此类功能极易对关键业务流程操 作效率产生影响 因此,上海农商银行数据防泄漏工 作主要关注于技术和管理构架的快速部署,通过定 义 发现、监控和保护的工作步骤 对防泄漏优先级 和策略的不断优化调整 完成信息资产种类的初步识 别,并发现数据防泄漏工作中存在的关键问题和隐患, 进行针对性的保护 戈风险整改。建设封闭式终端接入 环境,采用瘦客户端或其他方式接入桌面虚拟化平台 并通过完善现有网络环境及管理策略 在保证重要敏 感数据安全性的同时,实现桌面虚拟化环境管理人员 的高效、集中管理环境和对相关数据的访问需求。在 满足日常工作环境要求基础上,统一实现各种信息数 据的安全与管控 提升桌面提供时间,增强fT服务能力。 2.5信息安全管j里 结合互联网金融业务在国际国内的发展趋势,可 以采用平衡计分卡等工具分析互联网金融业务安全风 险及安全防护新要求.构建互联网金融业务安全风 险监控及预警评价体系 通过风险模型构建关键技 术,运用平衡计分卡的动态平衡原理,结合互联网金 融业务安全风险,构建分析模型 从而形成与互联网 金融业务快速发展相适应的动态风险监测 预警、处 置机制。信息安全测试与测评主要通过第三方或自有 学 力量对系统安全性进行专业检测,包括但不限于电子 . 银行评估、等级保护测评和渗透测试 软件安全测试 技 等等。通过此项工作 一方面满足监管要求,譬如电 子银行评估通过分析系统安全现状与监管要求间的差 距。另一方面 根据银行自身需要,在信息系统建设 或生产阶段对其安全性进行测试,如通过安全性渗透 测试,验证信息系统在防篡改、网络防渗透、数据库 防窃取、网络安全体系防入侵、内部防护等方面的安 全保障能力。针对信息安全专业人员和信息科技条线 的员工,开展有针对性的安全技术和技能培训.包括 组织参与培训l授课、安全技能实践和对外交流等,了 解和掌握最新的信息安全形势和行业动向,学习新兴 的信息安全技术,尤其是针对互联网金融、移动支付 等亟待提升安全水平的领域。同时加强对员工及客户 安全意识宣贯 制定通俗易 I ̄-nq信息安全教育宣传材 料,通过组织各种形式培训及信息安全教育,增强员 工和客户信息安全意识和能力,提高银行信息安全整 体水平,有效防范日益频繁的电信诈骗、盗取个人身 份信息等违法犯罪活动。 3结语 互联网金融信息安全体系的建设成果可应用于互 联网金融平台相关的信息安全领域 互联网金融企业 自身信息安全水平的提升,能够减少因信息安全问题 造成的损失,避免用户的损失,体现了良好的社会效 益。借助互联网金融较强的传播性.能够提升社会和 相关企事业单位对信息安全的重视,增加安全方面的 需求和投入,带动自主可控信息安全产业的发展 带 动人员岗位的增加,产生良好的经济效益和社会效益60 。 对于推动互联网金融的信息安全监管体系建立及完善 也有积极作用。 同时 互联网金融安全体系的建设和推广,可以 推动和加强社会大众,尤其是金融消费者的安全教育 和引导,整合互联网与金融知识,提高金融消费者的 信息安全意识,促进互联网金融企业提升服务规范度、 增加客户满意度。留 参考文献 [1]王国贞.互联网金融风险及防范对策.河北企业,201 5. [2]论网络金融存在的安全隐惠及其风险控制.百度文 库,2O1 4. [5】周小娟.我国互联网金融面临的风险及应对措 施.时代经贸,20I 5. [4】陈子永.互联网金融风险与防范.商,2O1 3. 作者简介:史相冬(1 983一),男,同济大学工程硕士 研究生,主要研究方向:信息安全。 收稿日期:2o1 4 1 0—1 2 l2 l计算盍兀安 0 1 4.1 lⅥnw nsc0rg ■■■■■●●■■IM c术 P U " ¨术 ■●■-
