金融业务网即时通信工具应用分析及其风险防范建议

2024年5月30日发(作者：)

金融业务网即时通信工具应用分析及其风

险防范建议

作者：宋立志 许安

来源：《中国金融电脑》 2016年第7期

互联网即时通信工具QQ 以其成熟的产品、稳定的用户、完备的功能垄断了IM 软件市场。

与互联网物理隔离的金融业务网，因数据安全性和业务保密性要求以及沟通协作需要，以飞秋

为代表的免费局域网即时通信工具正在被广泛应用，在一定程度上满足了用户需求、提高了工

作效率、降低了沟通成本。本文对飞秋工作原理及其金融业务网应用情况进行探讨，结合近期

一起业务网外联网络中断事件分析飞秋类即时通信工具潜在的网络安全隐患，并针对性地提出

相关风险防范建议。

一、飞秋通信工具及应用情况

1. 飞秋概述及通信原理

飞秋是一款高效的局域网即时通信工具，使用C++语言开发并公开源码，参考飞鸽传书

(IPMSG) 和腾讯QQ, 具有一些类QQ 功能，完全兼容飞鸽传书协议。飞秋具有信息传送方便、

速度快、操作简单、无需架设服务器等优点，适用于企业内部工作沟通和文件传送，支持成员

分组、语音、远程协助、群聊天等。飞秋程序是一个免安装的exe 文件，但并非纯绿色软件，

直接删除会在注册表中留下垃圾键值，首次运行后会在系统盘上自动创建feiq 文件夹，存放

配置信息、聊天记录、用户信息等。

飞秋传送文件采用TCP 协议，信息发送使用UDP协议，UDP 是无连接不可靠协议， 传输

速度快但没有确认机制，需要自定义信息标志来判断对方是否收到信息。局域网用户列表的建

立和刷新也使用UDP 协议向255.255.255.255 广播地址发送广播包，默认端口是2425，广播

包内容包含用户名、工作组、主机名、IP 地址和MAC 地址等信息， 因此飞秋好友无需手动添

加，用户上线时发送广播包与之建立通信的在线用户会自动进入好友列表且会根据对方工作组

自动分组。用户下线时同样会发送离线广播包，收到该广播包的用户即会删除对方的用户列表

信息。

2. 金融业务网应用

以笔者所在金融机构为例，由于内部电子邮件系统操作繁琐、安全性要求较高，主要是用

于本机构内（跨省市）文件传送。近年来，业务的发展变化对团队合作和成果分享要求越来越

高，部门间迫切需要高效及时的在线协作和沟通渠道。经过若干年的积累，飞秋以其支持GB

级超大文件传送、方便、简单、快速、节省硬件资源等优势已在系统内大量使用。以笔者所在

省市为例，徐州市和其他12 家地市机构平均员工数（不含分行机关和县支行）分别为152 人

和165 人，飞秋日均在线人数分别为110 人和120 人，工作日高峰时段在线用户高达200 人，

并且均能刷新到省内其他地市用户（较多）和省外用户（较少）。经调研，笔者所在地市的多

家商业银行也在较大范围内使用飞秋等即时通信工具。

二、信息安全风险分析

1. 事件回顾

2016 年1 月15 日上午11 时35 分，笔者所在单位营业部、国库等业务部门发现ACS、

TIPS 等重要业务系统通信时断时续，持续大约20 分钟，最终无法正常使用，第一时间向科技

部门反映。为避免重要业务长时间中断和信息安全风险事件的发生，科技部门迅速启动网络应

急方案。对故障现象初步分析后判断，为业务网外联线路出现故障导致与服务器放置在总分行

的业务系统通信中断。经深入排查，发现路由器、核心交换机、楼层交换机等网络设备硬件及

参数配置均正常，使用PING 命令测试外联网络连通性发现数据丢包率非常严重，但并未完全

中断。通过网络监控工具对网络带宽占用及流量分析发现（如图1 所示），2425 网络端口持

续频繁收发较大数据包，且在网络堵塞时段累计流量7.23GB, fjitsuappmgr 一种应用的带宽

占比高达83%，而常用的http web 应用占比仅为4%，其他应用均≤ 1%，进而确认为非硬件故

障导致的网络堵塞。

2. 事件分析

利用网络监控工具对事件时间段数据包进行抓取，进而对单个客户端使用fjitsuappmgr

应用与外联通信情况进行分析，客户端数据包抓取如图2 所示。

图2 中左侧IP 地址为笔者所在单位业务网计算机客户端，右侧IP 地址为左侧IP 地址通

过飞秋程序与之通信的外单位业务网计算机客户端。事件发生时间段笔者所在单位共有25 台

客户端同IP 地址为11.24.211.64（该地址为省内同系统某地市单位的业务网计算机）的计算

机同时持续保持通信，数据包流量均在10M左右。通过紧急调查发现，该IP 地址客户端使用

了最新版的飞秋程序，版本升级信息使用UDP 协议向255.255.255.255 广播地址发送广播包，

直至收到广播与之建立通信的客户端接收升级包并自动升级，否则无连接和无确认机制的UDP

协议会持续广播，同时收到广播但并未接受升级的客户端也会持续向对方返回接收状态信息，

短时间内并发的网络流量积少成多从而导致带宽资源被大量无用数据占用。当数据包流量达到

30% 时，网络传输速度会明显下降，点对点通信无法正常进行，如不及时处理会导致网络性能

下降，上述事件中累计流量已高达83%，短时间内即导致网络瘫痪。

3. 网络安全风险分析

此次外联网严重堵塞风险事件的直接诱因为一直被认为是飞秋优点的广播机制。飞秋等即

时通信工具的大量使用，在给日常办公带来便利的同时，也存在着严重的网络安全隐患。近年

来，人民银行数据集中和数据中心建设已逐步成熟，金融业务网大多业务系统服务器部署在总

行或大区分行数据中心，因此外联网络的畅通和带宽资源的合理分配关系到重要业务系统的正

常应用，特别是对实时性要求较高的系统，诸如中央银行会计核算数据集中系统（ACS）、大小

额支付系统、国库信息处理系统（TIPS）、国库会计数据集中系统（TCBS）等。以ACS 系统为

例，目前人民银行各分支行以业务终端的形式直接接入总行，即一点接入一点清算，日终时一

家分支行因自身原因延迟签退，将直接影响全国“一本账”的及时平账清算，并将定性为安全

生产责任事故。如果影响到全社会资金流动的“大动脉”为我国金融机构之间以及金融机构与

人民银行之间的支付业务提供最终资金清算的重要核心业务系统——中国现代化支付系统

（CNAPS），即使短暂的网络中断都会造成极其严重的后果，甚至会引发系统性金融风险事件。

三、风险防范建议

1. 禁用飞秋类即时通信工具

建议金融系统特别是银行类业务网络禁用飞秋、飞鸽传书、事业线等无服务器类即时通信

工具，删除应用程序，清理注册信息，禁用2425 等通信端口。没有条件架设即时通信服务器

的，也应对广播包数量进行严格限制。同时，严禁安装盗版软件、流氓软件及与工作无关的软

件。

2. 严格网络设备参数配置

金融系统网络硬件设施建设相对比较成熟和先进，因此通过对网络设备参数进行严格配置

是防范网络安全风险的必要措施。针对广播数据包堵塞网络问题，可采取如下具体措施：

（1）可以在交换机配置802.1X 协议，该协议基于端口访问控制，只有通过身份认证和授

权的用户才能发送数据。

（2）可以设置SNMP Agent 监视交换机端口广播风暴次数，超过阈值即触发预设动作如该

端口将被堵塞并丢弃所有接收到的从其所连接的网络发送的广播包。

（3）合理利用VLAN 技术。VLAN 可有效分割广播域broadcast domain，交换机转发数据

包范围仅限属于同一VLAN 成员之间，网络其他部分可有效保护起来免于广播风暴的影响，广

播域分割越小，广播风暴影响也就越小。金融系统网络应根据业务重要性严格划分核心业务、

重要业务、办公等网络。由此，可以有效规避广播风暴引起网络故障导致业务中断事故的发生。

3. 采用成熟规范解决方案

金融业务网络应积极采用安全性能高、维护成本低、管理规范化，且技术成熟的通信工具，

如企业级即时通信办公平台imo，界面简明，操作简单、用户管理规范，服务器可统一文件管

理、权限管理、组织架构配置等进而有效防控风险, 且完全满足金融系统对应用的稳定性、安

全性和实用性要求。业界成熟的金融行业即时通信解决方案，可有效消除信息孤岛、提高协作

效率，节省通信费用，降低沟通成本，统一机构通信录。

4. 规范网络管理及监控措施

网络管理员应养成良好的网络管理习惯，利用规范的网络技术和配置合理的网络参数，提

高网络通信效率和网络稳定性；及时上线或更新网络监控产品，加强对网络设备、通信线路、

端口等状态以及客户端行为的监控，及时发现和处理网络流量异常、病毒攻击等报警；制定严

格的网络安全管理制度，保障重要业务网络运行的高效和畅通。FCC