淺析金融行業(yè)信息系統(tǒng)典型安全問題及防護策略

李夏菁

摘 要 我國金融市場已經成為世界金融領域中一個重要的標志，與此同時，金融行業(yè)面臨的信息安全風險和威脅也愈加嚴重。本文通過總結近年來金融行業(yè)信息系統(tǒng)滲透性測試的經驗，簡要介紹和分析了金融行業(yè)信息系統(tǒng)面臨的典型安全問題，并對行業(yè)內的信息安全防護策略提出一些改進建議，為金融行業(yè)信息安全建設提供思路。

關鍵詞 金融 信息安全 風險和威脅 防護策略

一、簡要分析金融行業(yè)信息系統(tǒng)典型安全問題

根據FREEBUF的統(tǒng)計數(shù)據顯示，2016年上半年金融行業(yè)的漏洞統(tǒng)計TOP10中，傳統(tǒng)金融行業(yè)的高危漏洞數(shù)和可能造成的危害要遠遠大于互聯(lián)網金融，其中保險行業(yè)高危漏洞達到86.22%，是大數(shù)據金融的17倍。[1]

其中，典型的高風險漏洞如弱口令、SQL注入等較多，暴露了業(yè)務應用系統(tǒng)在軟件開發(fā)時對安全性的考慮比較欠缺。同時，各類安全問題導致潛在風險如泄露用戶數(shù)據等，對金融企業(yè)以及投資者個人造成的損失難以統(tǒng)計。

（一）弱口令漏洞

弱口令（weak password），指通常容易被別人猜測到或被工具破解的口令。弱口令通常指的是那些僅包含簡單數(shù)字和字母的口令，例如“123”“abc”等，由于這類口令非常容易被人破解，一旦破解之后用戶的計算機便會面臨風險。[2]而對于大多數(shù)金融公司的信息系統(tǒng)來說，無論是面向公眾的網上交易、在線開戶等業(yè)務系統(tǒng)，還是那些僅對內部員工開放的集中交易、郵件收發(fā)等辦公系統(tǒng)，普遍仍采用的是用戶名加口令這一較為傳統(tǒng)的身份鑒別方式。由于管理者和使用者的安全意識參差不齊，其便會伴隨著各種弱口令漏洞廣泛存在于金融企業(yè)的各類應用系統(tǒng)中。

（二）SQL注入漏洞

SQL注入（SQL injection），指通過把構造巧妙的SQL語句插入Web表單中遞交或者是輸入域名或頁面請求的查詢字符串，最終達到欺騙服務器執(zhí)行惡意的SQL命令的目的。[3]

通常攻擊者可以利用SQL注入漏洞得到數(shù)據庫中保存的管理員賬號和密碼，然后利用這些賬號登錄到應用系統(tǒng)的管理后臺從而實施進一步的入侵。對于一些特殊的數(shù)據庫，攻擊者便能夠對其實施插入、更新、刪除等關鍵性操作；如果該賬戶有足夠的權限，攻擊者甚至可以通過數(shù)據庫自帶的擴展存儲過程執(zhí)行任意指令，使信息系統(tǒng)的安全性受到嚴重威脅。導致這種風險的主要原因是應用程序沒有細致地過濾用戶輸入的數(shù)據，使得信息系統(tǒng)接收了非法數(shù)據并隨即進行了處理和響應。

（三）跨站腳本漏洞

跨站腳本漏洞（Cross-Site Scripting，常簡寫為XSS），指Web應用程序對用戶輸入過濾不足，導致攻擊者可以利用構造的惡意腳本或代碼數(shù)據顯示在瀏覽用戶頁面上對其造成影響的漏洞。與SQL注入漏洞通常攻擊數(shù)據庫服務器的方式不同，跨站腳本漏洞一般是在客戶端發(fā)起攻擊行為造成威脅，也就是說，利用跨站腳本漏洞注入的惡意代碼是可以在用戶電腦上的瀏覽器中運行的。

二、金融行業(yè)信息系統(tǒng)的安全防護策略

面對越來越多的安全問題，金融行業(yè)應當全面考慮信息化建設過程中可能遇到的各類安全威脅，并建立一套適合本行業(yè)特點的安全防護策略。筆者根據多年實施行業(yè)內安全測評以及安全評估工作的經驗，總結出了幾點安全防護策略的建議，旨在為金融行業(yè)信息安全建設工作提供參考。

（一）增加身份鑒別措施

要規(guī)避傳統(tǒng)口令認證方式所帶來的風險，勢必需要增加對用戶的身份鑒別措施，而目前較為適用于金融行業(yè)業(yè)務的有以下幾種：

第一，動態(tài)口令。動態(tài)口令依靠每次不同的登錄密碼，來有效保障系統(tǒng)賬戶的安全性。即使當前口令被惡意人員截獲后，對用戶合法身份的冒用依舊無法實現(xiàn)，用戶身份鑒別的安全性得到了很大的提高。采用動態(tài)口令是用于解決身份鑒別的有效措施，當前，手機動態(tài)短信、口令卡、動態(tài)口令令牌、電子密碼器等是動態(tài)口令的主要實現(xiàn)方式。

第二，硬件綁定。硬件綁定是將用戶賬號同用戶計算機特征碼實施綁定，并保存至后臺認證庫中，而用戶只有通過特定計算機才能進行該賬號下的操作。該認證方式的關鍵是要通過程序來將機器標志（如硬盤、網卡MAC等）逐一讀取出來，再經過特定的算法將所生成的特征碼存入數(shù)據庫當中，并作為驗證判斷的依據。系統(tǒng)可將用戶經常操作的幾臺計算機作為指定的操作終端，而不允許通過其他計算機登錄操作。該認證方式的缺點在于對非授權計算機不允許執(zhí)行交易操作，且需要進行及時的計算機變更維護。

第三，CA認證。CA認證是通過用戶證書簽名來為證書持有者身份及其公鑰擁有權提供保證。金融企業(yè)可嘗試引入CA服務器，通過相應的部署，于信息系統(tǒng)的客戶端與后臺服務器間進行CA認證的增設，以進一步強化信息系統(tǒng)的安全性。CA證書的制造、簽發(fā)、認證及管理等由CA服務器完成，采取這一認證手段，可在網絡信息傳輸過程中實現(xiàn)加密解密、數(shù)字簽名及驗證等一系列環(huán)節(jié)，以最大限度確保信息的完整性、保密性傳遞。

（二）加密傳輸、存儲敏感數(shù)據

根據等級保護相關要求并結合金融企業(yè)自身業(yè)務特點對敏感信息進行分級，建立數(shù)據的統(tǒng)一安全策略，依據該策略對各系統(tǒng)涉及的敏感數(shù)據進行標記，并通過HTTPS等應用層面的加密措施，保障口令、敏感業(yè)務數(shù)據在傳輸過程中的完整性和保密性。

針對數(shù)據存儲的加密，主要包括數(shù)據庫敏感數(shù)據加密以及其他基于操作系統(tǒng)文件的加密保護。通過采取加密相關技術確保口令、敏感業(yè)務數(shù)據在存儲過程中的保密性。

（三）規(guī)范應用開發(fā)安全

規(guī)范應用開發(fā)安全，制定軟件開發(fā)編碼規(guī)范，要求開發(fā)人員遵守。開發(fā)的信息系統(tǒng)應當能夠對可能的各類攻擊行為具有一定的防護作用，如對于用戶提交表單，應使用標準輸入驗證機制，驗證所有輸入數(shù)據的長度、類型、語法以及業(yè)務規(guī)則；使用圖形驗證碼、倒計時等方式來防范惡意提交；對于上傳功能一定要校驗提交文件的類型，校驗應在包括客戶端校驗和服務器端同時進行，對上傳文件存放的路徑進行限定，對存放的文件夾進行權限控制；系統(tǒng)部署完畢后應檢查系統(tǒng)發(fā)布的目錄，查看是否存在備份文件、源代碼文件等。此外，在系統(tǒng)上線前應當按照等級保護基本要求對源代碼是否存在后門進行安全審查，對信息系統(tǒng)應當進行安全性測試，[4]以確保上線前能夠盡最大可能發(fā)現(xiàn)潛在的問題并加以解決。

三、結語

隨著金融行業(yè)在我國的迅速發(fā)展，金融企業(yè)信息系統(tǒng)日趨復雜，同時信息安全事件也已屢見不鮮，金融企業(yè)所面臨的信息安全形勢也越來越嚴峻。本文在多年來對金融行業(yè)信息系統(tǒng)安全測評和安全評估的基礎上，闡述了金融行業(yè)信息系統(tǒng)面臨的典型安全問題，并對該行業(yè)信息系統(tǒng)相應的安全防護策略的建立提出了建議，希望由此能對金融行業(yè)信息安全建設工作帶來參考意義。

當然，信息安全建設不可能一次性考慮和解決所有的安全問題，因此，隨著安全環(huán)境及應用需求的不斷變化，金融行業(yè)的信息安全防護策略也需要持續(xù)不斷地發(fā)展和改進，也只有這樣，才能做到未雨綢繆，保證信息系統(tǒng)的安全性。

（作者單位為上海交通大學信息安全學院）

參考文獻

[1] FreeBuf發(fā)布2016年上半年金融行業(yè)應用安全態(tài)勢報告[EB/OL].

[2] 弱口令[EB/OL].百度百科，http：//baike.baidu.com/view/98458.htm.

[3] 馮谷，高鵬.新型SQL注入技術研究與分析[J].計算機科學，2012（Z3）.

[4] GB/T 22239—2008信息安全技術信息系統(tǒng)安全等級保護基本要求[S].endprint