数据载入中,请稍候……曾经,黑客是一种荣耀,一种美好的传统,它代表着反权威却奉公守法的网络英雄。如今,黑客的形象已经十分暧昧,代表的是英雄或罪犯?正义或邪恶?高尚或卑劣?本期我们推出这个与黑客有关的话题,目的是让大家对他们有所了解,同时也意在引发金融业IT人士与“黑客”间的对话,共同来探讨网络安全所面临的问题。
——本刊编者
黑客眼中的银行网络安全
记者黎庆华
[采访对象:陈三公子(网名)。毕业于华南理工大学计算机专业,为国内著名黑客组织“第八军团”(http://www.juntuan.net)创建人,从事网络安全行业数十年之久,精通linux/unix/windows等系统安全,深谙加密解密知识,cracker高手]
记者:非常高兴你接受我们杂志的采访,我知道你一直致力于网络安全方面的研究,并且已经在这一领域取得了不错的成绩。今天想请你就银行目前的网络安全谈谈你的看法。
陈三公子: 谢谢。实际上银行网络我涉及较少,但也有所了解。因为偶尔也会有人拿银行系统做做实验,并且已经证实是可以进入系统的,只不过这只是停留在WEB方面,主要原因就在于银行采用大型机专用系统,据我所知目前根本没有这方面的黑客,呵呵,不过话说回来,中国银行养活了IBM,因为国外早已经不用这些大型机了。当然,在某些自认很厉害的黑客眼里,只要用TCP/IP协议,他就认为会存在安全漏洞。前段时间,几个十几岁的高中生做出来一个名叫“网银大盗”的病毒我想应该知道,虽然并未造成多大的危害,但是我们不能不怀疑网络银行在安全方面的脆弱性。
对于银行网络安全,我认为两个方面值得注意:内部的和外部的。其中内部安全尤其重要,因为对于银行系统,存在一个银行工作人员对技术的应用是否到位的问题。不过据我所知,银行所做的最有价值的地方就是专人天天不断检查弱口令和打补丁,同时也和其它大的公司一样,网络采用安全域分离,备份防火墙,IDS系统(不过我认为这个根本没用途),还有实现itil流程化等。在internet处还采用了双因子基于时间的认证等等,和其它单位相比,银行在这方面做得非常认真罢了。不过个别地方肯定是没办法做得非常完善,毕竟银行是属于特殊的行业,他们要求生产系统99.9999999%稳定性,这就要求是尽力99.999%的online。
记者:你上面谈到银行工作人员对技术的应用问题,意思是说系统本身并没有漏洞,但因为人为的因素,即人对系统的应用没有完全掌握,导致有安全隐患?
陈三公子:说的很对,就是这个理解。由于对系统的了解和使用不够充分,导致系统的安全性不够,也就是说有些东西我们没有将他们的功能发挥到极致,说白了就是一句话,内部管理不够,毕竟对于银行来说每个系统都是root,每个人都是administrator。同时还存在其它的问题,例如,有最新的系统的漏洞被发现,只是没有公布,这时候黑客们首先得到这个信息,而系统管理员未必知道,如果漏洞补上,安全问题必将会减少;同时对于主机的认证授权亦很重要。银行在安全域,防火墙策略等做得很仔细,这也影响到工作方面的不协调,还有整个系统子系统太多,并且一些工作是需要人工干预。有些新的技术目前银行还没有使用上,比如补丁自动管理,统一认证等。
记者:从技术方面来说,你认为目前银行网络或系统方面存在哪些漏洞?
陈三公子:说系统漏洞其实可能性较小,刚才已经谈到技术应用不够到位。银行方面在硬件上是下了很大功夫,也投入了不少资金的。对于银行系统本身来讲,有几个问题我是这样想:一是服务器安全。这涉及到采用防火墙系统策略,WEB服务器安全配置;另外,在进行网络交易的同时,用户本身也是一个问题,我认为银行系统在这方面是不是考虑给一些用户系统培训?我认识一个某大型集团的财务主任,他们每天好几亿的资金流动,但他们宁愿去银行排队,也不进行网络交易,为什么?他们不放心,不了解这个系统,他们害怕;还有一个问题就是交易服务器与银行内部网络的问题。我们常说外部的安全容易解决,而内部问题就有些麻烦,有效防范内部网络对于交易服务器的入侵是非常重要的,打个比方,有些人入侵电信系统,居然发现他们内部人员使用的账户口令非常简单,要么abcd,要么1234,这样的系统谈何安全呢?当然,这些弱口令可能不会在银行系统中出现,毕竟时时都有人跟踪这种事情。
记者:作为网络安全技术人员,首先自身要有很强的安全防范意识,我想这一点很重要。说到网上银行,目前确实还有不够完善的地方,但网上交易也是大势所趋,提供一个让用户放心的网上交易环境,我想这是银行业急需解决的问题。
陈三公子:的确,银行方面如何引导用户,让其进行网络交易是很关键的,比如银行方面可以制作本机安全防范教程,交易教程等等。这涉及的问题很广,在这儿,网络不仅仅是针对银行了。
记者:你刚才谈到要对内部网络进行有效防范,请问对这种防范你有哪些建议?
陈三公子:关于内部安全防范目前很多家安全公司已经有相应解决方案。防范只是一种方法而已。我认为从以下几点考虑:
1、 进行有效的24小时安全监控是很有必要的,实时进行系统漏洞扫描和入侵检测。比如可以使用ISS类产品;
2、 硬件方面,如使用防火墙系统、数字证书等身份识别系统等;
3、 就是我们关于网络通讯方面的安全性问题,因为INTERNET是一个开放的网络,我们在网络进行的任何敏感信息传输(如账户密码、机密问题等)在通讯过程中都有可能被人截取、破解等。目前银行系统大都采用SSL数据加密协议,这类协议可理解为VPN,就是通过在INTERNET中建立一个秘密的通道以保证数据的可靠性;
4、 工作人员的安全意识,这个可以小到如何辨识垃圾邮件。这个问题也最为严重,至少目前我发现太多人不注意密码保护,所有密码都使用生日,电话号码等很易猜测的数字。安全是银行赖以发展和生存的核心和基础,但这里也会有一个问题,越安全的东西操作性就会越麻烦,这样就影响了简易方便的原则,不过据我所知,目前银行系统还没有在这方面带来很大的安全问题。现在已经是网络时代了,哪家银行安全不过关,把不住这个门,最后都有可能被用户抛弃。银行方面我认为应该考虑整套安全解决方案,而不是进行某一个产品的购买就说明他已经很安全了,我想在这点上目前很多银行都没有做到。此外,选择一个好的安全厂家对于银行来说也是非常重要的。
总的来说,我认为银行的网络安全应注意以下几点:1、因安全过度导致的问题;2、因保证99.9999%的online导致的问题;3、内部管理的问题;4、新技术应用不够;5、sms模式如何利用至异构环境中(如国外的identity management)。
记者:我注意到,之前提到“安全公司”这一说法,我想问的是,目前,专业的网络安全公司在国内的情况是怎样的?他们能提供一些什么样的服务?他们为哪些行业提供专业服务比较多?怎样评价国内的网络安全业?
陈三公子:主要在政府,象topsec,联想,启明,绿盟等都是政府背景。因为受设备限制,只能是终端市场。所以国内的安全市场是比较畸形的。各公司的技术水平也参差不齐,都是有问题的,都不太全面。比如有些服务,无边界做的就比较好一些。有些都是抄来抄去的东西,实际上一句话:国内的说是自主开发的产品都得有一个前题:“以开源为基础”!
就国内的安全业而言,VERYDANDEROUS(很危险),并且在技术方面与国外的差距比较大,但是总的来说国人的网络安全意识不够强。这必将影响网络安全技术的实际操作和可应用性。现在越来越多的年轻人都非常关注这个领域。所以未来的几年里,应该可以看到网络安全技术在国内的飞速发展。
记者:还有最后一个问题:最近国内著名黑客组织“红客联盟”解散了,其“主帅”lion说,激情不在,你怎样看待国内这些黑客组织的解散?在我国现行的法律环境下,黑客组织的发展受到怎样的制约?
陈三公子:目前,众多黑客组织之所以解散主要是没有培养自己新的生命力,保持新鲜血液的注入才是一个组织生存的关键。激情,我想实际就是对生活的一种热爱。但最重要的是:责任重于激情!
目前我国的法律环境对于黑客组织的发展影响不是很大,甚至有些地方还是空白的,不过发展慢了一些。其实真正受到影响的是中国网络安全业的发展,这是众多黑客技术爱好者、网络安全人士共同关注的问题。国内法律不承认黑客的合法性,是因为有些人打着黑客的牌子做违法的事情,也就是所谓“骇客”。但现在很多政府机构都已经开始重视安全问题,我相信,不久政府一定会出台非常合理的措施来拓宽网络安全领域
