怎樣保障網(wǎng)銀安全
互聯(lián)網(wǎng)的威脅也在迅速的發(fā)展,龐大的黑色產(chǎn)業(yè)鏈,掌握精湛滲透技術(shù)的黑客、復雜高明的病毒木馬以及無所不在的釣魚網(wǎng)站和欺詐,都對網(wǎng)上銀行的安全提出了挑戰(zhàn)。下面學習啦小編給大家分享保障網(wǎng)銀安全的方法,歡迎閱讀:
保障網(wǎng)銀安全的技巧:
“如果銀行不改變,我們就改變銀行”。2012年,阿里巴巴集團董事長馬云幾年前講的這句話突然在互聯(lián)網(wǎng)廣泛流傳。緊接著,阿里巴巴推出“余額寶”,“阿里小貸”等業(yè)務,讓中國的銀行業(yè)經(jīng)歷了一次不大不小的地震。而騰訊、百度、新浪等互聯(lián)網(wǎng)巨頭緊追其后,先后推出了自己的金融業(yè)務,更讓中國的銀行業(yè)感受到從所未有的沖擊與壓力。
很多銀行紛紛開始做出行動,建設銀行推出“善融商務”平臺,招商銀行推出“微信銀行”,光大銀行推出“融e貸”線上實時貸款服務……,中國的銀行似乎真的開始 “改變”了??v觀這些改變,都圍繞著“互聯(lián)網(wǎng)”和“金融”兩大主題,說明互聯(lián)網(wǎng)技術(shù)的發(fā)展已經(jīng)逐漸滲透到銀行的各項主營業(yè)務,并產(chǎn)生一系列深刻的影響。網(wǎng)上銀行作為銀行互聯(lián)網(wǎng)業(yè)務的主要渠道和入口,被提到了前所未有的戰(zhàn)略高度。
另一方面,互聯(lián)網(wǎng)的威脅也在迅速的發(fā)展,龐大的黑色產(chǎn)業(yè)鏈,掌握精湛滲透技術(shù)的黑客、復雜高明的病毒木馬以及無所不在的釣魚網(wǎng)站和欺詐,都對網(wǎng)上銀行的安全提出了挑戰(zhàn)。而年初的斯諾登 “棱鏡門事件”更為國人的信息安全意識敲響警鐘。
面對復雜的網(wǎng)絡環(huán)境,各大銀行網(wǎng)上銀行的安全建設水平怎樣?監(jiān)管政策的符合程度如何? 這些安全防御系統(tǒng)在資深的安全專家面前,是牢靠如傳說中“宙斯盾”,還是根本脆弱的不堪一擊? 這些問題,無論是網(wǎng)銀用戶還是網(wǎng)上銀行的管理者都非常迫切的想知道答案。
2013年初,綠盟科技的安全專家們根據(jù)2012年末標準普爾發(fā)布的《中國50大銀行》報告,對這50大銀行的個人網(wǎng)上銀行登錄進行了調(diào)查、分析和深入研究,并于近期發(fā)布了《個人網(wǎng)上銀行登錄安全研究報告》。報告站在個人用戶,滲透專家,監(jiān)管機構(gòu)以及安全架構(gòu)專家?guī)讉€不同視角,對當前中國50大銀行的網(wǎng)上銀行登錄安全給出了一個較為全面的比較,分析和評判。
個人用戶:安全措施日益多樣,且細節(jié)豐富
安全會話、身份鑒別、輸入保護、驗證碼、失敗處理、瀏覽器功能屏蔽、預留信息、登錄提醒及限制策略……,從用戶角度看,網(wǎng)上銀行的安全防護策略真的是層出不窮,讓人眼花繚亂。彷佛對于銀行機構(gòu)來講策略越多就越安全。
但對中國50大銀行網(wǎng)上銀行登錄安全策略進行研究后發(fā)現(xiàn)了新的觀點,例如:驗證碼是登錄過程中負面體驗、預留信息的安全作用并不明顯、與登錄限制相關(guān)的策略雖然百花齊放,但效果并不很好等等,這些觀點都可以為銀行網(wǎng)上銀行安全策略的調(diào)整提供參考。
1. 攻與防:解決突出的五大威脅是保障網(wǎng)上銀行登錄安全的關(guān)鍵
從滲透專家的視角來看:網(wǎng)絡釣魚、惡意代碼攻擊、暴力破解密碼、登錄的惡意濫用及用戶身份假冒仍然是目前網(wǎng)上銀行登錄的五大威脅。而對抗這些威脅,銀行所采取的措施起到了明顯的作用,但登錄的惡意濫用和用戶身份假冒依然讓人頭疼,無法有效解決。
2. 監(jiān)管機構(gòu):合規(guī)不是終點,而是起點,不要輸在起跑線上
2012年,中國人民銀行陸續(xù)下發(fā)紅頭文件提醒銀行機構(gòu)注意提升信息安全,并將《網(wǎng)上銀行信息安全通用規(guī)范》再次修訂并發(fā)布,銀監(jiān)會也陸續(xù)做出一系列的行動,監(jiān)管機構(gòu)的良苦用心可見一斑。而從安全的防護角度來講,合規(guī)是最基本的驅(qū)動力,滿足法規(guī)的要求也是信息安全建設的基礎(chǔ)。然而通過對50大銀行機構(gòu)的調(diào)查發(fā)現(xiàn),從網(wǎng)絡通信、安全控件和軟鍵盤三個方面,銀行機構(gòu)的信息安全建設都不容樂觀,尚有較大的提升空間。合規(guī)不是終點而是起點,似乎銀行機構(gòu)們還沒有為互聯(lián)網(wǎng)金融業(yè)務的起跑做好充分的準備。
3. 局限性:技術(shù)也有不足,得失都要自己承擔
最后,綠盟科技的安全顧問指出,每一項安全技術(shù)都有不足和局限,如何使用多種不同的安全技術(shù)相互彌補,達到最佳的防御效果是網(wǎng)上銀行安全防護的難題。畢竟,銀行機構(gòu)要為網(wǎng)上銀行安全的結(jié)果負責,而不是其中的過程。
報告從四個不同的視角對網(wǎng)上銀行登錄的安全進行重新審視,希望可以為建設較為完善的銀行機構(gòu)提供一點啟發(fā),找到進一步提升網(wǎng)上銀行登錄安全的思路或靈感。為安全建設尚不完善的機構(gòu)明晰不足,對其后續(xù)網(wǎng)上銀行信息建設提供一些建議。正如綠盟科技資深安全顧問白雷所講:
“信息安全的實踐告訴我們一個事實,沒有100%的安全,網(wǎng)上銀行的安全也同樣如此,因此建議各網(wǎng)上銀行應當提高網(wǎng)銀自身的抗打擊能力,最大限度的提高攻擊的成本和實施攻擊的難度,對網(wǎng)銀客戶端應當綜合采取防護、管理、控制與審核等多層次、協(xié)調(diào)一致的安全措施”。
網(wǎng)上銀行的安全之路漫長修遠,而綠盟科技將與銀行同仁們一起努力,在提升網(wǎng)上銀行登錄安全的路上不斷探索發(fā)現(xiàn),共同捍衛(wèi)網(wǎng)銀用戶的資金安全。