黑客眼中的银行网络安全是什么样的?

 
记者：从技术方面来说，你认为目前银行网络或系统方面存在哪些漏洞？
 
陈三公子：说系统漏洞其实可能性较小，刚才已经谈到技术应用不够到位。银行方面在硬件上是下了很大功夫，也投入了不少资金的。对于银行系统本身来讲，有几个问题我是这样想：一是服务器安全。这涉及到采用防火墙系统策略，WEB服务器安全配置；另外，在进行网络交易的同时，用户本身也是一个问题，我认为银行系统在这方面是不是考虑给一些用户系统培训？我认识一个某大型集团的财务主任，他们每天好几亿的资金流动，但他们宁愿去银行排队，也不进行网络交易，为什么？他们不放心，不了解这个系统，他们害怕；还有一个问题就是交易服务器与银行内部网络的问题。我们常说外部的安全容易解决，而内部问题就有些麻烦，有效防范内部网络对于交易服务器的入侵是非常重要的，打个比方，有些人入侵电信系统，居然发现他们内部人员使用的账户口令非常简单，要么abcd，要么1234，这样的系统谈何安全呢？当然，这些弱口令可能不会在银行系统中出现，毕竟时时都有人跟踪这种事情。
 
记者：作为网络安全技术人员，首先自身要有很强的安全防范意识，我想这一点很重要。说到网上银行，目前确实还有不够完善的地方，但网上交易也是大势所趋，提供一个让用户放心的网上交易环境，我想这是银行业急需解决的问题。
 
陈三公子：的确，银行方面如何引导用户，让其进行网络交易是很关键的，比如银行方面可以制作本机安全防范教程，交易教程等等。这涉及的问题很广，在这儿，网络不仅仅是针对银行了。
 
记者：你刚才谈到要对内部网络进行有效防范，请问对这种防范你有哪些建议？
 
陈三公子：关于内部安全防范目前很多家安全公司已经有相应解决方案。防范只是一种方法而已。我认为从以下几点考虑：
1、 进行有效的24小时安全监控是很有必要的，实时进行系统漏洞扫描和入侵检测。比如可以使用ISS类产品；
2、 硬件方面，如使用防火墙系统、数字证书等身份识别系统等；
3、 就是我们关于网络通讯方面的安全性问题，因为INTERNET是一个开放的网络，我们在网络进行的任何敏感信息传输（如账户密码、机密问题等）在通讯过程中都有可能被人截取、破解等。目前银行系统大都采用SSL数据加密协议，这类协议可理解为VPN，就是通过在INTERNET中建立一个秘密的通道以保证数据的可靠性；
4、 工作人员的安全意识，这个可以小到如何辨识垃圾邮件。这个问题也最为严重，至少目前我发现太多人不注意密码保护，所有密码都使用生日，电话号码等很易猜测的数字。安全是银行赖以发展和生存的核心和基础，但这里也会有一个问题，越安全的东西操作性就会越麻烦，这样就影响了简易方便的原则，不过据我所知，目前银行系统还没有在这方面带来很大的安全问题。现在已经是网络时代了，哪家银行安全不过关，把不住这个门，最后都有可能被用户抛弃。银行方面我认为应该考虑整套安全解决方案，而不是进行某一个产品的购买就说明他已经很安全了，我想在这点上目前很多银行都没有做到。此外，选择一个好的安全厂家对于银行来说也是非常重要的。
         总的来说，我认为银行的网络安全应注意以下几点：1、因安全过度导致的问题；2、因保证99.9999%的online导致的问题；3、内部管理的问题；4、新技术应用不够；5、sms模式如何利用至异构环境中（如国外的identity management）。
 
记者：我注意到，之前提到“安全公司”这一说法，我想问的是，目前，专业的网络安全公司在国内的情况是怎样的？他们能提供一些什么样的服务？他们为哪些行业提供专业服务比较多？怎样评价国内的网络安全业？