SWITF客户安全控制框架Ver.1.0

摘要

SWIFT（Society for Worldwide Interbank Financial Telecommunications---环球同业银行金融电讯协会），是一个国际银行间非盈利性的国际合作组织，总部设在比利时的布鲁塞尔，同时在荷兰阿姆斯特丹和美国纽约分别设立交换中心(Swifting Center)，并为各参加国开设集线中心(National Concentration)。SWIFT运营着世界级的金融电文网络，银行和其他金融机构通过它与同业交换电文（Message）来完成金融交易。除此之外，SWIFT还向金融机构销售软件和服务，其中大部分的用户都在使用SWIFT网络。

2016年2月5日，由于孟加拉国央行在使用SWIFT客户端过程中网络安全存在巨大隐患（如缺乏任何防火墙设备、使用价值10美元的二手交换机、网络结构没有将SWIFT相关服务器与其他网络隔离等），遭到了黑客攻击并损失8100万美元，此事的发酵，导致针对银行SWIFT系统的其他网络事件也逐一被公开，具体事件如下表：

尽管还有多起涉及银行或金融机构的事件由于没有得到官方消息无法确认，但这足以说明银行或金融机构在使用SWIFT系统过程中存在隐患。

同时，2016年4月25日SWIFT通过路透社向客户发布警告，“SWIFT意识到，在最近的几起网络事件中，恶意攻击者通过金融管理后台的本地端口连接至SWIFT网络，入侵SWIFT客户端获得提交SWIFT报文的权限”，证实了这一隐患存在。

为此，2017年3月31日，SWIFT官方发布了SWIFT客户安全控制框架Ver.1.0（SWIFT Customer Security Controls Framework Ver.1.0 —Customer Security Programme），为SWIFT客户提供了一套安全控制方案，包括建立在现有指导基础上整个社区的强制安全基线和每个用户在其环境中具体实施的推荐做法，以保证SWIFT客户能安全的接入与使用swift系统服务。