电子银行系统面临的安全威胁

（一）电子银行系统面临的安全威胁

由于电子银行系统中处理、传输和存储的都是与资金有关的敏感数据，如客户的账户号码、账户密码、账户中的存款余额等，而电子银行依赖的网络环境主要是Internet公共网络，因此会面临各种安全攻击。这些威胁可以宏观地分为自然威胁和人为威胁。

1.自然威胁

电子银行在运行过程中受到的自然威胁可能来自于各种自然灾害（如水灾、火灾、地震等）、恶劣的场地环境、电磁辐射和电磁干扰、网络设备自然老化等。

2.人为威胁

电子银行在运行过程中受到的人为威胁又可分为两种：一种是无意威胁（偶然事故），另一种是有意威胁（恶意攻击）。

（1）无意威胁。以操作失误为代表的无意威胁虽然没有明显的恶意企图和目的，但它会使银行信息受到严重破坏。最常见的偶然事故有：操作失误（未经允许的使用、操作不当、误用存储媒体）、意外损失（电力线路搭接、漏电、电焊火花干扰）、编程缺陷（经验不足、检查疏漏、水平所限）、意外丢失（系统设备被盗、数据被非法复制、丢失存储媒体）、管理不善（维护不力、管理薄弱、纪律松懈）、无意破坏。

（2）恶意攻击。恶意攻击是人为的有目的的有意攻击。系统入侵者可能是商业间谍、利用计算机作案的罪犯、怀有各种目的的黑客、离职员工的恶意报复等。恶意攻击可以分为主动攻击和被动攻击。主动攻击是指以各种方式有选择地破坏信息（如修改、删除、伪造、添加、重放、乱序、冒充等）。被动攻击是指在不干扰系统正常工作的情况下进行侦收、截获、窃取、破译信息等。下面简要介绍有代表性的恶意攻击：

①假冒用户身份。攻击者盗用合法用户的身份信息，以假冒的身份进行交易或通信。假冒者可以伪造各类银行业务信息，篡改银行账务数据，改变银行业务信息流的次序、时序、流向，破坏银行信息的完整性，假冒合法用户肆意篡改业务数据，假冒合法用户实施金融欺诈等。

②窃取信息。攻击者在网络传输线路上，利用搭线、使用高性能的协议分析仪器和信道监测设备、接收电磁辐射信息、利用陷阱和后门程序等物理或逻辑的手段，对银行数据进行非法截获与监听，窃取计算机系统的操作密码，破解系统的核心密码，窃取用户的账号和密码等敏感信息。

③篡改信息。攻击者在截取到网络上的信息后，可能篡改其中的内容。这种攻击既可使信息变得无效，又可使信息变得有利于己方，造成不可估量的损失。

④否认交易。用户可能对已经进行的不利于自己的交易进行恶意的否认。否认分为源否认和宿否认两种。源否认就是交易发起者否认进行过的交易;宿否认是交易报文的接收者否认接收到的交易。

⑤重发信息。攻击者在截获网络上的密文信息后，并不将其破译，而是把这些数据再次发送，以实现恶意攻击的目的。

⑥拒绝服务。电子银行系统或其中的一个实体拒绝完成本身的任务，或妨碍系统的其他实体完成本身任务的行为称为拒绝服务。这种攻击有两种可能性：第一是无特定目的的攻击，系统或其中一个实体抑制所有的信息;第二种是有目的的攻击，系统或其中一个实体抑制所有送往特定目的地的信息，如安全保密审查服务信息。这种攻击包括抑制业务量和生成多余的业务量，也可能生成破坏网络操作的信息，改变路由选择等。

⑦黑客侵袭。 “黑客（Hacker）”曾经是人们对一些具有高超编程技巧、迷恋计算机代码的程序设计人员的称谓。现在这个称谓逐渐演变扩充为虽然有以上特点，但其行为对计算机信息系统的正常秩序构成了威胁和破坏的人群的称谓。他们利用自己精通的计算机知识，或他人编程的漏洞，侵入电子银行系统、调阅各种信息、篡改他人的信息，将机密信息公布在公用网上散发广播等。以前“黑客”的目标往往是银行本身，如美国洛杉矶的城市银行就曾被“黑客”从账户上凭空划走了40万美元。以后，由于银行大大加强了安全控制，从而加大了“黑客”作案的难度。“黑客”逐渐将注意力转向个人账户和网络银行。他们如同幽灵一样在因特网上四处游荡，偷窃个人的银行账户、电话记录和电子购物账户以及私人商务信息。

⑧计算机病毒侵袭。计算机病毒是一种依附在各种计算机程序中的一段具有破坏性、能自我繁衍的计算机程序。它通过软盘、终端或其他方式进入计算机系统或计算机网络，引起整个系统或网络的紊乱，甚至造成瘫痪。因此，防范计算机病毒的污染和传播，是电子银行的重要安全措施之一。

⑨内部人员破坏。内部人员熟悉网络银行的应用业务和薄弱环节，可以比较容易地篡改系统数据、泄露信息和破坏系统的软硬件设施。

此外，除了上面所述的安全威胁以外，电子银行还会受到蠕虫程序、特洛伊木马、逻辑炸弹、陷阱门等的侵袭或威胁。

不同的恶意攻击对电子银行系统的危害程度不同。一般来说，像电子邮件炸弹这样的最低层次的恶意攻击，对系统危害不算很大，可能仅造成拒绝服务;入侵者如果得到了一些不该有的权限（如偷看别人的邮件或获得了有限的写权利），会造成部分信息的保密性和完整性的丧失，这类危害属第二层次;最高一层是入侵者得到了root权限，可以对系统进行任意破坏。