金融系统安全防御策略及服务

我国金融市场已经成为世界金融领域中一个重要的标志,与此同时,金融行业面临的信息安全风险和威胁也愈加严重。本文通过总结近年来金融行业信息系统渗透性测试的经验,简要介绍和分析了金融行业信息系统面临的典型安全问题,并对行业内的信息安全防护策略提出一些改进建议,为金融行业信息安全建设提供思路。

关键词 金融 信息安全 风险和威胁 防护策略

一、简要分析金融行业信息系统典型安全问题

根据FREEBUF的统计数据显示,2016年上半年金融行业的漏洞统计TOP10中,传统金融行业的高危漏洞数和可能造成的危害要远远大于互联网金融,其中保险行业高危漏洞达到86.22%,是大数据金融的17倍。

多种漏洞,玄天安网都可为您解决,您可以直接拨打我们的电话联系。

二、金融行业信息系统的安全防护策略

面对越来越多的安全问题,金融行业应当全面考虑信息化建设过程中可能遇到的各类安全威胁,并建立一套适合本行业特点的安全防护策略。笔者根据多年实施行业内安全测评以及安全评估工作的经验,总结出了几点安全防护策略的建议,旨在为金融行业信息安全建设工作提供参考。

(一)增加身份鉴别措施

要规避传统口令认证方式所带来的风险,势必需要增加对用户的身份鉴别措施,而目前较为适用于金融行业业务的有以下几种:

第一,动态口令。动态口令依靠每次不同的登录密码,来有效保障系统账户的安全性。即使当前口令被恶意人员截获后,对用户合法身份的冒用依旧无法实现,用户身份鉴别的安全性得到了很大的提高。采用动态口令是用于解决身份鉴别的有效措施,当前,手机动态短信、口令卡、动态口令令牌、电子密码器等是动态口令的主要实现方式。

第二,硬件绑定。硬件绑定是将用户账号同用户计算机特征码实施绑定,并保存至后台认证库中,而用户只有通过特定计算机才能进行该账号下的操作。该认证方式的关键是要通过程序来将机器标志(如硬盘、网卡MAC等)逐一读取出来,再经过特定的算法将所生成的特征码存入数据库当中,并作为验证判断的依据。系统可将用户经常操作的几台计算机作为指定的操作终端,而不允许通过其他计算机登录操作。该认证方式的缺点在于对非授权计算机不允许执行交易操作,且需要进行及时的计算机变更维护。

第三,CA认证。CA认证是通过用户证书签名来为证书持有者身份及其公钥拥有权提供保证。金融企业可尝试引入CA服务器,通过相应的部署,于信息系统的客户端与后台服务器间进行CA认证的增设,以进一步强化信息系统的安全性。CA证书的制造、签发、认证及管理等由CA服务器完成,采取这一认证手段,可在网络信息传输过程中实现加密解密、数字签名及验证等一系列环节,以最大限度确保信息的完整性、保密性传递。

(二)加密传输、存储敏感数据

根据等级保护相关要求并结合金融企业自身业务特点对敏感信息进行分级,建立数据的统一安全策略,依据该策略对各系统涉及的敏感数据进行标记,并通过HTTPS等应用层面的加密措施,保障口令、敏感业务数据在传输过程中的完整性和保密性。

针对数据存储的加密,主要包括数据库敏感数据加密以及其他基于操作系统文件的加密保护。通过采取加密相关技术确保口令、敏感业务数据在存储过程中的保密性。

(三)规范应用开发安全

规范应用开发安全,制定软件开发编码规范,要求开发人员遵守。开发的信息系统应当能够对可能的各类攻击行为具有一定的防护作用,如对于用户提交表单,应使用标准输入验证机制,验证所有输入数据的长度、类型、语法以及业务规则;使用图形验证码、倒计时等方式来防范恶意提交;对于上传功能一定要校验提交文件的类型,校验应在包括客户端校验和服务器端同时进行,对上传文件存放的路径进行限定,对存放的文件夹进行权限控制;系统部署完毕后应检查系统发布的目录,查看是否存在备份文件、源代码文件等。此外,在系统上线前应当按照等级保护基本要求对源代码是否存在后门进行安全审查,对信息系统应当进行安全性测试,[4]以确保上线前能够尽最大可能发现潜在的问题并加以解决。

三、结语

随着金融行业在我国的迅速发展,金融企业信息系统日趋复杂,同时信息安全事件也已屡见不鲜,金融企业所面临的信息安全形势也越来越严峻。本文在多年来对金融行业信息系统安全测评和安全评估的基础上,阐述了金融行业信息系统面临的典型安全问题,并对该行业信息系统相应的安全防护策略的建立提出了建议,希望由此能对金融行业信息安全建设工作带来参考意义。

当然,信息安全建设不可能一次性考虑和解决所有的安全问题,因此,随着安全环境及应用需求的不断变化,金融行业的信息安全防护策略也需要持续不断地发展和改进,也只有这样,才能做到未雨绸缪,保证信息系统的安全性。

Recommended Posts