1.3  實(shí)例1——?銀行

銀行運(yùn)行著非常大范圍的安全關(guān)鍵(security-critical)的計(jì)算機(jī)系統(tǒng)。

(1) 銀行業(yè)務(wù)的核心通常是一個(gè)分行簿記系統(tǒng)，其中保存了客戶賬目主文件，并且記錄了日常交易的大量分類賬。對這一系統(tǒng)的主要威脅是銀行的內(nèi)部員工，每年都有l(wèi)%的銀行員工被解雇，其中大部分都是因?yàn)樾∫?guī)模的欺詐(平均額度只有幾千美元)。對這種威脅的主要防御措施是已經(jīng)演化了幾百年的簿記流程，比如，對某個(gè)賬號的每個(gè)借方都必須有針對其他賬號的一個(gè)等額的貸方與之匹配，因此錢只是在銀行內(nèi)部流動(dòng)，從來不會(huì)被創(chuàng)造或銷毀。此外，大額轉(zhuǎn)賬需要2、3個(gè)人共同批準(zhǔn)才能進(jìn)行。還有各種報(bào)警系統(tǒng)，用來監(jiān)控異常交易額度或交易模式，并且員工需要定期休假，休假期間不能進(jìn)入銀行或者訪問銀行系統(tǒng)。

(2) 自動(dòng)取款機(jī)(automatic teller machine，ATM)是銀行的公開窗口，ATM根據(jù)客戶的銀行卡與個(gè)人身份號碼進(jìn)行交易身份驗(yàn)證——?通過這種身份驗(yàn)證方式同時(shí)防御外部與內(nèi)部的攻擊者——?要比看起來難得多。本地的壞人(或者銀行員工)發(fā)現(xiàn)了銀行系統(tǒng)中可利用的漏洞，導(dǎo)致在很多國家和地區(qū)都流行“錯(cuò)誤提款(phantom withdrawal)”。ATM之所以有趣，還因?yàn)樗鼈兪敲艽a學(xué)在商業(yè)上的首次大規(guī)模應(yīng)用，并且?guī)椭_立了很多加密標(biāo)準(zhǔn)。

(3) 另一個(gè)公開窗口是銀行網(wǎng)站?，F(xiàn)今，很多客戶在處理大多數(shù)日常交易時(shí)，比如賬單支付或在儲(chǔ)蓄賬戶與支票賬戶之間進(jìn)行轉(zhuǎn)賬時(shí)，通常都是通過網(wǎng)絡(luò)在線進(jìn)行，而不是前往分行完成。近期，銀行網(wǎng)站遭受到嚴(yán)重的釣魚(phishing)攻擊，即在偽造的銀行網(wǎng)站中誘騙用戶輸入其密碼。上世紀(jì)90年代建立的一些“標(biāo)準(zhǔn)的”Internet安全機(jī)制(如SSL/TLS)，在高超的攻擊者開始轉(zhuǎn)向攻擊客戶而非銀行時(shí)被證明是無能為力的。釣魚攻擊是一個(gè)很有吸引力的安全工程問題，它混合了來自身份驗(yàn)證、可用性、心理學(xué)、管理與經(jīng)濟(jì)學(xué)的諸多要素。下一章將對其進(jìn)行詳細(xì)討論。

(4) 銀行系統(tǒng)的幕后是很多高價(jià)值的消息系統(tǒng)，這些系統(tǒng)用來移動(dòng)大筆金錢(無論是在國內(nèi)銀行之間或國際銀行之間)、進(jìn)行證券交易、發(fā)行信貸和擔(dān)保信函等。攻擊這些系統(tǒng)是老練的白領(lǐng)罪犯的夢想。其防御是綜合使用簿記程序、訪問控制和加密技術(shù)等。

(5) 通常，銀行的分行看起來都寬大、很堅(jiān)固，十分氣派，給用戶一種“我們的錢很安全”的心理暗示。但實(shí)際上并非如此：石頭墻并不能提供真正的保護(hù)。如果你持槍進(jìn)去，出納員會(huì)把你能看到的所有現(xiàn)金都交給你；如果你在晚上闖入，可以在2分鐘內(nèi)使用砂輪打開保險(xiǎn)箱或保險(xiǎn)庫。目前對這種威脅的有效控制集中在報(bào)警系統(tǒng)——?報(bào)警系統(tǒng)與安全公司的控制中心持續(xù)進(jìn)行通信。使用密碼學(xué)可以防止搶劫者或竊賊操縱通信，避免在犯罪發(fā)生時(shí)報(bào)警系統(tǒng)仍然報(bào)告“一切正?！?。

后面的章節(jié)將進(jìn)一步說明這些應(yīng)用。銀行計(jì)算機(jī)安全非常重要：直到最近，銀行仍然是計(jì)算機(jī)安全產(chǎn)品的主要非軍事市場，因此它對于安全標(biāo)準(zhǔn)存在非對稱影響；并且，即使某些銀行的技術(shù)不被國際標(biāo)準(zhǔn)采用，仍然可以在其他行業(yè)中得到廣泛的應(yīng)用。