摘 要:近年来,全国出现了多起盗用证券账户和密码,恶意操纵账户、盗买盗卖股票的案件,甚至有攻击者通过网上银行将三方存管账户的资金转入其个人账户。因此,加强证券行业计算机网络安全防御至关重要。本文主要探讨了几种目前证券行业中网络中常出现的安全问题,并提出了相应的解决对策,以供参考。
关键词:证券行业;网络防御;网络安全
引言
网上证券交易作为当前证券公司最重要的交易渠道之一,交易额比重逐年上升,为证券业务快速发展做出了非常大的贡献。然而,计算机网络具有很强的开放性和交互性,因此,在网上证券交易过程中,往往存在了诸多不确定的因素,很可能被他人恶意攻击,恶意攻击的方式很多,比如“网络钓鱼”、黑客攻击或是病毒等等,都会威胁到用户的安全,因此,加强计算机网络防御对于证券行业来说,是很必要的。
一、“网络钓鱼”现象的防御
(一)“网络钓鱼”的实施过程
网络钓鱼的原理其实很简单,就是利用人性的弱点,加之网络工程的漏洞,通过欺骗手段,骗取用户的相关信息。(1)建立假冒网上证券交易网站,用户点击进入网站,输入账号密码等信息时,这些信息就会被骗走,用于非法活动;(2)恶意分子会通过各种手段诱导用户方位钓鱼网站,而后通过木马、后门等程序,盗窃信息,而后冒充客户盗窃资金。
(二)“网络钓鱼”防范思路
(1)黑白名单技术
对有账号密码的用户,将账号密码输入网址与数据库中的黑名单网站地址和白名单地址进行比对。如果说该网址能再黑名单网址中找得到,那就说明该网站是有问题的,就及时的提醒用户“可能是钓鱼网站”,阻止用户继续输入更多信息访问该网站。如果该网站中能在白名单中找到,那就说明该网站那是安全的,不提示警告信息,用户可以放心使用。如果输入网站地址不在黑白名单中,不提示,但继续监测。防钓鱼检测的原理如图1 所示。
(2)严格渗透测试交易系统
由于跨站脚本攻击的事件频繁发生,因此,交易系统就要进行严格的渗透测试,对交易系统的编码、设计程序等的安全性、完整性都提出了更好的要求。要在数据的输入点上进行严格的数据输入检查,避免被输入恶意的代码,避免交易网站成为一个重要的风险来源。
二、网络监听与加密应对方法
据相关统计数据显示,程序员编码过程中,每写一千行代码就至少会出现一个漏洞,而这些漏洞就成了黑客们的攻击点,在证券行业中,黑客们会利用这些漏洞盗取用户信息,危害客户财产安全。网络监听就是常见的利用系统漏洞进行用户信息偷窃的方式。
网络监听是利用监听嗅探技术获取对方网络上传输的有用信息。将网卡设置为混杂模式,对以太网上流通的所有数据包进行监听,并将符合一定条件的数据包(如包含了字“username”或“password”的数据包)记录到日志文件中去,以获取敏感信息。
针对网络监听的应对办法主要是“加密”:一方面可以对数据流中的部分重要信息进行加密,另一方面也可只对应用层加密,但是后者将使大部分与网络和操作系统有关的敏感信息失去保护。
加密函数的程序如下:
此函数支持的最大密码长度是16 字节,密文以字符形式的16 进制数输出,密文长度为明文长度*4。程序使用变量i 控制外层循环,每次循环生成4 个16 进制位。变量j 用于控制内层循环,每次循环将第i个明文字符加上第j 个明文字符的信息共同转化成中间信息,累加到本次i 循环所处理的中间信息上。每次i 循环所得到的中间信息用取余和求平方的方法进行随机化,再用取余的方法得到4 个16 进制位。
三、证券行业中网络病毒防御体系
病毒是影响计算机网络安全的最主要因素,是危害证券行业网络的最大隐患,现在木马、蠕虫等病毒以及网页嵌入病毒和恶意软件等时刻威胁着计算机网络的安全,因此,加强证券行业网络安全迫在眉捷。
(一)网络版杀毒软件
随着病毒越来越多,杀毒软件也就越来越齐全,杀毒软件是计算机安全防护的重要工具,针对证券行业的特点,可以采用集中与分级相统一的杀毒管理系统,在核心服务器区设置共总部用户和二级管理层使用的以及管理中心;在各个接入分部部署二级分中心,一级中心统一制定网络的防杀毒策略,并发布到各个二级分中心,这些策略包括杀毒策略、报警策略、和升级策略。
(二)硬件防毒墙
网络版杀毒软件部署在证券企业网络内部,它是面向主机设计的,它可以对证券企业内部的病毒进行查杀,能够在一定程度上保证证券企业网络系统的安全,但仍然存在很大的局限性,即不能保证病毒从互联网进入局域网。因此,在证券企业网络出口增加了硬件防毒墙,防止来自网络外界的入侵,把病毒拒之门外。硬件防毒墙为企业网络提供了一个坚固的保护层,是防御病毒、木马、蠕虫和恶意软件攻击的硬件网络防护平台,对采用HTTP、FTP、SMTP和POP3 协议进入内部网络的文件进行病毒扫描和恶意代码过滤。防毒墙不但可以保护内部资源不受外部网络的侵犯,同时可以阻止内部用户对外部不良资源的滥用。
(三)网络准入控制(NAC)
移动计算设备(笔记本电脑、PDA 等)很容易在企业网外部感染病毒、蠕虫和间谍软件等,当它们接入企业网络的时候,就会将病毒等恶意代码在不经意之间带入企业网络环境。因此,可以着重从边界防御、系统加固、认证授权、集中管理四个方面进行设计,将防病毒一级中心服务器与NAC 服务器合并在一起,边界接入采用支持802.1X 的设备来部署网络准入控制 (NAC)。网络准入控制 (NAC)的部署可以防止病毒、蠕虫和间谍软件等新兴黑客技术对企业安全造成危害。
总结
网上证券交易的发展前景极为广阔,随着国民金融意识的增强,未来会有越来越多的金融业务通过在线方式完成,这给网上交易系统带来了巨大的运行压力。打造安全性更高的网上证券交易系统,保证信息系统能够为业务运行提供稳定可靠的有力支撑,就要加强网络防御的建设。
参考文献:
[1] 刘焕成.论证券网络的安全威胁及防范对策[J].行业,2011(2)
[2] 陈静,马丽.网上证券交易系统安全机制的研究[J].解决之道,2011(5)