欲保网银安全 先做专业渗透测试

北京 2012-03-21(中国商业电讯)－－随着信息技术的发展，网上银行在银行业务中的地位越来越重要，大型商业银行、全国性股份制中小型银行、城市商业银行、农村信用合作社以及各村镇银行都在积极建设和开展自己的网上银行业务，某些大银行的网银业务结算量已经占据总业务份额的50%以上。网上银行的用户数量正在快速增长，网上银行已成为银行业金融机构的战略性业务和利润增长点，成为其品牌竞争力的必要组成部分。由于信息技术的复杂特征，在信息技术使用过程中存在着大量难以把控的因素，网上银行作为一种先进的信息技术利用手段，自然也会面临各种各样的安全威胁。近年来针对网上银行的攻击手段不断增多，网上充斥的大量黑客教程也使得攻击门槛不断降低，网银安全事件频繁发生，导致客户信息泄露，大量资金被盗。如何应对网上银行系统面临的安全威胁，保障网银系统客户信息和账户资金安全，确保网银系统能够正常稳定的为广大客户服务，启明星辰认为渗透测试是解决这个问题的必要手段之一。

黑客是怎么作案成功的

从过去发生的大量与网银相关的安全事件来看，攻击者针对网银系统开展的非法攻击主要可分为以下几个方面。一是窃取网银用户的隐私信息，包括银行卡号、用户名、密码、个人身份信息等，较常使用的攻击手段有网络钓鱼、跨站攻击、木马等；二是获取网站的操作权限，然后可进行网页篡改、木马上传、权限提升等操作；三是获取服务器的操作系统权限，取得本地系统文件读写能力，并可继续向内网进行探测，严重时甚至可能进入网银系统核心区域，给网银安全带来巨大灾难。

随着各种自动化工具的普及，开展攻击活动所要求的个人技术水平已经远非过去那么严格，所以网银系统安全防护的关键不是对攻击手段的防御，而是应该及时识别和修复网银系统的安全漏洞，切实加强系统自身的安全能力。这些安全漏洞有些是由于软件的设计开发导致，有些是因为系统配置使用有误造成。但是安全漏洞的一大特点是它的隐蔽性，虽然业内已有比较成熟的信息系统安全建设指导思路，我们仍然无法确保能够发现网银系统存在的所有漏洞，更多时候我们只能在已经遭受了攻击之后才被动得知漏洞存在。对于技术力量不够雄厚的中小银行来说，这一点尤其明显。

安全要由自己做主

在开放辽阔的网络世界中，网上银行就像是位于幽暗森林中央的一座城堡，无数火把高插墙头，豺狼虎豹窥伺四周。为抵御强敌侵扰，必须高建城墙，关严窗格，锁闭隧道，紧守门房。

网上银行必须对自身情况有足够的认识，准确发现安全防御体系的短板所在，及时采用相应的技术手段进行补足，掌握网上银行安全工作的绝对主动权。切不可疏忽大意自以为保障万全，导致受到攻击甚至造成巨大损失后措手不及，焦头烂额地四处扑救。

在主动安全防御体系的建设工作中，必须将渗透测试作为一个重要的环节，在系统建设期间、系统上线前、系统运行时都可对其开展渗透相关的工作。渗透测试是指由专业的安全专家根据多年积累的安全漏洞经验和安全检测工具，完全模拟黑客攻击的思路，对网上银行系统进行非破坏性的攻击。由于渗透测试是由银行授权的主动性攻击行为，可以在确保不造成有害影响的前提下，从攻击者视角发现网银系统存在的安全风险，并及时进行修补。

揭开渗透测试的神秘面纱

所谓知己知彼百战不殆，渗透测试其实就是一个知己的过程。在攻击者之前准确发现自身安全缺陷，并提供恰当的修补建议，这是渗透测试的基本价值所在。作为一种专业的安全服务手段，渗透测试活动将充分借鉴传统黑盒测试和白盒测试的方法，评估网上银行系统的应用服务、通信协议等的潜在安全风险，直观反映网上银行系统所面临的安全现状。

渗透测试与常规的安全服务有所不同，渗透测试工作的成果难以准确度量，项目质量往往取决于测试人员的攻防技能水平，自动化工具仅仅作为过程中的一种辅助手段。渗透测试常用手段主要有信息搜集、端口扫描、口令猜测、远程溢出、本地溢出、脚本测试和权限提升等，在每个阶段都有相应的专业手法和利用工具，以保证测试结果的全面和准确。

同时，为了更深入的发掘渗透测试工作的作用，启明星辰结合多年来的渗透测试实施经验，目前已开发出了一套成体系的基于业务逻辑的渗透测试方法。测试人员详细梳理业务流程，将信息技术分解为承载和传输业务数据的一个个节点，采用串联和绕过节点等思路分析信息系统存在的弱点，并准确评价弱点的严重程度，从而改进传统渗透测试方法仅关注技术自身的疏漏。通过从业务视角推进渗透测试活动，更深入全面地发挥渗透测试工作的价值。

渗透测试服务必须专业

由于渗透测试本质上是一种攻击性活动，为了防止渗透测试对网银系统造成未预见的不良损害，必须制定严格的测试流程，采用可控制的、非破坏性的渗透方法，与客户进行充分的沟通和准备，并在执行过程中把握每一个步骤的信息输入输出，保证网银系统的可用性和稳定性。启明星辰以人工渗透为主的渗透测试方法，可以保证整个渗透测试过程都在完全可控和随时调整的范围之内。下图所示是一个简化的渗透测试实施流程。




启明星辰作为国内信息安全领域的领航企业，拥有成熟专业的攻防实验室和自主研发的漏洞扫描系统，可以为渗透测试提供强大的团队和技术支持。启明星辰具有丰富的安全服务实施经验，结合业界著名的OSSTMM与OWASP测试框架组合成的最佳操作实践，已经为金融、电信、政府等多个行业的多家单位成功提供了渗透测试服务，并且从实践中总结和提高，形成了一套专门针对网上银行系统的安全测试方法，将继续为网上银行安全保障工作提供专业服务和支持。