信息安全是金融行业永远的话题.docVIP

信息安全是金融行业永远的话题 安全是金融行业永远的话题。金融信息系统外应用系统相互牵连、使用对象多样化、安全风险的多方位、信息可靠性、保密性要求高等特征构成了金融系统的突出特点。 国际金融危机以来，金融系统的风险控制和监管被提到了前所未有的高度。如何利用信息技术的优势加强金融机构的内部控制，提高金融监管和服务水平，防范和化解金融风险，促进金融改革和创新，从而推动我国经济社会的发展，是当前我国金融业信息化建设面临的重大问题。  大多数中小商业银行网络系统是于近几年规划建设实施的生产、办公、通信综合系统网络。随着银行业务范围的不断扩展，业务应用的不断深入，IT 需求不断增加，网络系统逐步显现出可管理性差、攻击防护设备老化等安全隐患，监管部门也进行了信息安全风险的相关提示。 一、中小银行所面临的信息安全风险 随着计算机技术和通讯技术的飞速发展，网络正逐步改变着人们的工作方式和生活方式。随着网络技术在金融行业的全面应用，大大提高了金融行业的业务处理效率和管理水平，促成了各项创新的金融业务的开展，改善了整个金融行业的经营环境，增强了金融信息的可靠性，使金融服务于社会的手段更趋现代化。但是，同其他任何行业一样，网络安全风险伴随着网络技术在金融行业的全面应用而全面笼罩在金融行业的每个业务角落。 金融行业IT 系统由于涉及信息的敏感性自然会成为内部和外部黑客攻击的目标，面临的网络安全风险叙述如下八类： 1、非法访问：现有网络设备本身具备一定的访问控制能力，而这些访问控制强度较弱，攻击者可以在任一终端利用现有的大量攻击工具发起攻击；另一方面金融行业（如银行）开发的很多增值业务、代理业务，存在大量与外界互连的接口，外部网络可能会通过这些接口攻击银行，造成巨大损失。 2、失密和窃密：利用搭线窃听窃收，使用协议分析仪器窃收计算机系统的操作密码，破解系统的核心密码，窃取用户帐号、密码等；或利用间谍软件获得敏感的金融信息。 3、信息篡改：利用信息篡改攻击手段，非授权改变金融交易传输过程、存储过程中的信息。 4、内部人员破坏：内部人员熟悉金融行业网络系统的应用业务和薄弱环节，可以比较容易地篡改系统数据、泄露信息和破坏系统的软硬件。 5、黑客入侵：利用黑客技术非法侵入金融行业的网络系统，调阅各种资料，篡改他人的资料，破坏系统运行，或者进行有目的的金融犯罪活动。 6、假冒和伪造：假冒和伪造是金融行业网络系统中经常遇见的攻击手段。如伪造各类业务信息，未授权篡改数据，改变业务信息流的次序、时序、流向，破坏金融信息的完整性，假冒合法用户实施金融欺诈等。 7、蠕虫、病毒泛滥：蠕虫、病毒泛滥可能导致金融行业的重要信息遭到损坏，或者导致金融行业网络系统瘫痪。 8、拒绝服务：拒绝服务攻击使金融行业的电子商务网站无法为客户提供正常服务，造成经济损失，同时也使行业形象受到损害。 二、中小银行信息安全现状及需求分析 下面以某家城市商业银行的网络及应用现状，分析在不同层次的安全需求，进而揭示大部分中小银行所具有共性。 (一) 网络层 为保证网络数据传输的可靠性和安全性，网络层存在的安全风险主要包括以下几个方面： 1、 网络结构以及网络数据流通模式的风险： 现有主要的网络结构为星形、树形、环形以及网状，随着网络节点间的连接密度的增加，整个网络提供的线路冗余能力也会增加，提供的网络数据的流动模式会更灵活，整个网络可靠性和可用性也会大大的增加。呼和浩特市商业银行现有的网络结构，能够满足数据流动模式的需求，为了保证网络系统的可靠性，可以采取的有效可行的措施是加强网络设备和线路备份措施的实施。 2、 网络设备安全有效配置的风险： 网络设备是网络数据传输的核心，是整个网络的基础设施，各种网络设备本身的安全与可靠性以及这些设备上应用策略的安全都需要进行合理的配置才能够保证。 3、 来自不同安全域的访问控制的风险： 网络结构越来越复杂，接入网络的用户也越来越多，必须能够在不同的网络区域之间采取一定的控制措施，有效控制不同的网络区域之间的网络通信，以此来控制网络元素间的互访能力，避免网络滥用，同时实现安全风险的有效的隔离，把安全风险隔离在相对比较独立以及比较小的网络区域。 4、网络攻击行为的检测和防范的风险： 基于网络协议的缺陷，尤其是TCP/IP 协议的开放特性，带来了非常大的安全风险，常见的IP 地址窃取、IP 地址假冒，网络端口扫描以及危害非常大的拒绝服务攻击（DOS、DDOS）等，必须能够对这些攻击行为进行有效的深度防御。 5、网络数据传输的机密性和完整性的风险： 网络数据在传输的过程中，很可能被通过各种方式窃取，因此保证数据在传输的过程中机密性（保证数据传递的信息不被第三方获得），完整性（保证数据在传递过程中不被人修改）是非常重要的