通信世界网讯(CWW) 随着金融机构对计算机网络和软件系统的依赖程度逐渐增加，以及电子金融产品的不断推出，新信息技术在给业务带来巨大方便、高效的同时，也带来了潜在的巨大风险。由于我国的商业化应用系统测评体系起步晚，发展也尚未成熟，加之金融应用系统有其自身的特殊性，所以目前在金融行业还没有一套体系化的测试方法，这使得金融行业应用系统的安全风险防范工作略显不足，因此在金融机构内部建立自身的应用系统安全测试体系，可有效提升安全防范能力，减少因应用系统安全问题带来的隐患。

应用系统安全问题亟待解决

2011年某银行5万客户遭遇网银升级骗局，造成客户资金巨大损失，给银行声誉带来重大影响；同年花旗银行证实受到黑客袭击，约有1%的信用卡用户受到了影响，客户的姓名、账号、联系方式等信息均被黑客获取。

无论是哪类事件，应用系统安全问题主要归纳为以下六类：

1、身份欺骗。应用系统的身份认证措施不足，导致攻击者可能冒用他人的系统身份操作账号，从而利用他人的权限获取相关信息资料，并进行资金盗取等操作。

2、篡改数据。应用系统的数据保护措施不足，导致金额、密码、联系方式等数据信息可能被攻击者恶意篡改，从而造成账户资金被盗等后果。

3、信息泄露。应用系统开发设计或配置不当，缺乏敏感信息保护功能，导致可能发生源代码泄露、目录遍历等后果，攻击者利用泄露的信息可以更容易的实施入侵。

4、权限提升。应用系统的权限管理功能不足，导致攻击者可能绕过权限限制，进行未经授权或超越授权的操作，使得攻击者获取系统权限或访问系统中的重要数据。

5、拒绝服务。应用系统安全保护能力不足，缺乏持续稳定运行的能力，可能受到应用资源消耗等DDoS攻击，或由于任务调度死锁等原因导致系统宕机或运行缓慢，无法继续对外提供服务。

6、行为否认。应用系统对用户操作行为缺乏可信的监查机制，导致无法提供有效证据，以证明该用户是否进行了某一操作。

行业监管机构曾对应用系统安全提出了具体要求，如银监会2009年下发的19号文《信息科技风险管理》、银监会2011年62号文及人行121号文《网上银行应用的安全通用规范》等。此外我国众多金融机构，如国有四大行、股份制银行及部分重要保险公司均在多年前就开始了对应用系统的安全测试工作，从最初的对互联网应用系统进行渗透测试到对安全控件的黑盒测试再到后来对应用系统代码的白盒测试等，这些都充分说明了应用系统的安全问题的严竣性和其重要性。

解决之道

通过仔细分析众多金融机构所做的大量的应用系统测试工作，启明星辰发现目前总体仍存在如下不足：

1、需求方面安全考虑不足。启明星辰在为多数金融机构提供咨询服务过程中发现，需求方面的安全考虑不充分，如在需求阶段对安全需求描述不够完整、对安全风险场景设计较为简单，对安全边界的统一规划不足，需求阶段对应用系统敏感信息防泄露考虑不足。

2、开发环节安全控制不足。启明星辰在为各金融机构进行白盒测试、渗透测试及安全测试的过程中发现应用系统安全存在SQL注入、跨站脚本信息泄露、越权操作等安全问题，包括众多大型银行，同时过程中也发现不按编码规范执行和代码安全检查不足的问题，这些都是开发环节控制不足的体现。