银行网络安全如何做到防范于未然.pdfVIP

2014年·第3期 信息安全 栏目编辑：罗锦莉E—mail：Iu010250001∞．com ■佛山农村商业银行万方芳 一．内部风险 行的是逻辑隔离，即用防火墙、VPN及其他软硬件对办 (一)对内部员工进行上网行为审计。上网行为审 公局域网和外部网络实行逻辑上的隔离分区。逻辑隔 计或管理产品通过其捕包能力、数据分析能力和对日 离虽然对攻击和病毒起到不错的防范作用，但并非坚不 志的深入挖掘分析技术，对企业内部员工的上网行为 可摧。而所谓的物理隔离，是指内部网不得直接或者是 进行审计j上网审计系统呈现的报表更能展现内部员工 间接地连接到互联网上。目前可实现的措施可将外部 的上网信息，如员工每天上网时长、上哪类网站、使用 网单独分区，内部网与外部网分开不同的电脑，又或者 哪种下载工作、下载哪类资料等，对于高危险性下载行 通过物理安全隔离卡来实现，以达到局域网与Internet 为有明显的标示提醒，使网络管理员对内部员工网络 分离的效果。 的使用情况一目了然。 (二)在关键区域和节点部署网络入侵检测，对网 (二)部署网络准入环境。部署网络准入软件可旁 络违规事件进行跟踪报警和实时阻断。对于关键的区 路部署在交换机上，部署简单，无需改变网络拓扑，且 域和节点，可通过部署网络入侵检测来实现监控。在银 方便管理。网络准人部署后可阻断私接设备入网，阻止 行业间应用最为广泛的是IDS(网络入侵防御系统)。 员工私自更改IP对于临时入网人员需管理员进行审批 IDS作为一种旁路检测设备，不串联到内部网络中，不 后方可入网，另外，对于违规事件可通过交换机端口进 改变现有网络拓扑，保证了部署的简单和高效性。而且 行迅速定位和处理。而且部分网络准人软件可通过端 IDS以预警报告的方式代替了IPS的主动发起对攻击的 口的扫描技术，检查客户端的软件安装是否合规，并且 阻断，这可以减少误报所带来的损失，保证生产的稳定 提供修复功能，对于部分不合规的软件安装要求卸载 运行，防止误报所引起的业务中断。IDS对网络的运行 后才可入网，这使员工桌面更趋统一性、合规性。 状况进行监视，尽可能发现攻击，立体认识网络的安全 (三)统一内部员工上网桌面管理。员工的桌面办 性，并对高危险的攻击行为进行实时报警。 公系统就像一个后门，没有经过控制和监控的内部上网 (三)合理部署防火墙，将内部网络放置于防火墙 行为，给网络病毒和恶意攻击留下通道。所以，统—上 的堡垒中，初步对攻击进行防范。合理将不同业务的网 网桌面管理，杜绝员工利用企业网络乱下载软件等，既 络设备实行分区管理，各个区域的边界处部署防火墙， 可提高企业带宽的利用率，也可减少安全威胁。 对区域间的访问实施安全策略的访问控制。访问策略 (四)完善员工上网行为政策。不断修改完善银行 的开通精细到端口，对于非必要的端口实行关闭，此时 内部员工上网行为的制度政策，对于蓄意破坏银行网 区域间的互访就要经过防火墙这张大网，对于不必要 络架构的行为给予处罚，在技术性和制度性上双管齐 的访问进行初步的过滤与筛选，这就大大降低了网络 下对员工网络的使用进行管理。 安全事故发生的概率。 二．外部风险 三，总结 (一)网络架构合理布局。按照国家信息网络等级 银行网络是整个银行的命脉，如何维稳是重中之 保护的相关要求，企业内外网要实现物理隔离的保护 重，通过内部监测和外部防范双管齐下相信银行网络 措施。目前，大多银行的办公局域网网络和外部网络实