淺析金融行業信息系統典型安全問題及防護策略

李夏菁

摘 要 我國金融市場已經成為世界金融領域中一個重要的標志，與此同時，金融行業面臨的信息安全風險和威脅也愈加嚴重。本文通過總結近年來金融行業信息系統滲透性測試的經驗，簡要介紹和分析了金融行業信息系統面臨的典型安全問題，并對行業內的信息安全防護策略提出一些改進建議，為金融行業信息安全建設提供思路。

關鍵詞 金融 信息安全 風險和威脅 防護策略

一、簡要分析金融行業信息系統典型安全問題

根據FREEBUF的統計數據顯示，2016年上半年金融行業的漏洞統計TOP10中，傳統金融行業的高危漏洞數和可能造成的危害要遠遠大于互聯網金融，其中保險行業高危漏洞達到86.22%，是大數據金融的17倍。[1]

其中，典型的高風險漏洞如弱口令、SQL注入等較多，暴露了業務應用系統在軟件開發時對安全性的考慮比較欠缺。同時，各類安全問題導致潛在風險如泄露用戶數據等，對金融企業以及投資者個人造成的損失難以統計。

（一）弱口令漏洞

弱口令（weak password），指通常容易被別人猜測到或被工具破解的口令。弱口令通常指的是那些僅包含簡單數字和字母的口令，例如“123”“abc”等，由于這類口令非常容易被人破解，一旦破解之后用戶的計算機便會面臨風險。[2]而對于大多數金融公司的信息系統來說，無論是面向公眾的網上交易、在線開戶等業務系統，還是那些僅對內部員工開放的集中交易、郵件收發等辦公系統，普遍仍采用的是用戶名加口令這一較為傳統的身份鑒別方式。由于管理者和使用者的安全意識參差不齊，其便會伴隨著各種弱口令漏洞廣泛存在于金融企業的各類應用系統中。

（二）SQL注入漏洞

SQL注入（SQL injection），指通過把構造巧妙的SQL語句插入Web表單中遞交或者是輸入域名或頁面請求的查詢字符串，最終達到欺騙服務器執行惡意的SQL命令的目的。[3]

通常攻擊者可以利用SQL注入漏洞得到數據庫中保存的管理員賬號和密碼，然后利用這些賬號登錄到應用系統的管理后臺從而實施進一步的入侵。對于一些特殊的數據庫，攻擊者便能夠對其實施插入、更新、刪除等關鍵性操作；如果該賬戶有足夠的權限，攻擊者甚至可以通過數據庫自帶的擴展存儲過程執行任意指令，使信息系統的安全性受到嚴重威脅。導致這種風險的主要原因是應用程序沒有細致地過濾用戶輸入的數據，使得信息系統接收了非法數據并隨即進行了處理和響應。

（三）跨站腳本漏洞

跨站腳本漏洞（Cross-Site Scripting，常簡寫為XSS），指Web應用程序對用戶輸入過濾不足，導致攻擊者可以利用構造的惡意腳本或代碼數據顯示在瀏覽用戶頁面上對其造成影響的漏洞。與SQL注入漏洞通常攻擊數據庫服務器的方式不同，跨站腳本漏洞一般是在客戶端發起攻擊行為造成威脅，也就是說，利用跨站腳本漏洞注入的惡意代碼是可以在用戶電腦上的瀏覽器中運行的。

二、金融行業信息系統的安全防護策略

面對越來越多的安全問題，金融行業應當全面考慮信息化建設過程中可能遇到的各類安全威脅，并建立一套適合本行業特點的安全防護策略。筆者根據多年實施行業內安全測評以及安全評估工作的經驗，總結出了幾點安全防護策略的建議，旨在為金融行業信息安全建設工作提供參考。

（一）增加身份鑒別措施

要規避傳統口令認證方式所帶來的風險，勢必需要增加對用戶的身份鑒別措施，而目前較為適用于金融行業業務的有以下幾種：

第一，動態口令。動態口令依靠每次不同的登錄密碼，來有效保障系統賬戶的安全性。即使當前口令被惡意人員截獲后，對用戶合法身份的冒用依舊無法實現，用戶身份鑒別的安全性得到了很大的提高。采用動態口令是用于解決身份鑒別的有效措施，當前，手機動態短信、口令卡、動態口令令牌、電子密碼器等是動態口令的主要實現方式。

第二，硬件綁定。硬件綁定是將用戶賬號同用戶計算機特征碼實施綁定，并保存至后臺認證庫中，而用戶只有通過特定計算機才能進行該賬號下的操作。該認證方式的關鍵是要通過程序來將機器標志（如硬盤、網卡MAC等）逐一讀取出來，再經過特定的算法將所生成的特征碼存入數據庫當中，并作為驗證判斷的依據。系統可將用戶經常操作的幾臺計算機作為指定的操作終端，而不允許通過其他計算機登錄操作。該認證方式的缺點在于對非授權計算機不允許執行交易操作，且需要進行及時的計算機變更維護。

第三，CA認證。CA認證是通過用戶證書簽名來為證書持有者身份及其公鑰擁有權提供保證。金融企業可嘗試引入CA服務器，通過相應的部署，于信息系統的客戶端與后臺服務器間進行CA認證的增設，以進一步強化信息系統的安全性。CA證書的制造、簽發、認證及管理等由CA服務器完成，采取這一認證手段，可在網絡信息傳輸過程中實現加密解密、數字簽名及驗證等一系列環節，以最大限度確保信息的完整性、保密性傳遞。

（二）加密傳輸、存儲敏感數據

根據等級保護相關要求并結合金融企業自身業務特點對敏感信息進行分級，建立數據的統一安全策略，依據該策略對各系統涉及的敏感數據進行標記，并通過HTTPS等應用層面的加密措施，保障口令、敏感業務數據在傳輸過程中的完整性和保密性。

針對數據存儲的加密，主要包括數據庫敏感數據加密以及其他基于操作系統文件的加密保護。通過采取加密相關技術確保口令、敏感業務數據在存儲過程中的保密性。

（三）規范應用開發安全

規范應用開發安全，制定軟件開發編碼規范，要求開發人員遵守。開發的信息系統應當能夠對可能的各類攻擊行為具有一定的防護作用，如對于用戶提交表單，應使用標準輸入驗證機制，驗證所有輸入數據的長度、類型、語法以及業務規則；使用圖形驗證碼、倒計時等方式來防范惡意提交；對于上傳功能一定要校驗提交文件的類型，校驗應在包括客戶端校驗和服務器端同時進行，對上傳文件存放的路徑進行限定，對存放的文件夾進行權限控制；系統部署完畢后應檢查系統發布的目錄，查看是否存在備份文件、源代碼文件等。此外，在系統上線前應當按照等級保護基本要求對源代碼是否存在后門進行安全審查，對信息系統應當進行安全性測試，[4]以確保上線前能夠盡最大可能發現潛在的問題并加以解決。

三、結語

隨著金融行業在我國的迅速發展，金融企業信息系統日趨復雜，同時信息安全事件也已屢見不鮮，金融企業所面臨的信息安全形勢也越來越嚴峻。本文在多年來對金融行業信息系統安全測評和安全評估的基礎上，闡述了金融行業信息系統面臨的典型安全問題，并對該行業信息系統相應的安全防護策略的建立提出了建議，希望由此能對金融行業信息安全建設工作帶來參考意義。

當然，信息安全建設不可能一次性考慮和解決所有的安全問題，因此，隨著安全環境及應用需求的不斷變化，金融行業的信息安全防護策略也需要持續不斷地發展和改進，也只有這樣，才能做到未雨綢繆，保證信息系統的安全性。

（作者單位為上海交通大學信息安全學院）

參考文獻

[1] FreeBuf發布2016年上半年金融行業應用安全態勢報告[EB/OL].

[2] 弱口令[EB/OL].百度百科，http：//baike.baidu.com/view/98458.htm.

[3] 馮谷，高鵬.新型SQL注入技術研究與分析[J].計算機科學，2012（Z3）.

[4] GB/T 22239—2008信息安全技術信息系統安全等級保護基本要求[S].endprint