浅谈银行计算机网络系统的安全防范

浅谈银行计算机网络系统的安全防范 浅谈银行计算机网络系统的安全防范 信息技术论文 更新：2006-4-8 阅读： 浅谈银行计算机网络系统的安全防范

浅谈银行计算机网络系统的安全防范

张 玫

中国工商银行安徽省分行

摘要 从近几年金融犯罪的手段来看,银行的计算机网络系统已成为一些罪犯侵犯的对象和渠道。因此，其安全问题不仅是当前银行的重点工作，也应一直作为银行日常的重点工作。笔者根据近几年的工作实践，谈谈对安全工作的一些看法。

关键词 网络 安全 管理 防范

一． 银行系统主要面临的网络安全问题

1． 计算机网络系统的实体遭到破坏

实体是指网络中的关键设备，包括各类计算机（服务器、工作站等）、网

络通信设备（路由器、交换机、集线器、调制解调器、加密机等）、存放数据的媒体（磁带机、磁盘机、光盘等）、传输线路、供配电系统以及防雷系统和抗电磁干扰系统等。这些设备不管哪一个环节出现问题，都会给整个网络带来灾难性的后果。这类问题，一部分由于系统设计不合理造成，一部分由于内部工作人员责任心不强、不按规定操作、麻痹大意造成，一部分是来自外部的恶意破坏。

2． 内部人员利用网络实施金融犯罪

据有关调查显示，在已破获的采用计算机技术进行金融犯罪的人员中

，内部人员占到75%，其中内部授权人员占到58%。他们方便地利用所授的权利，轻松地对网络中的数据进行删除、修改、增加，转移某些帐户的资金，达到挪用、盗用的目的。更为严重的是预设“后门”，“后门”就是信息系统中未公开的通道，在用户未授权的情况下，系统的设计者或其他技术人员可以通过这些通道出入系统而不被用户发觉，这类行为不仅损害客户的利益，大大影响银行在民众中的信誉，更为严重的是“后门”成为黑客入侵系统的突破口危及整个系统的安全性和数据的安全性。

3． 遭受各类黑客的侵犯和破坏

存储和运行在银行计算机网络系统中的信息、数据，不仅本质上代表着资金的运动，而且从微观上能反映某些企业的经济活动，从宏观上能折射出国家的经济运行情况。因此，在经济竞争如此激烈的当今时代，银行网络系统必然遭到各类黑客的“亲睐”。有的通过监视网络数据截取信息，从事经济领域的间谍活动；有的未经授权擅自对计算机系统的功能进行修改；有的进行信用卡诈骗和盗用资金；有的进行恶意破坏，造成通信流量堵塞；我国的电子商务工作屡遭挫折，很多原因是遭遇黑客，如2000年3月30日金融CA认证中心（由国内12家银行发起的保障企业进行电子商务交易的组织）试发证书的消息公布不到1小时，认证中心就遭到黑客的攻击。

4． 面临名目繁多的计算机病毒的威胁

计算机病毒数据，将导致计算机系统瘫痪，程序和数据严重破坏，使网络的效率和作用大大降低，使许多功能无法使用或不敢使用。虽然，至今尚未出现灾难性的后果，但层出不穷的各种各样的计算机病毒活跃在各个角落，大有一触即发之势，令人堪忧。

二． 银行计算机网络系统的安全防范工作

笔者认为，银行计算机网络系统的安全防范工作是一个极为复杂的系统

工程，是人防和技防相结合的工程方案。在目前法律法规尚不完善的情况下，首先是各级领导的重视，加强工作人员的责任心和防范意识，自觉执行各项安全制度，在此基础上，再采用一些先进的技术和产品，构造全方位的防御机制，使系统在理想的状态下运行。

1． 加强安全制度的建立和落实工作

安全制度的建立也是一门科学。一定要根据本单位的实际情况和所采用

的技术条件，参照有关的法规、条例和其他单位的版本，制定出切实可行又比较全面的各类安全管理制度。主要有：操作安全管理制度、场地与实施安全管理制度、设备安全管理制度、操作系统和数据库安全管理制度、计算机网络安全管理制度、软件安全管理制度、密钥安全管理制度、计算机病毒防治管理制度等。

制度的建立切不能流于形式，重要的是落实和监督。尤其是在一些细小的环节上更要注意。如系统管理员应定期及时审查系统日志和记录。重要岗位人员调离时，应进行注销，并更换业务系统的口令和密钥，移交全部技术资料，但不少人往往忽视执行这一措施的及时性。还有防病毒制度规定，要使用国家有关主管部门批准的正版查毒杀毒软件适时查毒杀毒，而不少人使用盗版杀毒软件，使计算机又染上了其他病毒。

另外，要强化工作人员的安全教育和法制教育，真正认识到计算机网络系统安全的重要性和解决这一问题的长期性、艰巨性及复杂性。决不能有依赖于先进技术和先进产品的思想。技术的先进永远是相对的。俗话说：“道高一尺，魔高一丈”，今天有矛，明天就有盾。安全工作始终在此消彼长的动态过程中进行。只有依靠人的安全意识和主观能动性，才能不断地发现新的问题，不断地找出解决问题的对策。

2． 构造全方位的防御机制

笔者认为，衡量一个网络系统的安全性如何，至少应能保证其数据的保

密性、完整性、可使用性及可审计性等。为达到这些要求应采用如下的防御机制：

要保证处于联机数据文件系统或数据库之中的以及网络传输当中的保密信息不会非法地主动地或被动地提供给非授权人员，系统资源只能被拥有资源访问权的用户所访问，能鉴别访问用户身份，保证合法用户对系统资源的访问和使用。其防御机制是：除了对关键数据进行级别较高的加密外，还要建立访问控制体系，根据信息密级和信息重要性划分系统安全域，在安全域之间用安全保密设备（加密机、防火墙、保密网关等），通过存取矩阵来限制用户使用方式，如只读、只写、可读写、可修改、可完全控制等。

要使信息的安全性、精确性、有效性不因种种不安全因素而降低，不会使存储在数据库中以及在网络中传输的数据遭受任何形式的插入、删除、修改或重发，保证合法用户读取、接收或使用的数据的真实性。其防御机制是除了安装“防火墙”和计算机病毒防治措施之外，还要建立良好的备份和恢复机制，形成多层防线。主要设备、软件、数据、电源等都有备份，并具有在较短时间内恢复系统运行的能力。

要使合法的用户能正常访问网络的资源，有严格时间要求的服务能得到及时响应，不会因系统的某些故障或误操作而使资源丢失，或妨碍对资源的使用，即使在某些不正常条件下也能正常运行。其防御机制主要靠系统本身所设计的功能来实现。

要使网络系统中的每一项操作都留有痕迹，记录下操作的各种属性，并保留必要的时限，以使各种犯罪行为有案可查。其关键是建立监控体系和审计系统。集中式审计系统将各服务器和安全保密设备中的审计信息收集、整理、分析汇编成审计报表，用来处理绝密级信息或信息内容，特别重要的涉密系统，分布式审计系统的审计存放在各服务器和安全保密设备上，用于系统安全保密管理员审查。

3．采用先进的技术和产品

要构造上述的防御机制，保证计算机网络系统的安全性，还要采用一些先进的技术和产品。目前主要采用的相关技术和产品有以下几种。

①“防火墙”技术

“防火墙”是近年发展起来的一种重要安全技术，是通过对网络作拓扑结构和服务类型上的隔离来加强网络安全的一种手段，它是电脑网络之间的一种特殊装置，主要用来接收数据，确认其来源及去处，检查数据的格式及内容，并依照用户的规则传送或阻止数据。其类别主要有：应用层网关、包过滤网关、代理服务器等，它可与路由器结合，按不同要求组成配置功能各异的防火墙。

②加密型网络安全技术

这一类技术的特征是利用现代的数据加密技术来保护网络系统中包括用

户数据在内的所有数据流，只有指定的用户或网络设备才能够解译加密数据，从而在不对网络环境作特殊要求的前提下从根本上保证网络信息的完整性和可用性。这种以数据和用户确认为基础的开放型安全保障技术是比较适用的，是对网络服务影响较小的一种途径，可望成为网络安全问题的最终的一体化解决途径。

③漏洞扫描技术

漏洞扫描是自动检测远端或本地主机安全脆弱点的技术，通过执行一些脚本文件对系统进行攻击并记录它的反应，从而发现其中的漏洞。它查询TCP/IP端口，并记录目标的响应，收集关于某些特定项目的有用信息，如正在进行的服务，拥有这些服务的用户，是否支持匿名登录，是否有某些网络服务需要鉴别等，可以用来为审计收集初步的数据。

④入侵检测技术

入侵检测可被定义为对计算机和网络资源上的恶意使用行为进行识别和

响应的处理过程。它不仅检测来自外部的入侵行为，同时也检测内部用户的未授权活动，还能发现合法用户滥用特权，提供追究入侵者法律责任的有效证据。该技术通过分析入侵过程的特征、条件、排列以及事件间的关系，具体描述入侵行为的迹象，这些迹象不仅对分析已经发生的入侵行为有帮助，而且对即将发生的入侵也有警戒作用。

总之，银行计算机网络系统的安全工作不是一朝一夕的工作，而是一项长期的任务，需要全体员工的参与和努力，同时要加大投入引进先进技术，建立严密的安全防范体系，并在制度上确保该体系功能的实现。