银行业移动展业接入安全的相关措施研究
2015-01-03沈威
沈 威
(中国邮政储蓄银行福建省分行 信息科技部,福州 350001)
银行业移动展业接入安全的相关措施研究
沈 威
(中国邮政储蓄银行福建省分行 信息科技部,福州 350001)
随着互联网金融、移动智能终端的高速发展,现阶段银行的发展已经离不开灵活的业务终端和安全的网络接入。移动展业是一种基于平板电脑的新型营销模式,广泛被保险和金融行业采用。与客户使用的移动金融服务不同,移动展业大多由银行内部员工操作,接入银行内部系统,不仅需要高效、便捷的操作速率,更需要完善的信息安全保障措施。因此,本文针对移动展业接入的关键安全措施作了详细描述,为相关建设提供参考依据。
移动展业;移动终端;管理;信息安全;防护
近年来,随着智能手机和平板电脑技术的高速发展,移动应用已逐步普及到人们的日常生活中,在这种情况下,我国的银行业也开始开展技术改革和经营模式及理念的转变,移动POS支付、微信银行等公众金融业务日益发展成熟,互联网小微贷款也在蓬勃发展。在银行内部,也逐渐衍生出了移动展业系统,员工可以通过平板电脑等智能终端,直接查询客户数据或办理金融业务,因此,移动展业接入安全尤其重要。应主要考虑移动终端管理、抗DDOS攻击、应用防护、入侵防御检测和漏洞扫描等安全加固手段。
1 移动终端管理
移动终端管理(MDM)是一种针对移动终端的安全管理工具,帮助企业将IT管理能力从传统的PC延伸到移动设备甚至移动应用APP,实现包括设备全生命周期管理以及配置管理、安全管理和资产管理等功能。根据移动展业的特点,移动终端管理应主要对操作系统、终端软件和系统网络配置等进行统一管理和安全加固。
1.1移动终端操作系统防护
目前主流的移动操作系统有:谷歌安卓、苹果IOS以及微软Windows等。近年来随着移动终端的普及,出现了大量操作系统级安全漏洞,通过越狱和Root等方式获取系统最高权限,给移动终端带来了大量安全隐患。为避免相关操作带来的风险,MDM操作系统策略可以识别终端操作系统是否进行了越狱、Root等非法操作,对于执行该操作的终端,将拒绝入网并及时发送告警。
1.2移动终端软件防护
除了IOS有指定的软件发布平台外,目前大多数操作系统的软件都可以通过第三方进行安装。以安卓平台为例,第三方更新源的软件大多都携带了广告、病毒或用户隐私窃取的恶意代码,一旦安装恶意软件的终端接入内网,将造成严重的安全隐患。因此需要严格定义终端的软件安装。通过MDM的软件黑白名单策略,可以定义终端只能安装指定的软件,一旦有私自安装其他软件的行为,可以通过策略禁止设备入网。
1.3移动终端其他安全加固
除了上述安全手段外,还需要对用户操作进行安全加固。以网络配置为例,如果用户私自更改了WiFi接入点,或将移动终端作为热点共享给其他设备,将对银行现有网络和数据造成严重威胁。因此需要严格定义用户操作,通过技术手段,封堵系统的关键配置。MDM软件可以通过集中配置系统设置模板,锁定终端关键配置,一旦用户通过非法渠道更改配置,其设备将不得入网并及时发送告警。
2 信息安全防护
2.1抗拒绝服务攻击防护
考虑到业务的灵活性,大多数银行都会采用互联网专线接入。互联网入口容易遭受DDOS攻击,目前有效的防护手段是购买运营商流量清洗服务并自建一套抗拒绝服务攻击防护体系:运营商主要清洗大的DDOS流量;银行将自建设备安装到专线出口,深入排除拒绝服务攻击流量。由于运营商清洗后,恶意流量相对较小,设备组网可以应用透明串联的技术,降低对现有网络的影响。
选择DDOS攻击防护技术时,应尽可能采用嵌入式系统技术,在最底层的协议栈中完成计算,通过减少整体的运算成本,同时省略处理高层系统网络堆栈的工作。这种运算能充分利用硬件加速计算,促进系统效率的提升。
2.2入侵防护系统
入侵防护系统可以对进出各级局域网的常见操作进行实时检查、监控、报警和阻断,从而防止针对网络的攻击与犯罪行为。将系统透明的串联入网络当中,通过特征库和建模学习,能自动阻断黑客、木马入侵和僵尸网络等移动端发起的攻击行为。相关系统应拥有7个层深度的入侵防护能力。
2.3Web应用防火墙
在传统的安全防护架构中,基本的工作原理是匹配特征代码,而这种方式基本上只能防护已知攻击的黑名单,无法准确认识和解析客户具体的Web应用程序。将Web应用防火墙串联入网络当中,能够有效防护扫描、篡改Cookie、WebShell等攻击行为,提高前台和后台系统安全防护能力。而在部署时,需要对现有系统Web应用的合法访问特征进行动态构建,从而生成用户应用的正向校验模型。通过这种方式,就能够利用白名单的方式,防御很多未知的攻击,进一步提高Web服务的安全性和可靠性。
2.4漏洞扫描系统
漏洞扫描系统要能够对IT系统中的不牢固性进行整体检测,及时发现安全漏洞、安全配置缺陷和应用系统安全漏洞等,及时检查系统中的弱口令,全部的安全风险报告应包含不需要系统公开的账号、服务和端口等,这能有效促进安全管理人员及早找到问题所在,并进行修补和完善,避免攻击者进行攻击。
主要参考文献
[1]赵剑锋.平安保险移动展业平台项目建设效果评价研究[D].北京:华北电力大学,2012.
[2]张子贤.基于防火墙的Internet/Intranet安全解决方案[J].计算机时代,1999(7):29-30.
[3]姚琳琳.基于分布式对等架构的Web应用防火墙设计与实现[D].桂林:桂林电子科技大学,2012.
[4]王成元.平安人寿济南分公司个险渠道人力发展对策研究[D].济南:山东大学,2012.
10.3969/j.issn.1673 - 0194.2015.16.130
TP3
A
1673-0194(2015)16-0183-01
2015-06-13
