近年来互联网尤其是移动互联网高速发展，各大银行纷纷加大对网上银行、手机银行、直销银行、微信银行等电子银行渠道的建设和推广力度。中国金融认证中心（CFCA）《2017年中国电子银行调查报告》显示，目前国内网上银行和手机银行用户渗透率已超过一半。用户对电子银行最大的关注点是“安全性”，安全是电子银行业务发展的生命线。

　　客户信息泄露是银行面临的最大威胁之一。而电子银行是网络安全攻击事件带来用户信息泄露的主要通道，对电子银行系统开展定期安全风险评估，减少系统安全隐患，不仅是金融监管部门的政策要求，也是电子银行业务持续健康发展的重要前提。

　　银行IT信息系统是国家关键信息基础设施，《中华人民共和国网络安全法》对关键信息基础设施提出定期安全风险评估的要求：

　　第三十八条 关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估，并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。

　　中国金融认证中心（CFCA）作为国内领先的金融信息安全服务提供商，每年向数百家金融机构提供权威、公正的第三方信息安全服务，多年来为众多银行提供电子银行系统安全检测和评估服务。CFCA抽选和分析了2017年113个电子银行系统的渗透测试结果显示，与业务安全相关的漏洞占比最大，而传统渗透测试中常见的安全漏洞，如跨站脚本攻击、SQL注入、任意文件上传、远程命令执行等WEB应用安全漏洞，在电子银行系统中存在的情况相对较少。113个电子银行系统的渗透测试发现的306个中高风险等级的安全漏洞中，业务安全相关的漏洞有210个，其中包括可能造成客户信息泄露或资金被盗的业务安全漏洞，如越权操作漏洞、短信验证码漏洞、业务逻辑漏洞等。业务安全漏洞是电子银行系统的最主要漏洞。

电子银行系统安全漏洞分布情况

电子银行系统安全漏洞类型分布情况

　　根据《网上银行系统信息安全通用规范》要求，对电子银行系统开展渗透测试不仅要对银行的电子银行系统进行测试，还要对网银管理工具、密码控件、手机银行客户端等客户端应用软件进行测试，因此，客户端软件的安全漏洞在电子银行系统渗透测试中也占有一定比例。

　　近年来，国家对金融机构的安全要求不断提高，银行在其网络信息系统建设中对安全也越来越重视，在网络防火墙、WEB应用防火墙、入侵保护系统等方面都加强了建设，银行信息系统对外部网络攻击的防护能力有很大提升，对电子银行系统的操作系统、WEB应用服务等方面的传统网络攻击手段大部分已可以很好防护。而业务安全相关的漏洞攻击，由于它的复杂性和隐蔽性，目前还较难被现有安全防护设备发现和拦截。

　　电子银行系统作为银行与客户的重要交易平台和渠道，业务功能丰富强大，但同时也带来了更高的安全风险挑战。电子银行系统业务功能越复杂，面临的业务安全风险则越高。传统安全防护系统对电子银行系统的业务安全风险防护需求已无法满足，电子银行系统在不断扩充新业务、新功能的同时，银行需要加强安全防护手段和安全体系制度建设，在业务上线前要进行全面充分的安全测试来保证电子银行系统的业务安全，在运维阶段则要采用有效安全监测手段管控系统安全风险，确保电子银行系统安全稳定运行，保障电子银行业务的应用安全和数据安全。　

责任编辑：韩希宇