如何提高网上银行的安全防范

 来源：中国财经网

随着互联网的兴起，银行的传统业务也逐渐以网络服务的方式呈现，是以便诞生了网上银行。用户可以很容易地通过个人PC，掌上电脑，手机等智能终端在线远程办理结算，信贷服务等银行业务，极大地提高了工作效率和工作质量，能有效地加快资金周转，促进支付手段创新，方便管理和提高业绩，因此网上银行在全球范围内，得到了飞速的发展。

为了增加业务收益，各大银行都在着力推进和丰富网上银行业务，包括转账交易，生活缴费，第三方支付，信用卡服务，个企信贷，金融理财等，方便快捷的操作方式给用户带来了极佳的用户体验。名目繁多的理财产品，涉及到信贷，保险，股票，证券等诸多方面，各种技术的运用和创新，令网银业务的发展空间越来越广。

随着网上银行业务的蓬勃开展，网上交易量和交易速度大幅度提升，网上银行的安全性也受到越来越多的重视。网上银行业务能够顺利开展持续进行的前提就是要有足够的安全保障，当前网络信息安全所面临的问题也是网上银行需要重视和解决的问题。相比较于其他开展互联网业务的企业，网上银行对网络信息安全的要求会更高。因为每天都有大量的金融交易数据和用户敏感信息在网络中传输，这其中蕴含着巨大的经济利益。在利益的驱动下，必然会有人铤而走险，采用各种网络入侵手段对敏感数据进行侦听和窃取甚至破坏。这对重视保护用户隐私和交易安全的银行来说，无疑是极大的威胁和风险。随着网上银行业务的不断发展，网上银行在安全上也面临着越来越多的挑战。北京国舜科技有限公司(www.unisguard.com)的毕加索攻防实验室研究总结发现，要做好网上银行的安全防范工作，应着重考虑应对来自以下五个方面的安全威胁。

1. 网络钓鱼。这是电子银行面临的巨大威胁之一。从技术原理上来说，网络钓鱼的实现并不复杂，他主要是利用了人们贪图便宜或畏惧权威的心理。钓鱼攻击一旦得逞，对用户造成的将是直接的经济损失。敏感信息的泄露会造成其他方面连锁的安全隐患。电子银行方面现在采取“预留信息”和“扩展验证”(EVSSL)等手段对钓鱼攻击进行识别和抵御。但这两种方法都存在一定的局限性，它们的有效可行取决于用户的使用习惯和安全意识。

2. 分布式拒绝服务(DDOS)攻击。电子银行的带宽资源是有上限的。每个用户的访问请求都会消耗一定的带宽，当瞬间访问的数量达到一定阈值时，银行对外的网络带宽将会被耗尽，造成响应不及时，甚至服务器宕机，严重影响用户在线操作体验，对正在交易的用户可能会导致交易数据丢失，造成经济损失。DDOS的技术门槛不高，黑客们可以利用手中掌握的大量僵尸网络和主机对银行网络并发访问，进行分布式拒绝服务攻击。DDOS的规模有大有小，它对电子银行的威胁会持续存在。

3. 日新月异的WEB漏洞和花样迭出的病毒木马。这是电子银行面临的最普遍的安全威胁。电子银行面向客户的支付接口或门户网站都是一个个由研发人员编写的应用程序。程序的健壮性和安全性很大程度上取决于研发团队的技术实力和安全意识。很多时候用户体验和安全系数是矛盾的两个方面。追求安全系数高，可能直接导致的就是用户体验差。为了提高用户体验，有时候会以侥幸心理进行妥协，降低对程序安全的要求。程序都是出自于人手，难免会存在一些设计疏忽或者考虑上的不足，给恶意来访者留下破绽。破绽被进一步挖掘后，形成可被利用的漏洞，基于框架的漏洞更可怕，它的影响面会更广泛，造成的威胁也更大。黑客利用发现的WEB漏洞对服务器进行进一步的提权控制，可最终实现病毒上传，留下木马后门。银行方面将面临用户敏感数据被窃取和服务器宕机等巨大风险。

4. 来自银行安全管理的内部威胁。银行内部的安全运维设定存在隐患，比如管理员的弱口令设置，或者密码的存放管理上存在问题，会造成账号信息泄漏，内部人员可以越权访问，可能进一步导致客户范围的敏感信息泄漏。很多服务器系统或数据库的补丁插件更新不及时，对系统的稳定运行和安全防御造成隐患。而不当的更新操作也可能造成服务器宕机，影响对外业务，这个损失也是巨大的，所以很多时候运维管理面临一个进退两难的尴尬境地。

5. 安全设备未能起到应有的安全防护作用。银行在购买了安全设备之后，由于实际网络接入量或兼容性的问题，很多时候并没有真正发挥安全设备预期的作用。某些设备的操作对专业性要求较高，对银行内部的运维人员使用上造成困扰，导致此类安全设备使用频率较低甚至停用。即便是使用中的安全设备，产生的大量安全日志很难被完全正确解读，对各种设备产生的海量数据很难做一个有效的关联分析，当安全威胁事件发生时，很难做出快速响应，给网银业务造成损失。