某银行业金融机构在对网银系统监控中发现了不法分子攻击迹象,不法分子根据互联网上下载的“特征码识别程序”自行编写了密码猜解软件,该软件在进行账号、口令猜测的同时,“特征码识别程序”能自动识别不断变化的验证码。不法分子利用密码猜解软件,通过锁定某一固定密码反复轮询账号的方式,对多家银行业金融机构的网银系统发起暴力猜测攻击,最终非法获取了两家银行数百个客户的网银账号、查询密码等信息。该案例反映出的主要风险点是什么?风险防控要求是什么?
正确答案:
主要风险点:一是网银系统“验证码”复杂度不足。二是网银系统缺乏对密码复杂度的检测与提示机制。三是缺乏有效的监测和报警机制。四是缺乏报告意识。
风险防控要求:一是要尽快评估此类攻击对网银系统的危害,查找“验证码”等当前安全机制存在的问题,及时调整安全策略。并在此基础上,建立网银系统全面、动态的安全评估机制。二是建立有效的入侵监控和报警机制,提高对网银系统攻击行为的检测和分析力度。在对各类日志自动分析的基础上,加强人工审核,对任何异常或可疑行为都要进行深入分析、调查。三是加强安全防护机制建设,部署多重防护措施,不断提升系统应对互联网各种新兴黑客攻击技术的能力,提高网银系统的整体安全性。四是加强客户安全教育,培养客户的安全意识和良好的计算机使用习惯。对于典型案例,要加大警示宣传力度。五是强化重大事件报告制度。对于网银等信息系统重要数据损毁、丢失、泄露等事件,必须按照银监会有关要求,在第一时间及时上报银监会及其派出机构。
风险防控要求:一是要尽快评估此类攻击对网银系统的危害,查找“验证码”等当前安全机制存在的问题,及时调整安全策略。并在此基础上,建立网银系统全面、动态的安全评估机制。二是建立有效的入侵监控和报警机制,提高对网银系统攻击行为的检测和分析力度。在对各类日志自动分析的基础上,加强人工审核,对任何异常或可疑行为都要进行深入分析、调查。三是加强安全防护机制建设,部署多重防护措施,不断提升系统应对互联网各种新兴黑客攻击技术的能力,提高网银系统的整体安全性。四是加强客户安全教育,培养客户的安全意识和良好的计算机使用习惯。对于典型案例,要加大警示宣传力度。五是强化重大事件报告制度。对于网银等信息系统重要数据损毁、丢失、泄露等事件,必须按照银监会有关要求,在第一时间及时上报银监会及其派出机构。
答案解析:有
微信扫一扫手机做题