黑客眼中的银行网络安全是什么样的?

曾经，黑客是一种荣耀，一种美好的传统，它代表着反权威却奉公守法的网络英雄。如今，黑客的形象已经十分暧昧，代表的是英雄或罪犯？正义或邪恶？高尚或卑劣？本期我们推出这个与黑客有关的话题，目的是让大家对他们有所了解，同时也意在引发金融业IT人士与“黑客”间的对话，共同来探讨网络安全所面临的问题。
                                                                                                          ——本刊编者
 
[采访对象：陈三公子（网名）。毕业于华南理工大学计算机专业，为国内著名黑客组织“第八军团”(http://www.juntuan.net)创建人，从事网络安全行业数十年之久，精通linux/unix/windows等系统安全，深谙加密解密知识，cracker高手]
 
记者：非常高兴你接受我们杂志的采访，我知道你一直致力于网络安全方面的研究，并且已经在这一领域取得了不错的成绩。今天想请你就银行目前的网络安全谈谈你的看法。
 
陈三公子： 谢谢。实际上银行网络我涉及较少，但也有所了解。因为偶尔也会有人拿银行系统做做实验，并且已经证实是可以进入系统的，只不过这只是停留在WEB方面，主要原因就在于银行采用大型机专用系统，据我所知目前根本没有这方面的黑客，呵呵，不过话说回来，中国银行养活了IBM，因为国外早已经不用这些大型机了。当然，在某些自认很厉害的黑客眼里，只要用TCP/IP协议，他就认为会存在安全漏洞。前段时间，几个十几岁的高中生做出来一个名叫“网银大盗”的病毒我想应该知道，虽然并未造成多大的危害，但是我们不能不怀疑网络银行在安全方面的脆弱性。
对于银行网络安全，我认为两个方面值得注意：内部的和外部的。其中内部安全尤其重要，因为对于银行系统，存在一个银行工作人员对技术的应用是否到位的问题。不过据我所知，银行所做的最有价值的地方就是专人天天不断检查弱口令和打补丁，同时也和其它大的公司一样，网络采用安全域分离，备份防火墙，IDS系统（不过我认为这个根本没用途），还有实现itil流程化等。在internet处还采用了双因子基于时间的认证等等，和其它单位相比，银行在这方面做得非常认真罢了。不过个别地方肯定是没办法做得非常完善，毕竟银行是属于特殊的行业，他们要求生产系统99.9999999%稳定性，这就要求是尽力99.999%的online。
 
记者：你上面谈到银行工作人员对技术的应用问题，意思是说系统本身并没有漏洞，但因为人为的因素，即人对系统的应用没有完全掌握，导致有安全隐患？
 
陈三公子：说的很对，就是这个理解。由于对系统的了解和使用不够充分，导致系统的安全性不够，也就是说有些东西我们没有将他们的功能发挥到极致，说白了就是一句话，内部管理不够，毕竟对于银行来说每个系统都是root，每个人都是administrator。同时还存在其它的问题，例如，有最新的系统的漏洞被发现，只是没有公布，这时候黑客们首先得到这个信息，而系统管理员未必知道，如果漏洞补上，安全问题必将会减少；同时对于主机的认证授权亦很重要。银行在安全域，防火墙策略等做得很仔细，这也影响到工作方面的不协调，还有整个系统子系统太多，并且一些工作是需要人工干预。有些新的技术目前银行还没有使用上，比如补丁自动管理，统一认证等。