網(wǎng)絡技術(shù)在銀行中的應用范圍不斷擴大

申請免費試用、咨詢電話：400-8352-114

1.前言 　　隨著我國金融改革的不斷推進，網(wǎng)絡技術(shù)在銀行中的應用范圍不斷擴大。電子化的應用，給銀行業(yè)務帶來諸多便利，同時也給銀行帶來新的安全問題。隨著銀行信息化的不斷深入，其網(wǎng)絡安全問題已越來越受到關注。 　　2.銀行網(wǎng)絡安全分析及處理 　　為了便于分析，我們將銀行系統(tǒng)安全分為實體安全、平臺安全、數(shù)據(jù)安全、通訊安全、應用安全、運行安全、管理安全等幾個方面。 　　銀行網(wǎng)絡拓撲圖 　　2.1實體安全 　　實體安便信息系統(tǒng)安全的基礎，它包括機房安全、場地安全、機房環(huán)境/溫度/濕度/電磁/噪聲/防塵/靜電/振動、建筑/防火/防雷/圍墻/門禁、設施安全、設備可靠性、通信線路安全性、輻射控制與防泄露、動力、電源/空調(diào)、災難預防與恢復等方面。 　　實體安全是信息系統(tǒng)安全的基礎。依據(jù)實體安全國家標準，將實施過程確定為以下檢測與優(yōu)化項目：機房安全、場地安全、機房環(huán)境/溫度/濕度/電磁/噪聲/防塵/靜電/振動、建筑/防火/防雷/圍墻/門禁、設施安全、設備可靠性、通信線路安全性、輻射控制與防泄露、動力、電源/空調(diào)、災難預防與恢復等，檢測優(yōu)化實施過程按照國家相關標準和公安部的實體安全標準。 　　2.2 平臺安全 　　平臺安全泛指操作系統(tǒng)和通用基礎服務安全，主要用于防范黑客攻擊手段。目前市場上大多數(shù)安全產(chǎn)品均限于解決平臺安全，理工先河以信息安全評估準則為依據(jù)，確定平臺安全實施過程包括以下內(nèi)容：操作系統(tǒng)漏洞檢測與修復; Unix系統(tǒng)、Windows系統(tǒng)、網(wǎng)絡協(xié)議、網(wǎng)絡基礎設施漏洞檢測與修復; 路由器、交換機、防火墻、通用基礎應用程序漏洞檢測與修復; 數(shù)據(jù)庫、Web/Ftp/Mail/DNS等其他各種系統(tǒng)守護進程、網(wǎng)絡安全產(chǎn)品部署。平臺安全實施需要用到市場上常見的網(wǎng)絡安全產(chǎn)品，主要包括防火墻、入侵檢測、脆弱性掃描和防病毒產(chǎn)品、整體網(wǎng)絡系統(tǒng)平臺安全綜合測試/模擬入侵與安全優(yōu)化。 　　2.3數(shù)據(jù)安全 　　為防止數(shù)據(jù)丟失、崩潰和被非法訪問，理工先河以用戶需求和數(shù)據(jù)安全實際威脅為依據(jù)，為保障數(shù)據(jù)安全提供如下實施內(nèi)容：介質(zhì)與載體安全保護、數(shù)據(jù)訪問控制、系統(tǒng)數(shù)據(jù)訪問控制檢查、標識與鑒別、數(shù)據(jù)完整性、數(shù)據(jù)可用性、數(shù)據(jù)監(jiān)控和審計、數(shù)據(jù)存儲與備份安全。 　　2.4 通訊安全 　　為防止系統(tǒng)之間通信的安全脆弱性威脅，理工先河以網(wǎng)絡通信面臨的實際威脅為依據(jù)，為保障系統(tǒng)之間通信的安全采取的措施有：通信線路和網(wǎng)絡基礎設施安全性測試與優(yōu)化、安裝網(wǎng)絡加密設施、設置通信加密軟件、設置身份鑒別機制、設置并測試安全通道、測試各項網(wǎng)絡協(xié)議運行漏洞。 　　2.5應用安全 　　應用安全可保障相關業(yè)務在計算機網(wǎng)絡系統(tǒng)上安全運行，它的脆弱性可能給信息化系統(tǒng)帶來致命威脅。理工先河以業(yè)務運行實際面臨的威脅為依據(jù)，為應用安全提供的評估措施有：業(yè)務軟件的程序安全性測試(Bug分析)、業(yè)務交往的防抵賴測試、業(yè)務資源的訪問控制驗證測試、業(yè)務實體的身份鑒別檢測、業(yè)務現(xiàn)場的備份與恢復機制檢查、業(yè)務數(shù)據(jù)的惟一性/一致性/防沖突檢測、業(yè)務數(shù)據(jù)的保密性測試、業(yè)務系統(tǒng)的可靠性測試、業(yè)務系統(tǒng)的可用性測試。 　　測試實施后，可有針對性地為業(yè)務系統(tǒng)提供安全建議、修復方法、安全策略和安全管理規(guī)范。 　　2.6運行安全 　　運行安全可保障系統(tǒng)的穩(wěn)定性，較長時間內(nèi)將網(wǎng)絡系統(tǒng)的安全控制在一定范圍內(nèi)。理工先河為運行安全提供的實施措施有：應急處置機制和配套服務、網(wǎng)絡系統(tǒng)安全性監(jiān)測、網(wǎng)絡安全產(chǎn)品運行監(jiān)測、定期檢查和評估、系統(tǒng)升級和補丁提供、跟蹤最新安全漏洞、災難恢復機制與預防、系統(tǒng)改造管理、網(wǎng)絡安全專業(yè)技術(shù)咨詢服務。運行安全是一項長期的服務，包含在網(wǎng)絡安全系統(tǒng)工程的售后服務內(nèi)。 　　2.7管理安全 　　管理安全對以上各個層次的安全性提供管理機制，以網(wǎng)絡系統(tǒng)的特點、實際條件和管理要求為依據(jù)，利用各種安全管理機制，為用戶綜合控制風險、降低損失和消耗，促進安全生產(chǎn)效益。理工先河為管理安全設置的機制有：人員管理、培訓管理、應用系統(tǒng)管理、軟件管理、設備管理、文檔管理、數(shù)據(jù)管理、操作管理、運行管理、機房管理。 　　3.產(chǎn)品部署  　　銀行的各種重大數(shù)據(jù)都集中在服務器，從而也成為黑客們攻擊的主要對象。因此，服務器的安全是銀行系統(tǒng)安全的重中之重。一旦服務器上存放的數(shù)據(jù)被竊取、篡改、破壞、刪除，其后果非常嚴重。 　　要保障銀行安全，除了要部署目前已經(jīng)得到廣泛應用的防火墻和防病毒產(chǎn)品外，入侵檢測、主機保護等產(chǎn)品或工具也是必不可少的。 　　設置安全檢測和攻擊預警系統(tǒng)的目的是：運用成熟的攻擊、反攻擊技術(shù)，分析已知的系統(tǒng)安全漏洞和薄弱環(huán)節(jié)。安全檢測可以在不安全因素被誘發(fā)之前，消除系統(tǒng)可能的安全隱患。攻擊預警系統(tǒng)可以實時發(fā)現(xiàn)網(wǎng)絡攻擊，阻撓不安全用戶進入系統(tǒng)。 　　入侵檢測的主要安全需求是：根據(jù)網(wǎng)絡攻擊的特征，在被保護網(wǎng)絡的入口處進行實時監(jiān)測。發(fā)現(xiàn)攻擊時，向管理員報警并阻斷、記錄攻擊的來源；針對系統(tǒng)掃描以及實時監(jiān)測發(fā)現(xiàn)的系統(tǒng)漏洞，及時采取措施，實施動態(tài)的安全防衛(wèi)策略；     4.解決的各種安全問題及產(chǎn)品作用 　　作為整個系統(tǒng)的核心，“金海豚?”系統(tǒng)在整個系統(tǒng)中處在關鍵的位置，整個系統(tǒng)的聯(lián)動防護正是由“金海豚?”系統(tǒng)進行統(tǒng)一運作的。 　　4.1關鍵服務器的監(jiān)測 　　“金海豚?”網(wǎng)絡動態(tài)防護系統(tǒng)可實現(xiàn)對關鍵服務器的運行狀態(tài)和用戶行為進行主動實時監(jiān)測。當被監(jiān)測的服務器系統(tǒng)受到攻擊時，它能及時向管理員報警，并主動執(zhí)行預設地響應行為，如封鎖或斷開，并記錄攻擊過程，保護整個系統(tǒng)的安全，并為事后引用法律手段提供依據(jù)。 　　4.2三平臺架構(gòu)，保障系統(tǒng)安全和正常運行 　　目前，銀行的信息系統(tǒng)的一大特點就是，其服務器本身負載已經(jīng)相當大，在考慮安全的同時，更要考慮到部署的安全產(chǎn)品是否影響系統(tǒng)的正常運行。“金海豚?”網(wǎng)絡動態(tài)防護系統(tǒng)的“三平臺架構(gòu)”解決了這一矛盾。它采用信息采集—信息分析—管理相分離的結(jié)構(gòu)，形成代理系統(tǒng)-中控系統(tǒng)-管理系統(tǒng)的三平臺架構(gòu)。我們只需要在服務器上安裝代理系統(tǒng)采集信息，而數(shù)據(jù)分析則由理工先河的中控系統(tǒng)來完成，再通過管理平臺實現(xiàn)相應的報警與響應功能。它可以實現(xiàn)在不影響系統(tǒng)的正常運行，基本不增加系統(tǒng)負載的情況下，對服務器的保護。 　　4.3實現(xiàn)多臺服務器統(tǒng)一保護，集中控制 　　銀行系統(tǒng)中需要保護的服務器比較多?！敖鸷ｋ?”網(wǎng)絡動態(tài)防護系統(tǒng)的一臺中控系統(tǒng)，可以保護多達八臺服務器。當增加新的服務器時，只需要在新增的服務器上加裝檢測代理系統(tǒng)即可。通過控制系統(tǒng)，對分析系統(tǒng)和檢測系統(tǒng)實現(xiàn)分布式管理和策略的集中分發(fā)，使得部署在復雜的銀行網(wǎng)絡環(huán)境中的主機的檢測工作既方便又快捷，只需通過控制系統(tǒng)遠程管理即可。 　　4.4主動、動態(tài)防護，防范未知安全風險 　　“金海豚”動態(tài)防護系統(tǒng)采取異常檢測與濫用檢測相結(jié)合的分析方式，深入分析了用戶通過合法途徑訪問系統(tǒng)的特點，建立了完備的“專家系統(tǒng)”，同時也歸納了常見的入侵方式的特征，采用“以不變應萬變的策略”，將未經(jīng)過合法手段和授權(quán)而獲得訪問權(quán)限的行為視為對系統(tǒng)的攻擊，從而淡化了已知攻擊與未知攻擊的界限，因此可有效地檢測幾乎所有旨在獲取權(quán)限或非法訪問數(shù)據(jù)的攻擊手段（無論是“已知的”還是“未知的”）。 　　“專家系統(tǒng)”的建立，