金融业网络信息安全建设探析Word下载.docx
《金融业网络信息安全建设探析Word下载.docx》由会员分享,可在线阅读,更多相关《金融业网络信息安全建设探析Word下载.docx(9页珍藏版)》请在冰豆网上搜索。
⏹将款项取出
⏹立即消逝
二、网络信息安全问题越来越严峻
由此可见,网络,尤其是金融业的网络系统,有一个最大的问题确实是安全问题。
八年往常,金融业务的计算机核算系统以单机为主,网络较少,无法远程对计算机进行攻击和扩散病毒。
随着计算机的普及,网络系统的建立,了解计算机的人增多,但计算机网络系统维护人员对安全的知识了解比较缺少,而关于网络系统安全来讲潜在的入境差不多够用。
另外,往常编写攻击工具和病毒,需要专业技术。
现在,随着开发工具丰富,使用简便,专门容编写一个病毒,专门容易得到各种攻击工具。
计算机系统的使用已深入到金融业的核心业务中,银行业务和计算机网络系统、应用系统的紧密结合构成银行核心业务系统,差不多成为建设现代银行的标志之一。
网络系统的互联,导致入侵的范围增大;
使用人员的增多,导致入侵的可能性增大;
系统复杂,导致安全漏洞增多。
由此非法的侵入能够获得利益或达到某种目的可能性增大。
•盗窃钞票款
•恶意报复
•政治阻碍
•等等
团体的恶意行为具备更高的技术、更先进的手段和更大的危害。
三、安全威胁
1、非法进入系统
非法进入计算机网络系统。
可能进行恶意或善意的操作,可能没有造成损害,但至少存在安全隐患。
2、非法越权操作
超越授予的权限,进行越权操作。
除非法进入外,通常是授权不合理。
3、假冒他人身份
通常是恶意的,能够进行非法越权操作。
4、非法伪造、篡改数据
在数据的传输和存储过程中篡改和伪造数据。
5、非法猎取数据
在数据的传输和存储过程中,非法猎取重要的数据
6、事后否认操作或数据
由于网络的互联,使得事后否认曾进行的操作和曾收发过数据成为可能。
7、利用网络系统绕过业务系统,直接修改数据库数据
由于计算机网络系统飞速进展,为随意修改数据库中的数据提供了方便。
8、病毒
计算机网络系统飞速进展,使得病毒的传播速度、破坏数据的能力令人震惊,通常导致系统不能正常工作,甚至宕机。
9、安全制度建设不完善
安全制度建设不完善,导致机密数据、口令窃密。
安全审计不及时不严格。
10、安全技术治理手段落后
安全检测和告警等治理不能做到自动化、程序化和智能化;
缺乏专门好的安全策略治理;
告警和反应机制不完备等。
四、产生安全问题的要紧技术缘故
1、系统的错误配置
不管使用任何安全措施,错误的配置将使安全设备全然不起作用。
例如防火墙的配置。
我们在改变主机或网络系统时,要紧配置是使系统正常工作,而专门少考虑可能存在的安全问题和相关的系统配置。
例如我们考虑最多的是网络的无限服务,而专门少网络本身会带给我们的危险。
系统通常有许多安全特性,但许多使用者并没有使用或全然不了解。
例如IP过滤的考虑。
2、系统缺陷
几乎每天都能够在系统和网络软件中发觉安全缺陷。
但有时,开发商对安全缺陷缺乏快速的反应。
一是缺陷和补救措施通过网络(Internet)通知用户,但不是所有用户都能见到这些信息。
二是修改工作量巨大,或者涉及第三方软件,又缺少支持。
系统缺陷使工作不正常。
•例如安全的传输中的缺陷,使被截取的数据可能被解密,或被攻击者利用,破坏系统或操纵系统。
3、对网络安全缺少差不多知识
单纯依靠安全设备不足以保证系统的安全,必须使每个相关的人员有安全意识。
比如大伙儿明白:
•Internet上不加密,是不可能安全传输的,关于金融业来讲内部网络与Internet进行隔离是必要的。
•不明的邮件不要随意打开。
•网上下载的执行软件要小心使用,最好使用能够确认的软件(例如有代码签名)。
要紧是缺乏必要的网络安全知识培训,只重视网络系统和应用系统的建设和技术支持,忽视了网络安全知识的培训。
4、软件厂商、系统集成商、服务提供商没有清晰地告诉使用者,可能存在的安全问题及其防范的方法。
5、法律相对落后入侵者通常难以发觉和查找,证据更难提供。
法律不完备。
五、网络安全建设目标
1、安全建设的目标-1
机密性:
确保信息不泄漏给XX的人,而在授权时必须要有书面通知。
数据库中的重要数据、存储的重要文件和在网络传输的重要信息应该进行加密,防止信息的泄密。
完整性
保证数据的一致性,防止数据的非法篡改和伪造。
重要的业务信息、清算信息和支付信息,应保证完整性,防止在存储和传输中被非法篡改和伪造;
2、安全建设的目标-2
身份识不:
确保资源和服务不被非法使用。
能够使用口令、Token、IC卡、数字证书等技术,进行身份识不。
抗否认性:
防止对操作和通信的否认。
采纳数字签名和日志技术,保证对发送的数据和进行的操作不可否认。
3、安全建设的目标-3
可用性:
确保合法用户能够使用系统资源和服务。
网络和系统应具有检测和防止恶意攻击的机制;
具有防病毒的功能;
以及其他机制,保证信息和系统的可用性。
六、安全建设的原则
1、循序渐进的过程
2、安全需求、风险、代价的平衡
3、技术与非技术的有机结合
4、多层次爱护
5、安全产品的合法性
七、安全建设的步骤
1、进行安全评估
2、制定安全策略
3、设计安全方案
4、实施建设
5、运行、监测和评估
八、网络信息安全体系建设要紧内容
网络信息安全体系建设要紧内容分为五个层次,或者五个部分:
安全治理、物理治理、网络系统安全、应用安全、跟踪审计。
■安全治理
安全治理要紧是从治理规定、部门设置、岗位设置、操作规程(制度)、资源分类、安全评估、安全教育、监督审查、事故分析等等各个方面进行治理。
其中进行资源分类有利于对重要信息资源的重点爱护;
对不同的网络资源进行物理隔离,保证银行内部网络系统的安全。
安全评估则要紧是进行漏洞评估(扫描软件)对系统执行严格的检查,找出安全漏洞。
要紧有两种工作方式:
(1)被动扫描,检查系统设置,例如文件所有权、文件许可。
(2)主动扫描,重组已知的黑客攻击方法和攻击后果,发觉网络系统安全存在的漏洞。
■物理安全
物理安全要紧是从机房建筑、供电系统、门禁系统、电磁、防雷系统、消防等等。
对物理场所的安全治理工作的忽视,会给企业信息安全工作产生致命性的打击。
在信息系统网络中,分布着众多、大小不一、功能不同的机房场所,有数据中心、网络中心、备份中心、数据或网络分中心、网络配线间、高保密等级用户区域等等,各中心内部可能又分为不同的功能区域,关于这些机房或区域的非授权接触,使攻击者更轻易进入关键业务系统或网络,容易造成直接的、严峻性的安全事故,例如,关断电源或损坏设备、中止系统服务、进入系统治理操纵台、制造系统或网络陷阱、利用网络设备物理缺陷操纵和渗透网络、保密资料泄露等等。
总之,对物理场所的治理失控,容易使其他方面的安全措施失效。
有多种手段和措施用于加强物理场所的安全治理,包括:
制订相应的机房出入治理制度,使用门卫、闭路电视系统、门禁系统等等,来监控人员的进出、对出入人员进行登记;
实行机房设备登记制度和严格的设备操作规程;
按国家标准做好机房、设备和线路的防电磁辐射泄露;
对高密级的计算机网络系统与其他网络部分实行物理隔离;
做好物理场所的电源、消防、防雷接地等环境保障工作等等。
目前采纳光缆为数据传输媒介的网络系统对电磁、雷击等抗干扰能力大大提高,增强了网络设备和网络信息传输的安全性供电系统实现双路供电,确保供电安全。
防雷系统的建设我国有一个统一的标准。
■网络系统安全
网络系统安全要紧是防攻击、防火墙、防病毒、VPN、身份识不、访问操纵、审计、备份与恢复、VLAN划分、NAT技术等等。
防火墙技术实现了对受爱护的网络进行访问操纵,它要求所有对网络的访问必须通过防火墙的检查,从而实现所定义的安全策略。
VPN技术在专门大的程度上做到了保证数据的真实性、数据的完整性;
保证通道的机密性;
提供动态密钥交换功能;
提供安全防护措施和访问操纵。
由于网络层的TCP/IP协议本身存在的安全隐患,如对TCP/IP数据包的窃听/篡改等的预防可通过网络层加密技术得到有效的操纵。
针对网络层的安全解决方案,要紧采纳支持IPsec标准的安全VPN的防火墙设备,在路由器之间建立加密通信隧道,将业务数据、网络治理信息、监视审计信息等封装在隧道中进行传输,以确保网络通信的安全。
身份识不通常是基于公开密钥方法,普遍认为公开密钥方法是识不协议中最合适的方法。
访问操纵、VLAN划分一般是一个金融企业内部网络安全所需要的安全技术保证。
而NAT技术则是一个金融企业与另一个金融企业或不的企业进行网络互联而采纳地址转换的安全策略。
在IP包向外部传送时,NAT功能可将IP包中的源IP地址用事先设定好的IP地址替换掉,当该连接的IP包进入路由器时将目标的IP地址用初始的IP地址替换回来,从而能够隐藏内部网络的IP地址的分配,提高网络的安全性。
防病毒、备份与恢复则是一般网络都必须的安全措施。
一个完整的防病毒体系分为两个方面:
一是建立包括桌面、服务器、网关多层次的立体防病毒体系;
二是建立完善的治理升级体制,包括策略治理、告警、软件和病毒码升级。
■应用安全
应用安全要紧包括信息加密、身份认证、防抵赖、信息完整性、电子证书、表格签名、时刻戳等等。
见附图2。
■跟踪审计
跟踪审计要紧是对内部操作、外部访问、数据信息进行跟踪审计。
附图1、图2。
(计算机网络-研究生课程进修021班雷李全)
2002年7月9日
网络信息系统
治理级安全
应用级安全
网络级安全
系统级安全
入侵检测和
漏洞扫描
系统
安全设置
VPN系统
安全服务平台
病毒防范
移动安全
物理隔离系统
数据安全
图1
图2
升级会员 