淺談銀行網絡安全

國　穎　王海峰

[摘要]通過分析目前銀行系統網絡在多個環節普遍存在的潛在風險，試著針對性地從各方面找出有效的應對措施，對網絡安全隱患做出有效的防范。

[關鍵詞]銀行網絡安全應對措施

中圖分類號：F83文獻標識碼：A文章編號：1671－7597(2009)0210060－01

一、引言

近年來，隨著國內網絡技術和數據傳輸基礎建設的快速發展，銀行系統網絡漸漸直接或間接地與互聯網或者其它專用網絡發生了聯系，這一方面為信息的共享提供了快速的渠道，拓展了更多的業務類型，另一方面也浮現出種種安全隱患。

二、銀行網絡應用現狀與風險分析

(一)銀行網絡應用

隨著各金融企業之間的競爭日益激烈，銀行在改進服務手段、增加服務功能、完善業務品種、提高服務效率等方面做了大量的工作。通過實現金融電子化，利用高科技手段推動金融業的發展和進步，勢必為銀行業的發展帶來巨大的經濟效益。

(二)銀行網絡安全風險分析

1．來自互聯網風險。網上銀行、電子商務、網上交易系統都是通過Internet公網并且都與銀行發生關系，由于互聯網自身的廣泛性、自由性等特點，像銀行這樣的金融系統自然會被惡意的入侵者列入其攻擊目標的前列。

2．來自外聯單位風險。由于銀行不斷增加的代收費、代繳稅、三方存管等中間業務，與通信、水電、稅務、證券交易所等單位網絡互聯，使得銀行網絡系統存在著來自外單位的安全威脅。

3．來自內部網風險。據調查統計，已發生的網絡安全事件中，70％的攻擊是來自內部。因此內部網的安全風險更嚴重。內部員工對自身企業網絡結構、應用比較熟悉，自己攻擊或內外勾結，都將可能成為導致系統受攻擊的最致命安全威脅。

4．管理安全風險。企業員工的安全意識薄弱，企業的安全管理體制不健全也是網絡存在安全風險的重要因素之一，健全的安全管理體制是一個企業網絡安全得以保障及維系的關鍵因素。

(三)風險可能導致的結果

安全威脅可能引發的結果有非法使用資源、惡意破壞數據、數據竊取、數據篡改、假冒、偽造、欺騙、敲詐勒索等。種種結果對銀行這樣特殊性的行業來說，其損失都是不可估量的。

三、銀行網絡安全應對措施

(一)物理安全

物理安全主要包括：環境安全、設備安全、媒介安全。

(二)系統安全

1．操作系統安全。包括操作系統的安全漏洞、后門等，而這些因素往往又是被入侵者攻擊所利用。因此，對操作系統必須進行安全配置、打上最新的補丁，還要利用相應的掃描軟件對其進行安全性掃描評估、檢測其存在的安全漏洞，分析系統的安全性，提出補救措施。

2．應用系統安全。對應用系統的安全性，應該盡量只開放必須使用的服務，關閉不使用的協議。加強用戶登錄身份認證，確保用戶的合法性，嚴格限制操作權限。充分利用日志功能，對用戶所訪問的信息做記錄，為事后審查提供依據。

(三)網絡安全

1．網絡結構安全。網絡結構布局的合理與否，也影響著網絡的安全性。對銀行系統生產區域、辦公區域、外聯區域、測試區域之間必須按各自的應用范圍、安全保密程度進行合理分布，以免局部安全性較低的網絡系統造成的威脅，傳播到整個網絡系統。

2．加強訪問控制

(1)銀行業務系統網絡必須與Internet公網物理隔離。解決方法可以是兩個網絡之間完全斷開或者通過物理安全隔離設備來實現。

(2)網結構合理分布后，在內部局網內可以通過交換機劃分VLAN功能來實現不同部門、不同級別用戶之間簡單的訪問控制。

(3)內部局域網與外單位網絡、不信任域網絡之間可以通過配備防火墻來實現隔離與訪問控制。

(4)根據企業具體應用，也可以配備應用層的訪問控制軟件系統，針對局域網具體的應用進行更細致的訪問控制。

3．安全檢測。由于防火墻等安全控制系統都屬于靜態防護安全體系，因此，還必須配備入侵檢測系統進行主動防御，該系統可以安裝在局域網絡的共享網絡設備上，它的功能是實時分析進出網絡數據流，對網絡違規事件跟蹤、實時報警、阻斷連接并做日志。它既可以對付內部人員的攻擊，也可以對付來自外部網絡的攻擊行為。

(四)應用安全

1．安全認證。銀行系統在解決網絡安全問題肯定要配備加密系統，由于要加密就涉及到密鑰。我們都知道密鑰的發放一般都是通過發放證書來實現，為確認對方證書的真實性，引入了第三方來發放證書，即構建一個權威認證機構(CA認證中心)。目前中國金融認證中心(CFCA)是被多家銀行普遍使用的認證體系。

2．病毒防護。防范病毒的入侵，應該根據具體的系統類型，配置相應的、最新的防病毒系統。從單機到網絡實現全網的病毒安全防護體系，病毒無論從外部網絡還是從內部網絡中的某臺主機進入網絡系統，通過防病毒軟件的實時檢測功能，將會把病毒扼殺在發起處，防止病毒的擴散。

(五)信息安全

1．加密傳輸。要保護數據在傳輸過程中不被泄露，保證用戶數據的機密性，必須對數據進行加密。加密后，數據在傳輸過程中便是以密文傳輸，即使被入侵者截獲，由于是密文形式，也讀不懂。對于銀行網上應用系統，目前大多通過應用層加密來實現，應用層加密可以采用SET協議或者SSL協議，通過B/s結構完成網上交易的加密及解密。對銀行普通業務系統，一般采用網絡層加密設備，來保護數據在網絡上傳輸的安全性。

2．信息存儲。對銀行系統主要是數據庫的安全，由于各地銀行系統都是采用客戶／服務器模式，數據都集中存在一個大型數據庫系統中，因此數據庫的安全尤其重要。保護數據庫最安全、最有效的方法就是采用備份與恢復系統。

(六)管理安全

我們知道網絡安全實現并不完全取決于技術手段，管理安全是網絡安全真正得以維系的重要保證。管理安全銀行系統安全制度的制定、國家法律、法規的宣傳以及提高企業人員的整體網絡安全意識。

作者簡介：

國穎，男，山東，中國海洋大學信息科學與工程學院研究生，研究方向：信息安全、數據庫；王海峰，男，山東青島，中國農業發展銀行青島市分行信息技術部，工程師，研究方向：信息安全、數據庫。