银行网络安全防范措施.docVIP

银行网络安全防范措施 银行网络安全防范措施 □?建行北京分行石景山支行??郭亚力 随着金融业务的拓展与金融电子化进程的加快，计算机网络通信技术在金融领域中的应用越来越广。与此同时，金融电子化也带来了高科技下的新风险。计算机系统本身的不安全和人为的攻击破坏，以及计算机安全管理制度的不完善都潜伏着很多安全隐患，严重的可能导致计算机系统的瘫痪，影响银行的业务和声誉，造成巨大的经济损失和不良的社会影响。因此，加强银行网络系统安全体系的建设，保证其正常运行，防范犯罪分子对它的入侵，已成为金融电子化建设中极为重要的工作。 网络安全的基本要求是保密、完整、可用、可控和可审查。从技术角度讲，银行网络系统的安全体系应包括:?操作系统和数据库安全、加密技术、访问控制、身份认证、攻击监控、防火墙技术、防病毒技术、备份和灾难恢复等。从管理角度看，应着力健全计算机管理制度和运行规程，加强员工管理，不断提高员工的安全防范意识和责任感，杜绝内部作案的可能性，建立起良好的故障处理反应机制。 网络系统技术安全措施 1.?操作系统及数据库 操作系统是计算机最重要的系统软件，它控制和管理着计算机系统的硬件和软件资源，是计算机的指挥中枢。目前银行网络系统常用的操作系统有Unix、Windows?NT等，安全等级都是C2级，可以说是相对安全、严密的系统，但并非无懈可击。 许多银行业务系统使用Unix网络系统，黑客可利用网络监听工具截取重要数据;?利用用户使用telnet、ftp、rlogin等服务时监听这些用户的明文形式的账户名和口令;?利用具有suid权限的系统软件的安全漏洞;?利用Unix平台提供的工具，如finger命令查找有关用户的信息，获得大部分的用户名;?利用IP欺骗技术;?利用exrc文件等获得对系统的控制权。针对这些安全缺陷，我们应定期检查日志文件;?检查具有suid权限的文件;?检查/etc/passwd是否被修改;?检查系统网络配置中是否有非法项;?检查系统上非正常的隐藏文件;?检查/etc/inetd.conf和?/etc/rc2.d/*文件，并采取以下措施:? 1）及时安装操作系统的补丁程序;?2）将系统的安全级别设置为最高，停止不必要的服务，该关的功能关闭;?3）安装过滤路由器;?4）加强账号和口令的安全管理，定期检查/etc/passwd和/etc/shadow文件，经常更换各账号口令，查看su日志文件和拒绝登录消息日志文件。 对于Windows?NT网络系统，可采取以下措施:?1）使用NTFS文件系统，它可以对文件和目录使用ACL存取控制表;?2）将系统管理员账号由原先的“Administrator”改名，使非法登录用户不但要猜准口令，还要先猜出用户名;?3)对于提供Internet公共服务的计算机，废止Guest账号，移走或限制所有的其他用户账号;?4）打开审计系统，审计各种操作成功和失败的情况，及时发现问题前兆，定期备份日志文件;?5）及时安装补丁程序。 数据库的安全就是要保证数据库信息的完整、保密和可用。通常用安全管理、存取控制和数据加密来实现。安全管理一般分为集中控制和分散控制两种方式。集中控制就是由单个授权者来控制系统的整个安全维护，分散控制则是采用不同的管理程序控制数据库的不同部分。存取控制包括最小特权策略（用户只能了解与自己工作有关的信息，其他信息被屏蔽）、最大共享策略（信息在保密控制条件下得到最大共享，并不是随意存取信息）、开放与封闭系统（开放:?不明确禁止，即可访问;?封闭:?明确授权，才能访问）、按名存取策略、按上下文存取策略、按存取历史的存取策略等。数据加密可从三个方面进行，即库内加密（库内的一条记录或记录的某一属性作为文件被加密）、整库加密（整个数据库包括数据结构和内容作为文件被加密）和硬件加密。 2.?网络加密技术 网络加密的目的是保护网上传输的数据、文件、口令和控制信息的安全。 （1）加密方式:? 信息加密处理通常有两种方式:?链路加密和端到端加密。 链路加密是对两节点之间的链路上传送的数据进行加密，不适用于广播网。 端到端加密是对源节点和目的节点之间传送的数据所经历的各段链路和各个中间节点进行全程加密。端到端加密不仅适用于互联网，也适用于广播网。 基于链路加密和端到端加密各有特点，为提高网络的安全性，可综合使用这两种技术。具体说就是链路加密用来对控制信息进行加密，而端到端加密仅对数据提供全程加密。 （2）加密算法 如果按收发双方的密钥是否相同来分类，可将这些加密算法分为常规密码算法（对称型加密）和公钥密码算法（非对称型加密）。此外，还有一种加密算法是不可逆加密算法。 上述三种信息加密算法在实际工作中可单独或结合使用。物理层、链路层和网络层使用的加密设备一般运用常规加