反钓鱼解决的方案.docxVIP

银行业金融机构反钓鱼整体解决方案目录一. 概述1二. 钓鱼攻击的现状和防护需求12.1钓鱼攻击已成为最为严重的互联网威胁之一12.2关于进一步加强网上银行风险防控工作的通知2三. 反钓鱼的整体防护思路33.1钓鱼攻击本质分析33.1.1钓鱼攻击的手段43.1.2钓鱼攻击的特点43.1.3钓鱼攻击产业链分析53.2反钓鱼的整体防护思路63.2.1传统反钓鱼方案的不足63.2.2基于“事前-事中-事后”循序改进的防护思路7四. XXX银行反钓鱼整体解决方案建议84.1事前及时预警94.1.1业务安全风险评估94.1.2业务环境脆弱性评估104.1.3基于“云”的钓鱼风险实时检测114.1.4有效的风险转移机制124.1.5完整的法律援助计划134.1.6异常交易监测与风险警示134.2事中主动防御134.2.1关停钓鱼网站，切断万恶之源144.2.2从客户端抓起，及时阻断钓鱼威胁144.3事后整改和教育154.3.1专项整改行动154.3.2多样化的安全意识教育154.3.3案例分析和存档164.4建立一个完善的反钓鱼体系174.4.1建立多方协作的反钓鱼合作平台174.4.2建立反钓鱼应急预案184.4.3建立高效的事件处理流程194.4.4建立开放的反馈和举报机制19概述互联网技术的高速发展，电子商务平台的大规模应用和推广，以及黑客攻击驱动力的变化，这些都促使安全威胁也有了一些新的转变。作为一种主要基于互联网传播和实施的新兴攻击方式，“钓鱼攻击”（Phishing Attack）正呈逐年上升之势，这不仅让广大用户遭受到财产和经济损失，也让金融证券机构、电子商务公司的声誉和形象受到了影响。据中国反钓鱼网站联盟（APAC）发布的统计数据，仅2011年3月，APAC处理的钓鱼网站达3,988个，其中以针对支付交易类和金融证券类的钓鱼网站居多，占比超过85%以上。截至2011年3月份，APAC累计认定并处理钓鱼网站共43,842个。来自《2010年中国网络购物安全报告》的分析：2010年，包括钓鱼攻击、恶意代码在内的安全威胁，给国内网购用户带来了超过150亿的损失。如何及时、准确地发现钓鱼网站，并予以有效的控制和阻断，不仅是互联网用户关注的问题，同时也是金融证券机构、电子商务公司亟待解决的问题。该文档将给出“反钓鱼”的一些思路和整体方案建议，希望能给有意构建“反钓鱼”体系的机构，带来一些启示。钓鱼攻击的现状和防护需求钓鱼攻击已成为最为严重的互联网威胁之一关于钓鱼攻击 (Phishing Attack)，国际反钓鱼网站工作组APWG（Anti-Phishing Working Group）的定义如下：一种利用社会工程和技术诡计，针对客户个人身份数据和金融账号进行盗窃的犯罪机制。钓鱼攻击一般把自己伪装成信誉卓越的机构以骗取用户的信任，主要基于有哪些信誉好的足球投注网站引擎、电子邮件，或垃圾短信等渠道传播和实施。首先将用户引诱到通过精心设计的，与目标组织的网站非常相似的钓鱼网站上，通过恶意代码窃取包括账号、密码等在内的个人敏感信息。攻击者则最终得以假冒受害者，进行欺诈性金融交易。钓鱼攻击技术最早于1987年问世，首度使用“网络钓鱼”这个术语则是在1996年，是由“Fishing”和“Phone”综合而成（最早的钓鱼攻击通过电话作案），意味着放线钓鱼以“钓”取受害人的财务数据和密码。最早的钓鱼攻击是针对“美国在线”（AOL）发生的，通过引诱骗取受害者的账号、密码后，攻击者可实施欺诈，交换盗版软件，或是发送垃圾邮件。随后，攻击者认识到钓鱼攻击面向支付系统是同样可行的，他们开始向各类金融机构开始渗透。被钓鱼者所青睐的目标机构包括很多著名的银行、信用卡公司和涉及日常性支付行为的知名互联网商务网站（如eBay和PayPal等），其主要目的是受到经济利益的驱使。钓鱼攻击是一种利用社会工程技术来愚弄用户的实例，凭恃现行网络安全技术的低亲和度。其攻击手段种类繁多，攻击技术也在不断提高，更关键的是它利用了信息安全防御体系中最薄弱环节——人的弱点，令人防不胜。钓鱼攻击越来越频繁地出现在我们身边，所带来的经济损失也超过了传统恶意代码攻击，甚至已经成为经济犯罪工业化的一部分。《2010年中国网络购物安全报告》显示，2010年国内网民进行网上购物时，面临的安全威胁主要包括钓鱼网站、新型交易劫持木马，以及传统盗号木马等，其中遭受过钓鱼攻击的占比72%，远远超过其它类型的威胁。为了避免更多的用户成为钓鱼攻击的受害者，保障他们的合法权利和财产安全，在美国和英国已经成立了专门反假冒网址等网络诈骗的组织，如2003年11月成立的APWG（Anti-Phishing Working Group），以及2004年6月成立的TECF(Trusted Electronic Communications F