一、前言
近几年来,随着信息技术的采用,银行电子化建设发展迅速,并日益成为提高银行竞争力的重要因素。银行建立了支持全行业务经营的内部综合业务网络和数据运行中心,实现所有门市业务的数据集中联网处理。网上银行、电子商务等新的服务方式也正在兴起,金融运行的模式正在发生着深刻的变化。伴随着银行信息化建设的高速发展,信息安全问题也日趋严重。银行系统需要进一步加强安全防范,防御来自内部和外部的恶意攻击,实现对非法入侵的安全审计与跟踪,保证业务应用和数据的安全性,杜绝计算机犯罪事件的发生。
北京东方龙马软件发展有限公司作为国内知名的信息安全技术提供商,在自身具备的技术实力和所积累的行业经验的基础上,提出了银行系统的整体安全解决方案。
二、银行网络系统结构和安全现状
银行系统通常以总行为中心,各省级分行通过租用线路与总行进行连接。各省均建立了比较完善的多级综合网络,包含省分行、地市分行、区县支行及营业网点等,在其上运行着多种应用,主要包括:
·生产业务系统:银行业务的核心部分,贯穿银行网络的各个层面--网点、支行、地市行、省行、金卡中心、人行等。
·中间业务系统:银行与其他企事业单位之间的金融业务合作,通常在对方网络中设置银行前置机。
·办公自动化系统:银行的日常办公工作如邮件传输、上下级间公文流转、文件传输、生产数据的查询等。
·网上银行系统:在各级分行、支行网络中进行了Internet接入,实现网上银行业务。
由于银行网络系统是典型的多应用和多连接平台,因此在银行网络内外存在着较多的安全隐患。尤其是对省行的生产服务器和OA服务器主机系统而言,随时都在面临着来自各方面的安全威胁。下面先从网络、系统、应用、数据及管理等各个层面综合分析银行网络中存在着的安全隐患:
网络层面
与银行各级网络进行互联的外部单位(包括总行)网络用户及Internet黑客对银行各级单位网络的非法入侵和攻击;
银行内部各级单位网络相互之间的安全威胁,例如某个分支单位网络中的不自律的人员对省分行网络中关键服务器的非法入侵和破坏;
在各级单位网络中,由于不同应用系统之间存在一定的连通性,对于关键的生产业务应用和办公应用系统而言,可能会受到局域网上一些无关用户的非法访问。
操作系统和数据库系统层面
操作系统、数据库系统等都存在一定的安全缺陷、后门等,极易被攻击者利用来进行非法操作;
由于系统管理员经验不足或工作疏忽而令系统配置中出现漏洞,同样会被攻击者利用;
系统合法用户尤其是具有完全控制权的特权用户的误操作可能导致系统瘫痪,数据丢失。
网络应用层面
网络上多数应用系统采用客户/服务器体系或衍生的方式运行,因此对应用系统访问者的控制手段是否严密将直接影响到应用自身的安全性;
由于实现了Internet接入,各级单位的计算机系统遭受病毒感染的机会也更大,且很容易通过文件共享、电子邮件等网络应用迅速蔓延到整个银行网络中。
数据层面
数据存储和传输所依赖的软、硬件环境遭到破坏,或系统用户的误操作,都会使严重威胁数据的安全。
管理层面
如果缺乏严格的企业安全管理,信息系统所受到的安全威胁即使是各种安全技术手段也无法抵抗。
三、银行系统安全需求分析
银行也充分意识到安全对确保核心业务和应用有效运转的重要性,并采取了一定的措施,如利用操作系统和应用系统自身的功能进行用户访问控制,建立容错和备份机制,采用数据加密等。这些措施所能提供的安全功能和安全保护范围都非常有限。为了在不断发展变化着的网络计算环境中保护银行信息系统的安全,需要采用更加全面有效的安全解决方案,具体需求包括:
1、网络互联和通信安全需求
·防范外部网络用户或Internet黑客利用银行网络的任何一个对外接口侵入各级单位网络进行非法操作,尤其防范对省行生产主机和OA主机的攻击;
·防范银行内部网络中的非授权用户通过局域网或企业广域网侵入本地或其他节点的生产网络或办公网络进行非法操作;
·对重要的网络通信流量进行实时监视和分析,及时发现并阻止来自网络内部或外部的非法攻击行为。
2、服务器系统安全需求
·对网络和主机设备提供主动的漏洞检测和安全评估,及时发现操作系统和数据库系统中存在的安全漏洞,并提供有效的解决建议;
·对关键的服务器操作系统进行安全加固,通过严格的用户认证、访问控制和审计,防止黑客利用系统安全管理功能的不足进行非法访问,同时避免内部用户的滥用。
