北京 2012-03-21(中國商業(yè)電訊)－－隨著信息技術的發(fā)展，網上銀行在銀行業(yè)務中的地位越來越重要，大型商業(yè)銀行、全國性股份制中小型銀行、城市商業(yè)銀行、農村信用合作社以及各村鎮(zhèn)銀行都在積極建設和開展自己的網上銀行業(yè)務，某些大銀行的網銀業(yè)務結算量已經占據(jù)總業(yè)務份額的50%以上。網上銀行的用戶數(shù)量正在快速增長，網上銀行已成為銀行業(yè)金融機構的戰(zhàn)略性業(yè)務和利潤增長點，成為其品牌競爭力的必要組成部分。由于信息技術的復雜特征，在信息技術使用過程中存在著大量難以把控的因素，網上銀行作為一種先進的信息技術利用手段，自然也會面臨各種各樣的安全威脅。近年來針對網上銀行的攻擊手段不斷增多，網上充斥的大量黑客教程也使得攻擊門檻不斷降低，網銀安全事件頻繁發(fā)生，導致客戶信息泄露，大量資金被盜。如何應對網上銀行系統(tǒng)面臨的安全威脅，保障網銀系統(tǒng)客戶信息和賬戶資金安全，確保網銀系統(tǒng)能夠正常穩(wěn)定的為廣大客戶服務，啟明星辰認為滲透測試是解決這個問題的必要手段之一。

黑客是怎么作案成功的

從過去發(fā)生的大量與網銀相關的安全事件來看，攻擊者針對網銀系統(tǒng)開展的非法攻擊主要可分為以下幾個方面。一是竊取網銀用戶的隱私信息，包括銀行卡號、用戶名、密碼、個人身份信息等，較常使用的攻擊手段有網絡釣魚、跨站攻擊、木馬等；二是獲取網站的操作權限，然后可進行網頁篡改、木馬上傳、權限提升等操作；三是獲取服務器的操作系統(tǒng)權限，取得本地系統(tǒng)文件讀寫能力，并可繼續(xù)向內網進行探測，嚴重時甚至可能進入網銀系統(tǒng)核心區(qū)域，給網銀安全帶來巨大災難。

隨著各種自動化工具的普及，開展攻擊活動所要求的個人技術水平已經遠非過去那么嚴格，所以網銀系統(tǒng)安全防護的關鍵不是對攻擊手段的防御，而是應該及時識別和修復網銀系統(tǒng)的安全漏洞，切實加強系統(tǒng)自身的安全能力。這些安全漏洞有些是由于軟件的設計開發(fā)導致，有些是因為系統(tǒng)配置使用有誤造成。但是安全漏洞的一大特點是它的隱蔽性，雖然業(yè)內已有比較成熟的信息系統(tǒng)安全建設指導思路，我們仍然無法確保能夠發(fā)現(xiàn)網銀系統(tǒng)存在的所有漏洞，更多時候我們只能在已經遭受了攻擊之后才被動得知漏洞存在。對于技術力量不夠雄厚的中小銀行來說，這一點尤其明顯。

安全要由自己做主

在開放遼闊的網絡世界中，網上銀行就像是位于幽暗森林中央的一座城堡，無數(shù)火把高插墻頭，豺狼虎豹窺伺四周。為抵御強敵侵擾，必須高建城墻，關嚴窗格，鎖閉隧道，緊守門房。

網上銀行必須對自身情況有足夠的認識，準確發(fā)現(xiàn)安全防御體系的短板所在，及時采用相應的技術手段進行補足，掌握網上銀行安全工作的絕對主動權。切不可疏忽大意自以為保障萬全，導致受到攻擊甚至造成巨大損失后措手不及，焦頭爛額地四處撲救。

在主動安全防御體系的建設工作中，必須將滲透測試作為一個重要的環(huán)節(jié)，在系統(tǒng)建設期間、系統(tǒng)上線前、系統(tǒng)運行時都可對其開展?jié)B透相關的工作。滲透測試是指由專業(yè)的安全專家根據(jù)多年積累的安全漏洞經驗和安全檢測工具，完全模擬黑客攻擊的思路，對網上銀行系統(tǒng)進行非破壞性的攻擊。由于滲透測試是由銀行授權的主動性攻擊行為，可以在確保不造成有害影響的前提下，從攻擊者視角發(fā)現(xiàn)網銀系統(tǒng)存在的安全風險，并及時進行修補。

揭開滲透測試的神秘面紗

所謂知己知彼百戰(zhàn)不殆，滲透測試其實就是一個知己的過程。在攻擊者之前準確發(fā)現(xiàn)自身安全缺陷，并提供恰當?shù)男扪a建議，這是滲透測試的基本價值所在。作為一種專業(yè)的安全服務手段，滲透測試活動將充分借鑒傳統(tǒng)黑盒測試和白盒測試的方法，評估網上銀行系統(tǒng)的應用服務、通信協(xié)議等的潛在安全風險，直觀反映網上銀行系統(tǒng)所面臨的安全現(xiàn)狀。

滲透測試與常規(guī)的安全服務有所不同，滲透測試工作的成果難以準確度量，項目質量往往取決于測試人員的攻防技能水平，自動化工具僅僅作為過程中的一種輔助手段。滲透測試常用手段主要有信息搜集、端口掃描、口令猜測、遠程溢出、本地溢出、腳本測試和權限提升等，在每個階段都有相應的專業(yè)手法和利用工具，以保證測試結果的全面和準確。

同時，為了更深入的發(fā)掘滲透測試工作的作用，啟明星辰結合多年來的滲透測試實施經驗，目前已開發(fā)出了一套成體系的基于業(yè)務邏輯的滲透測試方法。測試人員詳細梳理業(yè)務流程，將信息技術分解為承載和傳輸業(yè)務數(shù)據(jù)的一個個節(jié)點，采用串聯(lián)和繞過節(jié)點等思路分析信息系統(tǒng)存在的弱點，并準確評價弱點的嚴重程度，從而改進傳統(tǒng)滲透測試方法僅關注技術自身的疏漏。通過從業(yè)務視角推進滲透測試活動，更深入全面地發(fā)揮滲透測試工作的價值。

滲透測試服務必須專業(yè)

由于滲透測試本質上是一種攻擊性活動，為了防止?jié)B透測試對網銀系統(tǒng)造成未預見的不良損害，必須制定嚴格的測試流程，采用可控制的、非破壞性的滲透方法，與客戶進行充分的溝通和準備，并在執(zhí)行過程中把握每一個步驟的信息輸入輸出，保證網銀系統(tǒng)的可用性和穩(wěn)定性。啟明星辰以人工滲透為主的滲透測試方法，可以保證整個滲透測試過程都在完全可控和隨時調整的范圍之內。下圖所示是一個簡化的滲透測試實施流程。




啟明星辰作為國內信息安全領域的領航企業(yè)，擁有成熟專業(yè)的攻防實驗室和自主研發(fā)的漏洞掃描系統(tǒng)，可以為滲透測試提供強大的團隊和技術支持。啟明星辰具有豐富的安全服務實施經驗，結合業(yè)界著名的OSSTMM與OWASP測試框架組合成的最佳操作實踐，已經為金融、電信、政府等多個行業(yè)的多家單位成功提供了滲透測試服務，并且從實踐中總結和提高，形成了一套專門針對網上銀行系統(tǒng)的安全測試方法，將繼續(xù)為網上銀行安全保障工作提供專業(yè)服務和支持。