㈠ 中小銀行安全體系建設如何做好規劃
中小銀行安全體系構架探索
首先第一,我們體系遵循的標准,這裡面分三塊,第一,國際信息安全標准,27000,還有一個20000,還有等級保護的規范要求。對金融行業來說,06年發了一個信息安全保護的管理辦法,公安部發的,2009年6月銀監會出台的商業銀行信息風險管理,最後一個就是今年剛發的電子銀行安全評估指引,網上銀行的交易量占的比重非常大,相關的案件也在不斷的增多。所以我們整個體系遵循的標准主要是從這三個方面。
第二個方面體系建設的目標。作為一個銀行,無論是做什麼樣的體系,它最終的目的是為我們銀行客戶服務,服務是第一目標,服務的對象是客戶,對於信息系統來說,它要做的首先第一個就是整個業務系統的連續可用性,防止業務的中斷,防止數據的丟失。目標就是怎樣保障銀行的業務系統的連續性。
第二,對應用系統訪問的控制和授權的管理,防止非法訪問,以保證信息資源和金融資源的安全,這個就是針對電子銀行來說的,網上銀行案件頻發,絕大部分內部作案比外部的概率還要大多了,並不是外面的攻擊比較厲害,我認為中國的網上銀行的技術和復雜性,先進性,在世界上來說其他國家的銀行還不存在的。我不知道大家使用過外資銀行的相關網上銀行沒有,它登陸非常簡單,應該說中國的環境比較復雜。
所以對我們銀行來說,我們認為電子銀行之外,包括我們核心也是這樣。
第三,業務工作的責任和可操作性。
第四,業務數據的傳輸使用,存儲過程當中的真實性。做安全的這三個要素是必不可少的。
第五個方面就是信息系統的實體安全,提高信息系統安全管理水平,這塊是作為一個金融行業,或者企業來說它要保證他的實體的安全。
最後一個就是互聯網及內網的安全,防範互聯網的攻擊,保證業務的連續性。互聯網,網銀這都是網上的應用,內網的安全在銀行業逐漸加重了,以前防範的都是互聯網的應用,在這上面用得是很多的。最近通過統計下來,在內網方面逐漸逐漸加大投入,基於內網事件的增多。
第三,就是我們整個體系的策略,目標定了,我們採用什麼策略建設這個體系呢?我們從27000裡面管理體系的要求,從11個方面進行制定策略。第一個安全方針。第二個方面是組織信息安全。第三,資產管理。第四,人力資源安全。第五,物理環境安全。第六通訊和操作管理。第七,訪問控制。第八,系統性,以及信息安全事件管理等等,這些都是在商業銀行指引方面的管理,在27000里年,20000里年,也是這些方面。根據這11個方面,我們區域銀行的架構體系應該是怎麼樣?
先跟大家介紹一下,信息安全的架構,首先最上面就是安全的目標,目標是什麼?就是安全的高效管理,風險控制,以及整個體系的建設,這是目標。包括管理上的安全,結構上的安全,資產化的管理,身份的管理,結構包括結構的溶於,數據的溶於等等。終端伺服器,網路,主機等等,這是基礎架構。
基礎架構之上就是信息安全,信息安全主要是針對整個數據的內容以及數據操作的安全,這裡麵包括數據的泄露保護,現在商業銀行已經在用了,文件的管理,文件的加密,傳輸,無論是網上銀行,還是日常辦公基本上還是使用的。
內容安全主要用得比較多的,從這裡面發展多內網來的。最下面在信息安全的下層就是傳輸,包括數據的管理和加密。
第三層,就是安全的治理,包括安全監控,審計管理等等。IT的安全的治理是一個長期持續的工作目標,它主要是依賴於對整個平台的支持,真這個信息安全一個框架,我們建立了三大體系,就是從技術上,管理上和運維上三個方面來承載著我們整個信息安全。
可以看到,從技術角度來看,整個安全保障體系包括物理安全,保障安全,數據安全,備份的安全,這里考慮的東西也很多,包括我們現在談論最多的是電源的問題,數據中心的電源的問題,這也包含在安全之內,包括地震造成的數據中心的(英語),這也是物理安全之一,在07年銀聯建立數據中心,因為他也沒考慮到物理安全,發了台風以後,把數據中心淹沒了,這個誰也沒想到,把數據中心給淹了。北京地鐵也經常被淹,這里也是物理安全的一部分,水災,電,防火,都是物理安全領域里。
第二是網路安全,有網路的溶於,網路的防控,線路的備份等等。網路安全考慮得比較多的是基於互聯網的網路安全這一塊兒,在內網像銀行基本上做到了內外網的物理的隔離,當然在相關的安全指引裡面,要求做到隔離,但是在銀行系統有些銀行做得比較充分的銀行,基本上做到了內網和外網的物理隔離。
我們的內網有兩個部分組成,一個部分是我們的核心業務,你們的銀行的數據,你們賬戶的數據,交易的數據等等一系列的都是在內網裡面。
第二,我們銀行內部使用自企業內部的系統,也是內網裡面的,這兩個部分基本上做到物理隔離,我們銀行對客戶的數據,我對他的訪問基本上也做到一個隔離。
我們談談外網,就是我們現在使用最佳頻繁的互聯網的應用。在金融行業做到了完全的物理的隔離,我們現在技術也挺多的,比如說現在用我們機器,他只能上一個網,要麼進內網,要麼進外網,現在有個技術叫雙硬碟技術,同樣一台機器做個切換,兩塊硬碟,兩個操作系統,在同一時間只能上一個網,這也是根據人民銀行銀監會的要求,金融行業基本上都做了。
還有主機安全,這個主機安全包括你們數據所用的核心的主機,也包括你們到我們歷史數據相關的其他的一些小機去獲取也都在這里。
從管理這條線來講,第一就是安全策略,你要做管理,你首先對你整個安全要統籌考慮,你必須要有穩當做支持,我相關的策略要記載下來,要有它的延續性。
其次,信息安全的組織和管理,任何一個企業他對信息整個安全體系要根據商業銀行信息安全管理要求,要求整個信息安全的組織架構必須從董事長開始,分管信息安全的是你們企業單位的運行層的高管,但是他直接匯報是向董事長匯報,而不是向運行層的一把手,商業銀行已經把信息安全提到很高的位置上。銀行董事長下面是行長,董事長是管理層,行長是經營者,副行長應該向行長匯報工作,但是在整個信息安全架構裡面不是這樣的,副行長直接就直接向董事長匯報,這是商業銀行的要求。
還有一個要求,整個信息安全有三道門,這裡面得非常清楚。
第三個是資產管理。
第四個是人力資源管理,我不是專家,但是這裡面的東西也很多,我相信你們到一家企業也會遇到很多的問題,比如進一家企業你要做什麼不知道,有人會告訴你,告訴你做什麼你就做什麼,有人跟你說你就知道,沒人跟你說,你做了幾天也就知道了。你走的時候也一樣,一個單子給你上面簽好字你就可以走了,只是履行了一個表面的書面的流程而已。實際上你來的時候,拿我們人力資源管理來說,你簽到的時候,你應該有哪些權利,享受哪些待遇,擁有哪些資源,支配哪些資源都有相應的人來告訴你。
有些人走了,他離開了,他的企業郵箱還在,這個很簡單吧,什麼時候給他刪了還不知道。這會帶來其他的問題,如果說他對某些銀行業,企業的核心資源有支配權的話,他的債戶還在話,引發的風險是什麼呢,這個風險在98年的時候就有相關的一個案例,哪家銀行我就不說了,他們的ATM網,他的運維給外包的一個公司了,那個公司在那長期的合作,但是有員工跳槽走了,那個員工在這台機器上他有相關的許可權和密碼,他進了機器以後,讓機器記載下客戶的賬號和密碼,他在後台然後他復制,復制了以後,他就用復制的卡去消費,這在九幾年就已經發生了,當然去年也有發生過類似的。最後查出來也很巧,他只是復制了某家銀行的信用卡,這家銀行有個共同的特色,就是通通是在另外一家銀行的一台機器上操作的,通過銀行的系統查出來,查出來以後,這台機器是誰用的,以前是誰來運維的,反向一追訴,追訴了這家公司來做的,他們公司有個人跳槽走了,反向追溯到這個人,這是96年發生的一起案件,就是利用了在人力資源上沒考慮充分,相關的許可權沒放開,導致了我們出了一些風險。
08年的時候類似的案件又發生過,也是相同的。所以人力資源不僅僅是一個人是否生病了,由於他生病對我系統,對我日常工作帶來影響,是否是他人本身的原因,同時你要考慮這個人進入離開我的企業,他所掌握的資源的一些問題。
第五個就是物理與環境的安全,通訊操作管理,這都是企業內部的管理,還有訪問控制管理,特別是新系統的獲取開發應用這塊,對銀行業來說感觸是最深的,因為這是屬於三分離的東西,實際的現實是人少,這幾個部門都在一個人身上體現出來。這在前面說的相關案件裡面也存在類似的問題。對銀行業來說這方面體現得比較深刻一點。
最後我說一下運維這塊,運維體系是一個部分,包括服務台,可用性管理,IT服務持續性管理,能力管理,服務級別管理,內容我們初步分了,一個是從技術角度,一個從管理角度來塊12個方面。從安全技術這塊,包括應急,支持,通道,檢查和分析,從管理的角度,服務,級別管理,配製管理,發布管理,這裡面還有培訓,應急,演練。這是整個運維體系的內容。
大家可以看到,首先整個流程的發布就是從服務台出來的,服務台作為整個事件的輸入和管理,事件管理以後,一個事件管理,一個問題管理,這個是不是有區別?這個有定義的,是有區別的,事情來了以後,在沒有判別它的故障等級的情況下,影響范圍的情況下,那麼它僅僅是一個事件,對事件的管理要求最快效應速度,所以很簡單,你們到銀行去辦一個業務,突然銀行關門了,業務辦不了了,所有的儲戶都著急了,這就屬於事件。這個事件的時候,我們對它的處理是最高的相應級別,我們就是越快速越好,使客戶第一時間能夠得到解決,當然方法有很多種了。如果說系統壞了,或者網路壞了,等等其他原因,銀行都有相關的措施。
但是對於事件來說,如果事件辯明了原因在哪,就要到後台去,事件管理只是初步的,臨時性的解決這個問題,對於問題來說有後台,對整個問題進行分析以後,對整個事件深層次的一個解決,他要提出他解決問題的一個方案,如果涉及到整個系統,或者整個環境的變更,你要提出變更的管理,如果涉及到應用,就要進行到配製管理,經過審核以後,才能夠進行管理的處理。所以在問題管理這裡面,是在事件管理之後,但是它的要求要根本性的解決一個問題。最終的結果反饋到服務台。這對我們銀行來說是這樣的。
另外還有一個問題,無論是件還是變更,最終配製的管理,我們每家銀行都有一個熱線,你剛打的時候,每一個人的問題都不太一樣,但是每家銀行反應的速度都很快,就是因為它有知識庫。從這上面看,我這是一個運維的管理模式,因為現在是安全和運維分不開的。我現在做的問題是基於原來運維基礎上做的東西。所以這是三大支柱來構建一個企業的安全體系。
㈡ 跪求金融系統監控遠程聯網中,網路架構方案及及架構圖,
一、金融系統聯網架構
金融系統安防聯網系統總體架構應採用:省級分行一級監控中心,二級分行監控中心,區縣支行三級監控中心內網結構,一級監控中心要求在各省級分行設立,二級監控中心要求在各地、市二級分行設立,三級監控中心在各區縣支行設立。為確保聯網系統的安全性、可靠性,以上三級聯網架構均必需建立在銀行內網系統中(或租用網通、電信、移動線路建立安防專網)。
安防聯網系統應以銀行內聯專網為依託,即應符合內聯網技術體制和現狀要求,不能對內聯網產生過重的信息流量,更不能形成引發網路崩潰的因素,並要實現安全監控信息的准確、及時和安全的傳輸和共享。
銀行內聯專網分多層結構,各營業網點監控為一層,各地、市監控中心為一層,各省級分行監控中心為一層,地、市監控中心到轄區營業網點內部辦公網路通常為2Mbits帶寬,考慮到網路協議及業務數據的其他開銷,實際監控聯網可分配帶寬約為50%(即1Mbits),每個營業網點可以向上級監控中心傳輸2路CIF解析度的視頻。
聯網系統應以銀行內聯網為基礎網路平台,實現銀行系統范圍內基於不同網路平台構成的視頻安防監控系統之間的互聯、互通和控制,聯網系統的整體基本功能如下:
a. 實現已建視頻監控系統中各個廠商設備的互聯;
b. 統一視頻壓縮格式和前端控制信令格式,實現視頻監控視頻流的實時傳輸;
c. 提供電子地圖功能,在終端上通過電子地圖頁面來查看監控視頻;
d. 提供錄像文件上傳,錄像回放功能。供遠程調看監控錄像;
e. 提供視頻矩陣和雲台的控制功能;
f. 設立各級監控中心,處理突發事件的報警;
g. 進行身份認證和許可權管理、保證信息安全和數據的安全。
1.1營業網點監控系統基本構成
各地營業網點監控系統通常由以下設備構成:各類前端攝像機、各類前端報警探頭、各類硬碟錄像機或監控主機設備、各類在行或離行ATM監控主機設備、金庫門禁系統等。
1.1.1 營業網點監控系統拓撲結構示意圖
1.1.2 營業網點監控基本功能要求
完成模擬視頻監視信號的採集和傳輸;接受監控中心發出的雲台、鏡頭等控制指令,控制現場鏡頭的光圈、焦距、變倍,雲台的上、下、左、右運動等。提供RS232、RS485、I/O介面,採集報警信息、現場信息,並將相關信息通過網路上傳到上級監控中心。
1.2二級監控中心基本構成
二級監控中心系統通常由以下設備構成:中心管理伺服器、數字矩陣伺服器、監控電視牆、流媒體伺服器、監控管理工作站等。
1.2.1 二級監控中心系統拓撲結構示意圖
1.2.2 二級監控中心基本功能要求
a. 管理本轄區視頻監控點;
b. 能實現對前端設備的控制;
c. 能實現對遠程圖像的記錄、回放及上傳;實現本轄區內重要數據的集中存儲。
d. 報警接入及處理(報警上傳、與攝像機聯動);受理本轄區內的監控設備的報警事件,進行錄像記錄,處理;
e. 允許被授權的其他客戶端進行遠程訪問;
f. 實現流媒體數據的轉發服務,當一級監控中心需要查看或回放營業網點圖像時,二級監控中心流媒體伺服器,進行營業網點視頻圖像的轉發和分發;
g. 對於前端營業網點的監控主機設備,除了能獲取其分布區域、數量等基本數據的存儲信息外,還通過巡檢功能檢測其運行狀態。
h. 實現對用戶的管理包括用戶許可權(用戶名、密碼、許可權、優先順序)的設置,支持三級許可權管理模式,可將用戶分為超級操作員、操作員、普通用戶三級許可權。最大許可權的用戶行使主控權力,負責對支行內的所有監控主機設備進行操作,較小許可權的用戶則可限定其對相關設備的部分操作許可權。
1.3一級監控中心基本構成
一級監控中心系統通常由以下設備構成:中心管理伺服器、數字矩陣伺服器、監控電視牆、監控管理工作站、集中存儲伺服器等。
1.3.1 一級監控中心系統拓撲結構示意圖
1.3.2 一級監控中心基本功能要求
a. 管理本轄區視頻監控點;
b. 管理所轄的二級監控中心;
c. 接收、處理二級中心主動上報的報警事件;
d. 對所轄監控點重要錄像進行集中存儲;
e. 能實現對前端設備的控制;
f. 允許授權的其他的客戶端進行遠程訪問;
g. 提供電子地圖服務,給用戶一個直觀的電子地圖的操作界面;
h. 通過電子地圖實現對所有下級監控點的管理。
二、金融系統聯網系統要求
金融系統安防聯網系統要採用開放式架構,選用標准化介面和協議,並具有良好的兼容性和可擴展性,系統建設必須遵守國家和公安部行業有關標准與規范,統一規劃,統一標准,抓准備、抓調研、抓指導、抓試點,依據本地區的經濟情況,從不同層次,不同角度開展各地金融系統安防系統聯網建設工作。
在規劃組建新的安防聯網系統過程中,要充分考慮和利用現有的報警系統和視頻監控系統及傳輸資源,自下而上,先內後外,堅持先進,兼容傳統,實現系統集成和系統互聯、資源整合、信息共享。必須把實用性放在第一位,邊建設、邊整合、邊應用、邊完善,把系統建設成「實用工程」。
安防聯網系統所涉及的設備必須滿足可靠性和安全性要求,設備選型不能選試驗產品,要選先進的市場主流產品,不求最先進,要求最可靠,要能保證系統不間斷運行。對關鍵的設備、數據和介面應採用冗餘設計,要具有故障檢測、系統恢復等功能;網路環境下信息傳輸和數據存儲要注重安全,保障系統網路的安全可靠性,避免遭到惡性攻擊和數據被非法提取的現象出現。
安防聯網系統應用要體現資源共享、快速反應,形成打防控一體化的網路體系。必須加強對系統運行、應用的監督管理,對系統運行、應用管理原則如下:
a.採用統—的用戶授權的許可權認證管理,系統各級用戶只要在自己所屬的共享平台開設帳號、經授權分配許可權後才可瀏覽其許可權范圍內相應監控點的實時圖像和歷史圖像。
b.應採用多級用戶許可權管理機制,防止用戶越權操作。伺服器設備應能單獨設置拒絕遠程用戶使用某些功能,這樣即使管理員密碼被盜,重要的伺服器不會受影響。
c.伺服器設備應能夠限制或只允許來自某些IP或IP段的客戶端訪問。為了防止用戶名和密碼被非法用戶猜測到或窮舉法破解,設置只允許來自有限的IP地址用戶訪問是非常有效的安全策略。
d.用戶的日常操作和系統的重要事件都記入日誌中,日誌資料分類保存在資料庫中。資料庫定時備份,以防硬體故障造成數據丟失。數據備份可以跨伺服器進行,出現災難性故障,數據文件也能恢復。
聯網系統中視頻監控系統要與報警聯動系統相配合,根據聯網系統的建設、應用和管理的現狀,工作流程分為日常管理流程和報警聯動與視頻監控流程兩類。
a.日常管理流程:二級監控中心(支行監控中心)接收各報警點與監控點傳輸的巡檢信息、事件信息和視頻信息等日常管理信息,二級監控中心對以上信息進行鑒別、分類、處理,對要求上傳的重要信息上傳至一級監控中心(分行監控中心),一級監控中心再做出相應處理。
b.報警聯動與視頻監控流程:一級監控中心(支行監控中心)接收到移動點報警、固定點自動報警或人工報警信息,通過自動聯動或手控聯動治安視頻監控系統對警情進行復核,確認後對警情進行處理,對要求上報的重要警情上報至一級監控中心(分行監控中心),一級監控中心再做出相應處理。處警完畢後,恢復系統正常狀態。
2.1視頻傳輸要求
2.1.1 網路帶寬
網路帶寬指保證系統正常運行的帶寬要求,根據視頻監控系統同時傳輸的視頻的多少而定,一路CIF視頻圖像,最小帶寬需求為 256Kbits/s,一路D1(4CIF)視頻圖像,最小帶寬需求為 768Kbits/s。
各級監控中心的網路帶寬需求包括兩部分:接收前端數字監控視頻所需要的網路帶寬、轉發相關數據所需要的網路帶寬。各級監控中心總帶寬的最小需求,根據接收前端數字監控視頻的數據與轉發數據之和來計算。各級監控中心需要的正常網路帶寬應該是最小需求的1.5倍。
每個接入系統的用戶終端的最小帶寬需求,採用CIF格式,必須根據(監控視頻總路數)×256Kbits/s來計算;採用D1格式,必須根據(監控視頻總路數)×768Kbits/s來計算,正常網路帶寬應該是最小需求的1.5倍。
2.1.2 圖像格式
系統支持圖像格式大小為CIF,可以擴展為 D1 (4CIF)。CIF圖像大小為 352×288個像素;D1 (4CIF)圖像大小為 704×576個像素。
2.1.3 視頻幀率
本地錄像時視頻幀率不低於25幀/秒。圖像格式大小為CIF時,網路傳輸的視頻幀率不低於15幀/秒。圖像格式大小為D1(4CIF)時,網路傳輸的視頻幀率不低於10幀/秒。
2.1.4 視頻傳輸時延
從營業監控網點到二級監控中心的系統視頻圖像網路延時應小於1.5s,從二級監控中心通過流媒體伺服器轉發至一級監控中心的視頻圖像延時應小於3s 。
2.1.5 錄像存儲時間
普通的視頻錄像在監控主機設備中應保存30天以上,重要部位的監控錄像應保存60天以上。突發事件或有案件發生的錄像則需要傳輸到一級監控中心的集中存儲伺服器中進行備份保存。
2.1.6 音視頻同步
音視頻同步差應小於 500ms。
2.1.7 報警響應處理時間
二級監控中心在接收到監控營業網點報警時,響應處理時間應小於 60s, 報警信息在未得到及時處理時經由二級監控中心傳輸到一級監控中心的時間應小於5s。
2.2安全技術要求
2.2.1 網路安全
外網隔離
為確保聯網系統的絕對安全性。聯網系統應嚴格建立在銀行內聯網平台之上,與外網實現完全的物理隔離,確保無法通過任何外網及公網系統對該安防聯網系統進行連接訪問(也可以採用VPN專網方式)。
內網隔離
總行內網子系統、各省級分行網路子系統、各地市分行網路子系統在互聯時,必須通過防火牆予以隔離。防火牆需要達到的技術要求有:非純軟體實現、支持地址/協議過濾、支持數據包過濾、支持安全身份認證及遠程管理,支持1024個或以上的並發網路連接,單個連接的最大帶寬不低於2Mbits/s。
2.2.2 信息安全
授權
聯網系統應採用基於角色的訪問控制模型,必須支持對下列操作進行分別授權:
a.客戶端工作站訪問一級監控中心伺服器(包括:登錄、瀏覽、讀取、修改、刪除等);
b.各級系統中應定義多個用戶級別。每個級別應具備不同的許可權列表。每個子系統中須另設安全管理員,專門負責為本子系統的每個合法用戶分配以相應的級別。
c.系統必須實施強制訪問控制。除安全管理員外,任何用戶不得擅自更改其許可權、不能越權操作、不能將其許可權轉授於其他用戶。安全管理員除完成授權功能以外,不能瀏覽、修改、刪除系統中的任何其它數據。
d.系統中的所有許可權變更操作都應被相應的日誌系統記錄並安全地保留,以備查閱。
認證
a.系統所使用的身份認證系統包括三個方面:計算機系統對使用者的身份認證、使用者對計算機系統的身份認證、計算機系統對其他計算機系統的身份認證。
b.對使用者的身份認證應採用雙因子認證,即口令與認證設備。用戶必須同時正確地出示口令和相關認證硬體設備,方可通過身份認證。
c.系統中應盡量支持一次認證,即用戶只需要進行一次身份認證操作即可使用本系統直至退出,而無需在訪問不同子系統時,反復進行認證。
d.所有認證操作(包括成功的和失敗的)都應被相關的日誌系統記錄並安全地保留,以備查閱。
訪問控制
在系統成功地認證了訪問者的身份後,根據授權資料庫,獲取該用戶的當前授權列表。根據授權列表決定該訪問者的請求是否可以被接受。如果可以接受,則進行服務,否則拒絕。所有數據操作(包括讀和寫)都應被相應的日誌系統記錄並安全的記錄。
㈢ 了解網上銀行的系統結構,分析網上銀行系統要解決的核心問題是什麼
般來說,人們擔心的網上銀行安全問題主要是: 1. 銀行交易系統被非法入侵。 2. 信息通過網路傳輸時被竊取或篡改。 3. 交易雙方的身份識別;賬戶被他人盜用。 從銀行的角度來看,開展網上銀行業務將承擔比客戶更多的風險。因此,我國已開通「網上銀行」業務的招商銀行、建設銀行、中國銀行等,都建立了一套嚴密的安全體系,包括安全策略、安全管理制度和流程、安全技術措施、業務安全措施、內部安全監控和安全審計等,以保證「網上銀行」的安全運行。 銀行交易系統的安全性 「網上銀行」系統是銀行業務服務的延伸,客戶可以通過互聯網方便地使用商業銀行核心業務服務,完成各種非現金交易。但另一方面,互聯網是一個開放的網路,銀行交易伺服器是網上的公開站點,網上銀行系統也使銀行內部網向互聯網敞開了大門。因此,如何保證網上銀行交易系統的安全,關繫到銀行內部整個金融網的安全,這是網上銀行建設中最至關重要的問題,也是銀行保證客戶資金安全的最根本的考慮。 為防止交易伺服器受到攻擊,銀行主要採取以下三方面的技術措施: 1. 設立防火牆,隔離相關網路。 一般採用多重防火牆方案。其作用為: (1) 分隔互聯網與交易伺服器,防止互聯網用戶的非法入侵。 (2) 用於交易伺服器與銀行內部網的分隔,有效保護銀行內部網,同時防止內部網對交易伺服器的入侵。 2. 高安全級的Web應用伺服器 伺服器使用可信的專用操作系統,憑借其獨特的體系結構和安全檢查,保證只有合法用戶的交易請求能通過特定的代理程序送至應用伺服器進行後續處理。 3. 24小時實時安全監控 例如採用ISS網路動態監控產品,進行系統漏洞掃描和實時入侵檢測。在2000年2月Yahoo等大網站遭到黑客入侵破壞時,使用ISS安全產品的網站均倖免於難。 身份識別和CA認證? 網上交易不是面對面的,客戶可以在任何時間、任何地點發出請求,傳統的身份識別方法通常是靠用戶名和登錄密碼對用戶的身份進行認證。但是,用戶的密碼在登錄時以明文的方式在網路上傳輸,很容易被攻擊者截獲,進而可以假冒用戶的身份,身份認證機制就會被攻破。 在網上銀行系統中,用戶的身份認證依靠基於「RSA公鑰密碼體制」的加密機制、數字簽名機制和用戶登錄密碼的多重保證。銀行對用戶的數字簽名和登錄密碼進行檢驗,全部通過後才能確認該用戶的身份。用戶的惟一身份標識就是銀行簽發的「數字證書」。用戶的登錄密碼以密文的方式進行傳輸,確保了身份認證的安全可靠性。數字證書的引入,同時實現了用戶對銀行交易網站的身份認證,以保證訪問的是真實的銀行網站,另外還確保了客戶提交的交易指令的不可否認性。 由於數字證書的惟一性和重要性,各家銀行為開展網上業務都成立了CA認證機構,專門負責簽發和管理數字證書,並進行網上身份審核。2000年6月,由中國人民銀行牽頭,12家商業銀行聯合共建的中國金融認證中心(CFCA)正式掛牌運營。這標志著中國電子商務進入了銀行安全支付的新階段。中國金融認證中心作為一個權威的、可信賴的、公正的第三方信任機構,為今後實現跨行交易提供了身份認證基礎。 網路通訊的安全性 由於互聯網是一個開放的網路,客戶在網上傳輸的敏感信息(如密碼、交易指令等)在通訊過程中存在被截獲、被破譯、被篡改的可能。為了防止此種情況發生,網上銀行系統一般都採用加密傳輸交易信息的措施,使用最廣泛的是SSL數據加密協議。 SSL協議是由Netscape首先研製開發出來的,其首要目的是在兩個通信間提供秘密而可靠的連接,目前大部分Web伺服器和瀏覽器都支持此協議。用戶登錄並通過身份認證之後,用戶和服務方之間在網路上傳輸的所有數據全部用會話密鑰加密,直到用戶退出系統為止。而且每次會話所使用的加密密鑰都是隨機產生的。這樣,攻擊者就不可能從網路上的數據流中得到任何有用的信息。同時,引入了數字證書對傳輸數據進行簽名,一旦數據被篡改,則必然與數字簽名不符。SSL協議的加密密鑰長度與其加密強度有直接關系,一般是40~128位,可在IE瀏覽器的「幫助」「關於」中查到。目前,建設銀行等已經採用有效密鑰長度128位的高強度加密。 客戶的安全意識? 銀行卡持有人的安全意識是影響網上銀行安全性的不可忽視的重要因素。目前,我國銀行卡持有人安全意識普遍較弱:不注意密碼保密,或將密碼設為生日等易被猜測的數字。一旦卡號和密碼被他人竊取或猜出,用戶賬號就可能在網上被盜用,例如進行購物消費等,從而造成損失,而銀行技術手段對此卻無能為力。因此一些銀行規定:客戶必須持合法證件到銀行櫃台簽約才能使用「網上銀行」進行轉賬支付,以此保障客戶的資金安全。 另一種情況是,客戶在公用的計算機上使用網上銀行,可能會使數字證書等機密資料落入他人之手,從而直接使網上身份識別系統被攻破,網上賬戶被盜用。 安全性作為網路銀行賴以生存和得以發展的核心及基礎,從一開始就受到各家銀行的極大重視,都採取了有效的技術和業務手段來確保網上銀行安全。但安全性和方便性又是互相矛盾的,越安全就意味著申請手續越煩瑣,使用操作越復雜,影響了方便性,使客戶使用起來感到困難。因此,必須在安全性和方便性上進行權衡。到目前為止,國內網上銀行交易額已達數千億元,銀行方還未出現過安全問題,只有個別客戶由於保密意識不強而造成資金損失。 總 結 據有關資料顯示,現在美國有1500多萬戶家庭使用「網上銀行」服務,「網上銀行」業務量占銀行總業務量的10%,到2005年,這一比例將接近50%。而我國網上銀行業務量尚不足銀行業務總量的1%,就此點講我國網上銀行業務的發展前景極為廣闊,我們有理由相信,隨著國民金融意識的增強,國家規范網上行為的法律法規的出台,將會有更好的網上銀行使用環境,能為客戶提供「3A服務」(任何時間、任何地點、任何方式)的「網上銀行」一定會贏得用戶的青睞。 自從美國在1995年推出世界第一家網路銀行------安全第一網路銀行,世界各國網路銀行的發展勢頭十分迅猛。美國在2002年時,約有560萬個家庭每月至少使用一次網路銀行功能或在線支付功能。2003 年,東亞銀行、匯豐銀行等均在我國內地開辦了網路銀行業務。我國第一家網路銀行出現於1998年。有報道說,到2004年底,我國網路銀行個人客戶已達到1758萬戶,企業用戶已達60萬戶,網路銀行交易量達到了49萬億元。 但是,正當消費者接受並嘗試著這一新鮮事物帶來的新奇和便捷時,因安全問題引發的欺詐案件卻接踵而來。這使得消費者開始產生質疑,不得不重新審視網路銀行的可信度。網路銀行的安全究竟該如何認識?問題是出在銀行,還是在消費者自身缺乏防範意識?安全問題確實已成為網路銀行發展過程中的一個聚焦。 形形色色的網銀安全問題 網路銀行,又稱網上銀行或在線銀行,是指銀行以自己的計算機系統為主體,以單位和個人的計算機為入網操作終端,藉助互聯網技術,通過網路向客戶提供銀行服務的虛擬銀行櫃台。簡單地說,網路銀行就是互聯網上的虛擬銀行櫃台,它把傳統銀行的業務「搬到」網上,在網路上實現銀行的業務操作。 在西方發達國家,網路銀行業務一般分為三類,即信息服務、客戶交流服務和銀行交易服務。信息服務是銀行通過互聯網向客戶提供產品和服務。客戶交流服務包括電子郵件、帳戶查詢、貸款申請等。銀行交易服務包括個人業務和公司業務,前者包括轉帳、匯款、代繳費用、按揭貸款、證券買賣、外匯買賣等;後者包括結算、信貸、投資等。銀行交易服務是網路銀行的主體業務。 網路銀行的特點是客戶只要擁有帳號和密碼,便能在世界各地通過互聯網,進入網路銀行處理交易。與傳統銀行業務相比,網路銀行的優勢體現在,不僅能夠大大降低銀行的經營成本,還有利於擴大客戶群,交叉銷售產品,吸引和保留優質客戶。由於客戶採用的是公共瀏覽器軟體和公共網路資源,節省了銀行對客戶端的軟、硬體開發和維護費用。網路銀行的無時空限制的特點,打破了傳統業務受地域和時間的限制,能在任何時候、任何地方為客戶提供金融服務;並且在整合各類交叉銷售產品信息的基礎上,實現金融創新,為客戶提供更具個性化的服務。 網路銀行發展的模式有兩種,一是完全依賴於互聯網的無形的電子銀行,也叫「虛擬銀行」;另一種是在現有的傳統銀行的基礎上,利用互聯網開展傳統的銀行業務交易服務。因此,事實上,我國還沒有出現真正意義上的網路銀行,也就是「虛擬銀行」,國內現在的網路銀行基本都屬於第二種模式。 對於銀行來講,歷來是「信用第一」。網路銀行既然是互聯網的產物,互聯網所帶來的一切安全隱患,自然會波及網路銀行,影響其信用。因此,網路銀行的安全問題不僅是客戶最擔心的事情,也為各傳統銀行所關注和重視。網路銀行面臨的安全隱患除了來自數據傳輸風險、應用系統設計的缺陷和計算機病毒的攻擊三個方面外,利用網路銀行進行欺詐的行為是當前危害最大、影響最惡劣的一個安全問題。這些欺詐手段包括假冒銀行網站、電子郵件欺詐和網上交易陷阱等。 假冒銀行網站具有很強的隱蔽性,其域名通常和真實銀行的域名相差一個字母或數字,主頁則與真實銀行的非常相似。欺詐郵件是提供一個與銀行或購物網站極為相似的鏈接,收到此類郵件的用戶一旦點擊這個鏈接,緊接著頁面會提示用戶繼續輸入自己的帳戶信息;如果用戶填寫了此類信息,這些信息將最終落入詐騙者手中。而網上交易陷阱則是,一些不知名的購物網站通常會打出超低價商品等信息,待用戶點擊付款鏈接時就將用戶的銀行資料騙取出去。面對發生在網路銀行上形形色色的安全問題,各家銀行的反映如何?它們都採取了哪些相應的措施? 銀行篇:該出手時就出手 8月份,國內14家商業銀行與中國金融認證中心(CFCA)聯合推出「2005放心安全用網銀」的活動。銀行界與第三方安全認證機構聯手行動,為廣大消費者提供了一次了解網上銀行和信息安全知識的機會。 在這14家銀行中,中國工商銀行於2000年推出了網上銀行。通過採用國際先進的技術安全措施和嚴格的風險控制手段,工行建立了一整套嚴密的網上銀行技術與制度體系,確保了網上銀行安全的運行。 中國工商銀行電子銀行部副處長尚陽向記者介紹說,利用網上銀行進行欺詐行為,騙取客戶資金,目前主要有四種類型:一是不法分子通過電子郵件冒充知名公司,特別是冒充銀行,以系統升級等名義誘騙不知情的用戶點擊進入假網站,並要求他們同時輸入自己的賬號、網上銀行登錄密碼、支付密碼等敏感信息。二是不法分子利用網路聊天,以網友的身份低價兜售網路游戲裝備、數字卡等商品,誘騙用戶登錄犯罪嫌疑人提供的假網站地址,輸入銀行賬號、登錄密碼和支付密碼。三是不法分子利用一些人喜歡下載、打開一些來路不明的程序、游戲、郵件等不良上網習慣,有可能通過這些程序、郵件等將木馬病毒置入客戶的計算機內,一旦客戶利用這種「中毒」的計算機登錄網上銀行,客戶的賬號和密碼就有可能被不法分子竊取。 例如,人們在網吧等公共電腦上網時,網吧電腦內有可能預先埋伏木馬程序,賬號、密碼等敏感信息。四是不法分子利用人們怕麻煩而將密碼設置得過於簡單的心理,通過試探等方式可能猜測出密碼。所以,為了保證信息和資金的安全,我們不僅需要具備辨識網路詐騙的能力,更需要養成良好的網上銀行使用習慣。當然,如果用戶申請了客戶證書,就可以有效防範目前常見的各種網路犯罪,確保用戶資金安全無憂。 工商銀行網上銀行系統的安全保障是多層的,包括網上銀行技術安全和業務安全,二者共同構成了一個完備的網上銀行安全體系。從技術安全的層面上,網上銀行的技術安全包括網路安全和交易安全兩個方面。網路安全確保工行網站的安全可靠,交易安全確保客戶通過網上銀行進行交易的資金安全。其中,網路安全涉及系統安全、網路運行安全等。 系統安全實際上指的是主機和伺服器的安全,主要包括反病毒、系統安全檢測、入侵檢測(監控) 和審計分析;網路運行安全就是指要具備必須的針對突發事件的應急措施,如數據的備份和恢復等等。工商銀行為保障網上銀行的網路安全性,採取了一系列措施,包括:在互聯網與網上銀行伺服器之間設置第一道防火牆, 在門戶網站伺服器和工行內部網路(應用伺服器)之間設置第二道防火牆。第二道防火牆與入口的第一道防火牆採用的是不同廠商的產品,設置不同的安全策略,使黑客即使攻破第一道防火牆,也無法輕易攻破第二道防火牆而進入內部網路,等等。 在確保網路安全的同時,工行網上銀行還採取了一系列確保網上交易安全的措施,包括採用中國金融認證中心(CFCA)提供的、目前最嚴密的1024位證書認證和128位SSL加密的公鑰證書安全體系等等。根據客戶對方便性和安全級別要求的不同,工行將客戶分為無證書客戶和證書客戶兩大類。沒有申請證書的客戶要進入網上銀行,首先要驗證客戶的賬號(或自己設立的登錄ID)和登錄密碼,對外支付還必須驗證支付密碼。 此外,通過增加密碼難度(必須是6—30位數字與字母的組合)、設置虛擬「e」卡(專門用於網上購物)和每日支付最高限額等一系列方式,最大限度地保證客戶安全使用網上銀行。對於申請了證書的客戶,工行USBKey客戶證書是一個外形類似U盤的智能晶元,是網上銀行的「身份證」和「安全鑰匙」,也是目前安全級別最高的一種安全措施。客戶申請了這個證書後,網上所有涉及資金對外轉移的操作,都必須通過這個客戶證書才能完成,而此證書,僅客戶自己保管和使用。換句話說,賬號、登錄密碼、支付密碼、客戶證書、證書密碼等種種安全防範措施,只要其中一樣沒有丟失或泄露,或即使丟失,只要密碼和證書沒有被同一個人獲得,就不存在資金安全問題。 除了技術安全外,工行在業務安全層面上,制定了健全的內部櫃員操作管理機制。整個網上銀行的內部管理系統,都通過工行內網向全行提供統一的內部管理功能。系統內部從總行、省行到市行建立4類9級櫃員制度,逐級管理,每一級對下一級有管理、監督的許可權。同時櫃員在進行一些關鍵性操作時,還需要上一級櫃員的實時審核,防止單人作案。 那麼,用戶應該如何安全使用網上銀行?尚陽副處長說,對於有了客戶證書的客戶來說,只要密碼和證書沒有被同一個人獲得,就能確保客戶資金的安全。而沒有申請客戶證書的客戶,只要保管好自己的賬號和密碼以及支付密碼,就是非常安全的。總而言之,有幾點需要提醒人們:1.要妥善保管好自己的賬號和密碼。2.謹防假網站索要賬號、密碼、支付密碼等客戶敏感信息。3.維護好自己的電腦。不要輕易下載一些來歷不明的軟體。最好不要在公共場所(如網吧、公共圖書館等)使用網上銀行。4、最有效的方式就是到工行網點申請一個客戶證書。一旦擁有了自己的客戶證書,就可以有效防範諸如假網站、「木馬」病毒等網路詐騙;換句話說,即使假網站、「木馬」病毒通過欺騙等手段獲得了您的賬號、密碼等敏感信息,但有了證書,照樣可以安心使用網上銀行。
㈣ 為什麼網路安全很重要
現在的網路犯罪分子可以找到很多漏洞,並對內部系統造成損害。這樣的事件將導致資金,機密信息和客戶數據的丟失,並且還會破壞業務在市場上的聲譽。2020年3月,Mariott International遭受了重大數據泄露,其中520萬客人的信息被訪問,使用特許經營物業的兩名員工的登錄憑據。大流行和遠程工作甚至沒有放過Twitter。2020年6月,幾位知名人士的帳戶通過電話網路釣魚被劫持。強大的網路安全技術是企業生存的現代必需品,但更重要的是,網路衛生意識也已成為當務之急。在當今的業務基礎架構中,網路安全不僅限於 IT 專業人員和與之相關的公司。網路安全適合所有人,律師,室內裝飾師,音樂家,投資銀行家等,都會發現網路安全系統對他們的工作和業務有益。通過泰科雲Techcloudpro實施和學習網路安全,小型企業將使其員工更加負責任,律師事務所將有動力保護其數據,室內設計師將找到更有效的方法來控制其繁重的文件。
㈤ 什麼是網路安全架構
網路架構(Network Architecture)是為設計、構建和管理一個通信網路提供一個構架和技術基礎的藍圖。網路構架定義了數據網路通信系統的每個方面,包括但不限於用戶使用的介面類型、使用的網路協議和可能使用的網路布線的類型。網路架構典型地有一個分層結構。分層是一種現代的網路設計原理,它將通信任務劃分成很多更小的部分,每個部分完成一個特定的子任務和用小數量良好定義的方式與其它部分相結合。
㈥ 電子銀行:網路安全如何保障
編者按:隨著銀行業的競爭加劇,「錢庄多於米鋪」的情景可能會再次重演。作為客戶關心的要點,安全性再次引起了銀行的關注。在電子銀行大行其道的今天,銀行的安全已經不能只從物理層面實施了,我們需要從機制、內部、外部等多方面加以考慮。新環境,新挑戰:銀行安全的標准升級 銀行和客戶之間最重要的合作條款是安全性。銀行的業務就是要為客戶提供一個安全可靠的環境,使他們可以把貴重資產交由銀行保管。不久前,安全意味著銀行要在其辦公場所採取一級防範禁閉,選用堡壘式的建築、配置報警設施、安排保安人員把守等。不過,近十年來,全球性數字化革命從根本上改變了銀行開展業務的方式,既為他們帶來新的商機,也為他們提出了新的挑戰。 當前,電子網路不僅構成銀行與客戶進行合作的主要環境,同時也成為銀行開展金融業務的主要管道和保存客戶資產和敏感數據的中央倉庫。銀行通過部署外聯網、內聯網和基於網際網路的其他系統,加快了運營速度,實現了相互通信,為客戶提供了史無前例的服務和便利。為了適應安全和規章條令的要求[如,美國的Gramm-Leach-Bliley法案],銀行正在著手採取各種措施來保護網路不受攻擊。 然而,金融業在不斷發展。為了進一步加強競爭優勢,銀行正在實現先進的網路應用,為客戶提供從保險合同到票據和工資發放等新的業務。而且,隨著經濟全球化的不斷發展,銀行將越來越多地在世界范圍內與客戶進行溝通,無論是使用自動櫃員機(ATM)卡的旅遊者,還是跨境劃撥資金的公司。除此之外,銀行還必須遵守國內外關於跟蹤和保護國際資金流及客戶信息的相關法令,以及保證不拒絕大宗金融交易及賠付的相關規章制度。因此,隨著銀行不斷拓展市場范圍,其網路基礎架構也將超越他們的物理地點被擴展到客戶或第三方來執行交易,或訪問保密信息所需要的任何地方。 新的保障機制:銀行安全的基礎架構 電子銀行的不斷發展增加了IT部門的壓力。他們既要保障安全性和保密性,又要設法減輕IT人員高度緊張的管理負擔。隨著銀行不斷增加物理設施來加強防範措施外,IT管理人員也必須加大他們的安全防範工作,全方位的保障網路安全。 這意味著IT管理員需要設計行之有效的驗證和授權機制,以便只允許授權用戶,包括員工、客戶和夥伴,在網上訪問授權他們訪問的特定資源。例如,通過部署防火牆,銀行能夠控制通過企業的網際網路門戶進入網路進行訪問的人員。而對於入侵者而言,門戶往往是誘人的目標。防火牆只允許合法用戶進入,入侵者和外部人員將被拒之門外。 銀行還需要其他安全機制,包括數字簽名和證書支持功能。驗證必須擴展到網路設備,特別是伺服器。例如,竊賊有可能把缺乏控制的伺服器和網路相連接,以便非法處理各種交易和轉移資金,從而給銀行造成嚴重後果。 保護內部安全:實施企業級安全政策 一旦加強了基礎架構邊緣的安全保障,銀行還必須控制網路內部可能發生的情況,對象應包括銀行員工和承包商。因為銀行的威脅既可能來自網路外部,又可能來自網路內部。如果未經授權的人員可以擅自訪問關鍵金融應用,他們就可能隨意拒絕或竄改交易,由此給銀行帶來風險。 因此,銀行需要實施企業級安全政策。這些政策能夠進行集中管理,只允許獲得授權的員工訪問規定的應用和資料庫。一旦某人進入網路,常規邊緣防火牆就不能保護金融數據,所以銀行應考慮採用先進防火牆技術,以便把防竄改安全特性嵌入到桌面系統和伺服器,只允許每個機器訪問用戶獲得授權的那部分網路資源。另外,銀行還可以部署虛擬LAN/VLAN,把網路分割成各種不同的用戶組。VLAN允許管理員組織和控制通信流,因此有利於對網路內部資源實行隔離。 傳送不容出錯:VPN+防火牆 當客戶訪問銀行外聯網查看帳戶信息或執行交易時,請求將始發於客戶的遠程地點,然後通過網際網路或其他公用網路傳至銀行網路。在無法約束的網際網路空間內,這類敏感通信容易成為窺視的目標,甚至可能被竄改。 為了保障基於網際網路和基於Web交易的保密性和完整性,銀行可以實現虛擬專用網(VPN)。就像裝甲車一樣,VPN在金融資源從銀行傳到其他位置的途中能為它們提供保駕護航作用。在遠程用戶和金融機構之間,VPN提供安全可靠的加密式端對端"隧道"。即使是最狡猾的無賴之徒,VPN的強勁安全性也能防止他們截取隧道傳輸的內容,使他們的陰謀不能得逞。VPN的創建宗旨就是要在每個遠程訪問會話期間保障其安全性,它對用戶是透明的。一般而言,具有VPN功能的防火牆和客戶計算機配置的許多操作系統都支持VPN。 在內部台式系統、伺服器和筆記本電腦內可以部署基於防竄改硬體的防火牆來加強保護,防止入侵者通過遠程訪問VPN進入銀行網路,同時嚴防在銀行非軍事區內(DMZ)從事破壞安全的活動。通常,DMZ包括允許公開訪問的Web伺服器和其它外聯網伺服器。 外包安全也要考慮:銀行安全的外部延伸 當前,銀行在保護企業的同時,又要為客戶、供應商和合作夥伴提供安全可靠的通信,這是銀行在全球連接的經濟環境中保持贏利的關鍵因素。銀行需要整體網路保護方案,而不僅僅是為其網路基礎設施增加一些零碎的安全部件。他們必須從獨立的邊緣防火牆,跨越所有的有線和無線埠,擴展到基於埠的網路登錄和安全可靠的網路管理等領域。 顯然,有效的安全性設計來源於網路本身。網路基礎架構必須具有嵌入式防火牆、驗證和VPN等安全功能。不僅設計安全的網路很重要,而且設計網路時所採用的方法同樣也重要,不能使企業的日常運營脫離正常軌道。當超負荷網路發生故障或崩潰時,將會給銀行業務造成令人可怕的後果。 要建設一種能夠提供銀行安全特性的基礎架構,就需要IT資源和技術。正是由於這個原因,越來越多的銀行對其網路安全實行外包,雖然外包網路安全能夠帶來某種好處,但這並非適用於所有情況。如果銀行考慮採用這種選擇,就應該依靠那些了解他們特定的嚴格安全要求的供應商。 銀行需要通過與可信賴的供應商建立合作夥伴關系,並以此作為安全決策要求的一部分,採取經濟有效的方式,並適應相關規章條例的要求。在一個瞬息萬變的世界,這種夥伴關系有利於金融機構應對當前和今後的所有安全問題,保證使客戶永不放棄對銀行的信任度和滿意度。
還有什麼問題,問問網路專家 3Com公司的業務專長就是為客戶提供安全可靠的網路解決方案。3Com公司的技術開發策略是建立在一種實用方法基礎之上,宗旨是把安全性擴展到整個網路的各個層面,設計原理就是要像高性能和高可用性那樣,把安全性作為網路解決方案的內在特性來對待,從而滿足客戶的需要。3Com公司認為,企業網路的安全性必須作為公司策略來加以實施。而3Com公司能夠提供性能強勁和可靠的系統,並支持幾乎所有級別的安全保護要求。
除此之外,3Com公司創建產品的先決條件就是為企業提供分層式和分布式安全解決方案,用以滿足他們的各種業務需求。如果銀行安裝了易於部署、易於管理和易於擴展的系統,就能夠減輕其IT部門的壓力,減少網路總擁有成本。
㈦ 如何利用互聯網技術提高銀行安全防範措施
一是要提高硬體建設水平,加大技防投資力度;
二是要提高管理人員水平,從建立領導組織體系、落實內控制度、強化日常操作管理入手,管理好網路系統,使被保護信息的價值與保護成本達到平衡。
通常,計算機網路信息系統安全包括實體安全、信息安全、運行安全和人員安全。對於銀行網路而言,在其安全體系架構過程中,由於銀行業務、管理體制的不斷變化,加上攻擊手段層出不窮,使得對於網路系統安全風險點的分析存在不確定性。如果對區域網的管理不到位,掉線、網路堵塞、無法快速上網、受攻擊等問題將屢屢出現,將對網路整體安全構成巨大隱患,進一步加強網路管理十分必要。
㈧ 銀行網路安全工程師具體是做什麼的
銀行的網路安全工程師,具體肯定是負責銀行內部的軟體的運營維護,還有系統的一些維護,甚至包括了他們內部的一些線路的一些調配或調試。
㈨ 怎樣提高銀行網路安全管理能力
通常,計算機網路信息系統安全包括實體安全、信息安全、運行安全和人員安全。對於銀行網路而言,在其安全體系架構過程中,由於銀行業務、管理體制的不斷變化,加上攻擊手段層出不窮,使得對於網路系統安全風險點的分析存在不確定性。如果對區域網的管理不到位,掉線、網路堵塞、無法快速上網、受攻擊等問題將屢屢出現,將對網路整體安全構成巨大隱患,進一步加強網路管理十分必要。 隨著銀行電子化建設的不斷深入,內聯網建設已成為銀行信息化工程的重要組成部分,計算機網路系統的安全問題將直接關繫到銀行的業務發展和社會形象。 安全規劃和整體策略框架的確定比較困難,因此應遵循需求、風險、代價平衡的原則。對於任何信息系統來說,不可能達到絕對安全,因此我們必須對系統面臨的威脅及可能承擔的風險進行定性與定量相結合的分析,然後制定規范並確定安全策略,使被保護信息的價值與保護成本達到平衡。 應該建立具有一個多重保護功能的安全系統,各層保護相互補充,當一層保護被攻破時,其他層保護仍可保護信息的安全。網路的安全性問題實際上包括兩方面的內容,一是網路的系統安全,二是網路的信息安全,而保護網路的信息安全是最終目的。就網路信息安全而言,首先是信息的保密性,其次是信息的完整性。 一、提高硬體建設水平1.遵循建設標准。在銀行網路建設初期,或者在網路機房的改造過程中,要按照國家統一頒布的標准進行建設、施工、裝修、安裝,並經公安、消防等部門檢驗驗收合格後投入使用。做好三級備份網路的建設,對網路的信號傳輸進行屏蔽(靜電屏蔽、磁屏蔽和電磁屏蔽)處理,裝置必要的電磁屏蔽設施。 2.合理布線。布線也是一個重要的問題,不良的布線會引起日後頻繁的網路故障,會給網路管理工作帶來很大的麻煩。尤其是千兆交換機的光纖模塊,如果光纖安裝存在問題,會造成交換機工作不穩定,數據傳輸會時斷時續,這將嚴重影響網路的整體性能。定期與電力、電信等部門協調,爭取技術支持,是保證良好的供電環境和暢通的網路環境的重要措施。 3.增加網路機架。通過增加機架,可以將各部門的伺服器集中到網路管理中心,進行統一管理。幾十台伺服器所佔空間可能太多,可以在網路中心的機房裡,增加機架,把這些伺服器一個個固定在機架上,這樣可以減少伺服器佔用地面空間。 4.如果條件允許設置二級網路機房,還可以考慮進行攝像監控。在二級交換機的分機房中安裝攝像機,通過攝像機連線,將分機房的現場情況傳到網路中心機房的監視器,通過監視器上傳來的視頻信息,就可以知道分機房的網路設備運轉情況。如果出現問題,在中心機房就能及時告警,便於網管員迅速採取措施,從而提高管理效率。 5.在交換機中添加硬體管理模塊。新一代交換機具有多種提高管理的硬體模塊,除了硬體入侵監視模塊能方便管理外,還有乙太網隨線供電模塊、超級引擎模塊等功能。形成以入侵檢測系統為核心,聯合防火牆、非法外聯、安全認證、網管系統、災難備份等安全產品的防禦體系,以提高網路安全系數,因此,增加硬體管理模塊十分必要。 6.及時升級網路管理與安全軟體。網路規模的逐漸擴大,網路的復雜性不斷增加,一些老的網路管理技術、網路防病毒管理系統已不能適應網路的迅速發展。因此,網管軟體、防病毒軟體需要及時升級,以便能利用先進的網路管理技術和帶寬等有限的網路資源。 二、提高管理人員水平現在,一些基層單位在區域網建設中存在重建輕管現象,不同程度地存在著對信息安全的防範意識不強、管理硬體不到位、網路疏於管理等問題,這些將直接影響人行區域網的正確使用的現象應當引起高度重視。 1.建立領導組織體系。要將計算機網路管理及風險防範納入行長的工作日程,就必須成立相應的領導組織,明確權利責任,做好對網路安全運行領導、檢查和監督工作。要研究網路安全防範技術,找出易發問題的部位和環節,進行重點管理和監督,各相關職能部門要形成合力加大對計算機網路風險管理力度。 2.落實內控制度。建立健全各項計算機網路安全管理和防範制度,完善業務的操作規程;加強網路要害崗位管理,建立和不斷補充完善要害崗位人員管理制度;加強內控制度的落實,嚴禁系統管理人員、網路技術人員、程序開發人員和前台操作人員混崗、代崗或一人多崗,做到專機專用、專人專管、各負其責。 3.強化日常操作管理。加強網管操作人員許可權和密碼管理。對訪問資料庫的所有用戶要科學的分配許可權,實現許可權等級管理,嚴禁越權操作,密碼強制定期修改,數據輸入檢查嚴密,盡量減少人工操作機會,防止非法使用網路系統資源。嚴禁在網路上放置和發布與業務系統無關信息,及時清除各種垃圾文件,對一切操作要有記錄,以防誤操作損壞網路系統或業務數據。做好數據備份,確保數據安全。
㈩ 銀行內網用的是什麼網路,怎麼保證安全
內部區域網,就是生產用的,通過一系列的防火牆和軟硬體設備