基于网络银行发展谈计算机系统安全防范措施
来源:用户上传
作者:
内容提要:网络银行依附互联网高速发展的同时,其自身安全问题日益突出,针对网络银行操作系统、数据库、网络系统等方面的安全隐患,以及计算机系统人为误操作,必须采用加密技术、防火墙、数字签名、电子数据审计和系统稽核,加强计算机系统安全防范设施以确保系统安全、运行安全。
关键词: 网路银行 安全防范 计算机信息系统 互联网 电脑病毒 黑客
中图分类号:F830.2 文献标识码:B 文章编号:1006-1770(2007)05-060-03
引言
在互联网覆盖人类社会的今天,我们生活步入信息化、网络化。金融经济以前所未有的速度融入网络技术领域中,人类文明迅速从工业经济时代进入网络化时代。电子商务、电子货币、网上银行、悄然在我们生活中处处可见。借助于网络技术发展的虚拟网上银行,不仅动摇传统银行观念,同时还可以通过互联网获得大量理财信息,也使得金融行业竞争更加激烈。
一、网络银行的特点
对客户而言,网络银行的产生不仅节省很多时间,免除奔波之苦,而且方便帐户查询、资金调拨、轻松便捷管理属于自己的财富。对网络银行而言,不需要分支机构,人员少、费用低、无纸化操作办公。在强大安全措施的保护下,客户可以随时随地自主办理金融业务。因此网上银行具有广阔的发展前景。
网络银行,是一种任何时间、任何地方、 任何方式、 提供服务的银行,由于网络银行形成全新的银行概念、经营方式和管理运作模式,对传统银行业产生了巨大冲击,传统银行或者说传统金融业只有紧紧抓住网络商机,及时改变经营策略,才能完成金融网络改革,顺应时代的发展。
随着网络银行的逐步成熟和推广,银行概念脱胎换骨,而中小银行则可以把握时机、适时地网络化以迎合时代的发展,在竞争中胜出。随着银行网络化发展起来的电子货币、网络货币,必然随之产生和兴起,传统的货币政策将面对全新的课题。金融网络化将加大金融市场风险,必然呼唤构建新的金融监管框架措施。金融网络化最令人担心的是安全问题,网络中传播着大量的电脑病毒,人为的误操作也时有发生。如何保证网上银行安全是网上银行和监管当局都须慎重考虑的。
二、计算机信息系统技术风险
据ICSA统计,来自计算机系统内部的安全威胁高达60%,给银行操作系统增加了漏洞和系统运行风险。这些技术上的不安全因素犹如定时炸弹,对计算机信息系统稳定运行构成潜在的威胁。从数据安全防范角度出发,防错措施设计有限。业务使用过程中操作人员误操作时有发生。例如, 英特尔公司生产的某些奔腾芯片留有“后门”。计算机“千年虫”问题给全球经济造成了3000 亿美元的直接损失。业务系统在设计中仍需追求不断完善。
防火墙技术本身存在安全隐患。防火墙配置设置不合理,访问权限无意中扩大。对网上传输的数据,缺乏有效的加密措施,被外部人恶意利用的可能性增大。业务数据库中业务文档通过同一数据库的链接,文档实现集中管理。电子化模式取代传统的纸质公文传输模式。利用计算机网络技术实现信息在各部门之间的传输、制作、阅读、打印等操作,在信息传递过程中对文档处理的安全性、数据传输的加密性及操作人员权限的保密性均存在较高要求。
计算机信息系统网络化,旨在促进金融信息化,同时也带来新问题。随着金融体制改革的进一步深入,机构、网点人员不断精简,一人多岗现象时有发生,基层银行计算机业务管理人员匮乏,县支行专业技术人员更为稀缺,操作计算机业务应用水平低、责任意识不强、 混岗操作, 尤其是复核、误操作时有发生。监督审核不严格、规章制度不健全,这些漏洞为牟取不正当利益制造了机会。管理措施不完善,技术上的漏洞和人为的原因,都给计算机安全运行带来一定隐患,导致计算机操作差错发生。数据集中后安全责任意识松懈等,导致系统账务错误、数据失真的情况时有发生。如果不及时采取专门措施去堵住技术上和管理上的漏洞,势必会影响银行业务的正常开展,并使银行的资金和信誉蒙受巨大损失。
大量流行于网络的计算机病毒、通过隐蔽通道进行非法活动、突破防火墙,不仅破坏信息系统数据和计算机设备.盗窃系统计算机重要信息,同时利用计算机信息系统存在的漏洞,设置木马窃取商业信息,这些风险严重影响网络银行的正常运行甚至引发金融风险。2004 年计算机病毒和黑客攻击,给全球经济造成的损失高达1690 亿美元。除了技术和管理上的风险外, 外来人为因素也给计算机信息系统带来巨大的风险。因操作使用不当或没有按规定对设备进行维护、保养。致使计算机设备出现故障、损坏和信息丢失;因操作员不按规定使用口令或密码,造成密码泄露,致使犯罪分子非法进入计算机系统,威胁银行资金安全、破坏数据文件、甚至造成计算机系统和网络系统瘫痪。
三、防火墙
防火墙是阻止计算机之间直接通信的技术。防火墙技术从诞生开始不断发展,各种不同结构、不同功能的防火墙,构筑成网络上的一道道防御大堤。
为了保护计算机安全, 加强网络之间访问控制技术,在位于两个或多个网络间,实施网络之间访问控制组件的集合称防火墙。从网络发往计算机的所有数据都要经过它的判断处理后,才会决定能不能把这些数据交给计算机,一旦发现有害数据,防火墙就会拦截下来,实现对计算机的保护功能。防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联网设备。它对两个或多个网络之间传输的数据包,按照一定的安全策略来实施检查,决定网络之间的通信是否被允许,并监视网络运行状态。随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务。另外还有多种防火墙产品正朝着数据安全与用户认证、防止病毒与黑客侵入等方向发展。根据防火墙所采用的技术不同,我们可以将它分为以下四种基本类型
(一)包过滤型,这是防火墙的初级产品,技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP /UDP 源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点,
(二)网络地址转化。网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的 IP 地址标准。它允许具有私有IP地址的内部网络访问因特网。它还意味着用户不需要为其网络中每一台机器取得注册的IP 地址。在内部网络通过安全网卡访问外部网络时,系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问。OLM 防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部计算机中。当不符合规则时,防火墙认为该访问是不安全的不能被接受,防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可。
(三)代理型。代理型防火墙也被称为代理服务器,它的安全性高于包过滤型产品,并已向应用层发展。代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看,代理服务器相当于一台真正的服务器;而从服务器来看,代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到内部网络系统。
(四)监测型。监测型防火墙是新一代的产品,这一技术已经超越了最初的防火墙定义。监测型防火墙能够对各层数据进行主动、实时监测,在对这些数据加以分析基础上,监测型防火墙能够有效地判断出各层中的非法侵入。同时,这种产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用。据权威机构统计,在针对网络系统的攻击中,有相当比例的攻击来自网络内部。因此,监测型防火墙不仅超越了传统防火墙的定义,而且监测型防火墙安全性上已超越了包过滤型和代理服务器型防火墙,在安全性上也超越了前两代产品。
从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,防火墙是目前保护网络免遭黑客袭击的有效手段。但也有明显不足:无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击。但作为内部网络与外部公共网络之间的第一道屏障,防火墙仍然是最先受到人们重视的网络安全产品之一。
四、网络银行系统风险防范措施
加强计算机安全管理,防范计算机风险是一项复杂的系统工程,需要多个部门、多个单位共同配合,通力协作。针对金融领域计算机犯罪的现状和问题,配备安全管理专职人员,培训防范计算机犯罪的业务骨干,从组织管理、制度保障、技术防范三方面人手,狠抓计算机安全专业队伍建设,组织对计算机安全技术的研究,落实计算机安全措施,加强与公安机关计算机安全监察部门的工作联系,建立健全确保银行计算机安全、防范银行计算机犯罪的防范体系。
(一)加强管理
针对我国金融计算机犯罪的现状和规律,应坚持“安全第一、预防为主、依法办事、综合治理”的方针,从组织管理、制度保障、技术防范三方面入手,建立健全确保银行计算机安全、防范银行计算机犯罪的防范体系。要贯彻落实计算机管理方面的规章制度,做好计算机安全防范工作,预防计算机犯罪。要宣传银行计算机应用安全知识,对计算机安全工作所涉及的重大问题进行决策,对各项安全制度执行情况进行检查。
(二)规范管理制度
防范银行计算机犯罪必须从源头抓起,引导员工树立正确的人生观和价值观,增强法制观念和防范意识,自觉维护计算机安全。建立一支专门从事防范银行计算机犯罪的技术队伍,大力开展计算机安全知识和职业道德教育,培养德才兼备的计算机安全管理技术人才。严格要害岗位人员的审查和监管,责权要清楚,赏罚要分明,便于贯彻落实和检查督促,
(三)增加安全技术措施,加强法制意识
对操作系统、数据库、应用程序、网络系统和机房等方面都要运用最先进的防范技术,确保实体安全、软件安全、数据安全和运行安全,保证能抵制外来“黑客”入侵。每一项新技术的开发应用,都要有相应的安全制度相配套,做到技术开发和制度建设并举、技术应用和制度保障同步。严格计算机人员权限管理,加强密码管理,禁止公开密码和公用密码,对重要密码应专人分管,定期更换,授权使用,并做好有关记录。防止一人身兼数职,责任不清。可采用加密技术、防火墙、数字签名、身份认证、电子数据审计和系统稽核等技术,来加强计算机系统安全设施。计算机源程序、密钥、密码、帐户信息和数据结构等重要资料都要严格保密,防止外泄,废弃报表和存储介质要及时销毁。对重要应用程序,尽可能由行内人员开发,确需交由外公司开发的,要签订责任书,实行永久责任制。
防范计算机犯罪,必须依靠一个健全的法律环境作保障,建立起技术先进、手段过硬、保障有力的技术防范体系。建立计算机安全稽核系统和计算机案件快速反应分析系统,搞好信息交流和综合利用。将计算机安全作为重要内容来抓,保证计算机系统出现灾难性故障后, 能及时恢复;保证重要资料不外泄提高技术防范手段,加大安全资金投入,充分运用最先进的高新技术,以实现前瞻性防范为目标,加强与网络有关的安全产品的防伪和检测认证。
作者简介:
马强 中国建设银行河南省焦作市分行
丰树谦 李体红河南焦作大学
转载注明来源:https://www.xzbu.com/3/view-1408001.htm