商业银行计算机网络安全管理探讨
- 格式:doc
- 大小:26.00 KB
- 文档页数:3
下载文档原格式
合集下载
商业银行信息系统安全困境及应对方案
商业银行信息系统安全困境及应对方案商业银行的信息系统安全困境主要包括以下几个方面:技术问题、人员问题和管理问题。
针对这些困境,商业银行可以采取如下应对方案。
一、技术问题1.建立完善的信息系统安全体系商业银行需要建立一套完善的信息系统安全体系,包括网络安全、数据安全、用户身份认证等各个方面的安全措施。
可以引入先进的安全技术和设备,对系统进行加密、防火墙、入侵检测等操作,确保数据和系统的安全性。
2.加强网络安全管理商业银行需要加强对网络的监控,及时发现并处理潜在的安全威胁。
可以进行网络入侵检测、安全审计等操作,对异常行为进行监控和分析,并及时采取相应的对策,避免因网络攻击导致的数据泄露或服务中断。
3.完善数据备份和恢复机制商业银行需要建立完善的数据备份和恢复机制,定期对重要数据进行备份,并将备份数据存储在安全的位置。
一旦数据出现损坏或丢失,可以通过备份数据快速恢复,避免对业务和客户造成较大影响。
二、人员问题1.加强员工安全教育和培训商业银行需要对员工进行信息安全教育和培训,增强员工的安全意识和技能。
包括了解信息安全的重要性、掌握常见的安全漏洞和攻击手段、学习如何正确使用和保护系统以及如何应对安全事件等。
2.规范员工权限管理商业银行需要对员工的权限进行规范和管理,根据不同的岗位和职责划分权限,最小化员工的权限,并严格限制敏感数据的访问和操作权限。
定期审查和更新员工的权限,确保权限控制的有效性。
3.建立安全工作专业团队商业银行可以建立专门的安全工作团队,负责信息安全的规划、管理和应对。
团队成员需要具有丰富的安全经验和技术能力,能够及时发现和处理安全事件,保障系统的安全运行。
三、管理问题1.建立安全能力评估制度商业银行需要定期进行安全能力评估,了解现有安全措施的有效性和薄弱环节,并根据评估结果进行相应调整和改进,提升信息系统的安全性。
商业银行需要加强对第三方合作伙伴的安全管理,包括对其安全措施的审查和监督。
商业银行如何应对网络攻击对系统安全的威胁
商业银行如何应对网络攻击对系统安全的威胁随着科技的迅速发展,商业银行在日常运营中越来越依赖于信息技术系统。
然而,网络攻击愈演愈烈,给商业银行的系统安全带来了严峻威胁。
因此,商业银行需要采取一系列措施,以有效地应对网络攻击,保障系统的安全性和可靠性。
一、设立完善的安全策略体系商业银行应该建立完善的安全策略体系,以确保系统安全防护的全面性和连续性。
这一策略体系应包括物理防护、网络防护、数据防护以及安全管理等方面。
在物理防护方面,商业银行需要加强物理安全措施,例如,安装监控摄像头、设立安全门禁、加强机房的管控等,以防止未经授权的人员进入机密区域。
针对网络防护,商业银行应该使用最新的防火墙技术、入侵检测系统和入侵防御系统,及时发现和阻止潜在的攻击者。
此外,定期对系统进行安全漏洞扫描和渗透测试,及时修复漏洞,以增强网络的安全性。
在数据防护方面,商业银行需要采用数据加密技术,保护用户的个人隐私信息。
同时,建立备份和灾难恢复系统,以确保数据的完整性和可靠性。
另外,商业银行还应加强安全管理,设立专门的安全团队,负责监测和管理系统安全,及时应对可能的威胁和紧急事件。
二、持续加强员工的安全意识教育在商业银行的系统安全中,人为因素是一个重要的环节。
因此,商业银行需要持续加强员工的安全意识教育。
首先,商业银行应制定并实施相关安全政策和规章制度,并向员工进行宣传和教育,使其了解和遵守相关规定。
这些规定可以包括密码安全要求、访问控制、电子邮件和社交媒体使用规范等。
其次,商业银行应定期组织安全培训和演练活动,提高员工应对安全威胁的能力。
这样可以帮助员工了解最新的网络攻击形式和防范方法,提高他们的警惕性和反应速度。
另外,商业银行还可以设置奖励机制,鼓励员工积极参与系统安全管理,增强他们的安全意识和主动性。
三、与相关机构建立合作关系商业银行应与相关机构建立合作关系,共同应对网络攻击的威胁。
这些机构可以包括网络安全公司、执法机构、行业协会等。
商业银行计算机系统风险及控制对策
浅谈商业银行计算机系统的风险及控制对策摘要:计算机行业得到了迅速的发展,广泛的应用于各行业中,给商业银行的业务发展带来了有利的一面,但是也考验着商业银行的计算机系统是否安全。
本文对商业银行计算机系统风险产生的原因进行分析,针对产生的风险做出相应的控制对策,来促进商业银行更好的发展。
关键词:商业银行;计算机系统的风险;控制对策中图分类号:tp31商业银行计算机系统产生风险的原因商业银行的计算机系统多数采用分散式的管理,所谓分散式的管理就是每个系统的管理人员负责自己管理的部分,这样虽然可以防止不法分子对系统的所有部分进行入侵,但是每个系统管理人员不了解其他系统出现的问题。
这种漏洞必然会造成不法分子的趁机而入。
商业银行的计算机网络非常的复杂,银行的管理人员对计算机网络的整体构造了解的不是十分清楚,因而就不能很好的发现自身计算机系统存在的问题,更加无法预测计算机系统的风险并加以防范。
由于商业银行的计算机网络是直接与互联网进行连接的,虽然有防火墙技术的拦截,但是不能彻底的防止不法分子的入侵和破坏。
2商业银行计算机系统的风险2.1网络系统的风险网络系统的风险是指由于外部网络和内部网络没有有效的物理隔断,造成电子信息传输中的风险,然而商业银行的计算机网络系统直接与互联网相连接,使其不仅容易受到不法分子的入侵,而且容易感染网络上的病毒。
一些技术较为高端的不法分子可以在网络中监视银行的数据来截取信息,还有一些黑客在网上进行恶意的破坏导致交易信息的阻塞,给银行工作人员和用户带来使用上的不便。
2.2操作系统的风险系统的操作风险是指在数据库系统和客户操作机系统等方面产生一些安全漏洞。
有时业务人员在临时离开操作柜台但是没有退出操作系统的时候,一些非法分子就会在没有退出的操作系统上进行非法操作,会使得一些程序被破坏或者对数据进行修改,造成计算机系统的破坏。
有时因为存储介质的保管问题,还有备份不及时的情况,造成存储介质上的信息丢失,没有备份信息,导致账务的丢失等严重损失。
银行系统计算机网络安全技术探析
银行系统计算机网络安全技术探析作者:尚绪宝来源:《中国新技术新产品》2012年第23期摘要:随着信息化及网络化的发展,信息资源的经济价值和社会价值越来越重要。
对我国的银行系统来说,计算机信息显得尤为重要。
笔者认为,银行计算机系统是国家金融计算机系统的核心,也是国家的重要基础设施。
文章引入了计算机网络安全技术的综述及现状,详尽分析了保障银行系统计算机网络安全的措施。
关键词:银行;计算机信息;安全策略;网络技术中图分类号:F83 文献标识码:A计算机网络安全技术综述当人类步入21世纪这一信息社会、网络社会大步发展的时候,我国将建立起一套完整的网络安全体系,特别是从政策上和法律上都将建立起有中国特色的网络安全体系。
为实现这一点,笔者认为可以着力发展自己独特的安全产品,我国要想真正解决网络安全问题,最终的办法就是通过发展民族的安全产业,带动我国网络安全技术的整体提高。
笔者认为,不管怎么说,我国的网络安全产品有以下几大特点:首先网络安全来源于安全策略与技术的多样化;其次,网络安全机制与技术要不断地变化;第三,随着网络在社会个方面的延伸,进入网络的手段也越来越多。
因此,网络安全技术是一个十分复杂的系统工程。
建立有中国特色的网络安全体系,需要国家政策和法规的支持及集团联合研究开发。
安全与反安全就像矛盾的两个方面,总是不断地向上攀升,所以安全产业将来也是一个随着新技术发展而不断发展的产业。
1 银行计算机系统安全性现状在目前来说,我国的银行网络系统通常以总行为中心,各地分、支行通过电信的帧中继线路或DDN与总行进行连接。
这其中银行主要应用有:储蓄、对公、信用卡等。
同时各地分支行又根据业务发展情况,通过DDN专线连接到其他行业领域,并陆续开办了网上银行、银证转券及各种代收业务,诸如电话费、电费等。
不可否认,我国银行业的金融电子化经过了十多年时间的建设已具备了相当的规模,取得了一定成就,与此同时,在面对我国前段时间WTO的大力挑战,其中IT系统的运作国际化已不可避免。
商业银行的网络安全和防范措施
安全风险评估方法
威胁识别
识别可能对商业银行网络造成威 胁的来源,如黑客、病毒、恶意 软件等。
风险分析
分析威胁源对商业银行网络的影 响程度和可能性,以及可能导致 的损失。
风险评估
根据风险分析结果,对商业银行 网络的安全风险进行评估,确定 风险的等级和优先级。
安全风险应对策略
预防策略
制定预防措施,降低安全风险的发生概率,如加强网络防 火墙、定期更新软件和操作系统等。
银行应建立完善的客户 验证机制,要求客户在 进行敏感操作时提供多 因素认证。
银行应通过官方渠道发 布重要信息,提醒客户 警惕网络钓鱼风险,并 提供相应的识别和防范 指南。
防范恶意软件
总结词:恶意软件是一种能够在用户不 知情的情况下,在其电脑上安装后门、 收集用户信息的软件。
加强与安全厂商的合作,及时获取最新 的安全信息和补丁,以应对不断变化的 恶意软件威胁。
详细描述
商业银行应采取多层 次的加密技术和安全 存储设备,确保客户 数据在传输和存储过 程中的安全性。
建立完善的数据备份 和恢复机制,确保在 数据遭受破坏或丢失 时能够及时恢复。
对重要数据进行定期 的异地备份和加密存 储,以降低数据泄露 和丢失的风险。
CHAPTER 05
商业银行网络安全风险评估 与应对
。
应用安全防护
对移动应用进行安全检 测和漏洞扫描,确保应
用不被黑客攻击。
保护客户隐私
确保客户在移动支付过 程中的隐私不被泄露。
新兴技术安全
总结词
人工智能安全
新兴技术如人工智能、区块链等的应用给 商业银行的网络安全带来了新的挑战和机 遇。
利用人工智能技术进行威胁检测和防御, 提高网络的安全性。
银行网络系统安全防范浅谈
管理的理念。因此 , 全面预算管理这种机 制必将给企业带 来实际的 经济效益 , 进而提升企业的管理水平 。
(四 ) 树立全员参与意识 全员参与是指电力企业的全体员工直 接或者间接地参 与预算管 理过程 。这是因为预算管理涉及企业 生产经营活动的 方方面面 , 而 这些方方面面的工作都是由企业不 同的部门和个人分 担的 。就所承 担的工作而言 , 预算的实际执行者应 当同时熟悉预算 编制情况 。同 时 , 只有企业全体员工积极参与了预 算的制定 , 并且使他 们得到重 视 , 预算才易于被 员工 接受 。预算 管理 工作 的 推进 才有 可靠 的基 础 , 才能真正地完成预算 , 进而顺利地完成企业的经营目标 。 (五 ) 加强经济活动分析 、及时跟踪预算执行情况 预算指标一经下达不得随意更改 , 为 了及时了解预算执 行情况 以及实际执行过程中出现的偏差 , 企业 应建立定期预算 分析和报告 制度 , 每月组织生产经营 、计划 、财务等部门对本月 (年 ) 累计预 算期工作量完成 情况 、成本费 用控 制指 标完 成情 况 、利 润完 成情 况 、财务情况、现金流量 、市场需求价 格变动趋势进行 分析 , 将预 算执行结果与预算数据对比 , 找出差 异并分析形成差 异的原因 。对 发现的突出问题进行专题分析 , 及时解 决预算执行过程 中出现的问 题 , 在执行和分析过程中不断完善预 算管理制度 , 提高预 算管理水 平。 (六 ) 加强绩效考评 , 保证预算的全面实施 根据分解下达年度 、季度 、月度预算 指标 , 电力企业应 制定一 套比较完整的配套考核办法和奖励 办法 , 将职工个人利 益与预算指 标挂钩 。同时 , 根据不同单位对成本 节约的大小 , 实行系数 分配制 度 。就是将各单位预算指标考核结果再 乘以一个系数作 为最终的奖 金分配依据。这样一方面可以适当拉 开收入差距 , 体现向 一线倾斜 和按贡献大小来分配的公平原则 , 另一 方面是将月度预 算指标与年 度预算指标相挂钩 , 激励各单位以月 保年 , 切实保证年度 预算指标 的完成 。
浅析银行网络安全
威胁所产生的风险。例如 :内部人 员越权使用信息系统 ,获取了超过 其授权范围的重要信 息 ;内部人 员未按规定使用或保存重要信 息 , 造 成严重泄密 ;内部人 员恶意攻击重要信息系统 ,造成数据损坏 或业务
中断等。 2Biblioteka 银 行 网络 安 全 建设 模 式
方案说明 :在每台终端中通过主板插槽安装硬盘物理隔离卡 ,把 台普通计算机分成两 台虚拟 计算机 ,两个虚拟计算机之间不存在任
办公网与互联 网的接 口通常在 ( ) 图2 总行或 支行 ,也有部分地区的储蓄 网点通过A S 直接接入互联网 。 DL 参考文献 … 赵 洪凯 。陈 海波 . 业银行 网络安 全 的若 干 问题及 对 策 Ⅱ. 南金 1 商 1 华
融 电 脑 ,2 0 0 8,0 8
该种方式 的优点在于 ,核心生产网与办公网物理隔离 ,安全边界 清晰 。 生产 网的安全风险可控性较高 ,核心业务的安全性能够获得有 效 的保障 。此种方式的缺点在于 :生产刖与办公 网的物理分离导致业 务不连续 ,生产网与办公网的数据不能实时交互 . 业务操作结果不能 在全 网实时统一 ;办公网络直接暴露给互联网 , 办公系统不仅面临大 量的内部安全威胁也全 部承接了来 自互联 网的外部 威胁 ,整个办公 网
一
员工访问了钓鱼 、挂马等恶意网站使得个人或者银行的重要信息被泄 漏 ;下载了带有病毒的文 件使内部网络被病毒攻击瘫痪 ;暴露了重要 的信 息或者终端 P 机 被种了木马 ,为黑客提供 了攻入 核心生产 网的 C
条件 ,造成重要数据破坏 。 内部 安全风险主要是指由内部 人员从事网络办公相关活动带来的
整个信息安全 建设的重 中之重 。
在互联网上感染病毒等恶意代码后传 播到办公 网中。②能有效控制并 记录 网内计算机的不规 范行为。③对 终端的保护及限制比较全面 ,从 而保证办公网内部的安全 。 缺点是 :①需要安全管理人 员的定期对 系统进行维护 、升级和 日 志审计 。②桌面安全管理软件一般只针对wno s 台。 i w平 d
商业银行的网络安全防护措施
商业银行的网络安全防护措施网络时代的到来,为商业银行提供了更多的发展机遇和便利,同时也带来了网络安全威胁的加剧。
商业银行作为金融机构,必须重视网络安全问题,并采取一系列防护措施,保障客户的资金和信息安全。
本文将深入探讨商业银行的网络安全防护措施,包括技术手段和管理措施两个方面。
技术手段为了应对各种网络攻击和安全威胁,商业银行采取了一系列的技术手段来保护其系统和用户的安全。
首先,商业银行建立了防火墙系统,用于监控和过滤网络流量,阻止未经授权的访问和恶意攻击。
防火墙设置了访问控制策略,确保只有经过身份认证的用户可以访问系统。
其次,商业银行采用了加密技术来保护敏感信息。
通过使用SSL (Secure Sockets Layer)或TLS(Transport Layer Security)协议,商业银行可以对传输的数据进行加密,防止被黑客窃取和篡改。
加密技术可以确保客户的账户和交易信息在传输过程中得到保护。
另外,商业银行还建立了入侵检测系统(Intrusion Detection System,简称IDS)和入侵预防系统(Intrusion Prevention System,简称IPS),用于监测和阻止网络攻击。
IDS可以实时监测网络流量和传输协议的行为,一旦检测到异常活动,就会发出警报通知管理员采取相应措施。
而IPS则能在检测到攻击行为时,主动采取措施阻止攻击者进一步入侵。
最后,商业银行还使用了多因素认证技术来提高用户身份验证的安全性。
传统的用户名和密码方式容易受到破解和盗用,因此商业银行引入了指纹识别、声纹识别、动态口令等多种认证方式,以确保只有合法用户才能访问其系统。
管理措施除了技术手段,商业银行还采取了一系列的管理措施来加强网络安全防护。
首先,商业银行建立了网络安全管理制度,明确规定了各种安全策略和操作规程,保证员工明白和遵循相关安全规定。
同时,商业银行还定期组织网络安全教育和培训,提高员工对网络安全的意识和应对能力。
银行计算机网络安全及其对策
都 在 不 断 的 进 行 业 务 创 新 .从 而 极 大 的 促 进 了 计 算 机 及 网 络 技 术 在 的 权 利 , 松 地 对 网 络 中 的 数 据 进 行 删 除 、 改 、 加 . 移 某 些 帐 轻 修 增 转
银 行 业 务 领 域 的 广 泛 应 用 .也 使 得 各 家 银 行 机 构 的 电 子 化 水 平 及 服 户 的 资 金 , 到 挪 用 、 用 的 目 的 。 更 为 严 重 的 是 预 设 “ 门 ”, 后 达 盗 后 “ 务 水 平 得 到 了 不 断 提 高 .已 经 普 遍 使 用 诸 如 商 业 银 行 的 门 柜 系 统 、 门 ” 是 信 息 系 统 中 未 公 开 的 通 道 , 用 户 未 授 权 的 情 况 下 , 统 的 就 在 系 信 贷 系 统 、 计 管 理 系 统 、 子 联 行 .人 民 银 行 的 征 信 系 统 等 , 用 设 计 者 或 其 他 技 术 人 员 可 以 通 过 这 些 通 道 出 入 系 统 而 不 被 用 户 发 统 电 使
方 便 的 银 行 服 务 的 同 时 . 带 来 了 各 种 各 样 的 金 融 风 险 。 文 根 据 目前 银 行 业 计 算 机 及 网 络 风 险 的 各 种 表 现 也 本 形 式 . 出相 应 的 解 决 办 法 。 提
【 关键 词 】 计 算机
网络 风 险
随 着 中 国 人 世 对 银 行 业 带 来 的 巨 大 冲 击 .我 国 各 家 银 行 机 构 犯 罪 案 件 中 , 部 人 员 做 案 占 了 很 大 的 比 例 。 他 们 方 便 地 利 用 所 授 内
的操 作 系 统 也 有 wid w N ui 、iu n 0 sT、nx l x等 ,随 着 电子 银 行 、 n 自动柜 员 现 , 类 行 为 不 仅 损 害 客 户 的 利 益 . 大 影 响 银 行 在 民 众 中 的 信 誉 . 这 大
银 行 业 务 领 域 的 广 泛 应 用 .也 使 得 各 家 银 行 机 构 的 电 子 化 水 平 及 服 户 的 资 金 , 到 挪 用 、 用 的 目 的 。 更 为 严 重 的 是 预 设 “ 门 ”, 后 达 盗 后 “ 务 水 平 得 到 了 不 断 提 高 .已 经 普 遍 使 用 诸 如 商 业 银 行 的 门 柜 系 统 、 门 ” 是 信 息 系 统 中 未 公 开 的 通 道 , 用 户 未 授 权 的 情 况 下 , 统 的 就 在 系 信 贷 系 统 、 计 管 理 系 统 、 子 联 行 .人 民 银 行 的 征 信 系 统 等 , 用 设 计 者 或 其 他 技 术 人 员 可 以 通 过 这 些 通 道 出 入 系 统 而 不 被 用 户 发 统 电 使
方 便 的 银 行 服 务 的 同 时 . 带 来 了 各 种 各 样 的 金 融 风 险 。 文 根 据 目前 银 行 业 计 算 机 及 网 络 风 险 的 各 种 表 现 也 本 形 式 . 出相 应 的 解 决 办 法 。 提
【 关键 词 】 计 算机
网络 风 险
随 着 中 国 人 世 对 银 行 业 带 来 的 巨 大 冲 击 .我 国 各 家 银 行 机 构 犯 罪 案 件 中 , 部 人 员 做 案 占 了 很 大 的 比 例 。 他 们 方 便 地 利 用 所 授 内
的操 作 系 统 也 有 wid w N ui 、iu n 0 sT、nx l x等 ,随 着 电子 银 行 、 n 自动柜 员 现 , 类 行 为 不 仅 损 害 客 户 的 利 益 . 大 影 响 银 行 在 民 众 中 的 信 誉 . 这 大
商业银行计算机网络安全管理探讨
计算机 系统网络安全解决的原则 。
计算机 网络 安全采 取的措施
商业银行应根据银 监会颁 发的 银行业金融机构信息系
1 实行 分级 防护的原则 .
商业银行 的计算机 网络 大部 分是分层次 的,即总 行计算 机 中心、 行或部 门计算机分 中心 、 分 网点终端及个人用户 , 计 算机 网络安全防护也与之相适应 ,实行分级防护 的原则 。商
层次 的重 要性 及风险威胁 的程度进行科学 的评估 和研 究 ,确
定与之适 应的安全解决策略。
3 系统性原则 .
商业银行计算机网络的安全 防范要利用系统工程的原理 、
方法 ,分析 网络 的安 全及应采取的具体措施 。首先 ,系统性 原则体现在各种 管理 制度 的建立、执行和完善 以及专业措施 ( 识别 技术 、存取控制 、密 码 、低辐射 、容错 、防病毒 、采用
维普资讯
商业银行计算机网络 安全管理探讨
■ 文 /宁波鄞州农村合作银行课题组
于计算机网络具有联接形 式的多样性、开放性 、互连性
以容易解密主机 中的敏感数据。
LU 等特征, 致使网络易受黑客、 恶意软件和其他不轨行为
的攻击。 因此 ,计算机 网络安全和 网上信息 的安全 、保密是 至关重要的 问题。
砥
维普资讯
技 l应 l l舄 l‘ 术 l用 !
2风险威胁 与安全防护相适 应原则 .
现代商业银行面对复杂多变 的金融环境 ,要迎接多种风 险和威胁 。商业银行资源有限 ,计算机 网络 是个相对 开放 的 系统 ,很难 实现计算机网络的绝对安全 。需要对 网络及所 处
施 ,达到网络安全措施覆盖每个层 次 ,并根据数据交换特 点
全性 ,建立综合 、系统 的网络安全 防护体系。
计算机 网络 安全采 取的措施
商业银行应根据银 监会颁 发的 银行业金融机构信息系
1 实行 分级 防护的原则 .
商业银行 的计算机 网络 大部 分是分层次 的,即总 行计算 机 中心、 行或部 门计算机分 中心 、 分 网点终端及个人用户 , 计 算机 网络安全防护也与之相适应 ,实行分级防护 的原则 。商
层次 的重 要性 及风险威胁 的程度进行科学 的评估 和研 究 ,确
定与之适 应的安全解决策略。
3 系统性原则 .
商业银行计算机网络的安全 防范要利用系统工程的原理 、
方法 ,分析 网络 的安 全及应采取的具体措施 。首先 ,系统性 原则体现在各种 管理 制度 的建立、执行和完善 以及专业措施 ( 识别 技术 、存取控制 、密 码 、低辐射 、容错 、防病毒 、采用
维普资讯
商业银行计算机网络 安全管理探讨
■ 文 /宁波鄞州农村合作银行课题组
于计算机网络具有联接形 式的多样性、开放性 、互连性
以容易解密主机 中的敏感数据。
LU 等特征, 致使网络易受黑客、 恶意软件和其他不轨行为
的攻击。 因此 ,计算机 网络安全和 网上信息 的安全 、保密是 至关重要的 问题。
砥
维普资讯
技 l应 l l舄 l‘ 术 l用 !
2风险威胁 与安全防护相适 应原则 .
现代商业银行面对复杂多变 的金融环境 ,要迎接多种风 险和威胁 。商业银行资源有限 ,计算机 网络 是个相对 开放 的 系统 ,很难 实现计算机网络的绝对安全 。需要对 网络及所 处
施 ,达到网络安全措施覆盖每个层 次 ,并根据数据交换特 点
全性 ,建立综合 、系统 的网络安全 防护体系。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
于计算机网络具有联接形式的多样性、开放性、互连性等特征,致使网络易受黑客、恶意软件和其他不轨行为的攻击。
因此,计算机网络安全和网上信息的安全、保密是至关重要的问题。
一、计算机网络面临的风险
商业银行网络呈现分层次的拓扑结构,由于其涉及信息的敏感性,会成为内部和外部黑客攻击的目标。
当前商业银行网络系统面临的主要风险和威胁有以下几方面。
1.非法访问
商业银行网络系统是个远程互连的金融网络系统,现有网络系统利用操作系统、网络设备的部分安全功能进行访问控制。
控制强度相对较弱,攻击者可以从任何一个终端/主机利用现有大量攻击工具发起对主机的攻击。
整个网络通过公用网络互连,存在搭接终端进行攻击的可能。
攻击的结果可以控制主机,进行非法操作,并修改数据。
2.窃取PIN/密钥等敏感数据
部分商业银行网络系统采用软件加密的形式保护关键数据,并且采用了公开加密算法(DES)。
安全的关键是对加密密钥的保护,而软件加密最大的安全隐患在于无法安全保存加密密钥。
程序员可以修改程序使其运行时得到加密密钥(显示于屏幕上或写入文件中)。
加密密钥一旦得到,攻击者就可以容易解密主机中的敏感数据。
3.截获和篡改传输数据
目前很多商业银行还没有自己的专用数据传输光纤,利用现有网络系统通过公网传输的大量信息,其加密措施简单;商业银行传输信息量大,采用近似开放的TCP/IP协议,不法分子或网络黑客可以很容易截获、分析甚至修改信息。
网络或主机口令等敏感信息一旦被截获,主机系统就成为极易被攻击的对象。
4.假冒终端/操作员进行非法操作
目前商业银行开始进行网上业务运营,银行网络系统及各分支网络中心通过公网相连。
商业银行内、外网不能进行物理隔离,通过假冒银行终端和操作员非法操作,在传输线路上搭接终端获取银行客户资料;采用口令攻击工具,通过分析口令文件等手段轻易攻破银行非法入侵防范系统,达到破坏银行运行系统,非法转移、侵占合法客户资金以及非法洗钱等目的。
5.其他网络安全风险
其他网络安全风险主要是指商业银行所使用操作系统和业务运行程序的安全性和稳定性不足;数据库以及网银所使用数据仓库的类型和安全配置不足以适应网络安全的要求;系统出现灾难时不能自动热备和数据资料备份不完整;恢复网络正常运行的时间间隔超过安全时效等风险。
二、计算机网络系统安全解决的原则
商业银行计算机网络安全与网络规模、结构、通信协议、应用业务程序的功能和实现方式密切相关,一个好的安全设计应该结合现有网络和业务特点并充分考虑发展需求。
计算机网络是个分层次的拓扑结构,商业银行的网络安全防护要充分考虑分层次的拓扑结构特点,采取分层次的拓扑防护措施,达到网络安全措施覆盖每个层次,并根据数据交换特点以及运营设备和执行指令在整个系统运营中所
处的重要性不同,设置不同级别的防护措施。
下面针对某些商业银行的网络系统,结合部分商业银行的网络和业务规划,谈商业银行计算机系统网络安全解决的原则。
1.实行分级防护的原则
商业银行的计算机网络大部分是分层次的,即总行计算机中心、分行或部门计算机分中心、网点终端及个人用户,计算机网络安全防护也与之相适应,实行分级防护的原则。
商业银行根据外部Internet网络规模大、用户众多的特点,对通过Internet/Intranet接入的网络信息安全实施分级管理的解决方案,对其控制点分为三级安全管理。
第一级:中心级网络,实现内外网隔离,内外网用户的访问恰当控制,内部网的实时监控,传输数据的备份与稽查。
第二级:分中心(部门)级,实现内部网与外部网用户的访问控制,同级部门间的访问控制,部门网内部的安全审计。
第三级:网点终端及个人用户级,实现部门网内部主机的访问控制,数据库及终端信息资源的安全保护。
2.风险威胁与安全防护相适应原则
现代商业银行面对复杂多变的金融环境,要迎接多种风险和威胁。
商业银行资源有限,计算机网络是个相对开放的系统,很难实现计算机网络的绝对安全。
需要对网络及所处层次的重要性及风险威胁的程度进行科学的评估和研究,确定与之适应的安全解决策略。
3.系统性原则
商业银行计算机网络的安全防范要利用系统工程的原理、方法,分析网络的安全及应采取的具体措施。
首先,系统性原则体现在各种管理制度的建立、执行和完善以及专业措施(识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品等)的落实。
其次,还要体现在综合考虑设备、软件、数据库等的性能、安全性以及在网络中的地位、影响作用等。
第三,关注商业银行计算机网络每个链路和节点的安全性,建立综合、系统的网络安全防护体系。
4.效益与效率兼顾性原则
首先,商业银行网络安全措施需要人为完成,如果措施过于复杂,对人的要求太高,本身就会降低安全性。
其次,措施的采用不能影响系统的正常运行。
第三,由于网络系统及应用扩展范围广阔,随着网络规模的扩大及应用的增加,网络脆弱性也会增加。
同时,实施信息安全措施需要相当的费用支出。
因此采取分步实施,即可满足网络系统及信息安全的基本需求,亦可节省费用开支。
三、计算机网络安全采取的措施
商业银行应根据银监会颁发的《银行业金融机构信息系统风险管理指引》,引进信息系统审计师,对计算机网络安全性进行评估,认真分析商业银行计算机网络所面临的风险隐患,结合计算机网络系统安全解决原则,建立链路、网络安全、数据库等综合计算机网络防护措施(如图1所示)。
1.加强链路安全管理
利用链路数据加密机,对核心数据进行加密。
数据加密机是对主机数据提供安全保护的密码设备,对所有用户数据一起加密。
用户数据通过通信线路送到另一节点后立即解密,可靠、安全地保护商业银行计算机网络中的个人密码PIN、金额、账号、密钥等重要数据以及对消息来源的正确性(MAC)、交易完整性(TAC)进行鉴别。
有效地防止信息泄露和被非法篡改;提供数字签名服务,防止假冒、抗
抵赖等诈骗行为。
此外,加密机还可以提供完善的密钥管理功能,可对全系统的密钥进行分层次的结构管理。
2.加强网络安全管理
利用防火墙和入侵检测系统,构建多层次网络安全体系,保证商业银行网络安全。
商业银行计算机网络已融入国际互联网,具有开放性、无边界性、自由性等特点,更应加强信息网络的安全管理。
首先,利用防火墙把被保护的网络从开放的、无边界的网络环境中独立出来,成为可管理、可控制的内部网络。
并且根据商业银行计算机系统和处理、存储数据的重要性,设置防火墙的级次。
核心的业务系统、主机设备、数据,需要高级别的防火墙。
在防火墙的设置上,应体现分层次的原则,每个层次和关键业务节点都要设置防火墙,起到层层拦截不法入侵行为和有限授权操作的作用,实现内部网与外部不可信任网络之间或内部网不同网络安全域的隔离与访问控制。
其次,建立入侵检测系统,及时发现商业银行计算机网络的非法入侵和对信息系统的攻击。
建立入侵检测系统可以实时监控、自动识别网络违规行为并作出自动响应。
它通过实时截获网络数据流,识别、记录入侵和破坏性代码流,寻找网络违规模式和未授权的网络访问,实现对网络上敏感数据的保护。
当发现网络违规模式和未授权的网络访问时,入侵检测系统能够根据系统安全策略做出反应,包括实时报警、事件登录、自动阻断通信连接或执行用户自定义的安全策略等。
3.加强数据信息安全
利用密码、密钥、数字证书等技术,识别用户身份,控制用户权限,保证商业银行计算机网络应用数据库安全。
建立证书中心(即公钥密码证书管理中心),利用公钥密码算法,在密钥自动管理、数字签名、身份识别等方面增强安全性。
使用端端加密机对用户数据中的数据字段部分加密,控制字段部分不加密,用户数据加密后通过网络路由交换到达目的地后再进行解密。
用户数据在网络的各个交换节点中传输时始终处于加密状态,有效地防止了用户信息在网络环节上的泄漏和篡改问题。
建立数据库安全保密系统是针对目前已选用的通用数据库开发的安全措施,在通用数据库基础上增加控件,实现对数据库的访问/存取控制及加密控制等。
4.建立网络安全审计评估系统
建立商业银行计算机网络安全审计评估系统,保证计算机信息系统的安全运行。
根据银监会的要求,引进信息系统审计师(CISA),定期、不定期地对商业银行的核心业务系统和网络数据进行安全风险评估,发现风险隐患,制订相应的措施。
同时在核心业务系统中利用嵌入式审计软件,对核心业务系统运行过程中的业务流、数据流进行监控,及时发现核心业务系统运行过程中出现的异常情况和不法入侵、攻击现象,侦测业务运行中出现的风险隐患和程序漏洞,提醒计算机系统维护人员及时修补漏洞、完善。