银行信息系统的安全与发展.docxVIP

银行信息系统的安全与发展 随着信息技术的发展和社会计算机化程度的提高，网络银行和电子银行出现了。所有银行和金融业都依赖信息系统。交易网络化、系统化、快速化和货币数字化是当前金融业的特点, 这对金融信息系统的安全保密性提出了严格的要求。金融信息系统必须保证金融交易的机密性、完整性、访问控制、鉴别、审计、追踪、可用性、抗抵赖性和可靠性。 为了适应金融业的需要, 各家银行都投资建网。但是, 由于各种因素的制约, 网络的安全体系不完善, 安全措施不完备, 存在严重的安全漏洞和安全隐患。这些安全漏洞和隐患有可能造成中国的金融风暴, 给国家带来重大损失, 因此必须采取强有力的措施, 解决银行网络的安全问题。 一、 中国银行网络安全现状的分析 1. 在网络建设过程中,对安全的需求进行是否到位? 现在, 信息攻击技术发展很快, 攻击手段层出不穷, 但银行网络目前的安全措施大部分仅是保密, 极少采用数字签名, 认证机制不健全, 这完全不适应现代金融系统的安全需求。具体表现在以下五个方面: (1) 有投入, 有人员, 但投入不够, 人员不固定。遇有冲突, 立刻舍弃;只求速上, 不求正常、配套、协调建设, 从根本上没有改变以前轻视安全的做法。 (2) 对整个网络建设缺乏深入、细致、具体的安全体系研究, 更缺乏建立安全体系的迫切性。 (3) 有制度、措施、标准, 但不完备, 也没有认真执行, 大部分流于形式, 缺乏安全宣传教育。 (4) 缺乏有效的监督检查措施。 （5）从根本上没有处理好发展与安全的关系 2. 被动攻击:金融信息系统的新型威胁 由于金融信息系统中处理、传输、存贮的都是金融信息, 对其进行攻击将获得巨额的金钱, 而且, 对金融信息系统的攻击, 可能造成国家经济命脉的瘫痪和国家经济的崩溃, 因此金融信息系统面临着巨大的风险和威胁。 银行网络系统面临的攻击手段较多, 既有来自外部的, 也有来自内部的。由于对银行网络系统的攻击可以获得较大的经济、政治、军事利益, 因此银行网络系统成为敌对国家、犯罪集团、高智商犯罪分子的首选攻击目标。 在80年代以前, 对信息的攻击主要依赖信号的截获与破译, 这是一种被动攻击手段。80年代中后期, 随着信息技术、网络技术、计算机技术的发展和融合, 大型信息系统或通信系统出现了。针对信息系统的新型攻击手段应运而生, 各种被动攻击手段、主动攻击手段层出不穷。攻击者利用各种高科技手段和仪器, 利用网络协议本身的不安全性, 路由器、口令文件、X11、Gopher的安全隐患, Unix、Windows NT等操作系统的不安全性, Java Applet、Active x、CGI的安全隐患, 数据库的安全隐患和其他计算机软硬件产品的不安全性, 对信息系统实施攻击。 对于金融信息系统, 更严重的威胁来自各种主动攻击手段。主动攻击手段较多, 如伪造票据、假冒客户、交易信息篡改与重放、交易信息销毁、交易信息欺诈与抵赖、非授权访问、网络间谍、“黑客”入侵、病毒传播、特洛伊木马、蠕虫程序、逻辑炸弹等。这些攻击完全能造成金融信息系统瘫痪、资金流失或失踪。这些攻击可能来自内部, 也可能来自外部。各种攻击将给金融信息系统造成以下几种危害 (1) 失密和窃取密密 (2) 信息操纵 (3) 假和假 (4) 重复 (5) 信息欺诈和欺诈 (6) 信息丢失和保存 (7) 拒绝付款 (8) 网络间谍 (9) 黑客的入侵 (10) 计算机病毒 (11) 蠕虫程序 (12) 特洛伊木马 (13) 逻辑炸弹 (14) 陷阱门 (15) 内部员工的损伤 (16) 不允许访问 (17) 使用和连接信息 3. 银行网络系统的安全分析 (1) 没有完整的安全系统 (2) 没有完全的安全和保密措施 (3) 没有安装安全预警器 (4) 没有连接验证控制中心和安全系统 (5) 网络之间没有相应的防火墙 (6) 没有为存储信息而创建的监控记录系统 (7) 采用先进的硬件、软件加密技术和设备 (8) 没有防病毒的安全措施 (9) 没有足够的安全措施来交换交换机 (10) 没有为安全技术提供应急反应中心 (11) 没有为安全、管理和技术设施建立适当的设施 二、 银行关于网络安全重建的建议 1. 继承机制会出现安全漏洞和隐患 采用信息系统安全工程方法, 形成完善的安全体系, 才不会遗漏任何威胁因素, 不会形成安全漏洞和隐患。安全体系需要研究以下内容:威胁和风险分析、安全策略、组织和管理策略、安全技术和机制、安全产品系列和配置、安全支援措施。 2. 安全组织机构 为确保网络正常运行应建立并逐步健全一套自上而下的安全组织机构和有关管理的规章制度。银行网络的安全组织机构如图1所示。 上述机构的设置尽量与行政隶属关系一致, 借助行政手段确保网络安全政策的顺利实施。遵循国家安全保密部