李夏菁

摘 要 我国金融市场已经成为世界金融领域中一个重要的标志，与此同时，金融行业面临的信息安全风险和威胁也愈加严重。本文通过总结近年来金融行业信息系统渗透性测试的经验，简要介绍和分析了金融行业信息系统面临的典型安全问题，并对行业内的信息安全防护策略提出一些改进建议，为金融行业信息安全建设提供思路。

关键词 金融 信息安全 风险和威胁 防护策略

一、简要分析金融行业信息系统典型安全问题

根据FREEBUF的统计数据显示，2016年上半年金融行业的漏洞统计TOP10中，传统金融行业的高危漏洞数和可能造成的危害要远远大于互联网金融，其中保险行业高危漏洞达到86.22%，是大数据金融的17倍。[1]

其中，典型的高风险漏洞如弱口令、SQL注入等较多，暴露了业务应用系统在软件开发时对安全性的考虑比较欠缺。同时，各类安全问题导致潜在风险如泄露用户数据等，对金融企业以及投资者个人造成的损失难以统计。

（一）弱口令漏洞

弱口令（weak password），指通常容易被别人猜测到或被工具破解的口令。弱口令通常指的是那些仅包含简单数字和字母的口令，例如“123”“abc”等，由于这类口令非常容易被人破解，一旦破解之后用户的计算机便会面临风险。[2]而对于大多数金融公司的信息系统来说，无论是面向公众的网上交易、在线开户等业务系统，还是那些仅对内部员工开放的集中交易、邮件收发等办公系统，普遍仍采用的是用户名加口令这一较为传统的身份鉴别方式。由于管理者和使用者的安全意识参差不齐，其便会伴随着各种弱口令漏洞广泛存在于金融企业的各类应用系统中。

（二）SQL注入漏洞

SQL注入（SQL injection），指通过把构造巧妙的SQL语句插入Web表单中递交或者是输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令的目的。[3]

通常攻击者可以利用SQL注入漏洞得到数据库中保存的管理员账号和密码，然后利用这些账号登录到应用系统的管理后台从而实施进一步的入侵。对于一些特殊的数据库，攻击者便能够对其实施插入、更新、删除等关键性操作；如果该账户有足够的权限，攻击者甚至可以通过数据库自帶的扩展存储过程执行任意指令，使信息系统的安全性受到严重威胁。导致这种风险的主要原因是应用程序没有细致地过滤用户输入的数据，使得信息系统接收了非法数据并随即进行了处理和响应。

（三）跨站脚本漏洞

跨站脚本漏洞（Cross-Site Scripting，常简写为XSS），指Web应用程序对用户输入过滤不足，导致攻击者可以利用构造的恶意脚本或代码数据显示在浏览用户页面上对其造成影响的漏洞。与SQL注入漏洞通常攻击数据库服务器的方式不同，跨站脚本漏洞一般是在客户端发起攻击行为造成威胁，也就是说，利用跨站脚本漏洞注入的恶意代码是可以在用户电脑上的浏览器中运行的。

二、金融行业信息系统的安全防护策略

面对越来越多的安全问题，金融行业应当全面考虑信息化建设过程中可能遇到的各类安全威胁，并建立一套适合本行业特点的安全防护策略。笔者根据多年实施行业内安全测评以及安全评估工作的经验，总结出了几点安全防护策略的建议，旨在为金融行业信息安全建设工作提供参考。

（一）增加身份鉴别措施

要规避传统口令认证方式所带来的风险，势必需要增加对用户的身份鉴别措施，而目前较为适用于金融行业业务的有以下几种：

第一，动态口令。动态口令依靠每次不同的登录密码，来有效保障系统账户的安全性。即使当前口令被恶意人员截获后，对用户合法身份的冒用依旧无法实现，用户身份鉴别的安全性得到了很大的提高。采用动态口令是用于解决身份鉴别的有效措施，当前，手机动态短信、口令卡、动态口令令牌、电子密码器等是动态口令的主要实现方式。

第二，硬件绑定。硬件绑定是将用户账号同用户计算机特征码实施绑定，并保存至后台认证库中，而用户只有通过特定计算机才能进行该账号下的操作。该认证方式的关键是要通过程序来将机器标志（如硬盘、网卡MAC等）逐一读取出来，再经过特定的算法将所生成的特征码存入数据库当中，并作为验证判断的依据。系统可将用户经常操作的几台计算机作为指定的操作终端，而不允许通过其他计算机登录操作。该认证方式的缺点在于对非授权计算机不允许执行交易操作，且需要进行及时的计算机变更维护。

第三，CA认证。CA认证是通过用户证书签名来为证书持有者身份及其公钥拥有权提供保证。金融企业可尝试引入CA服务器，通过相应的部署，于信息系统的客户端与后台服务器间进行CA认证的增设，以进一步强化信息系统的安全性。CA证书的制造、签发、认证及管理等由CA服务器完成，采取这一认证手段，可在网络信息传输过程中实现加密解密、数字签名及验证等一系列环节，以最大限度确保信息的完整性、保密性传递。

（二）加密传输、存储敏感数据

根据等级保护相关要求并结合金融企业自身业务特点对敏感信息进行分级，建立数据的统一安全策略，依据该策略对各系统涉及的敏感数据进行标记，并通过HTTPS等应用层面的加密措施，保障口令、敏感业务数据在传输过程中的完整性和保密性。

针对数据存储的加密，主要包括数据库敏感数据加密以及其他基于操作系统文件的加密保护。通过采取加密相关技术确保口令、敏感业务数据在存储过程中的保密性。

（三）规范应用开发安全

规范应用开发安全，制定软件开发编码规范，要求开发人员遵守。开发的信息系统应当能够对可能的各类攻击行为具有一定的防护作用，如对于用户提交表单，应使用标准输入验证机制，验证所有输入数据的长度、类型、语法以及业务规则；使用图形验证码、倒计时等方式来防范恶意提交；对于上传功能一定要校验提交文件的类型，校验应在包括客户端校验和服务器端同时进行，对上传文件存放的路径进行限定，对存放的文件夹进行权限控制；系统部署完毕后应检查系统发布的目录，查看是否存在备份文件、源代码文件等。此外，在系统上线前应当按照等级保护基本要求对源代码是否存在后门进行安全审查，对信息系统应当进行安全性测试，[4]以确保上线前能够尽最大可能发现潜在的问题并加以解决。

三、结语

随着金融行业在我国的迅速发展，金融企业信息系统日趋复杂，同时信息安全事件也已屡见不鲜，金融企业所面临的信息安全形势也越来越严峻。本文在多年来对金融行业信息系统安全测评和安全评估的基础上，阐述了金融行业信息系统面临的典型安全问题，并对该行业信息系统相应的安全防护策略的建立提出了建议，希望由此能对金融行业信息安全建设工作带来参考意义。

当然，信息安全建设不可能一次性考虑和解决所有的安全问题，因此，随着安全环境及应用需求的不断变化，金融行业的信息安全防护策略也需要持续不断地发展和改进，也只有这样，才能做到未雨绸缪，保证信息系统的安全性。

（作者单位为上海交通大学信息安全学院）

参考文献

[1] FreeBuf发布2016年上半年金融行业应用安全态势报告[EB/OL].

[2] 弱口令[EB/OL].百度百科，http：//baike.baidu.com/view/98458.htm.

[3] 冯谷，高鹏.新型SQL注入技术研究与分析[J].计算机科学，2012（Z3）.

[4] GB/T 22239—2008信息安全技术信息系统安全等级保护基本要求[S].endprint