銀行網路安全防範措施

□建行北京分行石景山支行郭亞力

隨著金融業務的拓展與金融電子化程序的加快，計算機網路通訊技術在金融領域中的應用越來越廣。與此同時，金融電子化也帶來了高科技下的新風險。計算機系統本身的不安全和人為的攻擊破壞，以及計算機安全管理制度的不完善都潛伏著很多安全隱患，嚴重的可能導致計算機系統的癱瘓，影響銀行的業務和聲譽，造成巨大的經濟損失和不良的社會影響。

因此，加強銀行網路系統安全體系的建設，保證其正常執行，防範犯罪分子對它的入侵，已成為金融電子化建設中極為重要的工作。

網路安全的基本要求是保密、完整、可用、可控和可審查。從技術角度講，銀行網路系統的安全體系應包括:作業系統和資料庫安全、加密技術、訪問控制、身份認證、攻擊監控、防火牆技術、防病毒技術、備份和災難恢復等。

從管理角度看，應著力健全計算機管理制度和執行規程，加強員工管理，不斷提高員工的安全防範意識和責任感，杜絕內部作案的可能性，建立起良好的故障處理反應機制。

網路系統技術安全措施

1.作業系統及資料庫

作業系統是計算機最重要的系統軟體，它控制和管理著計算機系統的硬體和軟體資源，是計算機的指揮中樞。目前銀行網路系統常用的作業系統有unix、windowsnt等，安全等級都是c2級，可以說是相對安全、嚴密的系統，但並非無懈可擊。

許多銀行業務系統使用unix網路系統，黑客可利用網路監聽工具擷取重要資料;利用使用者使用tel***、ftp、rlogin等服務時監聽這些使用者的明文形式的賬戶名和口令;利用具有suid許可權的系統軟體的安全漏洞;利用unix平台提供的工具，如finger命令查詢有關使用者的資訊，獲得大部分的使用者名稱;利用ip欺騙技術;利用exrc檔案等獲得對系統的控制權。針對這些安全缺陷，我們應定期檢查日誌檔案;檢查具有suid許可權的檔案;檢查/etc/passwd是否被修改;檢查系統網路配置中是否有非法項;檢查系統上非正常的隱藏檔案;檢查/etc/和/etc/rc2.d/*檔案，並採取以下措施:

1）及時安裝作業系統的補丁程式;2）將系統的安全級別設定為最高，停止不必要的服務，該關的功能關閉;3）安裝過濾路由器;4）加強賬號和口令的安全管理，定期檢查/etc/passwd和/etc/shadow檔案，經常更換各賬號口令，檢視su日誌檔案和拒絕登入訊息日誌檔案。

對於windowsnt網路系統，可採取以下措施:1）使用ntfs檔案系統，它可以對檔案和目錄使用acl訪問控制表;2）將系統管理員賬號由原先的「administrator」改名，使非法登入使用者不但要猜準口令，還要先猜出使用者名稱;3)對於提供inter***公共服務的計算機，廢止guest賬號，移走或限制所有的其他使用者賬號;4）開啟審計系統，審計各種操作成功和失敗的情況，及時發現問題前兆，定期備份日誌檔案;5）及時安裝補丁程式。

資料庫的安全就是要保證資料庫資訊的完整、保密和可用。通常用安全管理、訪問控制和資料加密來實現。安全管理一般分為集中控制和分散控制兩種方式。

集中控制就是由單個授權者來控制系統的整個安全維護，分散控制則是採用不同的管理程式控制資料庫的不同部分。訪問控制包括最小特權策略（使用者只能了解與自己工作有關的資訊，其他資訊被遮蔽）、最大共享策略（資訊在保密控制條件下得到最大共享，並不是隨意訪問資訊）、開放與封閉系統（開放:不明確禁止，即可訪問;封閉:

明確授權，才能訪問）、按名訪問策略、按上下文訪問策略、按訪問歷史的訪問策略等。資料加密可從三個方面進行，即庫內加密（庫內的一條記錄或記錄的某一屬性作為檔案被加密）、整庫加密（整個資料庫包括資料結構和內容作為檔案被加密）和硬體加密。

2.網路加密技術

網路加密的目的是保護網上傳輸的資料、檔案、口令和控制資訊的安全。

（1）加密方式:

資訊加密處理通常有兩種方式:鏈路加密和端到端加密。

鏈路加密是對兩節點之間的鏈路上傳送的資料進行加密，不適用於廣播網。

端到端加密是對源節點和目的節點之間傳送的資料所經歷的各段鏈路和各個中間節點進行全程加密。端到端加密不僅適用於網際網路，也適用於廣播網。

基於鏈路加密和端到端加密各有特點，為提高網路的安全性，可綜合使用這兩種技術。具體說就是鏈路加密用來對控制資訊進行加密，而端到端加密僅對資料提供全程加密。

（2）加密演算法

如果按收發雙方的金鑰是否相同來分類，可將這些加密演算法分為常規密碼演算法（對稱型加密）和公鑰密碼演算法（非對稱型加密）。此外，還有一種加密演算法是不可逆加密演算法。

上述三種資訊加密演算法在實際工作中可單獨或結合使用。物理層、鏈路層和網路層使用的加密裝置一般運用常規加密演算法（如des）;;基於pki認證技術和set協議則綜合採用了不可逆加密、非對稱加密、對稱加密和數字簽名等多種技術。

3.網路安全訪問控制

訪問控制的主要任務是保證網路資源不被非法使用和非法訪問，也是維護網路系統安全，保護網路資源的重要手段。通過對特定的網段和服務建立有效的訪問控制體系，可在大多數的攻擊到達之前進行阻止，從而達到限制非法訪問的目的。這包括鏈路層和網路層的安全訪問控制，以及遠端使用者訪問的安全訪問控制。

可採取的安全措施有:vlan劃分、訪問控制列表（acl）、使用者授權管理、tcp同步攻擊攔截和路由欺騙防範等。

4.身份認證

5.網路入侵檢測系統

入侵檢測技術是近年出現的新型網路安全技術，是對入侵行為的監控，它通過對網路或計算機系統中的若干關鍵點收集資訊並進行分析，從中發現網路或系統中是否有違反安全策略的行為或被攻擊的跡象。利用實時入侵檢測技術，可對特定網段、主機和服務建立攻擊監控體系，有效阻止外部黑客的入侵和來自內部網路的攻擊。

6.網路防火牆技術

防火牆就是在內部網與外部網之間建立的一種被動式防禦的訪問控制技術，它能夠在網路的入口處，根據ip源位址、ip目標位址、協議埠以及資料報的狀態等資訊，對傳送和接受的每乙個資料報進行過濾監測，並根據使用者事先定義好的過濾規則，拒絕或允許ip資料報的通過，在必要時將有關資訊反饋給上層應用程式。

防火牆的主要技術型別包括網路級資料報過濾和應用**服務（應用閘道器）。鑑於兩種防火牆技術的優缺點，在實際構建防火牆系統時，常將兩種技術配合使用，由過濾路由器提供第一級安全保護，主要用於防止ip欺騙攻擊，再由**伺服器提供更高階的安全保護機制。

7.防病毒技術

8.備份和災難恢復

備份和災難恢復是對銀行網路系統工作中可能出現的各種災難情況（如計算機病毒、系統故障、自然災害、人為破壞等）進行的保證系統及資料連續性和可靠性的一種防範措施。銀行網路系統業務主機和伺服器的備份方式一般可採取雙機備份、磁碟映象或容錯等技術，備份機要遠離生產機。可採用emc智慧型儲存系統的srdf遠端磁碟映象技術等作為資料備份技術，生產中心和備份中心之間通過直連光纜實現資料備份通道。

資料備份包括系統資料、基礎資料、應用資料等的備份，採用傳統的磁碟、磁帶、光碟作為介質，根據資料的重要程度和不同要求分不同的期限實行本地和異地雙備份儲存。

網路系統安全管理措施

銀行網路系統的安全性不僅與硬體、網路、系統等技術方面有關，還與它的管理和使用有著極為密切的關係。

1．加強基礎設施和執行環境建設

計算機機房、配電室、交換機機房等計算機系統重要基礎設施應嚴格管理，配備防盜、防火、防水等裝置;安裝電視監控系統、監控報警等裝置;計算機裝置採用ups不間斷電源供電（重要機房可採用雙迴路供電或配備發電機組）;裝置要可靠接地;供電、通訊線路要佈線整齊、規範、連線牢靠;機房環境要乾淨、整潔，保持特定的溫度和濕度。

2．加強裝置管理和使用工作

建立包括裝置購置管理、裝置使用管理、裝置維修管理和裝置倉儲管理等內容的規章制度。計算機管理部門要定期對裝置執行環境、裝置執行狀況、各項規章制度、操作規程的執**況進行檢查，對發現的問題及時解決，確保計算機系統的安全、可靠執行。

3．建立健全安全管理內控制度

建立業務部門計算機系統使用管理規定、部門主管和業務操作人員計算機密碼管理規定、違反計算機管理規章制度處理辦法等內控管理制度;嚴格實行執行、維護、開發分離的崗位責任制;禁止混崗和代崗，禁止公用和公開密碼;對重要資料的改賬處理要經過授權由專人負責，並登記日誌;建立健全備份制度，核心程式及資料結構要嚴格保密，實行專人分工保管;對已制定的規章制度，要專人負責，真正落實，從根本上杜絕內部安全隱患。

4．加強銀行員工思想和安全意識教育

一方面對員工要進行經常的思想道德水平和法制觀念教育，培養他們自覺抵制各種**的能力，使他們不違法、不犯罪;另一方面要提高員工的安全防範意識和能力，不給犯罪分子以可乘之機。

銀行網路安全防範措施

常見網路安全威脅及防範措施

安全防範措施

安全防範措施

相關推薦