首页 >> 通信网络安全频道 >> 技术交流 >> 正文
 
网银安全知多少 渗透测试便知晓
http://www.cww.net.cn   2012年2月23日 15:19    

随着信息技术的发展,网上银行在银行业务中的地位越来越重要,大型商业银行、全国性股份制中小型银行、城市商业银行、农村信用合作社以及各村镇银行都在积极建设和开展自己的网上银行业务,某些大银行的网银业务结算量已经占据总业务份额的50%以上。网上银行的用户数量正在快速增长,网上银行已成为银行业金融机构的战略性业务和利润增长点,成为其品牌竞争力的必要组成部分。由于信息技术的复杂特征,在信息技术使用过程中存在着大量难以把控的因素,网上银行作为一种先进的信息技术利用手段,自然也会面临各种各样的安全威胁。近年来针对网上银行的攻击手段不断增多,网上充斥的大量黑客教程也使得攻击门槛不断降低,网银安全事件频繁发生,导致客户信息泄露,大量资金被盗。如何应对网上银行系统面临的安全威胁,保障网银系统客户信息和账户资金安全,确保网银系统能够正常稳定的为广大客户服务,启明星辰认为渗透测试是解决这个问题的必要手段之一。

黑客是怎么作案成功的

从过去发生的大量与网银相关的安全事件来看,攻击者针对网银系统开展的非法攻击主要可分为以下几个方面。一是窃取网银用户的隐私信息,包括银行卡号、用户名、密码、个人身份信息等,较常使用的攻击手段有网络钓鱼、跨站攻击、木马等;二是获取网站的操作权限,然后可进行网页篡改、木马上传、权限提升等操作;三是获取服务器的操作系统权限,取得本地系统文件读写能力,并可继续向内网进行探测,严重时甚至可能进入网银系统核心区域,给网银安全带来巨大灾难。

随着各种自动化工具的普及,开展攻击活动所要求的个人技术水平已经远非过去那么严格,所以网银系统安全防护的关键不是对攻击手段的防御,而是应该及时识别和修复网银系统的安全漏洞,切实加强系统自身的安全能力。这些安全漏洞有些是由于软件的设计开发导致,有些是因为系统配置使用有误造成。但是安全漏洞的一大特点是它的隐蔽性,虽然业内已有比较成熟的信息系统安全建设指导思路,我们仍然无法确保能够发现网银系统存在的所有漏洞,更多时候我们只能在已经遭受了攻击之后才被动得知漏洞存在。对于技术力量不够雄厚的中小银行来说,这一点尤其明显。

安全要由自己做主

在开放辽阔的网络世界中,网上银行就像是位于幽暗森林中央的一座城堡,无数火把高插墙头,豺狼虎豹窥伺四周。为抵御强敌侵扰,必须高建城墙,关严窗格,锁闭隧道,紧守门房。

网上银行必须对自身情况有足够的认识,准确发现安全防御体系的短板所在,及时采用相应的技术手段进行补足,掌握网上银行安全工作的绝对主动权。切不可疏忽大意自以为保障万全,导致受到攻击甚至造成巨大损失后措手不及,焦头烂额地四处扑救。

在主动安全防御体系的建设工作中,必须将渗透测试作为一个重要的环节,在系统建设期间、系统上线前、系统运行时都可对其开展渗透相关的工作。渗透测试是指由专业的安全专家根据多年积累的安全漏洞经验和安全检测工具,完全模拟黑客攻击的思路,对网上银行系统进行非破坏性的攻击。由于渗透测试是由银行授权的主动性攻击行为,可以在确保不造成有害影响的前提下,从攻击者视角发现网银系统存在的安全风险,并及时进行修补。

揭开渗透测试的神秘面纱

所谓知己知彼百战不殆,渗透测试其实就是一个知己的过程。在攻击者之前准确发现自身安全缺陷,并提供恰当的修补建议,这是渗透测试的基本价值所在。作为一种专业的安全服务手段,渗透测试活动将充分借鉴传统黑盒测试和白盒测试的方法,评估网上银行系统的应用服务、通信协议等的潜在安全风险,直观反映网上银行系统所面临的安全现状。

渗透测试与常规的安全服务有所不同,渗透测试工作的成果难以准确度量,项目质量往往取决于测试人员的攻防技能水平,自动化工具仅仅作为过程中的一种辅助手段。渗透测试常用手段主要有信息搜集、端口扫描、口令猜测、远程溢出、本地溢出、脚本测试和权限提升等,在每个阶段都有相应的专业手法和利用工具,以保证测试结果的全面和准确。

[1]  [2]  
来源:通信世界网   编 辑:高娟    联系电话:010-67110006-853
分享到新浪微博 分享到搜狐微博 分享到腾讯微博 分享到网易微博 分享到139说客 分享到校内人人网 分享到开心网 分享到QQ空间 分享到豆瓣 分享到QQ书签       收藏   打印  论坛   推荐给朋友
文章评论查看评论()
昵称:  验证码:
 
相关新闻
即时新闻
通信技术
最新方案
企业黄页
会议活动