银行业网络安全和管理探讨.docVIP

银行业网络安全和管理探讨 　　摘 要:本文介绍了金融信息网络安全的含义及特性,论述了保障信息网络安全应注意和采取的防范技术及管理措施。 　　关键词:网络安全 防火墙 网络管理 　　 　　随着银行电子化建设的不断深入,银行业务处理和科学管理决策对计算机的依附程度越来越大,尤其是近几年来,各个银行大力发展网络建设,绝大多数银行业务都依托计算机网络来处理。一方面,银行计算机网络提供了资源的共享性,提高了银行业务处理的效率;另一方面,也正是这些特点,增加了网络受攻击的可能性。网络安全日益成为各大银行关注的重点。要达到网络的安全、有效、稳定的运行,靠单一的产品、单一的解决方法是无法实现的。只有将网络边界安全、用户群体安全、服务器群体安全、管理策略有机地组合在一起,才能将安全进行到底。 　　 　　一、网络安全 　　下面以某典型网络安全方案为例,介绍一个统一、高效、稳定的安全、管理策略。网络拓扑结构如图所示,我们不难看出,安全主要包含了边界网络安全、服务器安全和用户安全。 　　1.边界网络安全 　　边界网络安全一直是人们关注的焦点,也是网络安全最重要的部分。防火墙一经问世,就以其在安全领域不可动摇的地位成为安全的保护神,已然成为网络安全领域不可或缺的必要屏障。但随着网络的发展,在3、4层上的检测已经远远不能达到现实网络的要求,一些辅助的应用产品便应运而生。包括漏洞扫描、防病毒、入侵检测系统(IDS)、入侵防御系统(IPS)等等;与防火墙进行配合,实现3～7层检测的无缝结合。 　　在病毒横行的今天,一味地增加外部保护层所带来的效果却不那么理想了。在增加外部保护层的同时,会带来很多额外的不利因素,如服务质量下降、正常应用被拒绝等,而且会使得管理更加复杂。 　　2.服务器安全 　　在服务器安全防护领域,目前已经具备采用最新的理念,提供主动的、从自身出发的安全解决方案,并且将这种安全方案和已有的安全策略相结合,防微杜渐。 　　例如Tripwire企业级变更审计系统,可以提供完整的银行业级变更审计解决方案。通过自定义针对不同级别文件的安全策略、应用策略到被保护文件后,任何细微变化都会被及时发现,并根据预先定义的自动或手动响应变更。强大和丰富的报表系统让用户对IT基础设施的状态完全可视。 　　银行及其分支机构的文件服务器、目录服务器、桌面文件系统、数据库系统、路由器、交换机、防火墙、以及负载均衡器的状态变更均实现了集中监控与管理。通过手动或自动检测和报告银行业内服务器和网络设备配置文件的变动,依据不同的文件安全策略,针对不同的监控对象(网络设备、服务器、桌面主机等)实施不同的响应动作(邮件告警、SNMP告警、SYSLOG告警、执行脚本语言、自动恢复网络配置文件等),为银行信息系统状态恢复提供有效途径。无论是意外的误操作、有意的不明企图、病毒的入侵,都会影响银行宝贵的运营时间,导致服务中心、电子商务、关键业务系统的效率降低,甚至宕机。采用管理软件实行自动监控、建立变更的审计记录,提供信息系统状态基线功能,保证服务器、桌面主机和网络设备配置的变更符合变更预期流程,从而增加系统的服务时间,降低业务风险,增加效益。 　　实现对服务器自身安全的全面监控,达到对服务器的全面可视性管理。 　　(1)集中监控管理软件在网络中的部署 　　针对重点服务器,对其关键数据进行监控。在服务器节点中需要安装集中监控管理软件客户端软件。 　　(2)服务器集中监控管理软件实现机制 　　完整性是将系统已知信任状态建立基线,就像对系统进行了快照,确保在以后的系统状态与信任状态下的基线一致。 　　众所周知,摘要算法是最有效防止篡改的方法,服务器集中监控管理软件就是借助摘要算法对监控对象进行完整性保护。对监控的对象建立基线,对安全和正确的标准进行定义。任何入侵者若不对数据和网络进行更改,就无法实现对信息系统的入侵和控制,对系统关键文件的完整性进行监控可防止入侵行为。用户可针对系统的具体应用灵活性定制完整性检测策略,保护关键文件。要以数据的状态作为检测的依据,不需要升级特征库,避免由于基于入侵特征检测带来的弊端。检测不考虑操作源和意图,任何对关键数据的修改都不能逃脱监视。此外要定时或手动检测,减少系统开销。 　　3.桌面用户安全 　　桌面安全同样至关重要,前面介绍的内容都是针对外部攻击进行的防护,对从内部发起的攻击则束手无策。 　　我们必须更新安全保护理念,如不考虑操作的源和目的,无论是外部的攻击还是内部的异常行为都逃不脱监控和有效保护。因此,只有基于对信息系统的底层对象进行监控,研发银行级的数据和网络保护解决方案,才能确保用户的应用和服务正常、健康的运转。 　　 　　二、网络管理 　　任何IT架构和系统管理员都必须具备灵活、弹性和高效率,