浅析银行网络安全的体系.docVIP

浅析银行网络安全的体系 　　[摘 要]讨论银行网络安全体系的安全问题，介绍了提高网络安全体系的一些方法和原理，并提出了相应的安全策略。同时对于银行计算机网络安全体系的建立提出了一般的建议。 　　[关键词]银行网络 网络安全 安全体系 　　中图分类号：TP3文献标识码：A 文章编号：1671－7597（2008）0510117－01 　　 　　近年，随着数据大集中的完成，银行已转向信息资源综合利用，电话银行、手机银行、网上银行方兴未艾，银行的网络系统不仅传输银行关键业务数据，还传输管理信息和决策信息等重要数据。因此对网络的稳定性、可靠性具有相当高的要求，银行的网络安全建设日益显现出其重要性。为保证银行业务系统各类信息在存取、处理和传输中的完整性、机密性、可审计性和可用性，以及网络系统自身的可靠性、完整性和可用性，需多方位考虑设计网络系统的安全方案。网络系统安全方案的制定应尽可能全面和合理，并根据银行特有的多级管理和一级营业的管理特征，利用当前成熟和较为先进的网络安全技术，构建银行网络系统安全体系结构。 　　 　　一、银行计算机网络安全定义 　　 　　银行计算机网络系统的安全问题一般来说，计算机网络安全包括物理安全和逻辑安全两大部分[1]。物理安全是指网络系统设备及相关设施受到物理保护，免于被破坏、被丢失等。逻辑安全包括信息完整性、保密性和可用性。 　　一般来说，计算机网络的安全隐患主要来自两个方面：一个来自外部的非授权的访问，例如黑客的攻击或其它未经允许的访问；一个来自于本单位内部的攻击，如内部人员的蓄意更改、操作失误等原因而对计算机网络构成的危害。 　　依据ISO 的OSI 网络层次模型来讨论，计算机网络安全问题主要可分为数据链路层安全、网络层的安全及应用层安全。 　　（一）数据链路层安全 　　目前实现数据链路层安全的最常用的方法是数据加密传输。通常在网络层以下的加密称为链路加密，网络层以上的加密称为端间加密。链路加密是面向节点的，对于网络高层主体是透明的，它对高层的协议信息（地址、纠错、甚至帧头、帧尾） 都加密，因此数据在传输中是密文的，但是在中间节点必须解密得到路由信息。通常用硬件在物理层实现，从技术的角度讲，目前流行有三种数据加密算法：对称密钥加密算法、非对称密钥加密算法和不可逆加密算法。 　　（二）网络层的安全 　　防火墙是计算机网络安全领域的新热点，它是设在网络和外界之间的一道屏障，防止不可预料的、潜在的破坏和侵入。建立一个防火墙，主要有下述3种常用的方法：（1）基于路由器的过滤器。采用一台可编程的路由器来控制网络中的通信流量，它根据源地址、目的地址或信息头部的端口信息，有选择地使数据包通过或过滤掉数据包；（2）堡垒主机。这种方法是建立一个基于主机系统的防火墙，其具有更强的功能，包括登录通过网关的所有活动；（3）独立的隔离网络。这种方法类似于堡垒主机的方式，但它不是插入一台主机，而是建立另一个位于外部网络和内部网络之间的隔离子网，通对该子网进行特别配置，使得外部和内部网络都能够对它进行存取，而隔断跨越该子网的通信。 　　（三）应用层的安全 　　在实际网络应用中，我们根据TCP/IP的分层原则将网络层上会话层、表示层、应用层统称为应用层。在这些层中常见的一些协议有Telnet、FTP、SMTP、POP、HTTP等。但这些应用协议只是提供了一些简单的安全防护措施，如简单的口令保护措施等，这样就给系统的安全使用带来极大的安全隐患。另外，类似Telnet协议的数据完全以明文的方式进行传输，网络黑客即使不知道用户的口令字，也可以进入系统。因此，有很多网络攻击入侵往往也从这些地方入手。所以对这些网络应用进行全局考虑，精心规划，设计全系统的安全访问控制是很有必要的。 　　 　　二、银行网络安全体系结构 　　 　　银行网络系统安全是信息安全的一个有机组成部分，它包括网络级安全（物理层、链路层、网络层和传输层的安全）、系统级安全、应用级安全、管理级安全等。网络安全是一个需要不断提高和调整的循环过程，它包括安全策略的制定、实施，安全监控与响应，安全测试，安全的管理和提高等过程。网络信息系统安全体系应从技术和管理相结合的基础上，给出系统的网络通信基础设施及环境、网络结构平台、应用系统平台、应用业务等的安全框架。信息安全框架体系可以从安全技术体系、安全组织体系和安全管理体系三个方面进行分析。 　　（一）安全技术体系 　　通信平台的安全主要包括广域网传输时数据的加密或解密、数据的完整性和保密性保证、拨号访问安全等。 　　网络平台安全包括网络设备热备份和路由迂回、出入网络的访问控制、网络资源服务的访问控制、数据通过网络层的保密性和完整性及可用性、网络和网络服务的可用性和可靠性、防范网络入侵等。