金融机构安防工程建设现状与发展报告

　　10. 采用入侵检测与防御解决方案保护客户和金融机构的数据

　　目前，全球自动柜员机数目已达1.5亿部，估计以每日192部的速度增加。ATMIA国际行动总裁Lana Harmelink指出，自动柜员机行业发展惊人，预期自动柜员机市场至2011年达到2亿部，单单2008年己增加超过73,000部，应用率达到45%。

　　近年，当我们想起自动柜员机(ATM)安全，经常在脑海中浮现关于自动柜员机本身的安全及其引发之连串骗案等。人们会忽视其问题症结在IT安全上，自动柜员机被盗当然瞩目，但在网上被盗取证件及密码同样重要。大多数人以为自动柜员机由银行提供，所以，数据及数据理应在严密保护中不会被盗取。一般来说，银行知道客户数据安全的重要而千方百计加以保护。

　　当自动柜员机在特定环境中如特制的软硬件与特别的计算机主机网络经专用线路连接时，其安全性没有问题。在IT安全上看，当自动柜员机趋向OTC及IP联网化时，其安全性最弱。

　　传统自动柜员机在特定软硬件及特定通讯平台上工作，最近数年己过渡到内嵌商业硬件平台(主要以个人计算机配以英特尔微型芯片)，商业启动系统(主要以视窗及Linux为基础)及标准互联网网络进行连接。目前，超过70%的ATM采用上述方案连接，估计这个趋势会继续下去。

　　这些新型自动柜员机以PC/Intel为基础，通过PC系统与互联网连接，有些则配备时尚配件，全部座落于一个保险库般的盒子内。通过这种离行式自动柜员机，金融机构得到低成本、标准化、适应力强的运作方式，但伴随而来的便是安全威胁日益增加。

　　目前，以互联网协议为基础的自动柜员机与以TCP/IP连接的付款处理器联线，个人识别密码以三倍DES加密而信息本身并未加密。根据Network Box安全响应中心于2008年1月有关自动柜员机网络流量的分析，大部份流量以可读取的“简单文字”传送。这份报告由Network Box安全响应中心与美国休斯顿First Service Credit Union共同研究。该分析指出，流量经虚拟私人网络VPN显示，只有个人识别密码有加密外，其余信息以容易理解的明文字传送(此信息未经Network Box网关保护加密)，特别是以下信息清楚可见：

　　- 提款卡号码

　　- 期满日

　　- 交易银码

　　- 户口结余

　　- 交易结果

　　因此，在以互联网为基础的自动柜员机与付款处理器之间的网络上，随时可截取客户未经加密的数据。外发的未加密网络流量仍然容易受到窃听。为此，需要采用硬件路由器/防火墙/VPN/入侵检测与防御解决方案，最新的VPN设备支持三重DES和AES(128/256位)加密，以及RSA的公钥加密体系进行身份验证。

　　目前，我们建议最好使用那些真正能解决安全问题的是多功能安全设备，这些设备包含有路由、防火墙、IDS/IPS和VPN的连接。它可以放在自动柜员机网络架构的最前面的网关层面来保护，与金融机构其它网络分开来独立地监控和控制，这样我们可以很好的监控到这些自动柜员机机器所有进出的通讯数据，以真正地保护客户和金融机构的那些可能被盗的数据。

  【中安网原创稿件声明】转载中安网文章时应遵循以下三个规则：1、保持原创文章中图表、图片、音视频的完整性；2、完整标注文章作者［文章前后有说明］；3、转载中安网原创中部分内容也要完整标注来源"中安网"，违者本网将依法追究。