从某省级中国农行解决方案谈网络安全策略
- 格式:doc
- 大小:31.50 KB
- 文档页数:5
从某省级中国农行解决方案谈网络安全策略
在金融业日益现代化、国际化的今天,中国农业银行XX省分行注重服务手段进步和金融创新,不仅依靠电子化建设实现了城市间的资金汇划,消费结算、储蓄存取款、信用卡交易的电子化、开办了电话银行等多种服务,而且以资金清算系统、信用卡异地交易系统形成了遍及全省的网络化服务。
随着银行外联业务的兴起以及与相关行业部门(例如公安、税务、电信、电力、证券、商业)业务往来增多,地市分行的外联网也在逐步扩大,网上银行正蓬勃发展,以上种种网络环境要求银行网要有很高的可靠性、安全性和保密性。
由于目前网络的应用的自由性、广泛性以及黑客的"流行",银行面临着各种安全威胁。
如:非授权访问、信息泄露、数据被篡改或丢失等。
一旦信息泄露或者信息混乱,将给银行自身信誉、社会稳定、国家安全带来巨大影响。
要构建坚不可摧的安全网络,就必须从其面临的威胁入手。
目前,计算机网络所面临的威胁大体可分为两种:一是对网络中信息的威胁;二是对网络中设备的威胁。
影响计算机网络的因素很多,有些因素可能是有意的,也可能是无意的;可能是人为的,也可能是非人为的;可能是外来黑客对网络系统资源的非法使有,归结起来,针对网络安全的威胁主要有三:
1 人为的无意失误:
如操作员安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。
2 人为的恶意攻击:
这是计算机网络所面临的最大威胁,敌手的攻击和计算机犯罪就属于这一类。
此类攻击又可以分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息。
这两种攻击均可对计算机网
络造成极大的危害,并导致机密数据的泄漏。
3 网络软件的漏洞和“后门”:
网络软件不可能是百分之百的无缺陷和无漏洞的,然而,这些漏洞和缺陷恰恰是黑客进行攻击的首选目标,曾经出现过的黑客攻入网络内部的事件,这些事件的大部分就是因为安全措施不完善所招致的苦果。
另外,软件的“后门”都是软件公司的设计编程人员为了自便而设置的,一般不为外人所知,但一旦“后门”洞开,其造成的后果将不堪设想。
下面,我们就从不同的方面来构建一个安全的金融网络体系:
1 平台安全
平台安全泛指操作系统和通用基础服务安全,主要用于防范黑客攻击手段。
目前市场上大多数安全产品均限于解决平台安全,该行以信息安全评估准则为依据,确定平台安全实施过程包括以下内容:操作系统漏洞检测与修复; Unix系统、Windows系统、网络协议、网络基础设施漏洞检测与修复; 路由器、交换机、防火墙、通用基础应用程序漏洞检测与修复; 数据库、Web/Ftp/Mail/DNS等其他各种系统守护进程、网络安全产品部署。
平台安全实施需要用到市场上常见的网络安全产品,主要包括防火墙、入侵检测、脆弱性扫描和防病毒产品、整体网络系统平台安全综合测试/模拟入侵与安全优化。
2 应用安全
应用安全可保障相关业务在计算机网络系统上安全运行,它的脆弱性可能给信息化系统带来致命威胁。
该行以业务运行实际面临的威胁为依据,为应用安全提供的评估措施有:业务软件的程序安全性测试(Bug分析)、业务交往的防抵赖测试、业务资源的访问控制验证测试、业务实体的身份鉴别检测、业务现场的备份与恢复机制检查、业务数据的惟一性/一致性/防冲突检测、业务数据的保密性测试、业务系统的可靠性测试、业务系统的可用性测试。
测试实施后,可有针对性地为业务系统提供安全建议、修复方法、安全策略
和安全管理规范。
3 通讯安全
为防止系统之间通信的安全脆弱性威胁,该行以网络通信面临的实际威胁为依据,为保障系统之间通信的安全采取的措施有:通信线路和网络基础设施安全性测试与优化、安装网络加密设施、设置通信加密软件、设置身份鉴别机制、设置并测试安全通道、测试各项网络协议运行漏洞。
其中访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和非常访问。
它也是维护网络系统安全、保护网络资源的重要手段。
主要包括入网访问控制,网络的权限控制,目录级安全控制,属性安全控制,网络服务器安全控制,网络监测和锁定控制等。
4 运行安全
运行安全可保障系统的稳定性,较长时间内将网络系统的安全控制在一定范围内。
该行为运行安全提供的实施措施有:应急处置机制和配套服务、网络系统安全性监测、网络安全产品运行监测、定期检查和评估、系统升级和补丁提供、跟踪最新安全漏洞、灾难恢复机制与预防、系统改造管理、网络安全专业技术咨询服务。
运行安全是一项长期的服务,包含在网络安全系统工程的售后服务内。
网络安全审计的目的就是要了解网络的弱点位置和严重程度 ,以便如何纠正。
提前注意到问题的存在 ,就能防止这些问题在被忽视的情况下变得非常严重。
审计是每天都要完成的任务 ,网络安全工作是一个持续的过程。
基本的审计工作包括:记录用户使用网络系统的过程并对这些记录检查审计、分析例外事件和违规操作 ,对网络的安全和使用作出评估。
5 管理安全
管理安全对以上各个层次的安全性提供管理机制,以网络系统的特点、实际条件和管理要求为依据,利用各种安全管理机制,为用户综合控制风险、降低损失和消耗,促进安全生产效益。
银行的各种重大数据都集中在服务器,从而也成为黑客们攻击的主要对象。
因此,服务器的安全是银行系统安全的重中之重。
一旦服务器上存放的数据被窃取、篡改、破坏、删除,其后果非常严重。
要保障银行安全,除了要部署目前已经得到广泛应用的防火墙和防病毒产品外,入侵检测、主机保护等产品或工具也是必不可少的。
设置安全检测和攻击预警系统的目的是:运用成熟的攻击、反攻击技术,分析已知的系统安全漏洞和薄弱环节。
安全检测可以在不安全因素被诱发之前,消除系统可能的安全隐患。
攻击预警系统可以实时发现网络攻击,阻挠不安全用户进入系统。
入侵检测的主要安全需求是:根据网络攻击的特征,在被保护网络的入口处进行实时监测。
发现攻击时,向管理员报警并阻断、记录攻击的来源;针对系统扫描以及实时监测发现的系统漏洞,及时采取措施,实施动态的安全防卫策略;
6 人为因素引发的安全策略
在建立网络管理体系时 ,人为因素对网络安全的影响非常重要 ,即使制定了相当完善的安全制度 ,如果操作员不认真履行操作规程或越权执行 ,都将对网络造成不安全因素。
操作人员、网络管理人员、安全管理人员 ,应坚持多人负责、职责分离、任期有限的原则。
对于有些工作:如程序的操作和开发、机密资料的接受和发送、安全管理和网络系统管理、密码的管理和使用、操作和媒介管理等 ,必须分工管理;重要操作如证件发放、处理机密信息、软硬件维护、程序删除和修改、数据删除和修改等 ,必须坚持多人监督。
安全管理工作人员 ,应该有任期时限 ,不能成为专有和永久性的 ,应强制休假或培训 ,以提高网络安全性和安全管理效率。
结语
根据上述安全管理策略 ,结合从事金融行业网络建设多年的经验 ,作者认为一套完善、高效、集中的金融网络管理系统应该达到如下目标:
(1) 面向运维 :系统应作为全行网络的性能预警器 ,对异常和非趋势现象向相关运维单元通告。
系统应是一套适合全行网络发展的完整的网络性能分析方案 ,它由一些不同的功能模块所组成 ,性能管理、配置管理、报表管理等 ,这些功能模块建立在通用的数据平台上 ,通过自动化的工作流程紧密连接 ,形成一
个有机的整体。
(2) 面向规划 :系统利用其的数据库中历史资料 ,明确在网上的业务类型及其统计与分析 ,用户带宽使用状况 ,使网络规划建立在网络的实际流量模型上。
预见链路、设备的性能趋势 ,为性能调整提供依据。
(3) 面向业务 :系统应针对特殊业务的特殊需求 ,利用已有的体系 ,提供业务性能分析服务和 SLA 报告 ,为决策层提供经营决策的依据。
(4) 面向用户 :系统应根据不同层次用户的不同业务需求 ,提供不同层次、不同安全级别的性能报告、操作许可;通过用户数据库的建立 ,对所有运维人员的操作活动进行有效监督、规范和审计。