银行业服务器安全漏洞管理探索

2024年4月24日发(作者：)

银行业服务器安全漏洞管理探索

作者：雷鼎

来源：《中国金融电脑》 2015年第2期

随着网络技术的飞速发展，商业银行不再局限于传统的网点的营业，而更多地推出面向互

联网的服务，如网上银行、手机银行、短信银行、电子商务等。支撑这些服务的是庞大的计算

机集群，而且随着银行业务快速发展，集群规模也在不断扩大。如何保障服务器的系统安全性

和银行的交易安全、可控是目前信息安全工作面临的主要问题。

一、服务器系统漏洞现状

作为从事货币信用活动的金融机构，商业银行系统的等级保护级别较高。金融监管部门对

银行的系统安全提出了更高的要求，人民银行发布的《网上银行系统信息安全通用规范》

（JR/T0068-2012）中要求“应至少每半年进行一次漏洞扫描，对发现的系统安全漏洞及时进行

修补”。

在银行部署的服务器通常有服务器，大型机、数据库服务器、应用服务器三类。在服务器

硬件上，第一层软件就是操作系统。它是管理和控制计算机硬件与软件资源的计算机程序，是

直接运行在“裸机”上的最基本的系统软件，任何其他软件都必须依托于它才能运行，之后便

是在操作系统上部署应用软件，满足机构的业务需要。服务器的系统漏洞不仅包括操作系统自

身的漏洞，也包括所部署的应用软件带来的缺陷。

大型机的操作系统通常为定制、封闭的系统，且多为商业用途，因此关于此类系统的漏洞

并不常见，防护也相对容易。其他数据库、应用服务器大多是Unix、Windows 服务器，这两类

服务器漏洞易被黑客挖掘，因此这两类系统的漏洞管理起来更加复杂。近几年每年爆出的关于

此类系统的若干漏洞，并且这个数字随着时间变化呈不断增长趋势。不久前爆出的“Linux

Bash 远程代码执行”漏洞对系统的安全性敲上警钟， 此漏洞影响绝大部分Linux 操作系统，

当下各个机构均或多或少地使用了此类系统。国家互联网应急中心也会及时发布应急响应预警，

提醒各机构及时修复漏洞。应用软件分为外购和自主研发两类，它的漏洞皆与版本有关系，大

多数漏洞的修复均需要升级版本，给管理和运维都带来不便。

二、服务器系统漏洞防护手段

1. 网络边界防护手段

为抵御系统漏洞可能带来的入侵， 在网络区域上， 根据数据敏感区域界定安全域， 以此

进行逻辑划分，隔离网络区域，避免非法入侵（如图1 所示）。银行内部核心处理的大机通过

网络隔离的方式部署在系统内部， 且由于其封闭等特点， 导致外部无法利用其漏洞。从网络

边界防御上，从外到内部署了抗DDoS 设备、防火墙、入侵检测系统 (Intrusion

DetectionSystem，IDS)、应用防火墙（WebApplication Firewall ,WAF）、防病毒服务器等。

通过部署这些安全设备，能有效防范漏洞被利用。

2. 内部控制防护手段

在内部防护上，有网络准入技术、日志安全审计、网络监控、内部漏洞检测等。从风险角

度分析非法的入侵大都是从外部而来，因此各个商业银行往往更加重视外部的防御，而对内部

的防护关注较少。近些年因内部安全防护不足引发的风险事件不在少数，爆出的大多数金融机

构的漏洞皆是由于边缘系统或内部办公系统防护不足导致黑客渗透，入侵到内网。进入内网后，

黑客通常发现内部系统重要风险漏洞。因而内部系统的安全防护也不容忽视，应该加大重视。

虽直接从外部入侵成功的可能性较低，但利用社会工程学等手段从内部发起攻击也成为可能。

（1）漏洞发现

银行使用的系统都是业界通用的系统，这些系统会不断被黑客挖掘出新的漏洞。只有不断

更新系统，及时安装系统的补丁才能保障系统的安全性。由于对系统运行的实时性和有效性要

求较高，必须保障生产系统的稳定运行，未经审核批准不能对系统进行任意操作。如此在内部

系统安全上，大多数的金融机构采用系统漏洞检测技术去主动发现系统中的漏洞，根据发现漏

洞的风险级别决定是否实施系统变更，修复系统漏洞。

漏洞检测技术是对服务器发起主动探测请求、从而获得服务器系统的脆弱性。它通常部署

在机构的内部网络上，首先对目标服务器进行端口探测，确认服务器对外开放的端口，根据端

口情况进一步确定所开放的服务器，进而对服务进行尝试访问，确认服务器的相关信息，最后

根据已有特征库进行匹配，确认可能存在的风险。当然存在误报或漏报的可能，适当时需要人

工进一步确认检测结果。现有漏洞检测产品通常按网络区域部署，每个网络区域部署一台检测

设备，并推出集中管理平台，管理每台检测设备，进行策略下发和结果汇总，且利于掌握内部

资产情况及资产的风险，便于内外部审计（如图2 所示）。

多数机构在执行漏洞检测时，对检测策略比较关注，因为漏洞检测是一项主动发起访问请

求，并且与被检测目标之间无任何防护的设备，所有请求会直接发送给目标服务器，如若检测

策略设置不当，可能对服务器运行造成影响。为保障服务器的稳定运行，检测通常选择系统初

始的默认扫描策略，并且避免使用危险插件、口令猜测等可能使服务器造成影响的选项。危险

插件对服务器会造成攻击风险，可能使服务器拒绝服务或宕机；口令猜测会用调用字典尝试大

量口令登录，造成服务器账户锁死现象，影响生产系统运维。漏洞检测中避免使用以上危险策

略，并不表明不关注服务器存在的此类风险。可通过其他的方式进行检测此类风险。譬如可以

在测试环境下进行危险插件的扫描，如此检测系统或应用的脆性性。弱口令方面，通过制度和

规范进行约束，规定拒绝使用默认口令，且通过技术手段强制对口令的复杂度要求，并设置固

定的更改周期等。

（2）漏洞修复

实施漏洞检测后，需要对检测的结果进行确认，并实施后续的漏洞修复工作。以某个内网

检测的结果为例，检测的漏洞从风险级别可分为高中低三类。从漏洞本身的来源可大致分为四

类：一类是操作系统的漏洞，一类是数据库、中间件等大型应用软件的漏洞，另一类是开源软

件Apache 或其他非常用软件漏洞，最后就是其他漏洞，其中前三类漏洞占98% 的漏洞（如图

3 所示）。

根据漏洞的风险级别，可确定需要修复的漏洞和修复的周期。通常更关注高风险漏洞，要

求尽快修复，因为此类漏洞威胁较大，且容易被利用。从漏洞的来源分析，一些漏洞也存在差

异。第一类是操作系统层的本身漏洞，由于大多银行也购买了系统的使用权，大型的系统供应

商对这些系统的漏洞也及时发布相应的补丁，对漏洞的补丁的管理也较为规范，譬如微软系统

安全公告通常为MS 年份- 补丁序号，通过此编号能方便下载补丁，便于及时获得。这类漏洞

修复通过内部的下发渠道进行推送安全补丁，再在变更时间内进行安装即可。此类漏洞的修复

方法较为容易，并能及时处理。第二类漏洞通常为外部购买应用软件的漏洞，这类漏洞与前一

类漏洞相比，同样由于是大型公司的产品，补丁也能及时获取，但由于修复此类漏洞通常要升

级产品版本或安装补丁，可能造成对部署在服务器的特色业务应用有影响，故在修复前须进行

大量兼容性等测试，保障漏洞修复不会对业务运行造成影响。第三类是一些开源软件的漏洞，

此类漏洞的补丁依赖于开源软件的官网，由于没有专门的技术支持厂商，这类补丁完全依赖官

网，部分漏洞的补丁也未能及时获得。最后就是剩余的漏洞，这些漏洞可能是需要修改配置参

数、关闭某些未用的服务、对一些未授权的软件进行卸载等。以上几类漏洞在修复方法、周期

上各有不同（如表1 所示）。

三、服务器安全防护建议

银行内部系统漏洞管理是一项重要的事宜，因为它直接影响到整个系统的安全性，但在处

理这些漏洞时存在大量的困难。随着“棱镜门”事件和国外多个公司产品窃取信息事件的曝光，

银行业率先去OEM化的发展路线，这样势必需要自主研发相关产品和服务。越来越多的应用基

于开源产品，但对于开源软件的漏洞管理也是一项挑战。建议服务器上线前进行漏洞检测，应

用版本投产前，进行版本的安全检测，尽量在投产前就减少风险；投产后建立例行的检查制度

对服务器定期进行漏洞检测，及时发现存在风险；发现漏洞要及时修补或采取方法规避入侵。

内部管理上需要掌握本机构所使用的不管是外购产品还是开源产品，都应统一纳入到版本管理，

及时做好外部舆情监测，对风险预警做好处理工作。服务器安全的重要性不容忽视，只有保障

内外部的防护，才能有效防范风险。