網(wǎng)絡(luò)技術(shù)在銀行中的應(yīng)用范圍不斷擴(kuò)大

申請免費(fèi)試用、咨詢電話：400-8352-114

1.前言 　　隨著我國金融改革的不斷推進(jìn)，網(wǎng)絡(luò)技術(shù)在銀行中的應(yīng)用范圍不斷擴(kuò)大。電子化的應(yīng)用，給銀行業(yè)務(wù)帶來諸多便利，同時也給銀行帶來新的安全問題。隨著銀行信息化的不斷深入，其網(wǎng)絡(luò)安全問題已越來越受到關(guān)注。 　　2.銀行網(wǎng)絡(luò)安全分析及處理 　　為了便于分析，我們將銀行系統(tǒng)安全分為實(shí)體安全、平臺安全、數(shù)據(jù)安全、通訊安全、應(yīng)用安全、運(yùn)行安全、管理安全等幾個方面。 　　銀行網(wǎng)絡(luò)拓?fù)鋱D 　　2.1實(shí)體安全 　　實(shí)體安便信息系統(tǒng)安全的基礎(chǔ)，它包括機(jī)房安全、場地安全、機(jī)房環(huán)境/溫度/濕度/電磁/噪聲/防塵/靜電/振動、建筑/防火/防雷/圍墻/門禁、設(shè)施安全、設(shè)備可靠性、通信線路安全性、輻射控制與防泄露、動力、電源/空調(diào)、災(zāi)難預(yù)防與恢復(fù)等方面。 　　實(shí)體安全是信息系統(tǒng)安全的基礎(chǔ)。依據(jù)實(shí)體安全國家標(biāo)準(zhǔn)，將實(shí)施過程確定為以下檢測與優(yōu)化項目：機(jī)房安全、場地安全、機(jī)房環(huán)境/溫度/濕度/電磁/噪聲/防塵/靜電/振動、建筑/防火/防雷/圍墻/門禁、設(shè)施安全、設(shè)備可靠性、通信線路安全性、輻射控制與防泄露、動力、電源/空調(diào)、災(zāi)難預(yù)防與恢復(fù)等，檢測優(yōu)化實(shí)施過程按照國家相關(guān)標(biāo)準(zhǔn)和公安部的實(shí)體安全標(biāo)準(zhǔn)。 　　2.2 平臺安全 　　平臺安全泛指操作系統(tǒng)和通用基礎(chǔ)服務(wù)安全，主要用于防范黑客攻擊手段。目前市場上大多數(shù)安全產(chǎn)品均限于解決平臺安全，理工先河以信息安全評估準(zhǔn)則為依據(jù)，確定平臺安全實(shí)施過程包括以下內(nèi)容：操作系統(tǒng)漏洞檢測與修復(fù); Unix系統(tǒng)、Windows系統(tǒng)、網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)基礎(chǔ)設(shè)施漏洞檢測與修復(fù); 路由器、交換機(jī)、防火墻、通用基礎(chǔ)應(yīng)用程序漏洞檢測與修復(fù); 數(shù)據(jù)庫、Web/Ftp/Mail/DNS等其他各種系統(tǒng)守護(hù)進(jìn)程、網(wǎng)絡(luò)安全產(chǎn)品部署。平臺安全實(shí)施需要用到市場上常見的網(wǎng)絡(luò)安全產(chǎn)品，主要包括防火墻、入侵檢測、脆弱性掃描和防病毒產(chǎn)品、整體網(wǎng)絡(luò)系統(tǒng)平臺安全綜合測試/模擬入侵與安全優(yōu)化。 　　2.3數(shù)據(jù)安全 　　為防止數(shù)據(jù)丟失、崩潰和被非法訪問，理工先河以用戶需求和數(shù)據(jù)安全實(shí)際威脅為依據(jù)，為保障數(shù)據(jù)安全提供如下實(shí)施內(nèi)容：介質(zhì)與載體安全保護(hù)、數(shù)據(jù)訪問控制、系統(tǒng)數(shù)據(jù)訪問控制檢查、標(biāo)識與鑒別、數(shù)據(jù)完整性、數(shù)據(jù)可用性、數(shù)據(jù)監(jiān)控和審計、數(shù)據(jù)存儲與備份安全。 　　2.4 通訊安全 　　為防止系統(tǒng)之間通信的安全脆弱性威脅，理工先河以網(wǎng)絡(luò)通信面臨的實(shí)際威脅為依據(jù)，為保障系統(tǒng)之間通信的安全采取的措施有：通信線路和網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全性測試與優(yōu)化、安裝網(wǎng)絡(luò)加密設(shè)施、設(shè)置通信加密軟件、設(shè)置身份鑒別機(jī)制、設(shè)置并測試安全通道、測試各項網(wǎng)絡(luò)協(xié)議運(yùn)行漏洞。 　　2.5應(yīng)用安全 　　應(yīng)用安全可保障相關(guān)業(yè)務(wù)在計算機(jī)網(wǎng)絡(luò)系統(tǒng)上安全運(yùn)行，它的脆弱性可能給信息化系統(tǒng)帶來致命威脅。理工先河以業(yè)務(wù)運(yùn)行實(shí)際面臨的威脅為依據(jù)，為應(yīng)用安全提供的評估措施有：業(yè)務(wù)軟件的程序安全性測試(Bug分析)、業(yè)務(wù)交往的防抵賴測試、業(yè)務(wù)資源的訪問控制驗(yàn)證測試、業(yè)務(wù)實(shí)體的身份鑒別檢測、業(yè)務(wù)現(xiàn)場的備份與恢復(fù)機(jī)制檢查、業(yè)務(wù)數(shù)據(jù)的惟一性/一致性/防沖突檢測、業(yè)務(wù)數(shù)據(jù)的保密性測試、業(yè)務(wù)系統(tǒng)的可靠性測試、業(yè)務(wù)系統(tǒng)的可用性測試。 　　測試實(shí)施后，可有針對性地為業(yè)務(wù)系統(tǒng)提供安全建議、修復(fù)方法、安全策略和安全管理規(guī)范。 　　2.6運(yùn)行安全 　　運(yùn)行安全可保障系統(tǒng)的穩(wěn)定性，較長時間內(nèi)將網(wǎng)絡(luò)系統(tǒng)的安全控制在一定范圍內(nèi)。理工先河為運(yùn)行安全提供的實(shí)施措施有：應(yīng)急處置機(jī)制和配套服務(wù)、網(wǎng)絡(luò)系統(tǒng)安全性監(jiān)測、網(wǎng)絡(luò)安全產(chǎn)品運(yùn)行監(jiān)測、定期檢查和評估、系統(tǒng)升級和補(bǔ)丁提供、跟蹤最新安全漏洞、災(zāi)難恢復(fù)機(jī)制與預(yù)防、系統(tǒng)改造管理、網(wǎng)絡(luò)安全專業(yè)技術(shù)咨詢服務(wù)。運(yùn)行安全是一項長期的服務(wù)，包含在網(wǎng)絡(luò)安全系統(tǒng)工程的售后服務(wù)內(nèi)。 　　2.7管理安全 　　管理安全對以上各個層次的安全性提供管理機(jī)制，以網(wǎng)絡(luò)系統(tǒng)的特點(diǎn)、實(shí)際條件和管理要求為依據(jù)，利用各種安全管理機(jī)制，為用戶綜合控制風(fēng)險、降低損失和消耗，促進(jìn)安全生產(chǎn)效益。理工先河為管理安全設(shè)置的機(jī)制有：人員管理、培訓(xùn)管理、應(yīng)用系統(tǒng)管理、軟件管理、設(shè)備管理、文檔管理、數(shù)據(jù)管理、操作管理、運(yùn)行管理、機(jī)房管理。 　　3.產(chǎn)品部署  　　銀行的各種重大數(shù)據(jù)都集中在服務(wù)器，從而也成為黑客們攻擊的主要對象。因此，服務(wù)器的安全是銀行系統(tǒng)安全的重中之重。一旦服務(wù)器上存放的數(shù)據(jù)被竊取、篡改、破壞、刪除，其后果非常嚴(yán)重。 　　要保障銀行安全，除了要部署目前已經(jīng)得到廣泛應(yīng)用的防火墻和防病毒產(chǎn)品外，入侵檢測、主機(jī)保護(hù)等產(chǎn)品或工具也是必不可少的。 　　設(shè)置安全檢測和攻擊預(yù)警系統(tǒng)的目的是：運(yùn)用成熟的攻擊、反攻擊技術(shù)，分析已知的系統(tǒng)安全漏洞和薄弱環(huán)節(jié)。安全檢測可以在不安全因素被誘發(fā)之前，消除系統(tǒng)可能的安全隱患。攻擊預(yù)警系統(tǒng)可以實(shí)時發(fā)現(xiàn)網(wǎng)絡(luò)攻擊，阻撓不安全用戶進(jìn)入系統(tǒng)。 　　入侵檢測的主要安全需求是：根據(jù)網(wǎng)絡(luò)攻擊的特征，在被保護(hù)網(wǎng)絡(luò)的入口處進(jìn)行實(shí)時監(jiān)測。發(fā)現(xiàn)攻擊時，向管理員報警并阻斷、記錄攻擊的來源；針對系統(tǒng)掃描以及實(shí)時監(jiān)測發(fā)現(xiàn)的系統(tǒng)漏洞，及時采取措施，實(shí)施動態(tài)的安全防衛(wèi)策略；     4.解決的各種安全問題及產(chǎn)品作用 　　作為整個系統(tǒng)的核心，“金海豚?”系統(tǒng)在整個系統(tǒng)中處在關(guān)鍵的位置，整個系統(tǒng)的聯(lián)動防護(hù)正是由“金海豚?”系統(tǒng)進(jìn)行統(tǒng)一運(yùn)作的。 　　4.1關(guān)鍵服務(wù)器的監(jiān)測 　　“金海豚?”網(wǎng)絡(luò)動態(tài)防護(hù)系統(tǒng)可實(shí)現(xiàn)對關(guān)鍵服務(wù)器的運(yùn)行狀態(tài)和用戶行為進(jìn)行主動實(shí)時監(jiān)測。當(dāng)被監(jiān)測的服務(wù)器系統(tǒng)受到攻擊時，它能及時向管理員報警，并主動執(zhí)行預(yù)設(shè)地響應(yīng)行為，如封鎖或斷開，并記錄攻擊過程，保護(hù)整個系統(tǒng)的安全，并為事后引用法律手段提供依據(jù)。 　　4.2三平臺架構(gòu)，保障系統(tǒng)安全和正常運(yùn)行 　　目前，銀行的信息系統(tǒng)的一大特點(diǎn)就是，其服務(wù)器本身負(fù)載已經(jīng)相當(dāng)大，在考慮安全的同時，更要考慮到部署的安全產(chǎn)品是否影響系統(tǒng)的正常運(yùn)行。“金海豚?”網(wǎng)絡(luò)動態(tài)防護(hù)系統(tǒng)的“三平臺架構(gòu)”解決了這一矛盾。它采用信息采集—信息分析—管理相分離的結(jié)構(gòu)，形成代理系統(tǒng)-中控系統(tǒng)-管理系統(tǒng)的三平臺架構(gòu)。我們只需要在服務(wù)器上安裝代理系統(tǒng)采集信息，而數(shù)據(jù)分析則由理工先河的中控系統(tǒng)來完成，再通過管理平臺實(shí)現(xiàn)相應(yīng)的報警與響應(yīng)功能。它可以實(shí)現(xiàn)在不影響系統(tǒng)的正常運(yùn)行，基本不增加系統(tǒng)負(fù)載的情況下，對服務(wù)器的保護(hù)。 　　4.3實(shí)現(xiàn)多臺服務(wù)器統(tǒng)一保護(hù)，集中控制 　　銀行系統(tǒng)中需要保護(hù)的服務(wù)器比較多?！敖鸷ｋ?”網(wǎng)絡(luò)動態(tài)防護(hù)系統(tǒng)的一臺中控系統(tǒng)，可以保護(hù)多達(dá)八臺服務(wù)器。當(dāng)增加新的服務(wù)器時，只需要在新增的服務(wù)器上加裝檢測代理系統(tǒng)即可。通過控制系統(tǒng)，對分析系統(tǒng)和檢測系統(tǒng)實(shí)現(xiàn)分布式管理和策略的集中分發(fā)，使得部署在復(fù)雜的銀行網(wǎng)絡(luò)環(huán)境中的主機(jī)的檢測工作既方便又快捷，只需通過控制系統(tǒng)遠(yuǎn)程管理即可。 　　4.4主動、動態(tài)防護(hù)，防范未知安全風(fēng)險 　　“金海豚”動態(tài)防護(hù)系統(tǒng)采取異常檢測與濫用檢測相結(jié)合的分析方式，深入分析了用戶通過合法途徑訪問系統(tǒng)的特點(diǎn)，建立了完備的“專家系統(tǒng)”，同時也歸納了常見的入侵方式的特征，采用“以不變應(yīng)萬變的策略”，將未經(jīng)過合法手段和授權(quán)而獲得訪問權(quán)限的行為視為對系統(tǒng)的攻擊，從而淡化了已知攻擊與未知攻擊的界限，因此可有效地檢測幾乎所有旨在獲取權(quán)限或非法訪問數(shù)據(jù)的攻擊手段（無論是“已知的”還是“未知的”）。 　　“專家系統(tǒng)”的建立，