1、银行网络安全防范措施银行网络安全防范措施 建行北京分行石景山支行 郭亚力 随着金融业务的拓展与金融电子化进程的加快,计算机网络通信技术在金融领域中的应用越来越广。与此同时,金融电子化也带来了高科技下的新风险。计算机系统本身的不安全和人为的攻击破坏,以及计算机安全管理制度的不完善都潜伏着很多安全隐患,严重的可能导致计算机系统的瘫痪,影响银行的业务和声誉,造成巨大的经济损失和不良的社会影响。因此,加强银行网络系统安全体系的建设,保证其正常运行,防范犯罪分子对它的入侵,已成为金融电子化建设中极为重要的工作。 网络安全的基本要求是保密、完整、可用、可控和可审查。从技术角度讲,银行网络系统的安全体系应包
2、括: 操作系统和数据库安全、加密技术、访问控制、身份认证、攻击监控、防火墙技术、防病毒技术、备份和灾难恢复等。从管理角度看,应着力健全计算机管理制度和运行规程,加强员工管理,不断提高员工的安全防范意识和责任感,杜绝内部作案的可能性,建立起良好的故障处理反应机制。 网络系统技术安全措施 1. 操作系统及数据库 操作系统是计算机最重要的系统软件,它控制和管理着计算机系统的硬件和软件资源,是计算机的指挥中枢。目前银行网络系统常用的操作系统有 Unix、Windows NT 等,安全等级都是 C2 级,可以说是相对安全、严密的系统,但并非无懈可击。 许多银行业务系统使用 Unix 网络系统,黑客可利用
3、网络监听工具截取重要数据; 利用用户使用telnet、ftp、rlogin 等服务时监听这些用户的明文形式的账户名和口令; 利用具有 suid 权限的系统软件的安全漏洞; 利用 Unix 平台提供的工具,如 finger 命令查找有关用户的信息,获得大部分的用户名; 利用 IP 欺骗技术; 利用 exrc 文件等获得对系统的控制权。针对这些安全缺陷,我们应定期检查日志文件; 检查具有suid 权限的文件 ; 检查/etc/passwd 是否被修改; 检查系统网络配置中是否有非法项 ; 检查系统上非正常的隐藏文件; 检查/etc/inetd.conf 和 /etc/rc2.d/*文件,并采取以下
4、措施 : 1)及时安装操作系统的补丁程序; 2)将系统的安全级别设置为最高,停止不必要的服务,该关的功能关闭; 3)安装过滤路由器; 4)加强账号和口令的安全管理,定期检查/etc/passwd 和/etc/shadow 文件,经常更换各账号口令,查看 su 日志文件和拒绝登录消息日志文件。 对于 Windows NT 网络系统,可采取以下措施: 1)使用 NTFS 文件系统,它可以对文件和目录使用 ACL存取控制表; 2)将系统管理员账号由原先的“Administrator”改名,使非法登录用户不但要猜准口令,还要先猜出用户名; 3)对于提供 Internet 公共服务的计算机,废止 Gue
5、st 账号,移走或限制所有的其他用户账号; 4)打开审计系统,审计各种操作成功和失败的情况,及时发现问题前兆,定期备份日志文件; 5)及时安装补丁程序。 数据库的安全就是要保证数据库信息的完整、保密和可用。通常用安全管理、存取控制和数据加密来实现。安全管理一般分为集中控制和分散控制两种方式。集中控制就是由单个授权者来控制系统的整个安全维护,分散控制则是采用不同的管理程序控制数据库的不同部分。存取控制包括最小特权策略(用户只能了解与自己工作有关的信息,其他信息被屏蔽) 、最大共享策略(信息在保密控制条件下得到最大共享,并不是随意存取信息) 、开放与封闭系统(开放: 不明确禁止,即可访问; 封闭:
6、 明确授权,才能访问) 、按名存取策略、按上下文存取策略、按存取历史的存取策略等。数据加密可从三个方面进行,即库内加密(库内的一条记录或记录的某一属性作为文件被加密) 、整库加密(整个数据库包括数据结构和内容作为文件被加密)和硬件加密。 2. 网络加密技术 网络加密的目的是保护网上传输的数据、文件、口令和控制信息的安全。 (1)加密方式: 信息加密处理通常有两种方式: 链路加密和端到端加密。 链路加密是对两节点之间的链路上传送的数据进行加密,不适用于广播网。 端到端加密是对源节点和目的节点之间传送的数据所经历的各段链路和各个中间节点进行全程加密。端到端加密不仅适用于互联网,也适用于广播网。 基
7、于链路加密和端到端加密各有特点,为提高网络的安全性,可综合使用这两种技术。具体说就是链路加密用来对控制信息进行加密,而端到端加密仅对数据提供全程加密。 (2)加密算法 如果按收发双方的密钥是否相同来分类,可将这些加密算法分为常规密码算法(对称型加密)和公钥密码算法(非对称型加密) 。此外,还有一种加密算法是不可逆加密算法。 上述三种信息加密算法在实际工作中可单独或结合使用。物理层、链路层和网络层使用的加密设备一般运用常规加密算法(如 DES); 远程访问服务中使用的一次性口令技术和 Cisco 路由器的 Enable Secret 口令一般采用不可逆加密算法 MD5; 基于 PKI 认证技术和
8、 SET 协议则综合采用了不可逆加密、非对称加密、对称加密和数字签名等多种技术。 3. 网络安全访问控制 访问控制的主要任务是保证网络资源不被非法使用和非法访问,也是维护网络系统安全,保护网络资源的重要手段。通过对特定的网段和服务建立有效的访问控制体系,可在大多数的攻击到达之前进行阻止,从而达到限制非法访问的目的。这包括链路层和网络层的安全访问控制,以及远程用户访问的安全访问控制。可采取的安全措施有: VLAN 划分、访问控制列表(ACL) 、用户授权管理、 TCP 同步攻击拦截和路由欺骗防范等。 4. 身份认证 5. 网络入侵检测系统 入侵检测技术是近年出现的新型网络安全技术,是对入侵行为的
9、监控,它通过对网络或计算机系统中的若干关键点收集信息并进行分析,从中发现网络或系统中是否有违反安全策略的行为或被攻击的迹象。利用实时入侵检测技术,可对特定网段、主机和服务建立攻击监控体系,有效阻止外部黑客的入侵和来自内部网络的攻击。 6. 网络防火墙技术 防火墙就是在内部网与外部网之间建立的一种被动式防御的访问控制技术,它能够在网络的入口处,根据IP 源地址、IP 目标地址、协议端口以及数据包的状态等信息,对发送和接受的每一个数据包进行过滤监测,并根据用户事先定义好的过滤规则,拒绝或允许 IP 数据包的通过,在必要时将有关信息反馈给上层应用程序。 防火墙的主要技术类型包括网络级数据包过滤和应用
10、代理服务(应用网关) 。鉴于两种防火墙技术的优缺点,在实际构建防火墙系统时,常将两种技术配合使用,由过滤路由器提供第一级安全保护,主要用于防止 IP 欺骗攻击,再由代理服务器提供更高级的安全保护机制。 7. 防病毒技术 8. 备份和灾难恢复 备份和灾难恢复是对银行网络系统工作中可能出现的各种灾难情况(如计算机病毒、系统故障、自然灾害、人为破坏等)进行的保证系统及数据连续性和可靠性的一种防范措施。银行网络系统业务主机和服务器的备份方式一般可采取双机备份、磁盘镜像或容错等技术,备份机要远离生产机。可采用 EMC 智能存储系统的 SRDF 远程磁盘镜像技术等作为数据备份技术,生产中心和备份中心之间通
11、过直连光缆实现数据备份通道。 数据备份包括系统数据、基础数据、应用数据等的备份,采用传统的磁盘、磁带、光盘作为介质,根据数据的重要程度和不同要求分不同的期限实行本地和异地双备份保存。 网络系统安全管理措施 银行网络系统的安全性不仅与硬件、网络、系统等技术方面有关,还与它的管理和使用有着极为密切的关系。 1 加强基础设施和运行环境建设 计算机机房、配电室、交换机机房等计算机系统重要基础设施应严格管理,配备防盗、防火、防水等设备;安装电视监控系统、监控报警等装置; 计算机设备采用 UPS 不间断电源供电(重要机房可采用双回路供电或配备发电机组); 设备要可靠接地; 供电、通信线路要布线整齐、规范、
12、连接牢靠; 机房环境要干净、整洁,保持特定的温度和湿度。 2 加强设备管理和使用工作 建立包括设备购置管理、设备使用管理、设备维修管理和设备仓储管理等内容的规章制度。计算机管理部门要定期对设备运行环境、设备运行状况、各项规章制度、操作规程的执行情况进行检查,对发现的问题及时解决,确保计算机系统的安全、可靠运行。 3 建立健全安全管理内控制度 建立业务部门计算机系统使用管理规定、部门主管和业务操作人员计算机密码管理规定、违反计算机管理规章制度处理办法等内控管理制度; 严格实行运行、维护、开发分离的岗位责任制; 禁止混岗和代岗,禁止公用和公开密码; 对重要数据的改账处理要经过授权由专人负责,并登记日志; 建立健全备份制度,核心程序及数据结构要严格保密,实行专人分工保管; 对已制定的规章制度,要专人负责,真正落实,从根本上杜绝内部安全隐患。 4 加强银行员工思想和安全意识教育 一方面对员工要进行经常的思想道德水平和法制观念教育,培养他们自觉抵制各种诱惑的能力,使他们不违法、不犯罪; 另一方面要提高员工的安全防范意识和能力,不给犯罪分子以可乘之机。
