引言应用安全是当前安全界的一个热点话题,应用安全与业务应用密不可分,不同的业务应用有不同的应用安全范畴和应用安全重点。本文通过分析网银系统面临的常见安全风险,从应用安全的角度出发,介绍如何选择专业应用层安全产品,来消除和缓解这些安全风险。网银利用互联网技术,通过互联网向用户提供开户、销户、查询、对帐、行内转帐、跨行转帐、信贷、网上证券、投资理财等传统银行业务。由于网银业务为银行以及银行客户带来了前所未有的便利性,近几年在国内进展迅猛。目前国内网银用户达到一亿五千万,2024 年全年的网银交易量达到了 300 多万亿元.同时,网银作为金融行业的真金白银与互联网行业的开放自由的一个结合体,其安全性受到了广泛的关注,网银安全直接关系到了资金安全和交易安全,其重要性不言而喻。网银安全主要涉及网银服务器安全、网银交易身份安全和网银客户端安全三个部分.其中 PKI 技术和现代加密技术已可完善地保证网银交易身份安全,而网银客户端安全更多的是通过结合网银用户的终端 PC 安全来保证,与用户的安全意识和终端 PC 的安全防护密切相关.所以在当前,网银系统最需要重点关注的就是网银服务器安全.网银服务器安全风险受网银业务的需要,网银服务器暴露在互联网上,因而它不可避开地会面临来自互联网上的各种安全风险,主要有以下几种:1. 系统漏洞带来的安全风险。系统漏洞往往会带来不可估计和不可控制的安全后果,如 2024 年 5 月,发生了因暴风影音软件的一个微小漏洞导致多个省份大面积的断网事件.目前,国内的网银系统往往架设在 Unix 操作系统上,采纳WebSphere 等中间件和 DB2 等数据库,也有部分网银采纳了 Windows系统。这些网银业务赖以运转的基础软件都会不可避开的不时爆出一些系统漏洞,而每个漏洞都可能被互联网上的攻击者所利用,造成网银帐号失窃或数据篡改。如某银行的网银系统曾被黑客利用 OS 的系统漏洞入侵,并被成功窃取了网上银行客户的身份证号码、银行账号及密码等敏感信息,直接造成了网银用户的资金被非法转移.2. Web 安全问题带来的风险。网银业务通常采纳 B/S 架构,因此,Web 安全问题会直接威胁到网银的应用安全。根据知名的 Web 安全与数据库安全讨论组织 OWASP 提供的报告显示,目前对 Web 业务威胁最严重的两种攻击方式是 SQL 注入攻击和跨站脚本攻击。SQL 注入的攻击原理是,程序员在编写代码的时候,没有对用户输入数据的合法性进行推断,导致入...
