网络安全案例.pdf

《网络安全案例.pdf》由会员分享，可在线阅读，更多相关《网络安全案例.pdf（10页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、 关于加强证券公司网上交易安全的思考 厦门证监局 黄耀杰 编者按：编者按：近年来，我国证券市场取得了突飞猛进的发展，证券交易量、投资者数量成倍增长。与此同时，证券交易方式发生重大变化，非现场交易，尤其是网上交易的比重越来越高。增强证券公司网上交易安全防范能力，已是当务之急。近期，厦门证监局协助地方公安部门成功破获一起发生在厦门地区的证券投资者网上交易账户被盗案件，该案折射出证券行业在网上交易安全方面的漏洞和问题，值得深思。一、基本案情 一、基本案情 2009 年 7 月 16 日上午 11 时，厦门辖区某证券营业部接到客户黄某反映，其账户的交易密码被他人修改，无法登录交易系统。该营业部立即向我

2、局和其公司总部报告。经其公司总部排查，发现该账户于 2009 年 7 月 16 日被盗用，主要操作为卖出原有股票，集中买入某股票，合计金额达 317 万元，发起上述网上交易操作的 IP 地址位于福建省厦门市，同时也确定了盗用客户端的主机 MAC 地址。在我局的积极协调下，厦门市公安局网安支队受理了客户报案。2009 年 7 月 30 日 15 时许，厦门市公安局网安支队在厦门嘉禾路某大厦 1905 室成功抓获犯罪嫌疑人刘某（男，1985 年生，福建泉州华安人）和吴某 A（男，1986 年生，福建泉州安溪人），并当场缴获作案用的 4 台笔记本、5 部手机、大 2量的银行卡和各种无线上网设备等，另

3、有一名犯罪嫌疑人吴某 B也于 2009 年 11 月在外地抓获。经审查，该伙犯罪嫌疑人自今年6 月起在厦门市流窜作案，盗用他人无线局域网上网信号进行上网，先后获取了 3000 多个网上证券交易账户的账号和密码，涉及到 2 家证券公司。2009 年 7 月 16 日后，该伙犯罪嫌疑人选择上述所掌握账户中较大资产量的 23 个账户进行股票盗卖盗买操作，累计涉案金额达 3100 万元。公安部门对在现场缴获的某块电脑硬盘进行数据恢复后发现，该电脑硬盘上安装有国内 40 多家证券公司的网上交易客户端程序。二、主要作案手段二、主要作案手段 从调查情况看，犯罪嫌疑人的文化程度和作案手法均出乎原先的猜测。该伙

4、犯罪嫌疑人主要人员刘某仅小学文化程度，其在玩网络游戏外挂程序时受到启发，利用网上流行的自动重复操作和验证码识别程序，对证券公司网上交易系统客户端程序进行外挂，使用固定密码，对账号进行尝试。其主要作案手段大致分为两步如下：第一步获取证券公司网上交易系统账号。第一步获取证券公司网上交易系统账号。通过互联网搜索、加入证券公司或其从业人员开设的 QQ 群、访问股票吧等途径，获取到各证券公司客户账号设置规则，此类账号均为数字且连续编排。然后在 Excel 下进行编辑，利用其自动增量填写数字功能，顺序生成大量账号；3第二步使用固定密码进行批量账号尝试。第二步使用固定密码进行批量账号尝试。启动多个特定证券公

5、司网上交易程序登录窗口，并在电脑屏幕上以 4*3 或其他矩阵方式平铺，利用自动重复操作程序预先录制好的输入动作，从生成的账号表中逐个复制到登录窗口，输入特定的密码，进行账号和密码验证尝试；对于需要输入验证码才能登录的网上交易程序，则使用验证码识别程序对特定屏幕区域登录窗口进行识别后，由自动重复操作程序预先录制好的输入动作进行自动识别和回填；利用自动重复操作程序预先录制好的动作，对通过验证的账户，将账户信息复制到已打开的文本文件中进行保存。三、存在问题 三、存在问题 以上作案手法并不需要专业的黑客破解分析工具，也不需要专门的编程实现，犯罪嫌疑人仅仅利用互联网常见的一些程序资源，加上一些创造性的运

6、用，就在很短的时间内成功获取了多家证券公司多达 3000 多个网上证券交易账户的账号和密码。通过对该案的分析，我们不难发现，当前证券公司网上交易安全存在一定缺陷。（一）相当部分投资者网上交易安全意识淡薄，“弱密码”问题突出 （一）相当部分投资者网上交易安全意识淡薄，“弱密码”问题突出 目前，网上交易已成为投资者进行证券投资的重要方式，厦门地区投资者网上交易金额比重更是超过了 80。然而，部分投资者网上交易安全意识淡薄，贪图方便，设置的交易密码过于 4简单。此类容易被破译的密码俗称“弱密码”，下面是某机构对50 万个密码的前 20 个常用密码的统计排名：密码明文 重复数 百分比 密码明文 重复数

7、 百分比 密码明文 重复数 百分比 密码明文 重复数 百分比1 123456 12269 2.4538%11123321 448 0.0896%2 111111 2828 0.5656%1212345678 381 0.0762%3 1234567892754 0.5508%13654321 375 0.0750%4 000000 2246 0.4492%141314520 326 0.0652%5 5201314 942 0.1884%151234567890270 0.0540%6 123123 731 0.1462%16521521 240 0.0480%7 7758521 706 0.

8、1412%17123654 235 0.0470%8 1234567 655 0.1310%18woaini 224 0.0448%9 666666 571 0.1142%19iloveyou 219 0.0438%10 5211314 566 0.1132%20888888 217 0.0434%上述常用密码排名，实际上也反映出公众设置密码的普遍思路：1)数字密码。1)数字密码。用得最多的是两个：123 与 123456。绝大多数人喜欢记有顺序的数字，日常生活中的银行 ATM 密码、小区门禁及其它多种涉密物件的密码均常用 6 位数字，这可以说是普遍现象；2)生日密码。2)生日密码。生日密码实

9、质也是 6 位数字密码形式，但很多人觉得位数太少，往往还会在前面加上“19”；3)字母密码。3)字母密码。90%以上的人是喜欢用小写字母，如 qwerty（键盘左上角的连续字母）、abc123、“woaini（我爱你）”、“iloveyou（我爱你）”、“woaiwojia（我爱我家）”等；4)有意义的数字。4)有意义的数字。如 520、530、110、119、5201314、1314520、“521521（我爱你我爱你）”、“5201314（我爱你一生一世）”、“7758521（亲亲我吧我爱你）”、“1314520（一生一世我爱你）”、“1314521（一生一世我爱你）”、5“520520（

10、我爱你我爱你）”、“201314（爱你一生一世）”、“211314（爱你一生一世）”、“7758258（亲亲我吧爱我吧）”等；5)电话号码或者手机号码。6)网络电脑常用英语。5)电话号码或者手机号码。6)网络电脑常用英语。如：windows、password。此外，另有相当部分的投资者密码设置虽达到一定强度，但长期未进行修改，仍然存在被不法分子破译和窃取的可能。该案犯罪嫌疑人正是抓住了公众在设置各类密码中倾向于选择容易记忆、幸运数字的特点，选择使用频率较高的密码，对连续账号进行尝试，从而在很短的时间内就掌握了大量网上证券交易账户的账号和密码，并进而控制客户账户进行盗买盗卖，获取非法利益。(二)

11、证券公司网上交易安全监控存在漏洞(二)证券公司网上交易安全监控存在漏洞 该案中，犯罪嫌疑人为了提高密码破解效率，利用了破解网络游戏账户常用的自动重复操作程序，通过网上证券交易系统客户端进行自动化的登录尝试。由于这类登录尝试采取的是固定密码、变换账号的策略，此类登录尝试过程将在网上证券交易系统前端日志上集中留下大量使用同一 MAC 地址和 IP 地址但账号不同的登录记录，这些记录绝大部分应是登录失败类型的异常记录。目前，国内部分证券公司网上证券交易系统对客户端异常登录行为已采取了相应的监控措施，对同一 MAC 地址和 IP 地址、账号不同的登录动作进行累计，在短时间内出现一定次数的登录失败操作后

12、，将暂时拒绝接受该 MAC 地址或 IP 地址的登录尝试。6然而，另一部分证券公司对网上交易的安全防护措施则不尽如人意。以该案涉及的证券公司为例，其网上证券交易系统既未实现异常登录预警功能，及时拒绝嫌疑人对投资者账户的登录；也未能及时对有关系统日志进行分析，从日志分析中发现异常登录的端倪。这就为犯罪嫌疑人长时间实施密码尝试行为提供了可乘之机。四、防范对策（一）切实加强投资者网上交易安全教育 四、防范对策（一）切实加强投资者网上交易安全教育 投资者设置“弱密码”的问题，反映出目前证券经营机构的投资者教育工作还存在形式单一、深度广度不够、实效有限等方面的问题。各证券经营机构应从保护投资者合法权益，

13、维护证券市场安全稳定运行的高度出发，持之以恒地通过张贴宣传海报、电话通知、手机短信提示、交易端口提示、在现场交易电脑上粘贴提示小纸条等措施，切实强化网上交易投资者的安全意识教育，提示客户加强账号、密码的保护，不使用弱密码，定期修改密码，输入密码时防止他人偷看，不对他人泄露密码。（二）改进网上交易安全技术应对机制 1、改进网上交易系统客户端密码保护措施。（二）改进网上交易安全技术应对机制 1、改进网上交易系统客户端密码保护措施。目前，证券公司网上交易系统客户端大多采取交易密码、通讯密码和验证码等单因素方式进行身份认证，虽有少数证券公司采用密码+USB Key或口令卡等双因素认证方式，但因处于推广

14、初期，普及程度较低，7使用成本和效率也需要改善。短期内，应重点考虑增强软件客户端登录界面防木马、外挂程序能力，如：针对客户端登录界面的账号、密码等输入控件，建议增强防止木马截获键盘输入或外挂木马模仿键盘输入功能。2、采用技术手段防止“弱密码”的产生。2、采用技术手段防止“弱密码”的产生。该案涉及的证券营业部在 2009 年 4 月曾开展弱密码排查，并多次提示相关客户修改密码，但依然有不少客户迟迟未修改密码，上述的受害人黄某即为其中之一。从保护客户资产安全的社会责任出发，证券经营机构在尽到风险揭示义务的同时，还应积极采取技术手段，切实防止“弱密码”的产生。一是加强对客户密码设置的排查，及时发现存

15、量客户设置的弱密码。一是加强对客户密码设置的排查，及时发现存量客户设置的弱密码。目前，尽管各证券公司的交易系统客户密码是密文形式存放，密码的加密算法不可逆，但可以通过交易系统后台数据库对客户密码密文数据进行分组统计，寻找其规律。例如，可以将密文重复次数明显高于平均水平的账户初步认定为弱密码账户，从而锁定弱密码客户，提高风险提示的针对性和及时性。二是在密码设置界面设置审核端口，主动向客户提示“弱密码”风险。二是在密码设置界面设置审核端口，主动向客户提示“弱密码”风险。建立密码强度分析机制，对客户采用弱密码登录或者修改密码时采用弱密码的，主动进行风险提示，拒绝接受弱密码并强制客户修改弱密码；同时在

16、密码设置界面指导客户进行密码设置，确保新密码具备较高的安全系数。3、充分发挥网上交易异常监控系统的监控作用 3、充分发挥网上交易异常监控系统的监控作用 8随着信息技术的日新月异，不法分子进行互联网犯罪的方式和花样也不断翻新。为此，在采取各种防范措施的同时，应加强异常交易监控，确保在第一时间发现账户被盗线索，将影响和损失减少到最低限度。一是将接入服务器端监控纳入异常交易监控体系。目前，证券公司异常交易监控系统主要针对集中交易系统后台数据库中的异常交易记录，对网上交易系统前端异常登录、密码试探等行为未实施监控；而网上交易系统接入服务器多按地域布局，布局分散难以实现集中、实时的接入端异常监控。证券公

17、司有必要加快网上交易异常监控系统建设，加强对接入服务器异常访问的实时监测和日志分析，提高网上交易系统安全防护能力。二是发现可疑交易信息及时向客户核实确认。如，考虑由客户自行选择锁定网上交易客户端的访问限制，如锁定主机 MAC、互联网 IP 等；记录客户网上交易使用的 IP 地址区域，在客户登录网上交易系统时 IP 地址区域发生变动，及时通过电话、短信方式同客户核对相关交易信息；对长期不交易、交易不频繁的客户，对其账户的突发交易及时以电话、短信等方式向客户提示。（三）认真落实证券公司网上证券信息系统技术指引 （三）认真落实证券公司网上证券信息系统技术指引 2009 年 6 月 23 日中国证券业

18、协会发布了证券公司网上证券信息系统技术指引，对各证券公司应对网上交易系统的安全性、系统性、可用性等提出了规范性指引，明确了系统建设中的网络隔离、身份认证、防入侵、防攻击等技术指标，对系统日常 9运营过程中的安全管理做了具体要求。在此基础上，一方面建议加大对证券公司网上交易安全建设的监督检查力度，将安全体系建设与证券公司合规管理评估、证券公司分类监管相结合，增强监管力度，加快网上交易安全体系建设进度；另一方面建议成立证券行业技术专家评估小组，参照指引要求制定证券公司网上交易系统评估指南，开展各证券公司网上交易系统安全等级专业评价工作，提高全行业网上交易安全水平。同时，考虑到目前各证券公司的系统主

19、要由专业的软件开发公司提供，建议将证券网上交易软件开发商纳入监管范围，以便于更好地督促软件开发商改进系统架构，增强系统功能，完善安全措施。（四）加强沟通合作，构建网上交易犯罪综合监管体系 （四）加强沟通合作，构建网上交易犯罪综合监管体系 该案能够顺利破获，不仅归功于公安部门的工作，也与我局的推动和相关技术专业公司的支持密不可分。在推动公安部门受理案件时，我局反复进行证券法规宣讲，再三强调查办该案的重要意义，促成公安机关正式受理，为案件侦破赢得了宝贵的时间。在案件的侦破过程中，某专业公司的无线定位技术也起到了重要的作用。为此，我们深深地体会到：为有效打击证券网上交易安全犯罪，维护证券市场的稳定，有必要紧紧加强与公安机关的密切合作，这样有利于从快打击证券市场网上交易犯罪行为。10 抄送：中国证监会机构部、稽查局、证信办。分送：局领导、各处室、存档。厦门证监局办公室印制 2009 年 12 月 31 日 共印 13 份