银行作为特殊的企业,信息系统的安全一直是大家关注的问题。伴随着金融电子化建设的不断发展,银行已实现了对公、储蓄、联行等传统业务的电子化,计算机及网络通信等技术在银行的广泛应用和不断扩展,推动了各项业务的发展和创新,对提高银行管理水平和服务质量,发挥了积极作用,同时网上银行、自助银行等新型业务的出现,又使金融电子化成为银行赖以生存和发展的基础。随着银行业对计算机网络系统的依赖程度增加,金融产品的不断创新,新技术在给业务带来巨大方便、高效的同时,也带来了巨大的风险。各银行内联网实行的一般是“总行~二级分行(省会中心支行)~地市中心支行~县支行”的Internet网络,每个节点上都或多或少与外界存在着联系,因此银行计算机网络面临着越来越严峻的考验,而作为各级节点的银行大楼局域网也成为整个信息系统安全的最重要环节。
一、局域网上所面临的安全问题
内部管理问题:局域网管理方面的安全措施占全部安全措施的相当比例,而且是不可或缺的措施,大量事实表明在计算机系统受到的危害中,很多是由于管理不善或控制不严造成的。责权不明、管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。如一些员工或管理员有意无意泄漏他们所知道的一些重要信息,而管理上却没有相应制度来约束;当网络出现攻击行为或网络受到其它一些安全威胁时(如内部人员的违规操作等),无法进行实时的检测、监控、报告与预警;当事故发生后,却无法提供攻击行为的追踪线索及破案依据;当雇员离开银行或者其角色改变的时候,其准入特权没有被立即收回或者更改等。
黑客攻击:目前的局域网基本上都采用以广播为技术基础的以太网,任何两个节点之间的通信数据包,不仅为这两个节点的网卡所接收,也同时为处在同一以太网上的任何一个节点的网卡所截取。因此,心怀叵测者只要接入以太网上的任一节点进行侦听,就可以捕获发生在这个以太网上的所有数据包,对其进行解包分析,从而窃取关键信息。远景研究公司的一份报告说:“大多数与电脑安全相关的犯罪活动来自于内部。”该公司估计,在涉及超过10万美元损失的案例当中,有70%是内部犯罪,常常是心怀不满的内部人员所为,因此防范不严的局域网很容易为不法者作案提供便利。
病毒攻击:近年来,各种各样的计算机病毒层出不穷,尤其是蠕虫病毒,更让人防不胜防。这种病毒利用操作系统和应用程序的漏洞主动进行攻击,利用多种传播方式传播,并容易产生变种,以逃脱防病毒软件的搜索。银行局域网主要应用于文件和打印服务共享、办公自动化系统、业务系统等,网络具有便利信息交换特性,蠕虫病毒可以充分利用网络快速传播,阻塞网络,给信息系统造成巨大破坏。
银行计算机网络的安全防范是一项复杂的系统工程,它不仅是一个技术问题,而且是管理问题。技术是必要条件,但并不是充分条件。笔者认为,新形势下,确保银行局域网安全,应从以下几方面入手:
二、提高认识、抓制度建设和落实
1.根据银行发展的总体要求,逐步健全一套安全管理机制,加强规范管理和制度控制。
制定一系列安全管理制度用于规范银行管理和操作人员的行为,明确具体责任,制度要有很强的可操作性,只有这样,才能保证它的有效实施。如制定相应的机房出入管理制度,口令密码管理制度等;制定严格的操作规程,操作规程要根据职责分离和对人负责的原则,各负其责,不能超越自己的管辖范围;制定完善的系统维护制度,详细记录故障原因、维护内容和维护前后的情况。
2.加强人员培训和法制教育
做好银行系统计算机安全工作,必须有一批专门的人才。这些人必须要懂技术、有经验、会管理、有责任心,还要有相当的银行业务知识。要加强对计算机安全保障人员的业务培训和法制教育,使他们真正认识到计算机网络系统安全的重要性和解决这一问题的长期性、艰巨性及复杂性,决不能有单纯依赖于先进技术和先进设备的思想,技术的先进永远是相对的。
三、加大投入,使用先进技术和高端设备
1.使用放火墙技术和非法外联检测技术
将银行的内联网与外部网络通过防火墙连接,根据实际情况,设置相应的安全策略,开放相应的端口,控制系统间的互访。防火墙本身具有较强的抗攻击能力,目前防火墙分为包过滤、应用代理及状态检查等几类。防火墙作为网络安全体系的基础和核心控制设备,它贯穿于受控网络通信主干线,对通过受控干线的任何通信行为进行安全处理,如控制、审计、报警、反应等,同时也承担着繁重的通信任务,它是提供信息安全服务,实现网络和信息安全的基础设施。但使用了防火墙并不代表着万无一失,局域网内经常有用户通过拨号非法外联,给入侵者提供了一个后门,因此必须使用如中华箭系列的防非法外联软件,对网络连接状况进行实时监控。
目前的VLAN技术主要有三种:基于交换机端口的VLAN、基于节点MAC地址的VLAN和基于应用协议的VLAN。基于端口的VLAN虽然稍欠灵活,但却比较成熟,在实际应用使用较多。我们可以将重要的主机系统集中到一个VLAN里,使这个VLAN里不允许有任何用户节点,从而较好地保护敏感的主机资源,通过设置访问控制列表,允许授权用户对该VLAN的访问;也可以按机构或部门的设置来划分VLAN,各部门内部的所有服务器和用户节点都在各自的VLAN内,互不侵扰。
3.使用高效网络防病毒软件
在局域网内建立病毒扫描、杀灭的监管系统,对网络内计算机及网络设备进行病毒查杀。目前国内厂商开发的防病毒软件大多为单机版,需要不定期更新病毒代码,给管理人员增加了工作量,同时也无法对局域网内病毒的发生进行实时监控,而使用网络防病毒软件,便可解决这些问题。只要及时更新防病毒服务器的病毒代码,局域网内的客户端便能在很短时间内全部自动更新,管理员也能在系统控制中心进行监控,并可以为不同的客户端制定不同的病毒防治策略,真正做到集中控制和实时监控。
4.建立入侵检测系统
网络入侵是威胁计算机或网络的安全机制的行为,入侵可能是来自外联网络的攻击者对系统的非法访问,也可能是系统的授权用户对未授权的内容进行的非法访问。入侵检测就是对发生在计算机系统或者网络上的事件进行监视,分析是否出现入侵的过程。入侵监测系统处于防火墙之后,对网络活动进行实时监测;许多情况下,由于它可以记录和禁止网络活动,所以入侵监测系统应是防火墙的延续。防火墙看起来好像可以满足系统管理员的一切需求,然而,随着内部人员的攻击行为和产品自身问题的增多,新的攻击技术等,这些都给防火墙带来了严重的威胁,IDS由于能够在防火墙内部监测非法的活动,这使它变得越来越必要。
5.建立漏洞检测系统
网络漏洞检测系统是一种积极主动的安全防护技术,在网络系统受到危害之前,及时发现安全隐患和漏洞,预先提供安全防护解决方案。它利用模拟黑客攻击的技术手段,对不同操作系统下的计算机或网络设备进行漏洞和隐患检测,进而分析和指出网络的安全漏洞及被测系统的薄弱环节,给出安全评估报告和安全建议,使网络安全员能在系统遭到攻击前能采取措施,避免攻击的发生。
银行信息系统安全性总的原则应该是:制度与技术并重。建立严密的计算机管理规章制度、操作规程,形成内部人员、部门、各应用系统的相互制约关系,杜绝内部作案的可能性。加大安全系统的建设投入,建立良好的故障处理反应机制。加强安全保障措施,防止非法入侵,保障银行信息系统的安全正常运行。总之,随着金融电子化的不断向前发展,面临的网络安全问题也将越来越严峻,只有充分利用先进的网络技术和先进的安全管理手段,坚持技术保障和管理措施两手同时抓,才能建立起一套真正行之有效的网络安全防护体系,才能保证银行网络信息的安全。
