经过近二十多年的发展,我国银行业的安全技术防范系统已基本建成,并形成比较完整的体系。无论全国性银行,或是地方商业银行,都已经依照GA38、GA745、GA858和GB/T16676等公共安全行业标准,建设了涵盖视频监控、网络对讲、报警、门禁的安防管理平台,为银行重要部位的守卫提供了坚实的保障。安防系统也从单纯的视频监控系统,发展为视频监控与报警、对讲、门禁等诸多安防子系统的大融合,互通互联,协同作战。随着人脸识别技术和人工智能技术的发展,视频监控已不仅作为银行安全保卫的重要支撑,同时也已成为银行客户识别、服务监督、合规检查的不可缺少的重要手段。
但是银行安防系统在迈入数字化、网络化、智能化的同时,安防系统本身的网络安全风险也在逐渐显现,并面临严峻的挑战。随着“等级保护2.0”即《信息安全技术-网络安全等级保护基本要求》正式发布与实施,网络安全已经上升至国家安全高度。我们应该高度重视银行安防网络的信息安全,并相应采取有效的防控措施,未雨绸缪,为维护我国的金融稳定做出贡献。
当前,银行安防网络呈现出如下特点:大量设备接入暴露在外部环境,网络边界概念缺失,不少终端设备漏洞未发布,导致安防网络的安全威胁大部分集中于设备前端。同时,安防网络中的各种服务器和客户端电脑由于管理不到位,也存在安全隐患。具体表现为以下几方面:
前端非法接入,无有效手段进行侦测。目前针对网络摄像机、录像机、网络对讲机、门禁等终端的防护,业内多采用交换机IP+MAC绑定的方式进行防护。但是大量的设备和网线裸露在室外。比如,根据某股份制银行地区分行的统计,该行安防设备中有7.5%的网络摄像机、93%的网络对讲、25%的门禁设备直接安装在银行网点户外或外人可接触之处。这样一来,攻击者有条件通过物理手段轻松接入,或通过私自修改接入设备的IP/MAC地址伪冒安保设备接入网络,从而绕过交换机IP+MAC绑定机制进行网络渗透。
终端设备存在漏洞及弱口令。监控设备更新换代频率较低,一般要在网运行多年,期间便会存在着一些高危漏洞;同时摄像头上架时安装人员一般设置为简单口令或默认口令,可轻易被控制,或被攻击者利用成为DDos攻击的目标。
客户端电脑存在网络病毒入侵风险。由于调阅录像的需要,各银行网点,总、分行级各管理部门,监控中心,以及保卫部管理人员都有个人电脑安装监控平台客户端软件,以便登录监控系统,浏览或下载录像文件。即便银行的安防网络是独立组网的,但是由于电脑主机的USB端口无法完全关闭,一旦有人用U盘接入任一台客户端电脑,就存在把计算机病毒传入电脑,进而扩散到整个安防网络的风险。
安防网络和办公网络非法联通存在风险。在银行网点,还存在安防网络和办公网络没有物理隔离,或是本身有防火墙隔离,但实际网络连接操作不规范的现象。比如,出现支行网点安防设备连通了办公网络的情况。一旦安防网络被入侵后,黑客攻击者就可能直接威胁到银行办公网络,或者反过来,攻击者也可以通过银行的办公网络,攻击银行安防网络。
视频协议中存在僵木蠕风险。很多传统防火墙系统针对IP、MAC、端口等进行访问控制,但视频协议中控制协议、传输协议都可能混杂大量僵木蠕等,存在被黑客利用进行勒索病毒攻击、僵尸网络攻击的风险,网络摄像头被攻击的可能性变大。
安防系统的这些安全隐患一旦被黑客攻击者利用并入侵后,对银行的网络安全、业务安全、声誉安全都将造成极大的危害。
一是银行技防系统被破坏的风险。入侵安防网络后,黑客攻击者可以通过身份欺骗等方法,对银行的重点部位(比如金库、加钞间、机要室等)的报警系统随意进行远程布、撤防;可以侵入门禁管理系统,甚至通过远程控制将金库等重要部位的门禁开启;可以对摄像机进行攻击,导致重要部位摄像机画面冻结,或者替换视频的实时画面,骗过监控中心值班人员的眼睛而无法及时发现异常情况。得手后,这些重要部位的防护措施对攻击者而言将形同虚设。
二是通过勒索病毒瘫痪银行技防系统。攻击者通过客户端电脑U盘传播勒索病毒,或者通过攻破银行前端摄像头、门禁设备、对讲设备等植入各种病毒,然后通过横向攻击,攻击接入层的其他网络摄像机、NVR、门禁等设备,影响银行技术防范系统的正常工作。由此存在安防系统迅速瘫痪、无法及时修复的风险,后果将十分严重。
三是对办公网络产生威胁。如果存在安保和办公网络的链路连接的现象,攻击者可通过安保网络入侵到办公网络,对业务数据、网络数据、办公网设备造成威胁,可能造成保密资料和重要业务数据的泄露。
四是银行视频敏感录像文件的泄露风险。外部黑客攻击者一旦侵入到安防系统中NVR(录像机),即可轻易拷贝其中的录像文件。此外,银行工作人员、监控中心值班保安员等内部人员也可能通过PC电脑将银行重要的监控录像数据违规私自拷贝、外泄,造成重大泄密事件,但又可能无法追踪溯源。
对于安防网络的信息安全风险,银行安保部门应依据主动防御思路,并结合金融网络应用场景和当前主流的技术手段,兼顾运维和业务诉求,采取以下防御策略:
-
对银行安防网络与办公网进行物理隔离。银行可以建设安防专用网络,消除与办公网混用带来的负面影响,切断病毒相互传播路径,消除互为攻击路径的风险。
-
对安防系统所有操作人员实施实名认证,明确个人电脑和系统用户名的管理责任。限制弱口令的使用,设置口令的保鲜期。
-
提供基于应用层的视频安全防火墙、主动防御机制,定期查杀安防系统所有服务器和个人电脑的计算机病毒,并定期对病毒库进行升级。
-
定期对安防系统进行漏洞扫描,及时修补各种漏洞。
-
安装视频防泄密网关,对所有接入安防系统的计算机USB端口进行管控,防止非法插入移动磁盘介质。对所有录像下载文件进行安全加密,叠加二维码水印,防止银行录像文件违规泄露。
-
安装非法接入侦测系统,主动探测、识别资产,确保一机一档。在接入层主动阻断利用漏洞、弱口令、仿冒、私接的恶意入侵行为,建立坚固的防护体系。
-
建立与视频监控系统联动的网络安全监测系统,在安保监控中心通过声光报警、图像弹窗、文字提示等方式,及时提醒值班人员关注、处置各种网络安全事件,并对系统故障进行精确定位并追踪溯源,提高值班人员的监控效率。
以笔者所在的兴业银行厦门分行为例,通过建立安防网络系统的主动防御体系,增强了自身防护能力,努力做到私接仿冒“无门可入”,网络攻击“可防可控”,安全运维“一目了然”,终端安全“铜墙铁壁”。
此文章来源于 中国银行业杂志,如有侵权请联系删除
蒙公网安备 15010302000111号 
电子营业执照 
