|
银行系统网络安全整体解决方案银行网络应用 随着网络的快速发展,各金融企业之间的竟争也日益激烈,主要是通过提高金融机构的运作效率,为客户提供方便快捷和丰富多彩的服务,增强金融企业的发展能力和影响力来实现的。 为了适应这种发展趋势,银行在改进服务手段、增加服务功能、完善业务品种、提高服务效率等方面做了大量的工作,以提高银行的竞争力,争取更大的经济效益。而实现这一目标必须通过实现金融电子化,利用高科技手段推动金融业的发展和进步,网络的建设为银行业的发展提供了有力的保障,并且势必为银行业的发展带来具大的经济效益。目前银行主要应用有:储蓄、对公、信用卡、储蓄卡、IC卡、国际业务、电子汇兑、电子邮件、电子公文、网上银行、网上交易系统、新的综合对公业务、国际业务信贷系统等。但是我们应该意识到事务的两面性,随着应用的不断增加,网络安全风险也会不断暴露出来。原来由单个计算机安全事故引起的损害可能传播到其他系统和主机,引起大范围的瘫痪和损失。而且由于银行属于商业系统,都有一些各自的商业机密信息,如果这些涉密信息在网上传输过程中泄密,其造成的损失将是不可估量的。 银行网络安全风险分析 1.来自互联网风险 网上银行、电子商务、网上交易系统都是通过Internet公网并且都与银行发生关系,银行系统网络如果与Internet公网直接或间接互联,那么由于互联网自身的广泛性、自由性等特点,象银行这样的金融系统自然会被恶意的入侵者列入其攻击目标的前列。 2.来自外单位风险 银行系统为了竞争,已不仅仅是局限在本系统纵向网上做文章,而是逐步向横向发展,主要表现在银行不断增加中间业务,增加服务功能。比如代收电话费、水电费、代收保险费、证券转帐等业务。因此,就与电信局、水电局、保险公司、证券交易所等单位网络互联。由于银行与这些单位之间不可能是完全任信关系,因此,它们之间的互联,也使得银行网络系统存在着来自外单位的安全威胁。 3.来自不信任域风险大部分银行系统都发展到全国联网。一个系统分布在全国各地,范围之广,而且各级银行也都是独立核算单位,因此,对每一个区域银行来说,其它区域银行都可以说是不信任的。同样存在安全威胁。 4.来自内部网风险 据调查统计,已发生的网络安全事件中,70%的攻击是来自内部。因此内部网的安全风险更严重。内部员工对自身企业网络结构、应用比较熟悉,自已攻击或泄露重要信息内外勾结,都将可能成为导致系统受攻击的最致命安全威胁。 5.管理安全风险 企业员工的安全意识薄弱,企业的安全管理体制不健全也是网络存在安全风险的重要因素之一,健全的安全管理体制是一个企业网络安全得以保障及维系的关键因素。 风险可能导致的结果 安全威胁可能引发的结果有非法使用资源、恶意破坏数据、数据窃取、数据篡改、假冒、伪造、欺骗、敲诈勒索等。种种结果对银行这样特殊性的行业来说,其损失都是不可估量的。必须将风险防患于未然。 银行网络安全需求 通过以上对银行网络系统应用与安全风险分析,我们提出防范网络安全危险的安全需求:
网络安全解决方案
保证计算机信息系统各种设备的物理安全是保障整个网络系统安全的前提。物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。 1.环境安全 对系统所在网络环境合理选择的安全保护,如防水灾、火灾、地震等自然灾害。 2.设备安全 加强设备的安全保护,防止发生设备被盗、被毁。 3.媒介安全 加强场地基础设施的建设,防止信息通过辐射、线路截获而造成泄露。
1.操作系统安全 目前大多数操作系统都存在一些安全漏洞、后门,而这些因素往往又是被入侵者攻击所利用。因此,对操作系统必须进行安全配置、打上最新的补丁,还要利用相应的扫描软件对其进行安全性扫描评估、检测其存在的安全漏洞,分析系统的安全性,提出补救措施。管理人员应用时必须加强身份认证机制及认证强度。 2.应用系统安全 应用系统一般都是针对某些应用而开发的,但由于它的通用性,其所提供的服务并非都是每个具体用户所必需的,因此,对应用系统的安全性,也应该进行安全配置,尽量做到只开放必须使用的服务,而关闭不经常用的协议及协议端口号。还有就是对应用系统的使用要加强用户登录身份认证。确保用户使用的合法性,严格限制登录者的操作权限,将其完成的操作限制在最小的范围内。并充分利用应用系统本身的日志功能,对用户所访问的信息做记录,为事后审查提供依据。
1.网络结构安全 2.加强访问控制 1)如果银行系统有上Internet公网的需求,则从安全性考滤,银行业务系统网络必须与Internet公网物理隔离。解决方法可以是两个网络之间完全断开或者通过物理安全隔离卡来实现。
1.安全认证
1.加密传输 要保护数据在传输过程中不被泄露,保证用户数据的机密性,必须对数据进行加密。加密后,数据在传输过程中便是以密文传输,既使被入侵者截获,由于是密文形式,也读不懂;即使加密后的数据存在被破译的可能性,但现行密码算法的密钥都在64位以上,解密工作并不容易,需要花费相当的资金、时间。等到破译,也许这种信息已经没有什么价值了。数据加密的方法有从链路层加密、网络层加密及应用层加密。链路层加密机主要根据企业采用链路协议(Frame Relay、X.25、DDN、PSTN),采用相应类型的加密机;网络层加密由于是在网层上,因此它对链路层是透明的,与链路是何种协议无关;应用层加密主要适用于具有的加密需求,针对具体的应用进行开发。不同企业可以根据自身网络特点及应用需求选择合适的加密方法。对于银行系统,由于系统庞大,采用电信网络链路协议有Frame Relay、X.25、DDN、PSTN等多种链路,如果采用链路加密,采必须采用多种类型的加密机,这样对一个系统来说,就会给产品维护、升级等带来一定的困难;对于应用层加密,在网上银行应用比较广泛,网上银行针对公网用户,其数据在公网上传输不可能使用链路层或网络层加密设备,只能通过应用层加密来实现,应用层加密可以采用SET协议或者SSL协议,通过B/S结构完成网上交易的加密及解密。因此,对银行普通业务系统,我们建议采用网络层加密设备,来保护数据在网络上传输的安全性。而对网上银行、网上交易等业务系统可以采用应用层加密机制来加密,以保护数据在网上传输的机密性。
银行系统由于职能的特殊性,可能会存在其特殊的应用,而要保护其应用的安全性,并不是市场上的那些通用产品都能满足,必须通过详细了解,分析,进行有针对性地开发,量体裁衣,才能切实让用户用得放心。
我们知道网络安全实现并不完全取决于技术手段,管理安全是网络安全真正得以维系的重要保证。管理安全银行系统安全制度的制定、国家法律、法规的宣传以及提高企业人员的整体网络安全意识。
网络安全是动态的、整体的,并不是简单的安全产品集成就解决问题。随着时间推移,新的安全风险又将随着产生。因此,一个完整的安全解决方案还必须包括长期的、与项目相关的信息安全服务。安全服务包括:全方位的安全咨询、培训;静态的网络安全风险评估;特别事件应急响应。
典型应用实例 我们举一个比较典型的银行网络应用系统。如下图示:整个网络纵向覆盖全国各省市、区县;而横向也与许多单位连接。我们针对这样的网络来举例说明如何解决其网络安全问题。 访问控制
信息传输为了保护数据信息从发起端到接收端传输过程的安全性,在每一级网络配备的防火墙系统与边界路由器之间配备网络层加密机,由于网络层加密设备可以实现网关到网关的加密与解密,因此,在每个有重要传输数据的网点只需配备一台网络层加密机。利用加密技术以及安全认证机制,保护信息在网络上传输的机密性、真实性、完整性及可靠性。 而针对银行系统网上银行、网上交易业务,可以在应用层采用SET或SSL协议进行应用层加密,并通过数字签名等技术保证网上交易数据的机密性、完整性及不可抵赖性。 安全检测 防火墙的安全保护是属于静态安全防护,其功能及作用范围也是有限的,不可能做到全面的防护。入侵检测技术是防火墙的有利补充。因此,在总行、各省市、区县行中存放有业务数据库或者是存放有涉密信息的网络,配备一套入侵检测系统,通过实时监测进出网络的数据流,一旦发现不安全的访问行为,并依据策略采取相应的处理手段(阻断、报警等)。做到既防范外网的攻击,又能防范内部网发起的攻击。 病毒防护 备份恢复 认证中心
责编:张赛静 微信扫一扫实时了解行业动态 微信扫一扫分享本文给好友 著作权声明:kaiyun体育官方人口
文章著作权分属kaiyun体育官方人口
、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。 |
最新专题 |
|