淺談銀行網(wǎng)絡安全

國　穎　王海峰

[摘要]通過分析目前銀行系統(tǒng)網(wǎng)絡在多個環(huán)節(jié)普遍存在的潛在風險，試著針對性地從各方面找出有效的應對措施，對網(wǎng)絡安全隱患做出有效的防范。

[關鍵詞]銀行網(wǎng)絡安全應對措施

中圖分類號：F83文獻標識碼：A文章編號：1671－7597(2009)0210060－01

一、引言

近年來，隨著國內(nèi)網(wǎng)絡技術和數(shù)據(jù)傳輸基礎建設的快速發(fā)展，銀行系統(tǒng)網(wǎng)絡漸漸直接或間接地與互聯(lián)網(wǎng)或者其它專用網(wǎng)絡發(fā)生了聯(lián)系，這一方面為信息的共享提供了快速的渠道，拓展了更多的業(yè)務類型，另一方面也浮現(xiàn)出種種安全隱患。

二、銀行網(wǎng)絡應用現(xiàn)狀與風險分析

(一)銀行網(wǎng)絡應用

隨著各金融企業(yè)之間的競爭日益激烈，銀行在改進服務手段、增加服務功能、完善業(yè)務品種、提高服務效率等方面做了大量的工作。通過實現(xiàn)金融電子化，利用高科技手段推動金融業(yè)的發(fā)展和進步，勢必為銀行業(yè)的發(fā)展帶來巨大的經(jīng)濟效益。

(二)銀行網(wǎng)絡安全風險分析

1．來自互聯(lián)網(wǎng)風險。網(wǎng)上銀行、電子商務、網(wǎng)上交易系統(tǒng)都是通過Internet公網(wǎng)并且都與銀行發(fā)生關系，由于互聯(lián)網(wǎng)自身的廣泛性、自由性等特點，像銀行這樣的金融系統(tǒng)自然會被惡意的入侵者列入其攻擊目標的前列。

2．來自外聯(lián)單位風險。由于銀行不斷增加的代收費、代繳稅、三方存管等中間業(yè)務，與通信、水電、稅務、證券交易所等單位網(wǎng)絡互聯(lián)，使得銀行網(wǎng)絡系統(tǒng)存在著來自外單位的安全威脅。

3．來自內(nèi)部網(wǎng)風險。據(jù)調(diào)查統(tǒng)計，已發(fā)生的網(wǎng)絡安全事件中，70％的攻擊是來自內(nèi)部。因此內(nèi)部網(wǎng)的安全風險更嚴重。內(nèi)部員工對自身企業(yè)網(wǎng)絡結構、應用比較熟悉，自己攻擊或內(nèi)外勾結，都將可能成為導致系統(tǒng)受攻擊的最致命安全威脅。

4．管理安全風險。企業(yè)員工的安全意識薄弱，企業(yè)的安全管理體制不健全也是網(wǎng)絡存在安全風險的重要因素之一，健全的安全管理體制是一個企業(yè)網(wǎng)絡安全得以保障及維系的關鍵因素。

(三)風險可能導致的結果

安全威脅可能引發(fā)的結果有非法使用資源、惡意破壞數(shù)據(jù)、數(shù)據(jù)竊取、數(shù)據(jù)篡改、假冒、偽造、欺騙、敲詐勒索等。種種結果對銀行這樣特殊性的行業(yè)來說，其損失都是不可估量的。

三、銀行網(wǎng)絡安全應對措施

(一)物理安全

物理安全主要包括：環(huán)境安全、設備安全、媒介安全。

(二)系統(tǒng)安全

1．操作系統(tǒng)安全。包括操作系統(tǒng)的安全漏洞、后門等，而這些因素往往又是被入侵者攻擊所利用。因此，對操作系統(tǒng)必須進行安全配置、打上最新的補丁，還要利用相應的掃描軟件對其進行安全性掃描評估、檢測其存在的安全漏洞，分析系統(tǒng)的安全性，提出補救措施。

2．應用系統(tǒng)安全。對應用系統(tǒng)的安全性，應該盡量只開放必須使用的服務，關閉不使用的協(xié)議。加強用戶登錄身份認證，確保用戶的合法性，嚴格限制操作權限。充分利用日志功能，對用戶所訪問的信息做記錄，為事后審查提供依據(jù)。

(三)網(wǎng)絡安全

1．網(wǎng)絡結構安全。網(wǎng)絡結構布局的合理與否，也影響著網(wǎng)絡的安全性。對銀行系統(tǒng)生產(chǎn)區(qū)域、辦公區(qū)域、外聯(lián)區(qū)域、測試區(qū)域之間必須按各自的應用范圍、安全保密程度進行合理分布，以免局部安全性較低的網(wǎng)絡系統(tǒng)造成的威脅，傳播到整個網(wǎng)絡系統(tǒng)。

2．加強訪問控制

(1)銀行業(yè)務系統(tǒng)網(wǎng)絡必須與Internet公網(wǎng)物理隔離。解決方法可以是兩個網(wǎng)絡之間完全斷開或者通過物理安全隔離設備來實現(xiàn)。

(2)網(wǎng)結構合理分布后，在內(nèi)部局網(wǎng)內(nèi)可以通過交換機劃分VLAN功能來實現(xiàn)不同部門、不同級別用戶之間簡單的訪問控制。

(3)內(nèi)部局域網(wǎng)與外單位網(wǎng)絡、不信任域網(wǎng)絡之間可以通過配備防火墻來實現(xiàn)隔離與訪問控制。

(4)根據(jù)企業(yè)具體應用，也可以配備應用層的訪問控制軟件系統(tǒng)，針對局域網(wǎng)具體的應用進行更細致的訪問控制。

3．安全檢測。由于防火墻等安全控制系統(tǒng)都屬于靜態(tài)防護安全體系，因此，還必須配備入侵檢測系統(tǒng)進行主動防御，該系統(tǒng)可以安裝在局域網(wǎng)絡的共享網(wǎng)絡設備上，它的功能是實時分析進出網(wǎng)絡數(shù)據(jù)流，對網(wǎng)絡違規(guī)事件跟蹤、實時報警、阻斷連接并做日志。它既可以對付內(nèi)部人員的攻擊，也可以對付來自外部網(wǎng)絡的攻擊行為。

(四)應用安全

1．安全認證。銀行系統(tǒng)在解決網(wǎng)絡安全問題肯定要配備加密系統(tǒng)，由于要加密就涉及到密鑰。我們都知道密鑰的發(fā)放一般都是通過發(fā)放證書來實現(xiàn)，為確認對方證書的真實性，引入了第三方來發(fā)放證書，即構建一個權威認證機構(CA認證中心)。目前中國金融認證中心(CFCA)是被多家銀行普遍使用的認證體系。

2．病毒防護。防范病毒的入侵，應該根據(jù)具體的系統(tǒng)類型，配置相應的、最新的防病毒系統(tǒng)。從單機到網(wǎng)絡實現(xiàn)全網(wǎng)的病毒安全防護體系，病毒無論從外部網(wǎng)絡還是從內(nèi)部網(wǎng)絡中的某臺主機進入網(wǎng)絡系統(tǒng)，通過防病毒軟件的實時檢測功能，將會把病毒扼殺在發(fā)起處，防止病毒的擴散。

(五)信息安全

1．加密傳輸。要保護數(shù)據(jù)在傳輸過程中不被泄露，保證用戶數(shù)據(jù)的機密性，必須對數(shù)據(jù)進行加密。加密后，數(shù)據(jù)在傳輸過程中便是以密文傳輸，即使被入侵者截獲，由于是密文形式，也讀不懂。對于銀行網(wǎng)上應用系統(tǒng)，目前大多通過應用層加密來實現(xiàn)，應用層加密可以采用SET協(xié)議或者SSL協(xié)議，通過B/s結構完成網(wǎng)上交易的加密及解密。對銀行普通業(yè)務系統(tǒng)，一般采用網(wǎng)絡層加密設備，來保護數(shù)據(jù)在網(wǎng)絡上傳輸?shù)陌踩浴?/p>

2．信息存儲。對銀行系統(tǒng)主要是數(shù)據(jù)庫的安全，由于各地銀行系統(tǒng)都是采用客戶／服務器模式，數(shù)據(jù)都集中存在一個大型數(shù)據(jù)庫系統(tǒng)中，因此數(shù)據(jù)庫的安全尤其重要。保護數(shù)據(jù)庫最安全、最有效的方法就是采用備份與恢復系統(tǒng)。

(六)管理安全

我們知道網(wǎng)絡安全實現(xiàn)并不完全取決于技術手段，管理安全是網(wǎng)絡安全真正得以維系的重要保證。管理安全銀行系統(tǒng)安全制度的制定、國家法律、法規(guī)的宣傳以及提高企業(yè)人員的整體網(wǎng)絡安全意識。

作者簡介：

國穎，男，山東，中國海洋大學信息科學與工程學院研究生，研究方向：信息安全、數(shù)據(jù)庫；王海峰，男，山東青島，中國農(nóng)業(yè)發(fā)展銀行青島市分行信息技術部，工程師，研究方向：信息安全、數(shù)據(jù)庫。