網絡條件下的金融業務風險及對策

摘要：現代金融業務的開展越來越依賴互聯網技術，網絡安全隱患已成為金融機構面臨的主要風險之一。金融機構的信息安全建設必須堅持管理、技術兩手抓，才能有效防范網絡金融風險。

關鍵詞：網絡；金融業務；信息安全；風險；安全管理

中圖分類號：F830，49

文獻標識碼：A

文章編號：1006-3544{2009)01-0045-02

計算機和互聯網的出現，給金融業務的推廣提供了極大的便利，金融機構對網絡的重視程度越來越高。網絡化信息技術的發展進一步提升了銀行等金融企業的計算機應用水平和信息處理能力，但同時也給金融信息的安全帶來了更大和更多的風險。由于金融業務的特殊性，要求金融網絡必須是“健壯”的，甚至在“帶病”的情況下依然能夠具有足夠的性能以維持業務的正常運行，金融信息網絡相關的軟硬件支撐必須能保證24小時×365天可靠運轉；金融信息網絡必須是安全的，要有嚴格的用戶驗證和完善的管理體系。本文主要分析了現行金融業務中存在的安全隱患，并從管理和技術的角度提出了一些解決方案。

一、互聯網環境下金融業務面臨的風險

在黑客行為商業化日趨明顯的今天，金融行業由于其信息內容的敏感性，自然而然地成為黑客的攻擊目標。從目前來看，金融信息網絡受到的攻擊主要來自以下途徑：

1，非授權訪問。目前。大量基于網絡的金融業務產品(如增值業務、代理業務、網上支付等)的推廣，需要廣泛的網絡支持才能實現，這必然要求金融業務部門能夠提供多樣化的對外互聯接口。因此金融企業信息對外開放的程度會加深，受到攻擊的途徑也就更加多樣和復雜。很多黑客利用系統漏洞或者網絡安全策略的缺陷非法侵入金融企業網絡內部，竊取大量的敏感信息、篡改系統數據或用戶資料、泄露敏感信息，給金融企業造成經濟損失和信譽損失。

2，非法竊取賬戶等機密信息。用戶賬戶密碼信息的失竊事件時有發生，盜竊用戶賬戶也是大多數普通攻擊者的目的。攻擊者往往采用搭線、嗅探工具等方式竊取用戶的數據，并在需要的情況下解密用戶的敏感信息，或者通過木馬之類的手段對用戶的信息進行截取并發送給攻擊者。

3，內部破壞。據統計，在所有網絡攻擊事件中，來自網絡內部的攻擊占總量的80％。對于金融業務網絡來說，盡管由于其承擔任務的特殊性，從管理上會盡最大可能避免此類事件的發生，但對于熟悉金融業務和計算機技術的人而言，仍然有可能利用其掌握的知識篡改系統數據、泄露信息。

4，病毒侵擾。日趨擴大的網絡環境為病毒的大量傳播提供了條件，網絡病毒已經給人類生活帶來了廣泛的影響。隨著國內多種操作系統的普及，除了Windows平臺的病毒外，針對其他操作系統平臺的病毒也逐漸增多，對于廣泛使用UNIX的銀行等金融部門來說，更是越來越容易受到病毒的侵擾。更何況很多金融部門的計算機本身就是使用Windows，一旦中毒會影響到通訊子網的運行，甚至會導致網絡及其承擔業務的癱瘓。

5，拒絕服務。拒絕服務簡稱DOS(DENIAL OF SERVICE)攻擊，目前常用的是分布式拒絕服務DDOS。由于這種攻擊并不是利用系統漏洞，而是直接使用SYN FLOODING方式，是一種簡單而有效的攻擊方式，故非常難以防范。拒絕服務攻擊發生時會導致被攻擊主機無法提供正常的服務，比如網上銀行、電子支付等，由于其服務器是在互聯網條件下訪問，其受到拒絕服務攻擊的可能性相當大。一旦受到攻擊或由于安全策略等其他問題而出現無法提供正常服務的情況，不但會造成經濟損失，更會給企業帶來信譽上的損害。

二、金融網絡安全風險根源及共性分析

如前所述，雖然金融網絡信息安全風險既有可能來自網絡外部也有可能來自網絡內部。但究其原因，導致安全風險的根源不外乎兩種：技術漏洞和管理漏洞。金融信息安全面臨風險的原因主要有以下幾個方面：

1，互聯網環境的改變。利用互聯網開展金融業務極大推動了金融業的發展，也給普通用戶辦理金融業務帶來了便利，但由于金融網絡和普通用戶接入互聯網使用了相同的TCP／IP協議，在此基礎之上建立起來的金融服務和用戶的關系與實現網絡化之前有很大的不同。由于服務商和客戶的網絡基于相同的TCP／IP協議，從網絡技術角度上看，用戶獲得了以往任何形式下都不具備的和服務商幾乎相同的“話語權”。因此，不法分子假冒銀行實施詐騙的可能性大大增加，很多對網絡不熟悉或者粗心大意的用戶為此遭受了經濟損失。另外，用戶連人互聯網的成本降低使得使用網上金融業務的用戶數不斷增加，黑客利用技術手段竊取用戶銀行賬號、密碼的可能性隨之提高，木馬、間諜軟件都是比較常見的方式。網絡環境的改善和上網用戶的增多，也為某些針對服務器的攻擊提供了便利條件。若黑客計劃針對某金融服務器展開DDOs攻擊，黑客找到能夠長時間開機且擁有良好帶寬條件“受控電腦”的難度也在迅速下降，這就為其攻擊提供了極為便利的條件。并且，黑客在實施攻擊行為時往往會采用多級“跳板”的方式，即不直接使用自己的計算機攻擊目標主機，而是先攻陷幾臺中間計算機并以它們為跳板進行攻擊，這極大地增加了網上取證和追查的難度。也使很多網上金融犯罪人員存有僥幸心理。

2，國內軟件平臺環境較為單一。目前很多新的金融產品是基于互聯網支持的，采用最多的方式就是WEB方式，從用戶使用的便利性角度來看，采用WEB方式由于不需要特定的軟件環境，只要擁有一臺能上網的計算機即可實現對金融網站的訪問。但這種模式在信息安全上存在很大的隱患。以最常見的網上銀行為例，目前各個銀行的網上銀行系統對非IE瀏覽器的支持大都做得不好，用戶只有在Windows平臺下使用IE系列瀏覽器對網上銀行進行訪問。造成這種情況的原因主要是由于國內的計算機用戶普遍采用微軟的windows操作系統，網上銀行的開發必然需要考慮到這種實際情況。一些用戶嘗試使用其他平臺如LINUX訪問網絡銀行，但發現由于網絡銀行大多采用了微軟的ACTIVEX技術，導致非IE瀏覽器無法正常訪問，即使能夠訪問也需要很復雜的操作，這種操作甚至是代碼級別的，普通用戶只能望而卻步，從而退回到windows平臺，這就使得網絡銀行應用客戶端的單一Windows平臺狀況更加明顯。由于Windows操作系統平臺在國內擁有最廣泛的用戶群，因此目前絕大多數黑客軟件和病毒等對安全構成威脅的程序都是針對它的，這就使用戶個人信息由于木馬或間諜軟件的原因而泄露的可能性大大增加，進而增加了用戶資金損失的可能性。

三、提高金融信息服務安全的對策

(一)加強金融企業網絡相關的研發及其管理工作

這里所指的研發并不僅僅指業務產品的開發，更重要的開發內容是承載金融業務專有通訊協議的開發。由于TCP／LP協議是目前互聯網的事實標準，網絡化的金融業務也必然要基于此協議，但這并不意味著網絡化金融產品開發工作只能圍繞著業務需求。以網上銀行為例，目前采用的軟件運行模式主要是B／S模式，即采用WEB技術發布服務，用戶通過IE瀏覽器訪問服務器上的相關服務。這樣做的好處是用戶只要能夠上網就能夠訪問網上金融業務，并且操作也非常簡單。由于此種模式從根本上是基于開放HTTP協議的，在安全方面必須通過插件等技術形式的支持才能實現。目前盡管很多網上金融服務提供了安全插件，但大都僅僅針對IE瀏覽器提供支持，采用其他核心技術的瀏覽器訪問時會由于插件問題導致業務不能正常操作。因此，加強對非IE瀏覽器的支持是提高網絡金融業務安全性的一種快速有效的手段。可以讓用戶在客戶端上有更多的選擇余地，盡量降低由于操作系統平臺單一所帶來的病毒、木馬等問題。

從筆者的經驗來看，采用專用協議和專用軟件發布服務是一種有效的方法，專用協議由于其不具備開放性，因而更安全。

(二)加強網上信息系統管理

目前我國已經制定出很多相關的法律法規，各個金融企業也有相關的管理制度。這些制度能否嚴格執行對于企業的信息安全關系重大。我國在信息安全技術方面和發達國家仍然有不小的差距，從很多金融信息安全案件來看，安全制度實施不嚴密占案件總體數量的很大比例。

(三)科學規劃業務網絡功能和區域

信息安全區域規劃是近幾年來網絡安全領域出現的一個新名詞，目前尚沒有業內公認的嚴格定義。筆者認為，信息安全區域規劃就是根據網絡的業務功能、數據流動狀況以及企業對不同類別數據不同的安全需求，規劃網絡的拓撲結構并對關鍵數據轉發節點采用的安全技術進行選擇。網絡規劃方面的缺陷在此稱為結構性缺陷。結構性缺陷會導致信息安全實現的難度和成本增加，在某些情況下甚至會造成不可彌補的損失。比如，需要相互保密的數據流出現在相同的TRUNK鏈路上，這種情況就是由于網絡拓撲結構不合理導致的。盡管從IEEE802，1Q協議規定上看，兩種數據流在邏輯上是隔絕的，但它們通過了公用的鏈路，因此這種網絡結構對于數據的安全性和傳輸效率都是非常不利的。

在金融企業中，目前比較適用的規劃方法就是根據業務類型及數據保密分級進行數據區域規劃。網絡安全區域得以規劃并實施后，不同等級的數據可以在很大程度上被隔離，并且不同區域之間可以設置網閘對訪問進行限制和認證，不但能夠增強抵御外部攻擊的能力，還能夠在很大程度上增強內部攻擊的難度，極大地提高系統的整體安全性。

(四)合理使用并開發網絡安全技術

1，合理使用加密技術和VPN技術，探索除WEB以外的其他形式的網絡金融業務發布途徑，特別是采用專用客戶端并開發專用通訊協議和安全用戶界面也是提高系統安全性能的可行途徑。

2，引AQOS服務質景，改善關鍵服務的響應速度，在關鍵節點不論是數據轉發節點還是服務器節點都采用雙機熱備份。使用狀態檢測技術，監視關鍵節點的數據狀態，及時發現并抵御拒絕服務(DOS)等異常數據流。在劃分了安全區域的情況下，可以采用防火墻和入侵檢測系統(IDS)加強信息系統抵御和發現黑客攻擊的能力。

使用這些技術手段的最終目標是增強信息系統的“健壯性”，其中一些與信息安全目標的實現直接相關，也有一些和信息安全沒有直接關系，如QOS。合理使用網絡安全技術對提高系統的可靠性是非常必要的，也是實現信息安全的基礎。需要注意的是，并不是安全技術越多就一定越好，安全技術的應用往往都是在信息轉發結點上實現的，不可避免地會降低該節點的轉發效率，嚴重時甚至會引起網絡中斷；另外，有些不必要的限制會給信息系統數據傳輸帶來障礙，造成工作效率的下降，有時反而會導致安全性的下降。

金融企業的信息安全建設必須管理、技術兩手抓，這兩方面缺一不可。防范網絡環境下的金融業務風險，并不是單純依靠技術手段就可以完全解決的，必須依托有力的管理制度才能得以有效實施。另外，隨著互聯網技術的不斷發展，金融業務不斷推陳出新，必將出現更多新的安全需求，金融企業的信息安全建設將是一項長期持續的工作。