網絡技術在銀行中的應用范圍不斷擴大

申請免費試用、咨詢電話：400-8352-114

1.前言 　　隨著我國金融改革的不斷推進，網絡技術在銀行中的應用范圍不斷擴大。電子化的應用，給銀行業(yè)務帶來諸多便利，同時也給銀行帶來新的安全問題。隨著銀行信息化的不斷深入，其網絡安全問題已越來越受到關注。 　　2.銀行網絡安全分析及處理 　　為了便于分析，我們將銀行系統安全分為實體安全、平臺安全、數據安全、通訊安全、應用安全、運行安全、管理安全等幾個方面。 　　銀行網絡拓撲圖 　　2.1實體安全 　　實體安便信息系統安全的基礎，它包括機房安全、場地安全、機房環(huán)境/溫度/濕度/電磁/噪聲/防塵/靜電/振動、建筑/防火/防雷/圍墻/門禁、設施安全、設備可靠性、通信線路安全性、輻射控制與防泄露、動力、電源/空調、災難預防與恢復等方面。 　　實體安全是信息系統安全的基礎。依據實體安全國家標準，將實施過程確定為以下檢測與優(yōu)化項目：機房安全、場地安全、機房環(huán)境/溫度/濕度/電磁/噪聲/防塵/靜電/振動、建筑/防火/防雷/圍墻/門禁、設施安全、設備可靠性、通信線路安全性、輻射控制與防泄露、動力、電源/空調、災難預防與恢復等，檢測優(yōu)化實施過程按照國家相關標準和公安部的實體安全標準。 　　2.2 平臺安全 　　平臺安全泛指操作系統和通用基礎服務安全，主要用于防范黑客攻擊手段。目前市場上大多數安全產品均限于解決平臺安全，理工先河以信息安全評估準則為依據，確定平臺安全實施過程包括以下內容：操作系統漏洞檢測與修復; Unix系統、Windows系統、網絡協議、網絡基礎設施漏洞檢測與修復; 路由器、交換機、防火墻、通用基礎應用程序漏洞檢測與修復; 數據庫、Web/Ftp/Mail/DNS等其他各種系統守護進程、網絡安全產品部署。平臺安全實施需要用到市場上常見的網絡安全產品，主要包括防火墻、入侵檢測、脆弱性掃描和防病毒產品、整體網絡系統平臺安全綜合測試/模擬入侵與安全優(yōu)化。 　　2.3數據安全 　　為防止數據丟失、崩潰和被非法訪問，理工先河以用戶需求和數據安全實際威脅為依據，為保障數據安全提供如下實施內容：介質與載體安全保護、數據訪問控制、系統數據訪問控制檢查、標識與鑒別、數據完整性、數據可用性、數據監(jiān)控和審計、數據存儲與備份安全。 　　2.4 通訊安全 　　為防止系統之間通信的安全脆弱性威脅，理工先河以網絡通信面臨的實際威脅為依據，為保障系統之間通信的安全采取的措施有：通信線路和網絡基礎設施安全性測試與優(yōu)化、安裝網絡加密設施、設置通信加密軟件、設置身份鑒別機制、設置并測試安全通道、測試各項網絡協議運行漏洞。 　　2.5應用安全 　　應用安全可保障相關業(yè)務在計算機網絡系統上安全運行，它的脆弱性可能給信息化系統帶來致命威脅。理工先河以業(yè)務運行實際面臨的威脅為依據，為應用安全提供的評估措施有：業(yè)務軟件的程序安全性測試(Bug分析)、業(yè)務交往的防抵賴測試、業(yè)務資源的訪問控制驗證測試、業(yè)務實體的身份鑒別檢測、業(yè)務現場的備份與恢復機制檢查、業(yè)務數據的惟一性/一致性/防沖突檢測、業(yè)務數據的保密性測試、業(yè)務系統的可靠性測試、業(yè)務系統的可用性測試。 　　測試實施后，可有針對性地為業(yè)務系統提供安全建議、修復方法、安全策略和安全管理規(guī)范。 　　2.6運行安全 　　運行安全可保障系統的穩(wěn)定性，較長時間內將網絡系統的安全控制在一定范圍內。理工先河為運行安全提供的實施措施有：應急處置機制和配套服務、網絡系統安全性監(jiān)測、網絡安全產品運行監(jiān)測、定期檢查和評估、系統升級和補丁提供、跟蹤最新安全漏洞、災難恢復機制與預防、系統改造管理、網絡安全專業(yè)技術咨詢服務。運行安全是一項長期的服務，包含在網絡安全系統工程的售后服務內。 　　2.7管理安全 　　管理安全對以上各個層次的安全性提供管理機制，以網絡系統的特點、實際條件和管理要求為依據，利用各種安全管理機制，為用戶綜合控制風險、降低損失和消耗，促進安全生產效益。理工先河為管理安全設置的機制有：人員管理、培訓管理、應用系統管理、軟件管理、設備管理、文檔管理、數據管理、操作管理、運行管理、機房管理。 　　3.產品部署  　　銀行的各種重大數據都集中在服務器，從而也成為黑客們攻擊的主要對象。因此，服務器的安全是銀行系統安全的重中之重。一旦服務器上存放的數據被竊取、篡改、破壞、刪除，其后果非常嚴重。 　　要保障銀行安全，除了要部署目前已經得到廣泛應用的防火墻和防病毒產品外，入侵檢測、主機保護等產品或工具也是必不可少的。 　　設置安全檢測和攻擊預警系統的目的是：運用成熟的攻擊、反攻擊技術，分析已知的系統安全漏洞和薄弱環(huán)節(jié)。安全檢測可以在不安全因素被誘發(fā)之前，消除系統可能的安全隱患。攻擊預警系統可以實時發(fā)現網絡攻擊，阻撓不安全用戶進入系統。 　　入侵檢測的主要安全需求是：根據網絡攻擊的特征，在被保護網絡的入口處進行實時監(jiān)測。發(fā)現攻擊時，向管理員報警并阻斷、記錄攻擊的來源；針對系統掃描以及實時監(jiān)測發(fā)現的系統漏洞，及時采取措施，實施動態(tài)的安全防衛(wèi)策略；     4.解決的各種安全問題及產品作用 　　作為整個系統的核心，“金海豚?”系統在整個系統中處在關鍵的位置，整個系統的聯動防護正是由“金海豚?”系統進行統一運作的。 　　4.1關鍵服務器的監(jiān)測 　　“金海豚?”網絡動態(tài)防護系統可實現對關鍵服務器的運行狀態(tài)和用戶行為進行主動實時監(jiān)測。當被監(jiān)測的服務器系統受到攻擊時，它能及時向管理員報警，并主動執(zhí)行預設地響應行為，如封鎖或斷開，并記錄攻擊過程，保護整個系統的安全，并為事后引用法律手段提供依據。 　　4.2三平臺架構，保障系統安全和正常運行 　　目前，銀行的信息系統的一大特點就是，其服務器本身負載已經相當大，在考慮安全的同時，更要考慮到部署的安全產品是否影響系統的正常運行?！敖鸷ｋ?”網絡動態(tài)防護系統的“三平臺架構”解決了這一矛盾。它采用信息采集—信息分析—管理相分離的結構，形成代理系統-中控系統-管理系統的三平臺架構。我們只需要在服務器上安裝代理系統采集信息，而數據分析則由理工先河的中控系統來完成，再通過管理平臺實現相應的報警與響應功能。它可以實現在不影響系統的正常運行，基本不增加系統負載的情況下，對服務器的保護。 　　4.3實現多臺服務器統一保護，集中控制 　　銀行系統中需要保護的服務器比較多?！敖鸷ｋ?”網絡動態(tài)防護系統的一臺中控系統，可以保護多達八臺服務器。當增加新的服務器時，只需要在新增的服務器上加裝檢測代理系統即可。通過控制系統，對分析系統和檢測系統實現分布式管理和策略的集中分發(fā)，使得部署在復雜的銀行網絡環(huán)境中的主機的檢測工作既方便又快捷，只需通過控制系統遠程管理即可。 　　4.4主動、動態(tài)防護，防范未知安全風險 　　“金海豚”動態(tài)防護系統采取異常檢測與濫用檢測相結合的分析方式，深入分析了用戶通過合法途徑訪問系統的特點，建立了完備的“專家系統”，同時也歸納了常見的入侵方式的特征，采用“以不變應萬變的策略”，將未經過合法手段和授權而獲得訪問權限的行為視為對系統的攻擊，從而淡化了已知攻擊與未知攻擊的界限，因此可有效地檢測幾乎所有旨在獲取權限或非法訪問數據的攻擊手段（無論是“已知的”還是“未知的”）。 　　“專家系統”的建立，