• 快捷搜索
  • 全站搜索

四象限分析网上银行系统安全状况

2014-11-12 15:43:31作者:绿盟科技金融销售管理部总监 郝东林编辑:金融咨询网
国内网上银行安全的水平,各家银行相差较大,可以从开办网银时间和自身安全管理水平来衡量。而从网上银行整个业务过程来看,可以分为客户端、传输线路和服务器端三个环节,它们都面临着不同的安全威胁。

当前,网上银行已经成为商业银行的主流渠道之一,在这种情况下,网银安全格外受到业界的关注。对中国商业银行来说,银行规模不同、开办网银时间不同,网银安全也有较大的区别。此外,从网银业务过程来看,不同业务环节,安全威胁也各不相同。

网银安全的四象限分析

        国内网上银行安全的水平,各家银行相差较大,可以从开办网银时间和自身安全管理水平来衡量,将整个群体划分到4个象限,如下图所示:

国内网上银行安全水平.jpg

        象限1

        处于这个象限的银行最多,安全漏洞最多。2007年至2009年是国内中小银行新建网银的高潮,预计还会持续下去。从现在开始的两三年之后,国内绝大部分商业银行、农信社等都会开办自己的网银业务。

        对这些中小银行来说网银是个新业务,他们对网上银行面临的安全威胁与挑战缺乏感性认识,也缺乏应对的思路。新开办网银时,一是从银监会的《管理办法》和《评估指引》中找依据和思路,二是看看其他银行是怎么做的。这么做通常会导致建立的“网银安全体系”程式化、理论化,有人员、有安全产品,也有配套的管理制度,貌似比较健全,但不能适应自己的实际情况,没有真正发挥作用。

        中小银行业务规划普遍欠佳,反映在网银上,体现在:中小银行的IT部门通常没有合理的时间去建这个系统。但是银行从决策要做网银,到网银要正式开通经常只有2-3个月的时间,导致需求分析、架构设计、开发测试、安全评估等一切从简。

        在向银监局报告时,中小银行更多地关注“我的报告材料是否会获得通过”,从而不影响正式运行业务。相关的安全评估报告多是出于这个目的而编制,形式重于实质。

        象限2

        这个象限的银行数量少。有个别的中小银行在2003、2004年就已经开办了网上银行,相对于象限1的银行来说,他们已经在日常的网银安全中发现到了很多问题,具有丰富的经验了。

        但这些问题纠正起来并不容易。网银系统是银行整体业务系统的一部分,其安全管理水平是银行整体安全管理水平的延伸。由于中小银行普遍安全水平不高,所以虽然网银发现很多问题,也缺乏有效的措施去解决。这些银行基本是被动响应型,出了事件就紧急地处理,平时很多资源被用在这方面。

        象限3

        安全管理水平高而新开办网银的银行,国内已经没有了,外资银行基本属于这种情况。外资银行在国内开办网银,也必须遵循国内的相关制度。

        外资银行都会从母公司继承一套完整的IT运营体系,其中包括信息安全管理体系。由于管理水平高,因此原有的信息安全管理体系通常可以适应国内监管的要求,或略加调整就可以。

        象限4

        处于这个象限的银行包括四大行、全国性股份制商业银行等,他们面临的安全威胁最大,而安全漏洞不多。

        他们普遍在1998年开始的几年之内都开办了自己的网上银行业务,而且几乎在同时就承受了来自外部直接攻击的压力。一方面由于网上银行是攻击银行系统最方便快捷的途径,另一方面是树大招风。

        这些年来象限4的银行都或多或少地出于网银安全事件,对他们的客户资金安全和商业信誉造成了严重威胁。安全事件迫使银行积极地进行整改,采取更好的措施去应对这些攻击与威胁。

        经过多年的运营和斗争中的改进,这些银行的网银安全管理水平较高。他们的很多安全措施已经成为了行业的事实标准,甚至被人行19号文明确出来,如双因素认证、客户端安全保护措施等。

网银安全的业务过程分析

        从网上银行整个业务过程来看,可以分为客户端、传输线路和服务器端三个环节,它们都面临着不同的安全威胁。如下图所示:

网上银行面临不同的安全威胁.jpg

        客户端位于网上银行用户一方,网上银行操作的各种请求在这里生成,通过B/S或C/S软件向服务器端发出;传输线路主要指Internet,是客户端与服务器端连接的必经之路;服务器端位于银行一方,接收来自各地的请求进行处理,并与内部的核心业务系统交互来完成操作。

        下面从技术角度对这些不同环节所面临的威胁进行分析。

 1 2 下一页 尾页

扫码即可手机
阅读转发此文

本文评论

相关文章