商業(yè)銀行網(wǎng)絡(luò)安全論文范文
本站小編為你精心準備了商業(yè)銀行網(wǎng)絡(luò)安全論文參考范文,愿這些范文能點燃您思維的火花,激發(fā)您的寫作靈感。歡迎深入閱讀并收藏。
1計算機網(wǎng)絡(luò)系統(tǒng)安全解決的原則
商業(yè)銀行計算機網(wǎng)絡(luò)安全與網(wǎng)絡(luò)規(guī)模、結(jié)構(gòu)、通信協(xié)議、應(yīng)用業(yè)務(wù)程序的功能和實現(xiàn)方式緊密相關(guān),一個優(yōu)秀的安全設(shè)計應(yīng)當整合當前網(wǎng)絡(luò)和業(yè)務(wù)特殊之處并全面考慮發(fā)展要求。商業(yè)銀行的網(wǎng)絡(luò)安全保護應(yīng)選擇分層次保護的優(yōu)點,使用多級拓撲防護方式,設(shè)置不同級別的防御方法。訪問控制是網(wǎng)絡(luò)安全防護和防御的首要方式之一,其重要目標是保證網(wǎng)絡(luò)資源不被非法訪問。訪問控制技術(shù)所包括內(nèi)容相對廣泛,其中有網(wǎng)絡(luò)登錄控制、網(wǎng)絡(luò)使用權(quán)限控制、目錄級安全控制以及屬性安全控制等多種手段。結(jié)合某些商業(yè)銀行的網(wǎng)絡(luò)系統(tǒng)和部分商業(yè)銀行的網(wǎng)絡(luò)和業(yè)務(wù)規(guī)劃,談商業(yè)銀行計算機網(wǎng)絡(luò)安全解決的原則。
1.1實行分級和分區(qū)防護的原則商業(yè)銀行的計算機網(wǎng)絡(luò)絕大多數(shù)是分層次的,即總行中心、省級中心、網(wǎng)點終端,計算機網(wǎng)絡(luò)安全防護對應(yīng)實行分級防護的原則,實現(xiàn)對不同層次網(wǎng)絡(luò)的分層防護。防火墻也根據(jù)訪問需求被分為不同的安全區(qū)域:內(nèi)部核心的TRUST區(qū)域,外部不可信的Untrust區(qū)域,第三方受限訪問的DMZ區(qū)域。
1.2風險威脅與安全防護相適應(yīng)原則商業(yè)銀行面對的是極其復(fù)雜的金融環(huán)境,要面臨多種風險和威脅,然而商業(yè)銀行計算機網(wǎng)絡(luò)不容易實現(xiàn)完全的安全。需要對網(wǎng)絡(luò)及所處層次的機密性及被攻擊的風險性程度開展評估和研究,制定與之匹配的安全解決方式。
1.3系統(tǒng)性原則商業(yè)銀行計算機網(wǎng)絡(luò)的安全防御必須合理使用系統(tǒng)工程的理論進而全面分析網(wǎng)絡(luò)的安全及必須使用的具體方法。第一,系統(tǒng)性原則表現(xiàn)在各類管理制度的制定、落實和補充和專業(yè)方法的落實。第二,要充分為綜合性能、安全性和影響等考慮。第三,關(guān)注每個鏈路和節(jié)點的安全性,建立系統(tǒng)安防體系。
2計算機網(wǎng)絡(luò)安全采取的措施
商業(yè)銀行需要依據(jù)銀監(jiān)會的《銀行業(yè)金融機構(gòu)信息系統(tǒng)風險管理指引》,引進系統(tǒng)審計專家進行評估,結(jié)合計算機網(wǎng)絡(luò)系統(tǒng)安全的解決原則,建立綜合計算機網(wǎng)絡(luò)防護措施。
2.1加強外部安全管理網(wǎng)絡(luò)管理人員需要認真思考各類外部進攻的形式,研究貼近實際情況的網(wǎng)絡(luò)安全方法,防止黑客發(fā)起的攻擊行為,特別是針對于金融安全的商業(yè)銀行網(wǎng)絡(luò)系統(tǒng)。通過防火墻、入侵檢測系統(tǒng),組成多層次網(wǎng)絡(luò)安全系統(tǒng),確保金融網(wǎng)絡(luò)安全。入侵檢測技術(shù)是網(wǎng)絡(luò)安全技術(shù)和信息技術(shù)結(jié)合的新方法。通過入侵檢測技術(shù)能夠?qū)崟r監(jiān)視網(wǎng)絡(luò)系統(tǒng)的相關(guān)方位,當這些位置受到進攻時,可以馬上檢測和立即響應(yīng)。構(gòu)建入侵檢測系統(tǒng),可以馬上發(fā)現(xiàn)商業(yè)銀行金融網(wǎng)絡(luò)的非法入侵和對信息系統(tǒng)的進攻,可以實時監(jiān)控、自動識別網(wǎng)絡(luò)違規(guī)行為并馬上自動響應(yīng),實現(xiàn)對網(wǎng)絡(luò)上敏感數(shù)據(jù)的保護。
2.2加強內(nèi)部安全管理內(nèi)部安全管理可以利用802.1X準入控制技術(shù)、內(nèi)部訪問控制技術(shù)、內(nèi)部漏洞掃描技術(shù)相結(jié)合,構(gòu)建多層次的內(nèi)部網(wǎng)絡(luò)安全體系。基于802.1x協(xié)議的準入控制設(shè)計強調(diào)了對于交換機端口的接入控制。在內(nèi)部用戶使用客戶端接入局域網(wǎng)時,客戶端會先向接入交換機設(shè)備發(fā)送接入請求,并將相關(guān)身份認證信息發(fā)送給接入交換機,接入交換機將客戶端身份認證信息轉(zhuǎn)發(fā)給認證服務(wù)器,如果認證成功該客戶端將被允許接入局域網(wǎng)內(nèi)。如認證失敗客戶端將被禁止接入局域網(wǎng)或被限制在隔離VLAN中。[4]內(nèi)部訪問控制技術(shù)可以使用防火墻將核心服務(wù)器區(qū)域與內(nèi)部客戶端區(qū)域隔離,保證服務(wù)器區(qū)域不被非法訪問。同時結(jié)合訪問控制列表(ACL)方式,限制內(nèi)部客戶端允許訪問的區(qū)域或應(yīng)用,保證重要服務(wù)器或應(yīng)用不被串訪。同時結(jié)合內(nèi)部漏洞掃描技術(shù),通過在內(nèi)部網(wǎng)絡(luò)搭建漏洞掃描服務(wù)器,通過對計算機網(wǎng)絡(luò)設(shè)備進行相關(guān)安全掃描收集收集網(wǎng)絡(luò)系統(tǒng)信息,查找安全隱患和可能被攻擊者利用的漏洞,并針對發(fā)現(xiàn)的漏洞加以防范。
2.3加強鏈路安全管理對于數(shù)據(jù)鏈路的安全管理目前常用方法是對傳輸中的數(shù)據(jù)流進行加密。對于有特殊安全要求的敏感數(shù)據(jù)需要在傳輸過程中進行必要的加密處理。常用的加密方式有針對線路的加密和服務(wù)器端對端的加密兩種。前者側(cè)重在線路上而不考慮信源與信宿,通過在線路兩端設(shè)置加密機,通過加密算法對線路上傳輸?shù)乃袛?shù)據(jù)進行加密和解密。后者則指交易數(shù)據(jù)在服務(wù)器端通過調(diào)用加密軟件,采用加密算法對所發(fā)送的信息進行加密,把相應(yīng)的敏感信息加密成密文,然后再在局域網(wǎng)或?qū)>€上傳輸,當這些信息一旦到達目的地,將由對端服務(wù)器調(diào)用相應(yīng)的解密算法解密數(shù)據(jù)信息。隨著加密技術(shù)的不斷運用,針對加密數(shù)據(jù)的破解也越來越猖獗,對數(shù)據(jù)加密算法的要求也越來越高,目前根據(jù)國家規(guī)定越來越多的商業(yè)銀行開始使用國密算法。
2.4建立商業(yè)銀行網(wǎng)絡(luò)安全審計評估體系通過建立商業(yè)銀行網(wǎng)絡(luò)安全審計評估體系,保證計算機信息系統(tǒng)的正常運行。對商業(yè)銀行的核心業(yè)務(wù)系統(tǒng)和計算機網(wǎng)絡(luò)數(shù)據(jù)進行安全風險評估,發(fā)掘風險隱患,制訂相關(guān)的措施。[5]
2.5商業(yè)銀行管理決策層對策商業(yè)銀行計算機網(wǎng)絡(luò)的安全管理,不僅要看所采用的安全技術(shù)和防范措施,而且要看它所采取的管理措施和執(zhí)行計算機安全保護法律、法規(guī)的力度。只有將兩者緊密結(jié)合,才能使計算機網(wǎng)絡(luò)安全確實有效。商業(yè)銀行計算機網(wǎng)絡(luò)的安全管理,還包括完善相應(yīng)的安全管理機構(gòu)、不斷完善和加強計算機的管理功能、加強立法和執(zhí)法力度等方面。加強計算機安全管理、加強用戶的法律、法規(guī)和道德觀念,提高商業(yè)銀行網(wǎng)絡(luò)用戶的安全意識,對防止計算機犯罪、抵制黑客攻擊和防止計算機病毒干擾。
作者:王曉宇單位:中國工商銀行股份有限公司上海市分行信息科技部
