- 相關(guān)推薦
淺談銀行計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全防范
淺談銀行計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全防范
張 玫
中國工商銀行安徽省分行
摘要 從近幾年金融犯罪的手段來看,銀行的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)已成為一些罪犯侵犯的對象和渠道。因此,其安全問題不僅是當(dāng)前銀行的重點(diǎn)工作,也應(yīng)一直作為銀行日常的重點(diǎn)工作。筆者根據(jù)近幾年的工作實(shí)踐,談?wù)剬Π踩ぷ鞯囊恍┛捶ā?o:p>
關(guān)鍵詞 網(wǎng)絡(luò) 安全 管理 防范
一. 銀行系統(tǒng)主要面臨的網(wǎng)絡(luò)安全問題
1. 計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的實(shí)體遭到破壞
實(shí)體是指網(wǎng)絡(luò)中的關(guān)鍵設(shè)備,包括各類計(jì)算機(jī)(服務(wù)器、工作站等)、網(wǎng)
絡(luò)通信設(shè)備(路由器、交換機(jī)、集線器、調(diào)制解調(diào)器、加密機(jī)等)、存放數(shù)據(jù)的媒體(磁帶機(jī)、磁盤機(jī)、光盤等)、傳輸線路、供配電系統(tǒng)以及防雷系統(tǒng)和抗電磁干擾系統(tǒng)等。這些設(shè)備不管哪一個(gè)環(huán)節(jié)出現(xiàn)問題,都會給整個(gè)網(wǎng)絡(luò)帶來災(zāi)難性的后果。這類問題,一部分由于系統(tǒng)設(shè)計(jì)不合理造成,一部分由于內(nèi)部工作人員責(zé)任心不強(qiáng)、不按規(guī)定操作、麻痹大意造成,一部分是來自外部的惡意破壞。
2. 內(nèi)部人員利用網(wǎng)絡(luò)實(shí)施金融犯罪
據(jù)有關(guān)調(diào)查顯示,在已破獲的采用計(jì)算機(jī)技術(shù)進(jìn)行金融犯罪的人員中
,內(nèi)部人員占到75%,其中內(nèi)部授權(quán)人員占到58%。他們方便地利用所授的權(quán)利,輕松地對網(wǎng)絡(luò)中的數(shù)據(jù)進(jìn)行刪除、修改、增加,轉(zhuǎn)移某些帳戶的資金,達(dá)到挪用、盜用的目的。更為嚴(yán)重的是預(yù)設(shè)“后門”,“后門”就是信息系統(tǒng)中未公開的通道,在用戶未授權(quán)的情況下,系統(tǒng)的設(shè)計(jì)者或其他技術(shù)人員可以通過這些通道出入系統(tǒng)而不被用戶發(fā)覺,這類行為不僅損害客戶的利益,大大影響銀行在民眾中的信譽(yù),更為嚴(yán)重的是“后門”成為黑客入侵系統(tǒng)的突破口危及整個(gè)系統(tǒng)的安全性和數(shù)據(jù)的安全性。
3. 遭受各類黑客的侵犯和破壞
存儲和運(yùn)行在銀行計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的信息、數(shù)據(jù),不僅本質(zhì)上代表著資金的運(yùn)動,而且從微觀上能反映某些企業(yè)的經(jīng)濟(jì)活動,從宏觀上能折射出國家的經(jīng)濟(jì)運(yùn)行情況。因此,在經(jīng)濟(jì)競爭如此激烈的當(dāng)今時(shí)代,銀行網(wǎng)絡(luò)系統(tǒng)必然遭到各類黑客的“親睞”。有的通過監(jiān)視網(wǎng)絡(luò)數(shù)據(jù)截取信息,從事經(jīng)濟(jì)領(lǐng)域的間諜活動;有的未經(jīng)授權(quán)擅自對計(jì)算機(jī)系統(tǒng)的功能進(jìn)行修改;有的進(jìn)行信用卡詐騙和盜用資金;有的進(jìn)行惡意破壞,造成通信流量堵塞;我國的電子商務(wù)工作屢遭挫折,很多原因是遭遇黑客,如2000年3月30日金融CA認(rèn)證中心(由國內(nèi)12家銀行發(fā)起的保障企業(yè)進(jìn)行電子商務(wù)交易的組織)試發(fā)證書的消息公布不到1小時(shí),認(rèn)證中心就遭到黑客的攻擊。
4.
面臨名目繁多的計(jì)算機(jī)病毒的威脅
計(jì)算機(jī)病毒數(shù)據(jù),將導(dǎo)致計(jì)算機(jī)系統(tǒng)癱瘓,程序和數(shù)據(jù)嚴(yán)重破壞,使網(wǎng)絡(luò)的效率和作用大大降低,使許多功能無法使用或不敢使用。雖然,至今尚未出現(xiàn)災(zāi)難性的后果,但層出不窮的各種各樣的計(jì)算機(jī)病毒活躍在各個(gè)角落,大有一觸即發(fā)之勢,令人堪憂。
二. 銀行計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全防范工作
筆者認(rèn)為,銀行計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全防范工作是一個(gè)極為復(fù)雜的系統(tǒng)
工程,是人防和技防相結(jié)合的工程方案。在目前法律法規(guī)尚不完善的情況下,首先是各級領(lǐng)導(dǎo)的重視,加強(qiáng)工作人員的責(zé)任心和防范意識,自覺執(zhí)行各項(xiàng)安全制度,在此基礎(chǔ)上,再采用一些先進(jìn)的技術(shù)和產(chǎn)品,構(gòu)造全方位的防御機(jī)制,使系統(tǒng)在理想的狀態(tài)下運(yùn)行。
1. 加強(qiáng)安全制度的建立和落實(shí)工作
安全制度的建立也是一門科學(xué)。一定要根據(jù)本單位的實(shí)際情況和所采用
的技術(shù)條件,參照有關(guān)的法規(guī)、條例和其他單位的版本,制定出切實(shí)可行又比較全面的各類安全管理制度。主要有:操作安全管理制度、場地與實(shí)施安全管理制度、設(shè)備安全管理制度、操作系統(tǒng)和數(shù)據(jù)庫安全管理制度、計(jì)算機(jī)網(wǎng)絡(luò)安全管理制度、軟件安全管理制度、密鑰安全管理制度、計(jì)算機(jī)病毒防治管理制度等。
制度的建立切不能流于形式,重要的是落實(shí)和監(jiān)督。尤其是在一些細(xì)小的環(huán)節(jié)上更要注意。如系統(tǒng)管理員應(yīng)定期及時(shí)審查系統(tǒng)日志和記錄。重要崗位人員調(diào)離時(shí),應(yīng)進(jìn)行注銷,并更換業(yè)務(wù)系統(tǒng)的口令和密鑰,移交全部技術(shù)資料,但不少人往往忽視執(zhí)行這一措施的及時(shí)性。還有防病毒制度規(guī)定,要使用國家有關(guān)主管部門批準(zhǔn)的正版查毒殺毒軟件適時(shí)查毒殺毒,而不少人使用盜版殺毒軟件,使計(jì)算機(jī)又染上了其他病毒。
另外,要強(qiáng)化工作人員的安全教育和法制教育,真正認(rèn)識到計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的重要性和解決這一問題的長期性、艱巨性及復(fù)雜性。決不能有依賴于先進(jìn)技術(shù)和先進(jìn)產(chǎn)品的思想。技術(shù)的先進(jìn)永遠(yuǎn)是相對的。俗話說:“道高一尺,魔高一丈”,今天有矛,明天就有盾。安全工作始終在此消彼長的動態(tài)過程中進(jìn)行。只有依靠人的安全意識和主觀能動性,才能不斷地發(fā)現(xiàn)新的問題,不斷地找出解決問題的對策。
2. 構(gòu)造全方位的防御機(jī)制
筆者認(rèn)為,衡量一個(gè)網(wǎng)絡(luò)系統(tǒng)的安全性如何,至少應(yīng)能保證其數(shù)據(jù)的保
密性、完整性、可使用性及可審計(jì)性等。為達(dá)到這些要求應(yīng)采用如下的防御機(jī)制:
要保證處于聯(lián)機(jī)數(shù)據(jù)文件系統(tǒng)或數(shù)據(jù)庫之中的以及網(wǎng)絡(luò)傳輸當(dāng)中的保密信息不會非法地主動地或被動地提供給非授權(quán)人員,系統(tǒng)資源只能被擁有資源訪問權(quán)的用戶所訪問,能鑒別訪問用戶身份,保證合法用戶對系統(tǒng)資源的訪問和使用。其防御機(jī)制是:除了對關(guān)鍵數(shù)據(jù)進(jìn)行級別較高的加密外,還要建立訪問控制體系,根據(jù)信息密級和信息重要性劃分系統(tǒng)安全域,在安全域之間用安全保密設(shè)備(加密機(jī)、防火墻、保密網(wǎng)關(guān)等),通過存取矩陣來限制用戶使用方式,如只讀、只寫、可讀寫、可修改、可完全控制等。
要使信息的安全性、精確性、有效性不因種種不安全因素而降低,不會使存儲在數(shù)據(jù)庫中以及在網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)遭受任何形式的插入、刪除、修改或重發(fā),保證合法用戶讀取、接收或使用的數(shù)據(jù)的真實(shí)性。其防御機(jī)制是除了安裝“防火墻”和計(jì)算機(jī)病毒防治措施之外,還要建立良好的備份和恢復(fù)機(jī)制,形成多層防線。主要設(shè)備、軟件、數(shù)據(jù)、電源等都有備份,并具有在較短時(shí)間內(nèi)恢復(fù)系統(tǒng)運(yùn)行的能力。
要使合法的用戶能正常訪問網(wǎng)絡(luò)的資源,有嚴(yán)格時(shí)間要求的服務(wù)能得到及時(shí)響應(yīng),不會因系統(tǒng)的某些故障或誤操作而使資源丟失,或妨礙對資源的使用,即使在某些不正常條件下也能正常運(yùn)行。其防御機(jī)制主要靠系統(tǒng)本身所設(shè)計(jì)的功能來實(shí)現(xiàn)。
要使網(wǎng)絡(luò)系統(tǒng)中的每一項(xiàng)操作都留有痕跡,記錄下操作的各種屬性,并保留必要的時(shí)限,以使各種犯罪行為有案可查。其關(guān)鍵是建立監(jiān)控體系和審計(jì)系統(tǒng)。集中式審計(jì)系統(tǒng)將各服務(wù)器和安全保密設(shè)備中的審計(jì)信息收集、整理、分析匯編成審計(jì)報(bào)表,用來處理絕密級信息或信息內(nèi)容,特別重要的涉密系統(tǒng),分布式審計(jì)系統(tǒng)的審計(jì)存放在各服務(wù)器和安全保密設(shè)備上,用于系統(tǒng)安全保密管理員審查。
3.
采用先進(jìn)的技術(shù)和產(chǎn)品
要構(gòu)造上述的防御機(jī)制,保證計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全性,還要采用一些先進(jìn)的技術(shù)和產(chǎn)品。目前主要采用的相關(guān)技術(shù)和產(chǎn)品有以下幾種。
①“防火墻”技術(shù)
“防火墻”是近年發(fā)展起來的一種重要安全技術(shù),是通過對網(wǎng)絡(luò)作拓?fù)浣Y(jié)構(gòu)和服務(wù)類型上的隔離來加強(qiáng)網(wǎng)絡(luò)安全的一種手段,它是電腦網(wǎng)絡(luò)之間的一種特殊裝置,主要用來接收數(shù)據(jù),確認(rèn)其來源及去處,檢查數(shù)據(jù)的格式及內(nèi)容,并依照用戶的規(guī)則傳送或阻止數(shù)據(jù)。其類別主要有:應(yīng)用層網(wǎng)關(guān)、包過濾網(wǎng)關(guān)、代理服務(wù)器等,它可與路由器結(jié)合,按不同要求組成配置功能各異的防火墻。
②加密型網(wǎng)絡(luò)安全技術(shù)
這一類技術(shù)的特征是利用現(xiàn)代的數(shù)據(jù)加密技術(shù)來保護(hù)網(wǎng)絡(luò)系統(tǒng)中包括用
戶數(shù)據(jù)在內(nèi)的所有數(shù)據(jù)流,只有指定的用戶或網(wǎng)絡(luò)設(shè)備才能夠解譯加密數(shù)據(jù),從而在不對網(wǎng)絡(luò)環(huán)境作特殊要求的前提下從根本上保證網(wǎng)絡(luò)信息的完整性和可用性。這種以數(shù)據(jù)和用戶確認(rèn)為基礎(chǔ)的開放型安全保障技術(shù)是比較適用的,是對網(wǎng)絡(luò)服務(wù)影響較小的一種途徑,可望成為網(wǎng)絡(luò)安全問題的最終的一體化解決途徑。
③漏洞掃描技術(shù)
漏洞掃描是自動檢測遠(yuǎn)端或本地主機(jī)安全脆弱點(diǎn)的技術(shù),通過執(zhí)行一些腳本文件對系統(tǒng)進(jìn)行攻擊并記錄它的反應(yīng),從而發(fā)現(xiàn)其中的漏洞。它查詢TCP/IP端口,并記錄目標(biāo)的響應(yīng),收集關(guān)于某些特定項(xiàng)目的有用信息,如正在進(jìn)行的服務(wù),擁有這些服務(wù)的用戶,是否支持匿名登錄,是否有某些網(wǎng)絡(luò)服務(wù)需要鑒別等,可以用來為審計(jì)收集初步的數(shù)據(jù)。
④入侵檢測技術(shù)
入侵檢測可被定義為對計(jì)算機(jī)和網(wǎng)絡(luò)資源上的惡意使用行為進(jìn)行識別和
響應(yīng)的處理過程。它不僅檢測來自外部的入侵行為,同時(shí)也檢測內(nèi)部用戶的未授權(quán)活動,還能發(fā)現(xiàn)合法用戶濫用特權(quán),提供追究入侵者法律責(zé)任的有效證據(jù)。該技術(shù)通過分析入侵過程的特征、條件、排列以及事件間的關(guān)系,具體描述入侵行為的跡象,這些跡象不僅對分析已經(jīng)發(fā)生的入侵行為有幫助,而且對即將發(fā)生的入侵也有警戒作用。
總之,銀行計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全工作不是一朝一夕的工作,而是一項(xiàng)長期的任務(wù),需要全體員工的參與和努力,同時(shí)要加大投入引進(jìn)先進(jìn)技術(shù),建立嚴(yán)密的安全防范體系,并在制度上確保該體系功能的實(shí)現(xiàn)。
【淺談銀行計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全防范】相關(guān)文章:
淺談計(jì)算機(jī)系統(tǒng)的安全防范08-12
淺談計(jì)算機(jī)系統(tǒng)的安全防范08-15
淺談我院信息管理網(wǎng)絡(luò)系統(tǒng)實(shí)施經(jīng)驗(yàn)08-06
銀行安全防范心得體會12-19
淺談新型金融犯罪的懲治和防范08-16
淺談新型金融犯罪的懲治和防范08-15
淺談分公司防范風(fēng)險(xiǎn)的幾點(diǎn)建議07-27