• 快捷搜索
  • 全站搜索

银行自助终端的安全隐患及防范措施

2012-12-14 15:18:41作者:工商银行数据中心(北京) 刘家猛 高立刚 马一腾编辑:
近来,笔者在对银行自助设备安全使用情况进行市场调研时发现,第三方系统管理员在对ATM和其他自助终端进行维护时,极易导致信息泄露及经济案件等安全风险。

ATM和其他自助终端作为电子银行业务的重要载体,其安全性受到各商业银行的重视。近来,笔者在对银行自助设备安全使用情况进行市场调研时发现,第三方系统管理员在对ATM和其他自助终端进行维护时,极易导致信息泄露及经济案件等安全风险。

一、自动终端的维护状况与风险分析
        ATM和其他自助终端的维护状况与风险分析分别如表1、表2所示。

银行自助终端维护中的安全隐患及防范措施表1.jpg
银行自助终端维护中的安全隐患及防范措施表2.jpg

二、自助终端的安全防范措施
        针对ATM和其他自助终端存在的第三方维护易带来的隐患问题,应该从两个方面加强防范:一是在现有外部设备安全措施的基础上,增加对U盘、光盘等移动存储介质的防护,ATM和其他自助终端仅对银行注册的存储介质进行读写;二是采取一定的策略禁止非授权软件运行。

        1.增加对U盘、光盘等移动存储介质的防护,阻断非法程序进入系统
        (1)定制适合自助设备的电子文件安全控制系统
        目前,不少银行在办公计算机环境中采用了电子文件安全控制系统进行移动存储介质的安全使用管理,只有经过行内注册的U盘等移动存储介质才可以正常连接银行内网计算机进行读写操作,从而防止行外的恶意程序等文件通过U盘复制进来,同时,也阻止行内文件复制到银行注册的U盘后在行外计算机上被访问。

        针对上述安全措施,应该在ATM和其他自助终端上引入电子文件安全控制系统,并根据ATM和其他自助终端的具体环境,对其使用方案进行定制。

        ①电子文件安全控制系统功能定制。在已有的电子文件安全控制系统版本基础上进行功能定制,形成适用于ATM和其他自助终端的专用版本。目前传统的电子文件安全控制系统功能很多,本文只涉及移动存储介质安全管理方面,主要保留移动存储介质注册管理、访问控制和文件加、解密处理的模块功能,其他的功能模块进行删除,并调整为单机版方式运行(暂不考虑连接服务器部署策略与集中管理),以减少运行对系统资源的开销,并降低实施难度。

        ②光驱、U盘使用控制。电子文件安全控制系统应具备光驱访问控制的操作功能,参照U盘注册方式实现光盘注册管理功能;在U盘使用控制方面实现统一注册访问机制。防止银行外的恶意程序文件利用U盘等复制进来;其他类型的数据接口也应进行控制,禁止使用。

        ③用户管理控制。采用本地用户认证方式,采取管理员用户和密码保护措施,要求在每次访问注册光盘、U盘时必须输入密码,密码由银行内相关管理员保管,并从技术上定期更新。

        ④策略部署方法。电子文件安全控制系统应可单机运行,策略相对比较稳定,通常是随应用版本更新部署策略,特殊情况通过紧急补丁更新。策略文件必须通过安全密钥进行加密保护与识别,防止策略文件被篡改或替换:

        ⑤存在的限制。对于应用版本更新,需要通过统一注册的U盘或光盘进行版本文件的复制与传递,并且文件渎写操作必须在银行计算机环境进行,这可能增加了版本部署工作的复杂性与工作量。对现有电子文件安全控制系统进行定制时涉及电子文件安全控制系统软件的调整,需要银行与软件提供商配合,制定改造计划。

 1 2 下一页 尾页

扫码即可手机
阅读转发此文

本文评论

相关文章