探究銀行系統計算機網絡安全技術策略

周鵬 李白楊

近年來，隨著社會經濟的快速發展，銀行也發展迅速，但銀行系統遭到攻擊現象依然屢見不鮮。從實踐來看，該種攻擊并非簡單的系統癱瘓，更重要的是其會導致客戶信息泄露，造成嚴重的經濟損失。為此，應當針對脆弱的計算機信息網絡系統，加強安全管理和應用技術控制，這樣才能維護公眾對銀行的信任，才能促進銀行業的可持續發展。

一、銀行系統計算機網絡安全技術

銀行計算機網絡系統遭到攻擊，主要包括VLANHopping、MAC、DHCP以及ARP和Spoofing等好幾種攻擊類型，具體分析如下：

（一）VLANHopping

該種攻擊主要是指VLAN跳躍攻擊，被攻擊的設備可能是任何VLAN成員，而且該設備可探聽VLAN信息。具體而言，實踐中可采用的主要方式有VLANID二次封裝，可以在原ID外封裝VLANID。對于該種攻擊，可采用以下方法予以解決。比如，Trunk端口位置指定的VLANID切忌將不用端口置于未被使用VLAN，同時VLAN1除做管理不孕將信息與端口加至 VLAN1；Trunk配置下不可使用端口位置的自適應要求，也不能在Layer-2層端口對Trunk配置進行指定。

（二）MAC與GHCP

對于MAC攻擊問題而言，通常在計算機網絡設備中均有存儲區域對MAC地址進行保存，一般Cisco交換設備上將其稱為CAM表，事實上CAM表容量與大小具有局限性。比如，互聯網上出現的Perl程序有一百行之多，其可以產生非常多的MAC地址，機會占滿了CAM空間；由于遭到攻擊，而且空間被占滿，因此其它主機設施難以與交換機相連接，難以有效存放MAC地址，統稱為MAC溢出攻擊。一般而言，惡意用戶通過DHC Please軟件將 DHCP服務器可分配地址占盡，以致于DHCP服務器沒有地址可供分配，最終導致設施沒有地址分配，即DHCP Starvation Attack。針對這一問題，筆者建議在客戶端接口位置限制MAC地址，各端口僅限單一MAC地址可用。當該端口位置MAC地址有多個時，該端口根據配置實現聯動，以此來防止MAC模式攻擊。在拓撲結構中，也可以采用上述技術手段，這有利于防止ARP與DHCP欺詐型網絡攻擊。

（三）ARP

根據ARP協議進行設計是為了能夠有效減少計算機網絡系統中的ARP數據信息通信過多，一臺主機即便接受了ARP應答，也會插入ARP緩存表，因此也就會產生ARP欺騙可能性。對于這一問題，首先交換機應當將其DHCP Snooping功能打開，交換機上進行MAC與IP地址綁定，建立動態的綁定關系。對于DAI而言，其基礎為DHCP Snooping綁定表，未使用DHCP服務器的部分機器設備建議對ARPaccess-list進行靜態添加。在配置DAI時，就VLAN而言，其主要是對于相同VLAN接口開啟或者關閉DAI。基于DAI可有效控制端口位置ARP報文數量，這有利于減少或者避免“中間人”對其造成的攻擊和影響。

就應用層面而言，預防銀行系統計算機網絡漏洞以及免受攻擊的方式和方法主要包括以下幾種，即身份認證技術、數字簽名技術、網關認證技術以及雙因素認證技術和網頁防篡改技術等，具體分析如下：

（一）身份認證技術

所謂身份認證技術，實質上就是在銀行交易時判明以及確認雙方身份，這是銀行業務尤其是網上銀行交易最薄弱的一個環節。據調查發現，不法分子通常采用竊取口令以及修改或者偽造等手段攻擊銀行交易系統，并且阻止銀行計算機網絡系統資源的應用與管理。針對在合一問題，認證機構以及服務商應當提供以下認證信息和服務功能。比如，可信性。數據信息來源首先應當具有可信性，接收者應當能夠確認信息的準確性，并非冒充信息；完整性：信息數據傳輸時應當確保其完整性，接收者可確認所信息數據傳輸時未被修改或者替換；不可抵賴性：信息數據發送方對個人所發信息不能否認，而且信息數據的接收方不可否認已收信息；訪問控制：對非法用戶拒絕其訪問系統，合法用戶應當有訪問授權以及指定資源。通常情況下，客戶身份證可采用三種方式、組合模式實現。一是，客戶所知秘密信息，比如客戶自己口令；二是，客戶所持的秘密信，即客戶應當持有合法物理介質，常見的是智能卡。其中存儲了客戶個人信息、訪問資源；三是，客戶具有某種生物學特征，常見的有聲音、指紋以及DNA圖案和視網膜掃描等。由于該種方案造價相對較高，因此多應用于保密性要求較高的場合。

在銀行業務辦理以及交易支付時，參與方應當基于數字證書證明身份。數字證書是采用電子技術手段證實客戶身份及其對資源訪問的一種權限或者資質。實踐中可以看到，數字證書是唯一可用于確認銀行交易者身份的一種有效工具和手段。數字證書由管理中心進行了數字簽名，第三方無權也無法對證書內容進行修改。最為簡單的數字證書，也應當包含公開密鑰、證書授權數字簽名以及名稱等內容。同時，證書還包含密鑰時間，證書授權中心名稱以及序列號等相關信息資料。為使銀行客戶對銀行業務的安全可靠性重新樹立信心，銀行系統就應當保證安全保密性，銀行網絡系統中的信息數據傳輸保密、交換完整、信息數據的發送不可否認以及交易人員的身份確定等；通過數字證書的應用，采用對稱以及非對稱密碼機制，建立安全的身份認證體系。采用身份認證技術，可以促進信息數據不被竊取，傳輸信息時不被篡改；同時發送方可采用數字證書技術來來時接收方真實身份信息的確人，發送方不能抵賴個人信息或者否認其真實性。

（二）數字簽名技術

銀行客戶在辦理業務時，尤其是網上銀行用戶可以利用IE調用簽名控件以及用戶證書私鑰，簽名消息以后再發至SSL，由后者轉發到服務器（后臺）。服務器接收到信息數據以后，調用SVS簽名驗簽服務器來驗簽數據信息，判定傳輸數據是否被篡改。銀行用戶在交易時需利用簽名控件包對發送的消息進行簽名，再發給業務系統，此時服務器對SVS簽名驗簽服務器進行調用，從而驗簽簽名數據。若能夠通過驗簽，則該銀行業務操作可以完成；如果驗簽不能通過，則該業務無法完成操作。通過該種模式，可確保每筆交易都是成功，并且真實有效；數據傳輸時未進行篡改且在SVS日志中保留成功業務日志，以此作為憑證證明其有效性，同時也確保了銀行系統計算機網絡安全可靠性。

（三）SSL網關技術

SSL認證網關是網絡系統安全產品，應用過程中提供了如下服務功能。首先，數字證書本身具有高強度的認證功能；其次，數據鏈路高強度加密。對于SSL認證網關而言，其布設在Web服務器、瀏覽器之間，通過數字證書實現身份雙重認證，在二者之間建立加密鏈接，其強度達到了128位，使客戶端和Web服務器二者對身份進行認證，并實現了數據信息的安全傳輸。從實踐來看，SSL認證網關利用代理應用模式，其對經過網絡的全部流量均予以處理，再傳遞給服務器；在此情況下，用戶必須基于SSL認證網關對被保護服務器進行訪問。SSL認證網關部署的根本目的在于確保銀行與CFCA安全通信，促進網絡系統數據安全可靠。

（四）雙因素認證技術

實踐中為了能夠有效保證網絡應用安全可靠性，在身份認證基礎上融入雙因素認證技術手段。在此過程中，采用用戶名稱+密碼方法進行網絡登錄，為便于客戶記憶，可以采用特殊數字，比如生日、身高體重以及電話號碼等進行加密；值得一提的是，密碼僅能對真實性低級認證。在銀行辦理業務時，如果采用個人用戶電腦，則其表現出短板性。通常情況下，黑客在客戶電腦被注入木馬程序以后，可對用戶電腦信息進行截取以及監控，并獲取其賬號和密碼；只需重新登錄，修改密碼，即可將用戶賬戶中的錢轉給第三方，最終實現盜取客戶信息之目的。針對這一問題，筆者建議實施第二重身份認證制度，比如硬件USB數字證書以及雙因素動態密碼認證體制和動態電子銀行口令卡等。在轉賬交易過程中，除應當輸入原賬號和密碼，還必須使用獨立的硬件USB數字證書作為第二重密碼。對于第二重認證而言，其與網絡一般不會接觸，這就確保了客戶免造黑客攻擊，對于確保銀行計算機網絡的安全可靠性，具非常重要的作用。同時，筆者認為還應當利用雙因素動態密碼認證方式，用戶利用動態密碼雙因素認證操作更加的方便快捷，登錄銀行業務系統以后，輸入靜態和動態密碼，每分鐘令牌密碼都會發生變化，這有利于外匯安全交易。采用該種方式和方法，可以肯定的是若密碼生成器與網絡之間完全隔離，則黑客難以獲取。需要說的是：雙因素動態密碼認證方式時第二重密碼，其必須借助于網絡系統進行傳播，每分鐘都會變化一次，利用密碼成功登錄后即失效。

（五）網頁防篡改技術

銀行系統中的計算機網絡安全可靠性，主要是指銀行網站容易遭到黑客以及不法分子攻擊，常見的是篡改網站網頁，并因此而造成了嚴重的負面效應。實踐中為了能夠有效確保網頁安全，引入防篡改系統。主頁防篡改，就是利用外掛輪詢式方法，周期性地自外部逐一訪問網頁，以此來實現對網頁真實可靠性的判斷。對每一個網頁而言，輪詢掃描操作要有數十分鐘的間隔時間，在此階段黑客會攻擊計算機網絡系統并篡改用戶訪問的網頁。主頁防篡改，采用的是現代先進的核心內嵌式技術手段，篡改檢測模塊處在操作核心層。如果對被保護對象進行攔截屬于非法篡改，在需要進行及時響應以及自動恢復，實時確保各網頁真實可靠性。

因主頁防篡改系統運行機理為觸發查詢模式，一旦改變了被保護對象，則該系統就會立即對變更目錄掃描并比較和恢復等，有效縮短了上述系統的響應時間。對于主頁防篡改系統來講，其檢測引擎在操作系統內核體系之中，當被保護文件尚未變更時，系統就會休眠。在此情況下，CPU資源基本不會損耗，系統中的物理內存資源占用量也非常的小。系統采用的是管理界面以及防篡改引擎監測分離模式，即便管理界面關閉，也不會對WEB網站造成不利影響，主頁防篡改系統占用優勢資源。同時，主頁防篡改體系中還提供了報警、系統以及恢復等幾種日志記錄形式，便于用戶對入侵者進行跟蹤與研究。此外，網頁防篡改技術的應用，有利于隨時修改以及新增一些規則。在此過程中，主頁防篡改系統可以自動對頁面智能化判斷，以此來確保是否需要對其進行備份。同時，系統采用的是智能更新措施，若用戶對目錄指定了具體的保護規則，此時銀行用戶在利用主頁防篡改更新功能以后，對目錄的所有文件予以修改和增減，而且該系統會采用智能化的手段對規則以及備份段予以更新，這有利于實現最新數據信息與備份數據之間的一致性。

（六）信息認證與客戶端安全技術

通過對敏感文件加密處理，即便文件被其他人獲取，也難以得知內容。同時，還要確保數據信息的完整性，以免截獲人在系統文件中加入信息。同時，還要對信息數據來源的可靠性進行驗證，對發信人身份進行驗明。通過秘密密鑰、公開密鑰加密兩種系統，相互結合以后可以確保信息數據得以安全認證。文件加密以后，如果被其他人截取，因無法得到加密信息而難以獲悉其原始內涵。同時，還可以采用時時加密技術，其他人無法刪除或者加入信息，改變加密信息以后就難以獲得原始信息。確保銀行系統客戶端安全可靠性也至關重要，尤其是系統不在控制范圍時，其安全保障難度較大。在此情況下，建議采用一種先進的技術方法，確認銀行交易是從客戶端發起的，而非由程序發起。為此，筆者建議在銀行系統中引入客戶端加解密安全防護措施，通過加密實現了從鍵盤輸入到服務器接收全過程的安全保護，這在很大程度上有效提高了用戶對銀行的信心，而且有效降低了銀行業務運營風險。

三、結束語

總而言之，隨著我國銀行業快速發展以及業務流量的增長，不斷推出了很多類型的中間業務，計算機網絡規模也隨之擴大，系統結構變得更加的復雜、多樣。在此過程中，人們逐漸對計算機網絡產生了依賴性，加強系統網絡服務管理成為銀行義不容辭的責任。為此，實踐中應當對日趨復雜的計算機網絡系統統一配置和加強操作流程的管控，并在此基礎上制訂統一的安全管理措施和配置規范，從安全技術與應用技術兩個方面著手，共同打造一個完整的、安全可靠的銀行計算機網絡系統。