银行网络系统安全防护措施

银行网络系统安全防护措施

国内商业银行依托计算机和网络通讯技术．实现了数据集中．完成了综合业务处理和管理决策一体化建设。银行数据集中实现资源共享，为客户提供了更便捷、更灵活、更丰富的金融理财服务的同时．也带来了风险的集中。因此．建立全方位、多层次、有针对性的计算机网络安全系统就成为目前迫切需要解决的问题。

一、影响网络系统安全的因素

由于计算机网络连接多样性、设备分布不均匀性以及计算机网络的开放性、互联性，影响银行网络系统安全的因素很多，主要表现为

（１）安全管理不完善，存在安全隐患和漏洞，致使对网络系统具有一定合法访问权限，对系统配置和重要信息的存放、处理、制度规定等比较了解的内部人员，可以规避安全检查，直接进行攻击或非授权访问：

（２）计算机操作系统、数据库、通讯协议以及应用系统本身存在缺陷和漏洞，都可能被非法入侵者利用，进行信息窃取，转移资金，阻塞网络等非法活动。

（３）计算机病毒通过存储介质、电子邮件侵入计算机或网络系统．特别是在网络环境中．病毒的传播速度更快．扩散更广，影响更大。计算机病毒发作时，破坏文件系统，造成计算机和网络系统无法正常运行。有些病毒还具有黑客程序的功能．病毒控制者可以从入侵的系统中窃取信息，远程控制系统更具有危害性。

（４）自然灾害、设备故障等意外事故引起的系统瘫痪。由于自然灾害（如地震、雷电、火灾等）具有不可预测性、不

８洲算机安全２。。４．１２

黄国敬

可抗拒性、破坏力强和无法恢复性，一旦发生将造成系统的毁灭性破坏。而设备故障通常是由于通信和电力故障、电磁波干扰、误操作以及设备老化等因素造成系统无法正常运行或瘫痪。

＝．网络系统整合的安全防护原则

数据集中后，现有的网络系统势必要作出相应的变更和整合．因此在重新规划和构建网络系统时．要在重视漏洞、加强监测和实时响应等方面加强安全防护。

（１）实用性：提高网络的安全是以降低网络效率和增加投入为代价的，因此要根据实际应用对网络可能承担的风险进行定性与定量分析，确定网络安全和网络效益的平衡点，制定与之适应的网络安全策略。同时，安全措施不应过于复杂．能够随着网络性能及安全需求的变化而变化，容易适应．容易调整。

（２）多重保护：系统中各部分之间严密的安全逻辑关联强度是影响系统整体安全性的重要因素，任何单一的安全保护机制都不是绝对安全的，都可能被攻破，因此应建立～个多种安全机制、互相支撑的多重保护系统，以保证对信息传播范围及内容的控制能力。

（３）备份与应急处理：备份是系统安全的重要保证．是网络系统由于各种原因出现灾难事件时最重要的恢复手段。攻击和入侵应急处理流程应保证发现入侵后不使损失扩大．并及时得到安全技术支持。同时在安全保护措施失效后．安全体系应遵照”没有允许的服务都是禁止”的原则执行安全

策略。　万方数据

（４）可审计性：所有的安全事件都应有安全日志记录，以便通过对分析日志获得系统安全状况，发现可疑或非法行为。

提高网络系统安全的措施

网络系统安全防护策略的制定是以提高网络对攻击的检测、管理、监控和实时处理的能力为重点的。

１、物理实体

主要是强化计算机设备和通讯链路的物理实体安全防护．免受自然灾害、人为破坏、电磁泄露和搭线攻击。

２、技术应用

（１）强化访问控制机制

访问控制是网络安全防范的主要手段，是按照事先确定的规则决定主体对客体的访问。当主体试图非法使用未经授权的客体时．访问控制将拒绝请求，同时审计系统记录过程和报警。访问控制主要有

１）身份认证：身份认证是进行有效身份鉴别，确认合法用户最有效、最关键的安全机制．目前实际应用中主要有双重认证和数字认证。双重认证是通过两种形式的认证来对用户身份进行确认的。数字认证则是在安全通讯的双方建立起一个签名和确认的过程，信息发送者用自己的私有信息对数据进行签名并生成校验字：信息接收者利用公开的方法和信息，对接收到的数据信息进行来源和发送者身份确认。

２）最小授权：将网络中账户设置，服务配置．主机间信任关系配置等应用设置为网络正常运行所需的最小限度．将入侵危险降至最低限度。

３）网络权限及属性控制：根据访问权限分为系统级和普通级，并对用户设置相应的网络用户组，明确应用范围，控制用户和用户组可以访问的目录、文件和其他资源以及操作类型（读写、创建、删除、修改、查找等）。

４）网络端口和节点监测控制：实时监测对网络端口的访问，记录用户操作．对非法的网络访问，以文字、图形或声音等形式报警。例如在服务器的端口使用自动回呼设备，防止假冒合法用户；使用静默调制解调器防范黑客的自动拨号程序攻击；以加密的形式来识别节点的身份。

（２）实施网络分段和安全通道控制

网络分段有物理和逻辑分段两种方式。物理分段是将网络从物理层和数据链路层上分为若干网段，各网段相互之间无法直接通讯。逻辑分段则是根据不同的应用需求将整个网络划分为若干个相互隔离的逻辑子网，各子网间必须通过路

由器、交换机、网关或防火墙等通讯设备的设置进行连接。目前在交换式以太网中实现虚拟局域网的方式有：端口ＶＬＡＮ技术、ＭＡＣ地址ＶＬＡＮ技术和网络地址ＶＬＡＮ技术。

网络安全通道有ＶＰＮ安全通道和专用安全通道。如果企业内部网络需要通过公共网络连接，必须建立网络安全通道。在公共网络上可以通过ＶＰＮ的连接建立基于公共网络的安全通道。专用安全通道是为有特殊需要的某种应用或某类用户建立的安全通信通道。

（３）应用防火墙技术

防火墙是在内外部网络边界之间建立的网络通讯监控系统．隔离内外网络的直接相连．限制网络之间的直接访问．控制着进／出两个方向的通讯。在实际中主要常用：

１）数据包过滤：设置在网络层，通过路由器在内外部网之间转发数据包．并对接收到的数据包验证是否符合过滤规则，符合则允许通过，否则丢弃数据包。数据包过滤具有处理速度快，简单方便的特点，但无法识别含有危险的信息包．同时需要事先建立以数据包头信息为基础的信息过滤规则表，包括源ＩＰ地址、目的ＩＰ地址、传输协议类型（ＴＣＰ、ｕＤＰ、ＩｃＭＰ等）、协议源端口号、协议目的端口号、连接请求方向、ｌｃＭＰ报文类型等。

２）应用代理：代理防火墙由代理服务器和过滤路由器组成．过滤路由器负责网络互连和数据包检查，然后将筛选过的数据包传送给代理服务器。代理服务器接受申请，然后根据类型、内容、对象、申请时间、申请者域名范围等决定是否提供服务。代理防火墙隐藏内部网络，是外部网络唯一可见的主机，并能够进行身份验证、会话过程控制、审计、数据加密以及对具体协议和应用的过滤。

３）双宿主主机一台双宿主主机配有多个网卡，分别连接不同的网络．它从一个网络接受数据，并且有选择地把它发送到另～个网络上，以实施安全控制和网络服务。

（４）实施信息加密：信息加密是最基本的安全机制，是保护数据、文件和控制信息的一种主动防卫手段。按照国家密码管理委员会的标准和要求，根据实际需求．构建银行静态数据加密系统．实现网络通讯保密。信息加密的实现方式有软件加密和硬件加密两种。

软件加密主要使用对称密钥加密和非对称密钥加密。对称密钥加密（如ＤＥｓ）是加解密双方拥有相同的密钥．加解密速度快．强度高，适用于点对点的信息传送。例如使用自动取款机（ＡＴＭ）时，客户需要输入识别号码（ＰｉＮ）．银行确认后双方在获得密码的基础上进行交易。非对称密钥加密（如ＲｓＡ）是加解密双方拥有不同的密钥．用私有密钥进行数据加密．利用公开密钥进行解密。由于公开密钥无法推算出

２（）。Ⅺｊ！计算机安全９

　万方数据