信息安全是金融行业永远的话题
信息安全是金融行业永远的话题信息安全是金融行业永远的话题 安全是金融行业永远的话题.金融信息系统外应用系统相互牵连、使用对象多样化、安 全风险的多方位、信息可靠性、保密性要求高等特征构成了金融系统的突出特点。 国际金 融危机以来,金融系统的风险控制和监管被提到了前所未有的高度.如何利用信息技术的优 势加强金融机构的内部控制,提高金融监管和服务水平, 防范和化解金融风险,促进金融改革 和创新,从而推动我国经济社会的发展,是当前我国金融业信息化建设面临的重大问题. 大多数中小商业银行网络系统是于近几年规划建设实施的生产、 办公、 通信综合系统网 络。随着银行业务范围的不断扩展,业务应用的不断深入,IT 需求不断增加,网络系统逐 步显现出可管理性差、 攻击防护设备老化等安全隐患, 监管部门也进行了信息安全风险的相 关提示. 一、中小银行所面临的信息安全风险一、中小银行所面临的信息安全风险 随着计算机技术和通讯技术的飞速发展 ,网络正逐步改变着人们的工作方式和生活方 式。 随着网络技术在金融行业的全面应用, 大大提高了金融行业的业务处理效率和管理水平, 促成了各项创新的金融业务的开展,改善了整个金融行业的经营环境,增强了金融信息的可 靠性,使金融服务于社会的手段更趋现代化。但是,同其他任何行业一样,网络安全风险伴 随着网络技术在金融行业的全面应用而全面笼罩在金融行业的每个业务角落. 金融行业 IT 系统由于涉及信息的敏感性自然会成为内部和外部黑客攻击的目标, 面临 的网络安全风险叙述如下八类网络安全风险叙述如下八类: 1、非法访问:非法访问:现有网络设备本身具备一定的访问控制能力,而这些访问控制强度较弱 ,攻击 者可以在任一终端利用现有的大量攻击工具发起攻击;另一方面金融行业(如银行)开发的 很多增值业务、代理业务,存在大量与外界互连的接口,外部网络可能会通过这些接口攻击 银行,造成巨大损失。 2、失密和窃密失密和窃密:利用搭线窃听窃收,使用协议分析仪器窃收计算机系统的操作密码,破解 系统的核心密码,窃取用户帐号、密码等;或利用间谍软件获得敏感的金融信息. 3、信息篡改:信息篡改:利用信息篡改攻击手段,非授权改变金融交易传输过程、存储过程中的信息。 4、内部人员破坏内部人员破坏:内部人员熟悉金融行业网络系统的应用业务和薄弱环节,可以比较容易 地篡改系统数据、泄露信息和破坏系统的软硬件。 5、 黑客入侵:黑客入侵: 利用黑客技术非法侵入金融行业的网络系统,调阅各种资料, 篡改他人的资料, 破坏系统运行,或者进行有目的的金融犯罪活动。 6、假冒和伪造假冒和伪造:假冒和伪造是金融行业网络系统中经常遇见的攻击手段 .如伪造各类业务信 息,未授权篡改数据,改变业务信息流的次序、时序、流向,破坏金融信息的完整性,假冒合 法用户实施金融欺诈等。 7、蠕虫、病毒泛滥:蠕虫、病毒泛滥:蠕虫、病毒泛滥可能导致金融行业的重要信息遭到损坏,或者导致金 融行业网络系统瘫痪。 8、拒绝服务:拒绝服务:拒绝服务攻击使金融行业的电子商务网站无法为客户提供正常服务,造成经 济损失,同时也使行业形象受到损害。 二、中小银行信息安全现状及需求分析二、中小银行信息安全现状及需求分析 下面以某家城市商业银行的网络及应用现状, 分析在不同层次的安全需求, 进而揭示大 部分中小银行所具有共性。 (一) 网络层网络层 为保证网络数据传输的可靠性和安全性,网络层存在的安全风险主要包括以下几个方 面: 1、 网络结构以及网络数据流通模式的风险: 现有主要的网络结构为星形、 树形、 环形以及网状, 随着网络节点间的连接密度的增加, 整个网络提供的线路冗余能力也会增加, 提供的网络数据的流动模式会更灵活, 整个网络可 靠性和可用性也会大大的增加.呼和浩特市商业银行现有的网络结构,能够满足数据流动模 式的需求,为了保证网络系统的可靠性,可以采取的有效可行的措施是加强网络设备和线路 备份措施的实施。 2、 网络设备安全有效配置的风险: 网络设备是网络数据传输的核心,是整个网络的基础设施,各种网络设备本身的安全与 可靠性以及这些设备上应用策略的安全都需要进行合理的配置才能够保证。 3、 来自不同安全域的访问控制的风险: 网络结构越来越复杂, 接入网络的用户也越来越多, 必须能够在不同的网络区域之间采 取一定的控制措施, 有效控制不同的网络区域之间的网络通信, 以此来控制网络元素间的互 访能力,避免网络滥用,同时实现安全风险的有效的隔离, 把安全风险隔离在相对比较独立 以及比较小的网络区域。 4、网络攻击行为的检测和防范的风险: 基于网络协议的缺陷, 尤其是 TCP/IP 协议的开放特性,带来了非常大的安全风险, 常见 的 IP 地址窃取、 IP 地址假冒, 网络端口扫描以及危害非常大的拒绝服务攻击 (DOS、 DDOS) 等,必须能够对这些攻击行为进行有效的深度防御。 5、网络数据传输的机密性和完整性的风险: 网络数据在传输的过程中,很可能被通过各种方式窃取,因此保证数据在传输的过程中 机密性(保证数据传递的信息不被第三方获得) ,完整性(保证数据在传递过程中不被人修 改)是非常重要的,尤其是在传递的信息的价值不断提高情况下。 (二) )用户层用户层 1、用户操作系统平台安全漏洞的风险: 大部分的网络攻击行为以及网络病毒的传播都是由于操作系统平台本身存在的安全漏 洞,微软不断发布系统补丁即是明证, 因此必须有效避免系统漏洞造成的安全风险, 同时对 操作系统的安全机制进行合理的配置。 2、用户主机遭受网络病毒攻击的风险: 网络给病毒的传播提供了很好的路径, 网络病毒传播速度之快、 危害之大是令人吃惊的, 特别是流行的一些蠕虫病毒,更是防不胜防,因此必须建设全面的网络防病毒系统,层层设 防,逐层把关,堵住病毒传播的各种可能途径。 3、针对用户主机网络攻击的安全风险: 目前 Internet 上有各种完善的网络攻击工具, 在局域网的环境下, 这种攻击会更加有效, 针对的目标会更加明确,据统计,有 97%的攻击是来自内部的攻击,而且内部攻击成功的概 率要远远高于来自于 Internet 的攻击,造成的后果也严重的多。 4、用户网络访问行为有效控制的风险: 首先需要对用户接入网络的能力进行控制,同时需要更细粒度的访问控制,尤其是对 Internet 资源的访问控制,比如应该能够控制内部用户访问 Internet 的什么网站。在此基础 之上,必须能够进行缜密的行为审计管理。 (三)业务层业务层 1、服务器及数据存储系统的可用性风险: 业务系统的可靠性和可用性是网络安全的一个很重要特性,必须保证业务系统硬件平台 (主要是大量的服务器)以及数据硬件平台(主要是存储系统)的可靠性. 2、操作系统和网络服务平台的安全风险: 通过对各种流行的网络攻击行为的分析,可以发现绝大多数的攻击是利用各种操作系统 和一些网络服务平台存在的一些已公开的安全漏洞发起,因此,杜绝各种操作系统和网络服 务平台的已公开的安全漏洞,可以在很大程度上防范系统攻击的发生. 3、用户身份认证及资源访问权限的控制: 由于网络中的各个应用系统上有很多信息是提供给不同权限用户查阅的,不同级别、不 同部门、不同人员
蚂蚁文库