應用系統安全問題亟待解決
2011年某銀行5萬客戶遭遇網銀升級騙局,造成客戶資金巨大損失,給銀行聲譽帶來重大影響;同年花旗銀行證實受到黑客襲擊,約有1%的信用卡用戶受到了影響,客戶的姓名、賬號、聯系方式等信息均被黑客獲取。
無論是哪類事件,應用系統安全問題主要歸納為以下六類:
1、身份欺騙。應用系統的身份認證措施不足,導致攻擊者可能冒用他人的系統身份操作賬號,從而利用他人的權限獲取相關信息資料,並進行資金盜取等操作。
2、篡改數據。應用系統的數據保護措施不足,導致金額、密碼、聯系方式等數據信息可能被攻擊者惡意篡改,從而造成賬戶資金被盜等後果。
3、信息泄露。應用系統開發設計或配置不當,缺乏敏感信息保護功能,導致可能發生源代碼泄露、目錄遍歷等後果,攻擊者利用泄露的信息可以更容易的實施入侵。
4、權限提升。應用系統的權限管理功能不足,導致攻擊者可能繞過權限限制,進行未經授權或超越授權的操作,使得攻擊者獲取系統權限或訪問系統中的重要數據。
5、拒絕服務。應用系統安全保護能力不足,缺乏持續穩定運行的能力,可能受到應用資源消耗等DDoS攻擊,或由於任務調度死鎖等原因導致系統宕機或運行緩慢,無法繼續對外提供服務。
行業監管機構曾對應用系統安全提出了具體要求,如銀監會2009年下發的19號文《信息科技風險管理》、銀監會2011年62號文及人行121號文《網上銀行應用的安全通用規範》等。此外我國眾多金融機構,如國有四大行、股份制銀行及部分重要保險公司均在多年前就開始了對應用系統的安全測試工作,從最初的對互聯網應用系統進行滲透測試到對安全控件的黑盒測試再到後來對應用系統代碼的白盒測試等,這些都充分說明了應用系統的安全問題的嚴竣性和其重要性。
解決之道通過仔細分析眾多金融機構所做的大量的應用系統測試工作,啟明星辰發現目前總體仍存在如下不足:
1、需求方面安全考慮不足。啟明星辰在為多數金融機構提供咨詢服務過程中發現,需求方面的安全考慮不充分,如在需求階段對安全需求描述不夠完整、對安全風險場景設計較為簡單,對安全邊界的統壹規劃不足,需求階段對應用系統敏感信息防泄露考慮不足。
2、開發環節安全控制不足。