第三方环境检测机构管理国内商业银行依托计算机和网络通讯技术.实现了数据集中.完成了综合业务处理和管理决策一体化建设。银行数据集中实现资源共享,为客户提供了更便捷、更灵活、更丰富的金融理财服务的同时.也带来了风险的集中。因此.建立全方位、多层次、有针对性的计算机网络安全系统就成为目前迫切需要解决的问题。
一、影响网络系统安全的因素
由于计算机网络连接多样性、设备分布不均匀性以及计算机网络的开放性、互联性,影响银行网络系统安全的因素很多,主要表现为
(1)安全管理不完善,存在安全隐患和漏洞,致使对网络系统具有一定合法访问权限,对系统配置和重要信息的存放、处理、制度规定等比较了解的内部人员,可以规避安全检查,直接进行攻击或非授权访问: (2)计算机操作系统、数据库、通讯协议以及应用系统本身存在缺陷和漏洞,都可能被非法入侵者利用,进行信息窃取,转移资金,阻塞网络等非法活动。
(3)计算机病毒通过存储介质、侵入计算机或网络系统.特别是在网络环境中.病毒的传播
速度更快.扩散更广,影响更大。计算机病毒发作时,破坏文件系统,造成计算机和网络系统无法正常运行。有些病毒还具有黑客程序的功能.病毒控制者可以从入侵的系统中窃取信息,远程控制系统更具有危害性。
(4)自然灾害、设备故障等意外事故引起的系统瘫痪。由于自然灾害(如地震、雷电、火灾等)具有不可预测性、不
8洲算机安全2。。4.12
黄国敬
可抗拒性、破坏力强和无法恢复性,一旦发生将造成系统的毁灭性破坏。而设备故障通常是由于通信和电力故障、电磁波干扰、误操作以及设备老化等因素造成系统无法正常运行或瘫痪。
=.网络系统整合的安全防护原则
数据集中后,现有的网络系统势必要作出相应的变更和整合.因此在重新规划和构建网络系统时.要在重视漏洞、加强监测和实时响应等方面加强安全防护。
(1)实用性:提高网络的安全是以降低网络效率和增加投入为代价的,因此要根据实际应用对网络
可能承担的风险进行定性与定量分析,确定网络安全和网络效益的平衡点,制定与之适应的网络安全策略。同时,安全措施不应过于复杂.能够随着网络性能及安全需求的变化而变化,容易适应.容易调整。
(2)多重保护:系统中各部分之间严密的安全逻辑关联强度是影响系统整体安全性的重要因素,任何单一的安全保护机制都不是绝对安全的,都可能被攻破,因此应建立~个多种安全机制、互相支撑的多重保护系统,以保证对信息传播范围及内容的控制能力。
(3)备份与应急处理:备份是系统安全的重要保证.是网络系统由于各种原因出现灾难事件时最重要的恢复手段。攻击和入侵应急处理流程应保证发现入侵后不使损失扩大.并及时得到安全技术支持。同时在安全保护措施失效后.安全体系应遵照”没有允许的服务都是禁止”的原则执行安全
需求曲线
策略。 万方数据
(4)可审计性:所有的安全事件都应有安全日志记录,以便通过对分析日志获得系统安全状况,发
现可疑或非法行为。
提高网络系统安全的措施
网络系统安全防护策略的制定是以提高网络对攻击的检测、管理、监控和实时处理的能力为重点的。
1、物理实体
主要是强化计算机设备和通讯链路的物理实体安全防护.免受自然灾害、人为破坏、电磁泄露和搭线攻击。
2、技术应用
(1)强化访问控制机制
访问控制是网络安全防范的主要手段,是按照事先确定的规则决定主体对客体的访问。当主体试图非法使用未经授权的客体时.访问控制将拒绝请求,同时审计系统记录过程和报警。访问控制主要有
1)身份认证:身份认证是进行有效身份鉴别,确认合法用户最有效、最关键的安全机制.目前实际应用中主要有双重认证和数字认证。双重认证是通过两种形式的认证来对用户身份进行确认的。数字
认证则是在安全通讯的双方建立起一个签名和确认的过程,信息发送者用自己的私有信息对数据进行签名并生成校验字:信息接收者利用公开的方法和信息,对接收到的数据信息进行来源和发送者身份确认。
2)最小授权:将网络中账户设置,服务配置.主机间信任关系配置等应用设置为网络正常运行所需的最小限度.将入侵危险降至最低限度。
3)网络权限及属性控制:根据访问权限分为系统级和普通级,并对用户设置相应的网络用户组,明确应用范围,控制用户和用户组可以访问的目录、文件和其他资源以及操作类型(读写、创建、删除、修改、查等)。
4)网络端口和节点监测控制:实时监测对网络端口的访问,记录用户操作.对非法的网络访问,以文字、图形或声音等形式报警。例如在服务器的端口使用自动回呼设备,防止假冒合法用户;使用静默调制解调器防范黑客的自动拨号程序攻击;以加密的形式来识别节点的身份。
(2)实施网络分段和安全通道控制
网络分段有物理和逻辑分段两种方式。物理分段是将网络从物理层和数据链路层上分为若干网段,各网段相互之间无法直接通讯。逻辑分段则是根据不同的应用需求将整个网络划分为若干个相互隔离的逻辑子网,各子网间必须通过路
阳光小美女歌曲
由器、交换机、网关或防火墙等通讯设备的设置进行连接。目前在交换式以太网中实现虚拟局域网的方式有:端口VLAN技术、MAC地址VLAN技术和网络地址VLAN技术。
网络安全通道有VPN安全通道和专用安全通道。如果企业内部网络需要通过公共网络连接,必须建立网络安全通道。在公共网络上可以通过VPN的连接建立基于公共网络的安全通道。专用安全通道是为有特殊需要的某种应用或某类用户建立的安全通信通道。
(3)应用防火墙技术
防火墙是在内外部网络边界之间建立的网络通讯监控系统.隔离内外网络的直接相连.限制网络之间的直接访问.控制着进/出两个方向的通讯。在实际中主要常用:
1)数据包过滤:设置在网络层,通过路由器在内外部网之间转发数据包.并对接收到的数据包验证是否符合过滤规则,符合则允许通过,否则丢弃数据包。数据包过滤具有处理速度快,简单方便的特点,但无法识别含有危险的信息包.同时需要事先建立以数据包头信息为基础的信息过滤规则表,包括源IP地址、目的IP地址、传输协议类型(TCP、uDP、IcMP等)、协议源端口号、协议目的端口号、连接请求方向、lcMP报文类型等。
2)应用代理:代理防火墙由代理服务器和过滤路由器组成.过滤路由器负责网络互连和数据包检查,
然后将筛选过的数据包传送给代理服务器。代理服务器接受申请,然后根据类型、内容、对象、申请时间、申请者域名范围等决定是否提供服务。代理防火墙隐藏内部网络,是外部网络唯一可见的主机,并能够进行身份验证、会话过程控制、审计、数据加密以及对具体协议和应用的过滤。
3)双宿主主机一台双宿主主机配有多个网卡,分别连接不同的网络.它从一个网络接受数据,并且有选择地把它发送到另~个网络上,以实施安全控制和网络服务。
(4)实施信息加密:信息加密是最基本的安全机制,是保护数据、文件和控制信息的一种主动防卫手段。按照国家密码管理委员会的标准和要求,根据实际需求.构建银行静态数据加密系统.实现网络通讯保密。信息加密的实现方式有软件加密和硬件加密两种。
软件加密主要使用对称密钥加密和非对称密钥加密。对称密钥加密(如DEs)是加解密双方拥有相同的密钥.加解密速度快.强度高,适用于点对点的信息传送。例如使用自动取款机(ATM)时,客户需要输入识别号码(PiN).银行确认后双方在获得密码的基础上进行交易。非对称密钥加密(如RsA)是加解密双方拥有不同的密钥.用私有密钥进行数据加密.利用公开密钥进行解密。由于公开密钥无法推算出
2()。Ⅺj!计算机安全9
万方数据
私有密钥.所以公开密钥可以公开放置,而私有密钥必须保密。非对称密钥加密,用户之间不需要传递密钥.安全保密性好,但运算速度较慢,不能用于快速加密数据。在实际中应采用两种加密技术相结合的方式实现数据加密传输.如数据签名、身份验证等采用RsA加密,对传输数据采用DEs加密,从而在加密速度和系统安全性上达到良好的效果。
硬件加密通常是通过专用设备实现的,与软件加密相比具有效率高、稳定性好、不易破解的特点。
(5)强化网络安全监控
在网络系统投入运行后.必须评估分析网络中存在的安全问题,检测是否存在漏洞和漏洞的严重程度如何.并对网络系统活动,记录进行严格和全面的测试。这项工作是提高网络安全性的一个必不可少的重要环节。
长焰煤
网络安全扫描系统是一种较为先进的测试和评价网络系统安全性技术.它针对网络设备、网络连接、网络服务和网络协议的全面扫描和分析.一旦发现问题能够及时提出解决办法或相应的补救措施.并可模拟外来攻击,以测试系统的防御能力。
入侵检测系统作为一种主动安全防护技术,面向任何试图破坏网络资源完整性、机密性和可用性的恶意或非恶意行为。作为安全响应的检测系统,通过对网络活动、事件和状态进行实时检测和审计,过
滤网络协议,锁定可信IP与MAc映射,并按照静态受控定义和动态自主反应自动识别、记录入侵的信息流,对入侵,误操作和可疑行为实时分析和记录,寻网络违规模式和未授权的网络访问尝试,及时发出警告并采取阻塞系统漏洞、屏蔽安全技术陷阱甚至切断连接等手段进行相应的保护处理。
3.计算机病毒防治
坚持以“预防为主,防治结合”。的原则.从管理和技术上实施双线控制。
(1)建立健全管理机制:1)设立专职或兼职的安全员。:2)建立健全计算机病毒防治规章制度,对操作人员,数据存储介质、软硬件及操作规程进行规范管理.遏制计算机病毒的产生、传播和危害;3)与当地公安计算机监察部门密切配合.加强信息共享和技术互助。
(2)完善病毒预警和应急处理机制:建立和完善快速的计算机病毒预警和应急机制,对发生的计算机病毒事件快速反应和处置.提供计算机病毒的防治和数据恢复方案,保障计算机信息系统和网络安全、有效地运转。
10训算机安全2。04.12
(3)加强技术防范:1)加强系统软件安全控制.经常性对系统进行最新补丁安装.修补系统本身
存在的漏洞.堵住病毒入口;2)制作系统启动应急盘j3)安装单机防毒软件;4)加强数据保护.将操作系统单独存放于一个逻辑分区.数据存放在其他的逻辑分区,并做好系统和数据的备份.以便在遭受病毒感染后及时恢复.降低损失,对于重要部门的计算机和存放重要数据的服务器要专机专用,并与外界隔绝;5)建立和完善企业的防毒系统.网络防病毒系统要采用分级管理.多重防护,网络防病毒中心必须安装企业防病毒系统,负责管理主机和节点计算机,而在每个节点计算机上安装客户端杀毒软件,以保证服务端和客户端实时运行病毒监控程序,网络防病毒中心负责整个网络内的升级工作.定期、自动通过病毒管理中心获取最新的病毒代码.然后自动更新服务端和客户端杀毒软件,避免了由于人为因素造成没有及时更新病毒代码而丧失防病毒能力的局面,确保整个局域网内都具有较强的防病毒能力。
4、网络安全管理
齐世荣
(1)完善和规范网络系统安全规章制度、操作流程和故障处理流程。完善安全管理制度.防范因制度缺陷而带来的风险j规范操作流程有利于避免误操作.减少人为失误和故障,提高故障处理速度,缩短故障处理时间。
(2)业务应用系统与网络系统管理分离。在银行网络系统中.已知的许多威胁都与授权行为有关,因此必须按照“岗位分离、分工明确、责任到人、相互制约”的原则设置岗位.实行人员之间的备份和替换.以到达分级管理.职责明确.相互监督的目的。
(3)加强安全检查.保证管理制度的贯彻执行。制度的制定是安全管理的前提,依据和要求,严格贯彻落实制度是实施安全管理的关键.而计算机安全检查是促进制度落实的保障。根据网络安全管理制度要求,对网络系统实行“日巡查、周自查、月检查,季维护”,落实安全措施.消灭安全隐患.有效保障计算机系统安全,稳定、可靠、有序运行。
银行计算机网络安全是银行业务的生命线.因此在整体安全策略的控制和指导下.综合运用防护工具以及检测工具不断提高网络系统安全性,并通过风险分析、执行策略、系统实施、漏洞检测、实时响应组成一个完整、动态的安全循环,从策略、防护、检测、响应四个方面.全方位、多层次、有针对性地提高网络系统安全性能。(作者单位中国农业银行青海省分行)o
名门秀女
万方数据
银行网络系统安全防护措施
作者:黄国敬
作者单位:中国农业银行青海省分行
刊名:
计算机安全
英文刊名:NETWORK & COMPUTER SECURITY
年,卷(期):2004,(12)
被引用次数:2次
1.夏彬基于XFS金融自助设备跨平台的开发[学位论文]硕士 2006
2.宋成勇CC功能要求映射于系统安全措施的方法研究[学位论文]硕士 2005
本文链接:d.g.wanfangdata/Periodical_dzzwyjc200412004.aspx
授权使用:上海海事大学(wflshyxy),授权号:ce29bd38-3cb0-4e52-9389-9e920109cbdf
下载时间:2011年2月22日
