文/劉樺潔，中國郵政儲蓄銀行濮陽市分行

1 引言

互聯(lián)網(wǎng)金融平臺在運營過程中，是搭載互聯(lián)網(wǎng)平臺來實現(xiàn)運營的，但由于互聯(lián)網(wǎng)屬于開放式運營方式，其內(nèi)部的系統(tǒng)缺陷將為網(wǎng)絡(luò)黑客提供攻擊平臺，進而對網(wǎng)絡(luò)終端用戶的財產(chǎn)安造成威脅?！稗堆蛎毙袨榕c撞庫攻擊行為則是典型的網(wǎng)絡(luò)攻擊案例，攻擊者通過網(wǎng)絡(luò)系統(tǒng)漏洞來將用戶信息進行盜取與篡改，進而使用戶以及銀行機構(gòu)造成財產(chǎn)損失。傳統(tǒng)的網(wǎng)絡(luò)防護技術(shù)是針對威脅信息來進行被動式攻擊，缺乏隱性病毒檢測的能力，為此，應(yīng)加強防護技術(shù)的研究，以此來凈化網(wǎng)絡(luò)環(huán)境，為用戶的財產(chǎn)安全提供基礎(chǔ)保障。

2 互聯(lián)網(wǎng)業(yè)務(wù)在銀行機構(gòu)的應(yīng)用隱患

近年來，銀行機構(gòu)在互聯(lián)網(wǎng)技術(shù)的應(yīng)用下，實現(xiàn)遠(yuǎn)距離操控、虛擬鏈接等，提升銀行的辦事效率。同時，在互聯(lián)網(wǎng)平臺的建立下，也催生出多種業(yè)務(wù)模式是，包括移動金融、多平臺支付、理財融資等，令銀行服務(wù)鏈呈現(xiàn)出持續(xù)增加的趨勢，進而提升銀行管理系統(tǒng)的安全風(fēng)險，使人民的財產(chǎn)安全受到威脅。對于銀行互聯(lián)網(wǎng)金融平臺來講，其主要風(fēng)險漏洞一般以系統(tǒng)登錄平臺風(fēng)險、驗證平臺風(fēng)險、跨站腳本攻擊、業(yè)務(wù)涉及風(fēng)險、信息泄露風(fēng)險等為主，將為銀行帶來較大的運行負(fù)擔(dān)。

3 銀行互聯(lián)網(wǎng)金融平臺面臨的新型威脅

3.1 “薅羊毛”行為

“薅羊毛”行為是指客戶依據(jù)網(wǎng)絡(luò)平臺給予的優(yōu)惠活動來開展一系列操作，一般是以個人或團體為主，利用智能化軟件對參與銀行活動的商家進行定向優(yōu)惠活動索取，通過非正常手段來進行線上搶購。薅羊毛行為與違法行為的本質(zhì)區(qū)別在于消費者信息的合理性，薅羊毛一般以真實的信息為主，通過各項活動的參與來完成目標(biāo)需求，此類攻擊行為一般利用軟件來對電商APP、金融類APP等進行實時關(guān)注，當(dāng)出現(xiàn)活動時，將自動進行參加，攻擊者通過智能化軟件進行不同平臺的的登錄，以此來獲取利潤。此種軟件的使用將阻礙平臺服務(wù)器的運行，使正常參與的用戶無法在第一時間登錄活動頁面，導(dǎo)致活動產(chǎn)生利益落入少部分不法分子手中，而對于活動承辦商來講，推廣效果也與預(yù)期不符，造成營銷費用與經(jīng)濟收入不匹配。2018年某銀行舉辦的信用卡活動，其刷卡金優(yōu)惠力度開展以來，2月到8月薅羊毛行為產(chǎn)生的金額約為8億元。不法分子發(fā)動此類網(wǎng)絡(luò)攻擊行為，則是依靠銀行系統(tǒng)的漏洞，采用新型手法對銀行機構(gòu)的網(wǎng)絡(luò)平臺進行攻擊，致使銀行機構(gòu)面臨服務(wù)器崩潰、信息泄露等風(fēng)險。

3.2 撞庫攻擊行為

撞庫攻擊是指黑客將已經(jīng)泄露的數(shù)據(jù)信息進行集成處理，在利用網(wǎng)絡(luò)平臺來進行批量登錄，以此來獲取更多的登錄信息?，F(xiàn)階段，大部分網(wǎng)絡(luò)用戶一般在不同網(wǎng)絡(luò)平臺使用的是同一個賬號、密碼等，黑客則是利用一個平臺的泄露信息在其它平臺進行的登錄，此種操作則為撞庫攻擊。對于互聯(lián)網(wǎng)金融平臺來講，每天都將產(chǎn)生大量的數(shù)據(jù)信息，用戶在進行網(wǎng)上登錄時，大部分人過于依賴于網(wǎng)絡(luò)平臺的安全系統(tǒng)，將導(dǎo)致個人信息泄露，為網(wǎng)絡(luò)黑客提供信息資源。例如，近年來較大的撞庫案例則是某購物平臺，其平臺的數(shù)據(jù)庫安全系數(shù)較高，不存在泄露風(fēng)險，黑客則是通過撞庫攻擊來對平臺用戶的數(shù)據(jù)信息進行獲取，以此來將數(shù)據(jù)信息同步應(yīng)用到各大網(wǎng)站中，導(dǎo)致用戶的財產(chǎn)安全受到威脅。

4 傳統(tǒng)網(wǎng)絡(luò)銀行機構(gòu)防護系統(tǒng)的缺陷

銀行機構(gòu)作為人民財產(chǎn)的存儲中心，其在運營過程中將采用多種防護技術(shù)，來對居民的個人信息以及財產(chǎn)安全進行防護，大部分銀行機構(gòu)部署WAF、DDOS、IPS等防護系統(tǒng)，但此類防護系統(tǒng)一般是對已知的攻擊行為進行分析，然后在對簽名、規(guī)則等進行編寫，以此來形成防護措施。但對于撞庫攻擊行為來講，其是依靠數(shù)據(jù)信息的模擬來進行操作的，在銀行的防護系統(tǒng)中默認(rèn)為合法化操作，同時撞庫攻擊不屬于主動攻擊的范疇，其是將用戶名與密碼進行復(fù)制型登錄，以此來對該用戶在銀行機構(gòu)名下的數(shù)據(jù)信息進行竊取，進而侵入到銀行機構(gòu)的操作系統(tǒng)中。傳統(tǒng)的網(wǎng)絡(luò)銀行機構(gòu)系統(tǒng)如圖一所示，在WAF防護層中，內(nèi)部系統(tǒng)無法對合法化的登錄協(xié)議進行檢查，致使數(shù)據(jù)信息的真實性辨別存在缺陷；在DDOS防護層中，其在應(yīng)用層中不具備防護能力；在IPS防護層中，不具備主動攔截的能力，造成系統(tǒng)防護存在漏洞。

圖1 傳統(tǒng)網(wǎng)絡(luò)防護缺陷

5 銀行互聯(lián)網(wǎng)金融平臺的防護技術(shù)研究

5.1 偽裝技術(shù)

偽裝技術(shù)是利用網(wǎng)絡(luò)模擬化手段，對網(wǎng)絡(luò)平臺、應(yīng)用、數(shù)據(jù)終端等進行偽裝，并依據(jù)攻擊者的主要意圖來調(diào)整，以此來令侵入軟件的識別功能失效，進而對攻擊者造成范圍擾亂效果，以延長攻擊時間，令內(nèi)部網(wǎng)絡(luò)安全防護系統(tǒng)可有更多的時間來運行防護程序，以此來加強系統(tǒng)的防護功能。

5.2 遠(yuǎn)程操控技術(shù)

遠(yuǎn)程操控技術(shù)的主要防護平臺是以瀏覽器為主。網(wǎng)絡(luò)攻擊者一般是通過瀏覽器來進行操作的，將瀏覽器作為切入點來盜取信息以及登錄信息等，為此，遠(yuǎn)程操控技術(shù)則是建造一個平臺型服務(wù)器，將瀏覽器系統(tǒng)集成到平臺中，令用戶通過此種隔離型平臺來進行虛擬化操控，以確保服務(wù)器與終端系統(tǒng)的獨立運行，達(dá)到最終防護效果。

5.3 動態(tài)防護技術(shù)

動態(tài)防護技術(shù)則是將偽裝技術(shù)、遠(yuǎn)程操控技術(shù)進行融合，將傳統(tǒng)的被動防護模式轉(zhuǎn)變?yōu)橹鲃臃雷o模式，進而減少防護系統(tǒng)運行的響應(yīng)時間。動態(tài)防護技術(shù)主要是對銀行機構(gòu)的主服務(wù)器進行防護，以底層代碼周期性動態(tài)轉(zhuǎn)換來對隱蔽系統(tǒng)的缺陷，進而從源頭上制止攻擊行為，此類防護模式具備感知能力，可對終端操控系統(tǒng)進行深度辨別，防止攻擊者利用模擬化登錄來竊取數(shù)據(jù)信息。網(wǎng)絡(luò)金融平臺通過此種防護機制，可擾亂網(wǎng)絡(luò)攻擊者的計劃，進而提升網(wǎng)絡(luò)系統(tǒng)的安全性。動態(tài)防護技術(shù)以一般以動態(tài)封裝、驗證、混合、令牌等來完成防護工作。

首先，動態(tài)封裝主要是對瀏覽器的服務(wù)代碼進行更改與封裝，將瀏覽器頁面上的敏感信息進行主動獲取，例如被攻擊入口、表單等，通過服務(wù)代碼的隱藏，使攻擊者無法通過軟件來對定性信息進行獲取，并無法預(yù)料到服務(wù)器的運行路徑。

其次，動態(tài)驗證是采用信息反饋模式，將客戶終端、服務(wù)終端進行對接，以防止第三者的窺探行為，進而形成終端防護。此外，動態(tài)驗證具有離散性，每一次驗證碼的生成方式都不相同，其數(shù)量、項目等都無任何規(guī)律所尋，進而提升攻擊成本。

再次，動態(tài)混合是將瀏覽器內(nèi)的敏感信息、代碼等進行隨機混合，以此來增加網(wǎng)絡(luò)的自檢防護能力，其混合目標(biāo)一般為URL、data、cookie等，進而令代碼侵入、地址偽造、信息篡改等行為無法進行正確操作。

最后，動態(tài)令牌是系統(tǒng)發(fā)出的一種定向數(shù)據(jù)，一般服務(wù)對象為瀏覽器內(nèi)的合法用戶，以此來保證各項業(yè)務(wù)可進行邏輯操作，此外，動態(tài)令牌可對系統(tǒng)內(nèi)的自動化攻擊行為進行阻擋，以此來凈化網(wǎng)絡(luò)系統(tǒng)。

與傳統(tǒng)防護系統(tǒng)相比，動態(tài)防護技術(shù)是以數(shù)據(jù)信息的不可預(yù)見性轉(zhuǎn)變方式為主。通過動態(tài)變換來增強網(wǎng)絡(luò)系統(tǒng)各項應(yīng)用的模擬性，以此來將系統(tǒng)安全漏洞進行隱藏；通過動態(tài)感知來對瀏覽器內(nèi)的運行路徑進行全過程監(jiān)督，并可實時感知到終端威脅型信息，以保證業(yè)務(wù)運行的邏輯性；動態(tài)智能則是按照網(wǎng)絡(luò)系統(tǒng)的運行模式來進行智能化轉(zhuǎn)變，并對侵入信息進行主動攻擊，以此來增加攻擊者侵入的難度；動態(tài)響應(yīng)是對攻擊者的攻擊行為進行及時響應(yīng)，并進行動態(tài)調(diào)整，以防御型手段來模擬攻擊行為。

動態(tài)防護技術(shù)可對互聯(lián)網(wǎng)金融平臺進行四重動態(tài)防護，從賬戶安全、數(shù)據(jù)信息泄露以及業(yè)務(wù)欺詐行為等進行全過程監(jiān)督。第一，在賬戶安全方面，可有效防止撞庫、虛假信息登錄、短信息轟炸、批量注冊等，進而實現(xiàn)源頭性防護。第二，在數(shù)據(jù)泄露方面，對個人信息以及名下的理財產(chǎn)品、賬戶數(shù)據(jù)歷史、程序掃描等進行防護，以此來為技術(shù)的全過程監(jiān)督行為提供基礎(chǔ)保障。第三，業(yè)務(wù)欺詐則是指惡意刷單、交易篡改、“薅羊毛”行為等進行防護。

6 結(jié)語

綜上所述，文章對銀行機構(gòu)互聯(lián)網(wǎng)金融平臺面臨的風(fēng)險進行分析，指出傳統(tǒng)防護手段存在的弊端，并對新型防護技術(shù)進行研究。通過偽裝技術(shù)、遠(yuǎn)程操控技術(shù)、動態(tài)防護技術(shù)可為銀行機構(gòu)的互聯(lián)網(wǎng)交易模式建構(gòu)安全體系，進而為用戶的財產(chǎn)安全以及銀行機構(gòu)提供安全保障。