多措并举防范网银技术风险

2011年5月，山东农信网上银行业务全面推广，截至2011年底，网上银行个人及公司客户数已达60余万名，日均交易量4万笔，并呈迅速增长势头。随着网上银行业务的不断发展，客户数量及交易量的不断增大，使得安全问题更加突出，日益猖獗的木马病毒、形形色色的钓鱼网站，网络犯罪的规模化，使得网上银行的风险防范成为一个重要的研究课题。

        山东农信高度重视网银系统的风险防范工作，加大资金投入，采取有效措施，提高网银系统的安全等级。风险控制的主要任务就是预防事故的发生和在事故发生时减轻损失。网上银行为了预防和减轻损失，必须依据技术风险的成因和技术风险造成的威胁和漏洞，有针对性地制订相应的管理对策，逐条排查做出避免措施，在源头上阻断技术风险的发生。管理对策包括管理措施和技术措施，正确合理地执行这些措施，可以主动地增强网上银行抵御技术风险的能力。

        首先，开展安全评估与漏洞扫描，查找技术漏洞。网银系统上线运行后，山东农信即聘请安全专家对网银系统的安全设备从组网方案、设备配置、审计跟踪等方面进行全方位安全评估，对评估中发现的技术性安全问题和风险，制订安全加固计划，限期解决，同时对系统性能进行优化配置，杜绝因系统配置不当而出现的风险。为进一步查找外部网站及网上银行系统的安全漏洞，山东农信委托中国信息安全测评中心对门户网站及网上银行系统采用远程渗透测试方式对SOL注人类、跨站脚本类、认证会话管理类等12类140多种漏洞类型进行了全面测试，并根据测试情况进行了整改。

        其次，购买专业服务，防范钓鱼及欺诈攻击。钓鱼网站通过一定方式发布在互联网上，引诱用户访问、输人敏感信息，窃取用户的个人隐私，并进行网络敲诈活动，给互联网用户利益造成严重的损害。为及时监测并关闭互联网中针对山东农信外部网站及网上银行系统的钓鱼网站，有效阻截钓鱼及欺诈攻击，山东农信选择全球行业领先的“防钓鱼／防欺诈”服务商，购买相关服务，对外部网站及网上银行系统提供7×24小时预防性的安全防护，保护其免受已知或未知的钓鱼、欺诈攻击的威胁，建立反钓鱼应急处置流程及措施，实现实时的监测预警、及时关闭钓鱼／欺诈网站，从而有效防范并及时消除钓鱼网站的风险隐患。

        再次，建立病毒防护体系，提升安全水平。随着互联网的发展，网络安全事件层出不穷。近年来，计算机病毒以及攻击导致的损失成为影响最为广泛的安全威胁，如果网站一旦被入侵，攻击者通常会上传木马病毒进行破坏和留下后门。为了抵御现在病毒发展的趋势，山东农信制订解决方案，建立“前摄的、主动的、可管理的”的企业防病毒体系。采用集中、统一的病毒防护系统，规范网银系统病毒紧急处理流程，实现可量化的病毒防御质量指标监控体系。通过工具，将防病毒系统运行状况、识别的病毒数据进行统计整理，以便对病毒趋势进行分析。

        最后，积极防御DDOS攻击，提升系统可用性。DDOS的本质是攻击者合法或非法地利用互联网上的大量其他机器(可能是“肉机”，也可能是合法的代理机器)，对攻击目标发起多对一的攻击；并且随着攻防对抗的发展，当前基于应用层的DDOS攻击方式逐渐成为了DDOS的主流。DDOS攻击的危害体现在网银系统上，就是造成网银系统的服务器资源或者带宽资源被攻击报文占用，从而无法响应正常的网银业务。为有效应对DDOS攻击，山东农信一方面加强网银系统的实时监控与分析，一方面充分借助网络运营商的力量，与电信、联通等签订了DDOS流量清洗服务合同。

        随着网上银行系统的不断发展，网上银行所应用的信息技术也在不断地进步和完善。当前网上银行所存在的安全漏洞，源于技术本身缺陷情况的越来越少，而源于技术不能完全利用、不按标准操作、不认真执行规章制度等管理漏洞的情况越来越多。在研究网上银行技术风险控制时，必须在技术和管理两个方面寻找相应的解决措施，相比较而言，更应侧重于管理措施的研究和制定，而在管理措施中则应侧重于制度建设和保证制度得以执行的措施。

（文章来源：金融电子化）
 

扫码即可手机
阅读转发此文