淺談商業銀行網絡系統安全

我國已經實現了對公、儲蓄、結算等傳統業務的電子化，同時網上銀行、自助銀行等新型業務不斷出現，使得金融電子化成為商業銀行賴以生存和發展的基礎。

伴隨著我國商業銀行電子化建設的發展，我國已經實現了對公、儲蓄、結算等傳統業務的電子化，同時網上銀行、自助銀行等新型業務不斷出現，使得金融電子化成為商業銀行賴以生存和發展的基礎。隨著銀行業對計算機網絡系統的依賴程度增加，金融產品不斷創新，網點不斷增加，網絡安全管理問題就變得越發重要。

一、商業銀行網絡安全要求

商業銀行網絡安全是在保護內部部署的網絡設備、服務器的正常運行的基礎上，保證綜合業務系統、網上銀行、辦公自動化以及其它業務系統之間的網絡安全。商業銀行網絡安全大致包括以下內容：

必須制定完善安全管理制度，并通過培訓等手段來增強員工的安全防范技術及防范意識。

采用相關的訪問控制技術來防范來自不安全網絡或不信任域的非法訪問或非授權訪問。

采用加密設備應用加密、認證技術防范信息在網絡傳輸過程中被非法竊取，而造成信息的泄露，并通過認證技術保證數據的完整性、真實性、可靠性。

采用安全檢測技術來實時檢查進出網絡的數據流，動態防范各種來自內外網絡的惡意攻擊。

采用防病毒產品及技術實時監測進入網絡或主機的數據，防范病毒對網絡或主機的侵害。

二、商業銀行網絡安全的策略和措施

加強網絡安全教育和管理。對員工進行安全教育，提高員工的安全觀念和責任心；加強業務、技術的培訓，提高操作技能；教育員工嚴格遵守操作規程和各項保密規定，真正理解和安全有關的各項規章制度，提高認真執行的自覺性，從而降低網絡信息系統的安全風險。

加強計算機網絡訪問控制。訪問控制是保證網絡資源不被非法使用和非正常訪問，是維護網絡系統安全、保護網絡資源的重要手段。采用的安全措施有子網隔離、VLAN劃分、訪問控制列表ACL等。建議如下：將系統業務網和內部有涉密信息的自動化辦公網與有上Internet公網需求的網上銀行子網完全物理隔離；將內部辦公系統中不同部門或不同安全級別的用戶組利用交換機劃分不同的虛擬子網VLAN；對局域網內部做到訪問控制，將辦公網絡與系統業務網絡進行訪問控制，禁止辦公網訪問業務網以防員工非法操作等。

運用網絡加密技術。網絡信息加密的目的是保護網上傳輸的數據、文件、口令和控制信息的安全。網絡信息加密方法包括鏈路層加密、網絡層加密及應用層加密。建議如下：傳統業務系統數據，建議采用網絡層加密設備，來保護數據在網絡上傳輸的安全性；而對網上銀行、網上交易等業務系統，它們針對的是公網數據，建議采用應用層加密機制來加密，以保護數據在網上傳輸的機密性。

使用防火墻技術。采用防火墻技術是解決商業銀行網絡安全的重要手段。建議如下：在內部局域網與外單位網絡之間、內部局域網與外部不可信任網絡之間、內部局域網不同網絡安全域之間，設置防火墻以實現隔離與訪問控制。但防火墻也存在不足，如不能防止來自內部人員帶來的威脅、不能防止感染了病毒的軟件或文件的傳輸、對繞過它的攻擊行為無能為力等。

建立入侵檢測系統。入侵檢測技術是防火墻的有利補充，該系統可以安裝在局域網絡的共享網絡設備上，它的功能是實時監測、分析進出網絡數據流，發現不安全的訪問行為，并依據策略采取跟蹤、實時報警、阻斷連接等處理手段。它既能做到防范外部網的攻擊，又能防范內部網發起的攻擊。

加強認證體系建設。利用密碼、密鑰、數字證書等技術，識別用戶身份，控制用戶權限，有效防止攻擊者假冒合法用戶。對用戶數據中的數據字段部分加密，控制字段部分不加密，用戶數據在網絡的各個節點中傳輸時始終處于加密狀態，有效地防止了用戶信息在網絡環節上的泄漏和被篡改。

建立防病毒體系。為了防止病毒的入侵和對業務系統的保護，商業銀行網絡系統應建立防病毒體系。建議如下：在全行建立反病毒掃描、殺滅的監管系統，對電子郵件病毒、Internet中的病毒等進行過濾，對網絡及網絡上的設備進行反病毒掃描；通過培訓增加人員防病毒主觀意識，闡明病毒的危害，要求對于外來文件、移動存儲介質進行病毒查殺后方可使用；根據不同的操作系統，配備相應的防病毒系統等。

培養安全管理隊伍。商業銀行應培養專門的技術人員從事系統的安全建設和管理，研究相關技術的種類和今后的發展方向，使得技術上能夠不落后，并在系統安全建設上為領導決策提供參考。銀行網絡系統的安全防護是一個永無終止的工作，必須在制度、管理和技術方面堅持不懈地加強。在制度的制定上要更加科學和不斷完善；在管理上要不斷提高管理水平，提高全員安全意識；在技術上要關注新問題，學習新技術，采用新技術強化網絡安全。只有在確保網絡安全的前提下，商業銀行才能得以穩定發展。（作者單位：鎮江農村商業銀行）