金融业网络信息安全建设初探金融业网络信息安全建设初探一、信息安全的现实性,一个攻击的方案一、信息安全的现实性,一个攻击的方案 目标:化 100-200 万美金,窃取几千万到上亿美金 主要过程 买通内线,了解银行的网络系统、主机系统、业务流程和管理制度 获得内部的账号 寻找安全漏洞,设法进入系统 寻找有用的资料:源代码、更高级别的账号、安全漏洞、主要服务器的账号、业务的流程等 建立必要的准备:在本银行和取钱银行开账户 作几次与窃取类似的正常交易,降低银行审计的敏感性 编写窃取程序,装入业务主机。以不明显的方式从银行客户的账户转钱 到一定金额,将款项转出 将款项取出 马上消失二、网络信息安全问题越来越严重二、网络信息安全问题越来越严重由此可见,网络,尤其是金融业的网络系统,有一个最大的问题就是安全问题。八年以前,金融业务的计算机核算系统以单机为主,网络较少,无法远程对计算机进行攻击和扩散病毒。随着计算机的普及,网络系统的建立,了解计算机的人增多,但计算机网络系统维护人员对安全的知识了解比较缺少,而对于网络系统安全来说潜在的入境已经够用。另外,以前编写攻击工具和病毒,需要专业技术。现在,随着开发工具丰富,使用简便,很容编写一个病毒,很容易得到各种攻击工具。计算机系统的使用已深入到金融业的核心业务中,银行业务和计算机网络系统、应用系统的紧密结合构成银行核心业务系统,已经成为建设现代银行的标志之一。网络系统的互联,导致入侵的范围增大;使用人员的增多,导致入侵的可能性增大;系统复杂,导致安全漏洞增多。由此非法的侵入可以获得利益或达到某种目的可能性增大。•盗窃钱款•恶意报复•政治影响•等等团体的恶意行为具备更高的技术、更先进的手段和更大的危害。三、安全威胁三、安全威胁1、非法进入系统非法进入计算机网络系统。可能进行恶意或善意的操作,可能没有造成损害,但至少存在安全隐患。2、非法越权操作超越授予的权限,进行越权操作。除非法进入外,通常是授权不合理。3、假冒他人身份通常是恶意的,可以进行非法越权操作。4、非法伪造、篡改数据在数据的传输和存储过程中篡改和伪造数据。5、非法获取数据在数据的传输和存储过程中,非法获取重要的数据6、事后否认操作或数据由于网络的互联,使得事后否认曾进行的操作和曾收发过数据成为可能。7、利用网络系统绕过业务系统,直接修改数据库数据由于计算机网络系统...
