㈠ 中小银行安全体系建设如何做好规划
中小银行安全体系构架探索
首先第一,我们体系遵循的标准,这里面分三块,第一,国际信息安全标准,27000,还有一个20000,还有等级保护的规范要求。对金融行业来说,06年发了一个信息安全保护的管理办法,公安部发的,2009年6月银监会出台的商业银行信息风险管理,最后一个就是今年刚发的电子银行安全评估指引,网上银行的交易量占的比重非常大,相关的案件也在不断的增多。所以我们整个体系遵循的标准主要是从这三个方面。
第二个方面体系建设的目标。作为一个银行,无论是做什么样的体系,它最终的目的是为我们银行客户服务,服务是第一目标,服务的对象是客户,对于信息系统来说,它要做的首先第一个就是整个业务系统的连续可用性,防止业务的中断,防止数据的丢失。目标就是怎样保障银行的业务系统的连续性。
第二,对应用系统访问的控制和授权的管理,防止非法访问,以保证信息资源和金融资源的安全,这个就是针对电子银行来说的,网上银行案件频发,绝大部分内部作案比外部的概率还要大多了,并不是外面的攻击比较厉害,我认为中国的网上银行的技术和复杂性,先进性,在世界上来说其他国家的银行还不存在的。我不知道大家使用过外资银行的相关网上银行没有,它登陆非常简单,应该说中国的环境比较复杂。
所以对我们银行来说,我们认为电子银行之外,包括我们核心也是这样。
第三,业务工作的责任和可操作性。
第四,业务数据的传输使用,存储过程当中的真实性。做安全的这三个要素是必不可少的。
第五个方面就是信息系统的实体安全,提高信息系统安全管理水平,这块是作为一个金融行业,或者企业来说它要保证他的实体的安全。
最后一个就是互联网及内网的安全,防范互联网的攻击,保证业务的连续性。互联网,网银这都是网上的应用,内网的安全在银行业逐渐加重了,以前防范的都是互联网的应用,在这上面用得是很多的。最近通过统计下来,在内网方面逐渐逐渐加大投入,基于内网事件的增多。
第三,就是我们整个体系的策略,目标定了,我们采用什么策略建设这个体系呢?我们从27000里面管理体系的要求,从11个方面进行制定策略。第一个安全方针。第二个方面是组织信息安全。第三,资产管理。第四,人力资源安全。第五,物理环境安全。第六通讯和操作管理。第七,访问控制。第八,系统性,以及信息安全事件管理等等,这些都是在商业银行指引方面的管理,在27000里年,20000里年,也是这些方面。根据这11个方面,我们区域银行的架构体系应该是怎么样?
先跟大家介绍一下,信息安全的架构,首先最上面就是安全的目标,目标是什么?就是安全的高效管理,风险控制,以及整个体系的建设,这是目标。包括管理上的安全,结构上的安全,资产化的管理,身份的管理,结构包括结构的溶于,数据的溶于等等。终端服务器,网络,主机等等,这是基础架构。
基础架构之上就是信息安全,信息安全主要是针对整个数据的内容以及数据操作的安全,这里面包括数据的泄露保护,现在商业银行已经在用了,文件的管理,文件的加密,传输,无论是网上银行,还是日常办公基本上还是使用的。
内容安全主要用得比较多的,从这里面发展多内网来的。最下面在信息安全的下层就是传输,包括数据的管理和加密。
第三层,就是安全的治理,包括安全监控,审计管理等等。IT的安全的治理是一个长期持续的工作目标,它主要是依赖于对整个平台的支持,真这个信息安全一个框架,我们建立了三大体系,就是从技术上,管理上和运维上三个方面来承载着我们整个信息安全。
可以看到,从技术角度来看,整个安全保障体系包括物理安全,保障安全,数据安全,备份的安全,这里考虑的东西也很多,包括我们现在谈论最多的是电源的问题,数据中心的电源的问题,这也包含在安全之内,包括地震造成的数据中心的(英语),这也是物理安全之一,在07年银联建立数据中心,因为他也没考虑到物理安全,发了台风以后,把数据中心淹没了,这个谁也没想到,把数据中心给淹了。北京地铁也经常被淹,这里也是物理安全的一部分,水灾,电,防火,都是物理安全领域里。
第二是网络安全,有网络的溶于,网络的防控,线路的备份等等。网络安全考虑得比较多的是基于互联网的网络安全这一块儿,在内网像银行基本上做到了内外网的物理的隔离,当然在相关的安全指引里面,要求做到隔离,但是在银行系统有些银行做得比较充分的银行,基本上做到了内网和外网的物理隔离。
我们的内网有两个部分组成,一个部分是我们的核心业务,你们的银行的数据,你们账户的数据,交易的数据等等一系列的都是在内网里面。
第二,我们银行内部使用自企业内部的系统,也是内网里面的,这两个部分基本上做到物理隔离,我们银行对客户的数据,我对他的访问基本上也做到一个隔离。
我们谈谈外网,就是我们现在使用最佳频繁的互联网的应用。在金融行业做到了完全的物理的隔离,我们现在技术也挺多的,比如说现在用我们机器,他只能上一个网,要么进内网,要么进外网,现在有个技术叫双硬盘技术,同样一台机器做个切换,两块硬盘,两个操作系统,在同一时间只能上一个网,这也是根据人民银行银监会的要求,金融行业基本上都做了。
还有主机安全,这个主机安全包括你们数据所用的核心的主机,也包括你们到我们历史数据相关的其他的一些小机去获取也都在这里。
从管理这条线来讲,第一就是安全策略,你要做管理,你首先对你整个安全要统筹考虑,你必须要有稳当做支持,我相关的策略要记载下来,要有它的延续性。
其次,信息安全的组织和管理,任何一个企业他对信息整个安全体系要根据商业银行信息安全管理要求,要求整个信息安全的组织架构必须从董事长开始,分管信息安全的是你们企业单位的运行层的高管,但是他直接汇报是向董事长汇报,而不是向运行层的一把手,商业银行已经把信息安全提到很高的位置上。银行董事长下面是行长,董事长是管理层,行长是经营者,副行长应该向行长汇报工作,但是在整个信息安全架构里面不是这样的,副行长直接就直接向董事长汇报,这是商业银行的要求。
还有一个要求,整个信息安全有三道门,这里面得非常清楚。
第三个是资产管理。
第四个是人力资源管理,我不是专家,但是这里面的东西也很多,我相信你们到一家企业也会遇到很多的问题,比如进一家企业你要做什么不知道,有人会告诉你,告诉你做什么你就做什么,有人跟你说你就知道,没人跟你说,你做了几天也就知道了。你走的时候也一样,一个单子给你上面签好字你就可以走了,只是履行了一个表面的书面的流程而已。实际上你来的时候,拿我们人力资源管理来说,你签到的时候,你应该有哪些权利,享受哪些待遇,拥有哪些资源,支配哪些资源都有相应的人来告诉你。
有些人走了,他离开了,他的企业邮箱还在,这个很简单吧,什么时候给他删了还不知道。这会带来其他的问题,如果说他对某些银行业,企业的核心资源有支配权的话,他的债户还在话,引发的风险是什么呢,这个风险在98年的时候就有相关的一个案例,哪家银行我就不说了,他们的ATM网,他的运维给外包的一个公司了,那个公司在那长期的合作,但是有员工跳槽走了,那个员工在这台机器上他有相关的权限和密码,他进了机器以后,让机器记载下客户的账号和密码,他在后台然后他复制,复制了以后,他就用复制的卡去消费,这在九几年就已经发生了,当然去年也有发生过类似的。最后查出来也很巧,他只是复制了某家银行的信用卡,这家银行有个共同的特色,就是通通是在另外一家银行的一台机器上操作的,通过银行的系统查出来,查出来以后,这台机器是谁用的,以前是谁来运维的,反向一追诉,追诉了这家公司来做的,他们公司有个人跳槽走了,反向追溯到这个人,这是96年发生的一起案件,就是利用了在人力资源上没考虑充分,相关的权限没放开,导致了我们出了一些风险。
08年的时候类似的案件又发生过,也是相同的。所以人力资源不仅仅是一个人是否生病了,由于他生病对我系统,对我日常工作带来影响,是否是他人本身的原因,同时你要考虑这个人进入离开我的企业,他所掌握的资源的一些问题。
第五个就是物理与环境的安全,通讯操作管理,这都是企业内部的管理,还有访问控制管理,特别是新系统的获取开发应用这块,对银行业来说感触是最深的,因为这是属于三分离的东西,实际的现实是人少,这几个部门都在一个人身上体现出来。这在前面说的相关案件里面也存在类似的问题。对银行业来说这方面体现得比较深刻一点。
最后我说一下运维这块,运维体系是一个部分,包括服务台,可用性管理,IT服务持续性管理,能力管理,服务级别管理,内容我们初步分了,一个是从技术角度,一个从管理角度来块12个方面。从安全技术这块,包括应急,支持,通道,检查和分析,从管理的角度,服务,级别管理,配制管理,发布管理,这里面还有培训,应急,演练。这是整个运维体系的内容。
大家可以看到,首先整个流程的发布就是从服务台出来的,服务台作为整个事件的输入和管理,事件管理以后,一个事件管理,一个问题管理,这个是不是有区别?这个有定义的,是有区别的,事情来了以后,在没有判别它的故障等级的情况下,影响范围的情况下,那么它仅仅是一个事件,对事件的管理要求最快效应速度,所以很简单,你们到银行去办一个业务,突然银行关门了,业务办不了了,所有的储户都着急了,这就属于事件。这个事件的时候,我们对它的处理是最高的相应级别,我们就是越快速越好,使客户第一时间能够得到解决,当然方法有很多种了。如果说系统坏了,或者网络坏了,等等其他原因,银行都有相关的措施。
但是对于事件来说,如果事件辩明了原因在哪,就要到后台去,事件管理只是初步的,临时性的解决这个问题,对于问题来说有后台,对整个问题进行分析以后,对整个事件深层次的一个解决,他要提出他解决问题的一个方案,如果涉及到整个系统,或者整个环境的变更,你要提出变更的管理,如果涉及到应用,就要进行到配制管理,经过审核以后,才能够进行管理的处理。所以在问题管理这里面,是在事件管理之后,但是它的要求要根本性的解决一个问题。最终的结果反馈到服务台。这对我们银行来说是这样的。
另外还有一个问题,无论是件还是变更,最终配制的管理,我们每家银行都有一个热线,你刚打的时候,每一个人的问题都不太一样,但是每家银行反应的速度都很快,就是因为它有知识库。从这上面看,我这是一个运维的管理模式,因为现在是安全和运维分不开的。我现在做的问题是基于原来运维基础上做的东西。所以这是三大支柱来构建一个企业的安全体系。
㈡ 跪求金融系统监控远程联网中,网络架构方案及及架构图,
一、金融系统联网架构
金融系统安防联网系统总体架构应采用:省级分行一级监控中心,二级分行监控中心,区县支行三级监控中心内网结构,一级监控中心要求在各省级分行设立,二级监控中心要求在各地、市二级分行设立,三级监控中心在各区县支行设立。为确保联网系统的安全性、可靠性,以上三级联网架构均必需建立在银行内网系统中(或租用网通、电信、移动线路建立安防专网)。
安防联网系统应以银行内联专网为依托,即应符合内联网技术体制和现状要求,不能对内联网产生过重的信息流量,更不能形成引发网络崩溃的因素,并要实现安全监控信息的准确、及时和安全的传输和共享。
银行内联专网分多层结构,各营业网点监控为一层,各地、市监控中心为一层,各省级分行监控中心为一层,地、市监控中心到辖区营业网点内部办公网络通常为2Mbits带宽,考虑到网络协议及业务数据的其他开销,实际监控联网可分配带宽约为50%(即1Mbits),每个营业网点可以向上级监控中心传输2路CIF分辨率的视频。
联网系统应以银行内联网为基础网络平台,实现银行系统范围内基于不同网络平台构成的视频安防监控系统之间的互联、互通和控制,联网系统的整体基本功能如下:
a. 实现已建视频监控系统中各个厂商设备的互联;
b. 统一视频压缩格式和前端控制信令格式,实现视频监控视频流的实时传输;
c. 提供电子地图功能,在终端上通过电子地图页面来查看监控视频;
d. 提供录像文件上传,录像回放功能。供远程调看监控录像;
e. 提供视频矩阵和云台的控制功能;
f. 设立各级监控中心,处理突发事件的报警;
g. 进行身份认证和权限管理、保证信息安全和数据的安全。
1.1营业网点监控系统基本构成
各地营业网点监控系统通常由以下设备构成:各类前端摄像机、各类前端报警探头、各类硬盘录像机或监控主机设备、各类在行或离行ATM监控主机设备、金库门禁系统等。
1.1.1 营业网点监控系统拓扑结构示意图
1.1.2 营业网点监控基本功能要求
完成模拟视频监视信号的采集和传输;接受监控中心发出的云台、镜头等控制指令,控制现场镜头的光圈、焦距、变倍,云台的上、下、左、右运动等。提供RS232、RS485、I/O接口,采集报警信息、现场信息,并将相关信息通过网络上传到上级监控中心。
1.2二级监控中心基本构成
二级监控中心系统通常由以下设备构成:中心管理服务器、数字矩阵服务器、监控电视墙、流媒体服务器、监控管理工作站等。
1.2.1 二级监控中心系统拓扑结构示意图
1.2.2 二级监控中心基本功能要求
a. 管理本辖区视频监控点;
b. 能实现对前端设备的控制;
c. 能实现对远程图像的记录、回放及上传;实现本辖区内重要数据的集中存储。
d. 报警接入及处理(报警上传、与摄像机联动);受理本辖区内的监控设备的报警事件,进行录像记录,处理;
e. 允许被授权的其他客户端进行远程访问;
f. 实现流媒体数据的转发服务,当一级监控中心需要查看或回放营业网点图像时,二级监控中心流媒体服务器,进行营业网点视频图像的转发和分发;
g. 对于前端营业网点的监控主机设备,除了能获取其分布区域、数量等基本数据的存储信息外,还通过巡检功能检测其运行状态。
h. 实现对用户的管理包括用户权限(用户名、密码、权限、优先级)的设置,支持三级权限管理模式,可将用户分为超级操作员、操作员、普通用户三级权限。最大权限的用户行使主控权力,负责对支行内的所有监控主机设备进行操作,较小权限的用户则可限定其对相关设备的部分操作权限。
1.3一级监控中心基本构成
一级监控中心系统通常由以下设备构成:中心管理服务器、数字矩阵服务器、监控电视墙、监控管理工作站、集中存储服务器等。
1.3.1 一级监控中心系统拓扑结构示意图
1.3.2 一级监控中心基本功能要求
a. 管理本辖区视频监控点;
b. 管理所辖的二级监控中心;
c. 接收、处理二级中心主动上报的报警事件;
d. 对所辖监控点重要录像进行集中存储;
e. 能实现对前端设备的控制;
f. 允许授权的其他的客户端进行远程访问;
g. 提供电子地图服务,给用户一个直观的电子地图的操作界面;
h. 通过电子地图实现对所有下级监控点的管理。
二、金融系统联网系统要求
金融系统安防联网系统要采用开放式架构,选用标准化接口和协议,并具有良好的兼容性和可扩展性,系统建设必须遵守国家和公安部行业有关标准与规范,统一规划,统一标准,抓准备、抓调研、抓指导、抓试点,依据本地区的经济情况,从不同层次,不同角度开展各地金融系统安防系统联网建设工作。
在规划组建新的安防联网系统过程中,要充分考虑和利用现有的报警系统和视频监控系统及传输资源,自下而上,先内后外,坚持先进,兼容传统,实现系统集成和系统互联、资源整合、信息共享。必须把实用性放在第一位,边建设、边整合、边应用、边完善,把系统建设成“实用工程”。
安防联网系统所涉及的设备必须满足可靠性和安全性要求,设备选型不能选试验产品,要选先进的市场主流产品,不求最先进,要求最可靠,要能保证系统不间断运行。对关键的设备、数据和接口应采用冗余设计,要具有故障检测、系统恢复等功能;网络环境下信息传输和数据存储要注重安全,保障系统网络的安全可靠性,避免遭到恶性攻击和数据被非法提取的现象出现。
安防联网系统应用要体现资源共享、快速反应,形成打防控一体化的网络体系。必须加强对系统运行、应用的监督管理,对系统运行、应用管理原则如下:
a.采用统—的用户授权的权限认证管理,系统各级用户只要在自己所属的共享平台开设帐号、经授权分配权限后才可浏览其权限范围内相应监控点的实时图像和历史图像。
b.应采用多级用户权限管理机制,防止用户越权操作。服务器设备应能单独设置拒绝远程用户使用某些功能,这样即使管理员密码被盗,重要的服务器不会受影响。
c.服务器设备应能够限制或只允许来自某些IP或IP段的客户端访问。为了防止用户名和密码被非法用户猜测到或穷举法破解,设置只允许来自有限的IP地址用户访问是非常有效的安全策略。
d.用户的日常操作和系统的重要事件都记入日志中,日志资料分类保存在数据库中。数据库定时备份,以防硬件故障造成数据丢失。数据备份可以跨服务器进行,出现灾难性故障,数据文件也能恢复。
联网系统中视频监控系统要与报警联动系统相配合,根据联网系统的建设、应用和管理的现状,工作流程分为日常管理流程和报警联动与视频监控流程两类。
a.日常管理流程:二级监控中心(支行监控中心)接收各报警点与监控点传输的巡检信息、事件信息和视频信息等日常管理信息,二级监控中心对以上信息进行鉴别、分类、处理,对要求上传的重要信息上传至一级监控中心(分行监控中心),一级监控中心再做出相应处理。
b.报警联动与视频监控流程:一级监控中心(支行监控中心)接收到移动点报警、固定点自动报警或人工报警信息,通过自动联动或手控联动治安视频监控系统对警情进行复核,确认后对警情进行处理,对要求上报的重要警情上报至一级监控中心(分行监控中心),一级监控中心再做出相应处理。处警完毕后,恢复系统正常状态。
2.1视频传输要求
2.1.1 网络带宽
网络带宽指保证系统正常运行的带宽要求,根据视频监控系统同时传输的视频的多少而定,一路CIF视频图像,最小带宽需求为 256Kbits/s,一路D1(4CIF)视频图像,最小带宽需求为 768Kbits/s。
各级监控中心的网络带宽需求包括两部分:接收前端数字监控视频所需要的网络带宽、转发相关数据所需要的网络带宽。各级监控中心总带宽的最小需求,根据接收前端数字监控视频的数据与转发数据之和来计算。各级监控中心需要的正常网络带宽应该是最小需求的1.5倍。
每个接入系统的用户终端的最小带宽需求,采用CIF格式,必须根据(监控视频总路数)×256Kbits/s来计算;采用D1格式,必须根据(监控视频总路数)×768Kbits/s来计算,正常网络带宽应该是最小需求的1.5倍。
2.1.2 图像格式
系统支持图像格式大小为CIF,可以扩展为 D1 (4CIF)。CIF图像大小为 352×288个像素;D1 (4CIF)图像大小为 704×576个像素。
2.1.3 视频帧率
本地录像时视频帧率不低于25帧/秒。图像格式大小为CIF时,网络传输的视频帧率不低于15帧/秒。图像格式大小为D1(4CIF)时,网络传输的视频帧率不低于10帧/秒。
2.1.4 视频传输时延
从营业监控网点到二级监控中心的系统视频图像网络延时应小于1.5s,从二级监控中心通过流媒体服务器转发至一级监控中心的视频图像延时应小于3s 。
2.1.5 录像存储时间
普通的视频录像在监控主机设备中应保存30天以上,重要部位的监控录像应保存60天以上。突发事件或有案件发生的录像则需要传输到一级监控中心的集中存储服务器中进行备份保存。
2.1.6 音视频同步
音视频同步差应小于 500ms。
2.1.7 报警响应处理时间
二级监控中心在接收到监控营业网点报警时,响应处理时间应小于 60s, 报警信息在未得到及时处理时经由二级监控中心传输到一级监控中心的时间应小于5s。
2.2安全技术要求
2.2.1 网络安全
外网隔离
为确保联网系统的绝对安全性。联网系统应严格建立在银行内联网平台之上,与外网实现完全的物理隔离,确保无法通过任何外网及公网系统对该安防联网系统进行连接访问(也可以采用VPN专网方式)。
内网隔离
总行内网子系统、各省级分行网络子系统、各地市分行网络子系统在互联时,必须通过防火墙予以隔离。防火墙需要达到的技术要求有:非纯软件实现、支持地址/协议过滤、支持数据包过滤、支持安全身份认证及远程管理,支持1024个或以上的并发网络连接,单个连接的最大带宽不低于2Mbits/s。
2.2.2 信息安全
授权
联网系统应采用基于角色的访问控制模型,必须支持对下列操作进行分别授权:
a.客户端工作站访问一级监控中心服务器(包括:登录、浏览、读取、修改、删除等);
b.各级系统中应定义多个用户级别。每个级别应具备不同的权限列表。每个子系统中须另设安全管理员,专门负责为本子系统的每个合法用户分配以相应的级别。
c.系统必须实施强制访问控制。除安全管理员外,任何用户不得擅自更改其权限、不能越权操作、不能将其权限转授于其他用户。安全管理员除完成授权功能以外,不能浏览、修改、删除系统中的任何其它数据。
d.系统中的所有权限变更操作都应被相应的日志系统记录并安全地保留,以备查阅。
认证
a.系统所使用的身份认证系统包括三个方面:计算机系统对使用者的身份认证、使用者对计算机系统的身份认证、计算机系统对其他计算机系统的身份认证。
b.对使用者的身份认证应采用双因子认证,即口令与认证设备。用户必须同时正确地出示口令和相关认证硬件设备,方可通过身份认证。
c.系统中应尽量支持一次认证,即用户只需要进行一次身份认证操作即可使用本系统直至退出,而无需在访问不同子系统时,反复进行认证。
d.所有认证操作(包括成功的和失败的)都应被相关的日志系统记录并安全地保留,以备查阅。
访问控制
在系统成功地认证了访问者的身份后,根据授权数据库,获取该用户的当前授权列表。根据授权列表决定该访问者的请求是否可以被接受。如果可以接受,则进行服务,否则拒绝。所有数据操作(包括读和写)都应被相应的日志系统记录并安全的记录。
㈢ 了解网上银行的系统结构,分析网上银行系统要解决的核心问题是什么
般来说,人们担心的网上银行安全问题主要是: 1. 银行交易系统被非法入侵。 2. 信息通过网络传输时被窃取或篡改。 3. 交易双方的身份识别;账户被他人盗用。 从银行的角度来看,开展网上银行业务将承担比客户更多的风险。因此,我国已开通“网上银行”业务的招商银行、建设银行、中国银行等,都建立了一套严密的安全体系,包括安全策略、安全管理制度和流程、安全技术措施、业务安全措施、内部安全监控和安全审计等,以保证“网上银行”的安全运行。 银行交易系统的安全性 “网上银行”系统是银行业务服务的延伸,客户可以通过互联网方便地使用商业银行核心业务服务,完成各种非现金交易。但另一方面,互联网是一个开放的网络,银行交易服务器是网上的公开站点,网上银行系统也使银行内部网向互联网敞开了大门。因此,如何保证网上银行交易系统的安全,关系到银行内部整个金融网的安全,这是网上银行建设中最至关重要的问题,也是银行保证客户资金安全的最根本的考虑。 为防止交易服务器受到攻击,银行主要采取以下三方面的技术措施: 1. 设立防火墙,隔离相关网络。 一般采用多重防火墙方案。其作用为: (1) 分隔互联网与交易服务器,防止互联网用户的非法入侵。 (2) 用于交易服务器与银行内部网的分隔,有效保护银行内部网,同时防止内部网对交易服务器的入侵。 2. 高安全级的Web应用服务器 服务器使用可信的专用操作系统,凭借其独特的体系结构和安全检查,保证只有合法用户的交易请求能通过特定的代理程序送至应用服务器进行后续处理。 3. 24小时实时安全监控 例如采用ISS网络动态监控产品,进行系统漏洞扫描和实时入侵检测。在2000年2月Yahoo等大网站遭到黑客入侵破坏时,使用ISS安全产品的网站均幸免于难。 身份识别和CA认证? 网上交易不是面对面的,客户可以在任何时间、任何地点发出请求,传统的身份识别方法通常是靠用户名和登录密码对用户的身份进行认证。但是,用户的密码在登录时以明文的方式在网络上传输,很容易被攻击者截获,进而可以假冒用户的身份,身份认证机制就会被攻破。 在网上银行系统中,用户的身份认证依靠基于“RSA公钥密码体制”的加密机制、数字签名机制和用户登录密码的多重保证。银行对用户的数字签名和登录密码进行检验,全部通过后才能确认该用户的身份。用户的惟一身份标识就是银行签发的“数字证书”。用户的登录密码以密文的方式进行传输,确保了身份认证的安全可靠性。数字证书的引入,同时实现了用户对银行交易网站的身份认证,以保证访问的是真实的银行网站,另外还确保了客户提交的交易指令的不可否认性。 由于数字证书的惟一性和重要性,各家银行为开展网上业务都成立了CA认证机构,专门负责签发和管理数字证书,并进行网上身份审核。2000年6月,由中国人民银行牵头,12家商业银行联合共建的中国金融认证中心(CFCA)正式挂牌运营。这标志着中国电子商务进入了银行安全支付的新阶段。中国金融认证中心作为一个权威的、可信赖的、公正的第三方信任机构,为今后实现跨行交易提供了身份认证基础。 网络通讯的安全性 由于互联网是一个开放的网络,客户在网上传输的敏感信息(如密码、交易指令等)在通讯过程中存在被截获、被破译、被篡改的可能。为了防止此种情况发生,网上银行系统一般都采用加密传输交易信息的措施,使用最广泛的是SSL数据加密协议。 SSL协议是由Netscape首先研制开发出来的,其首要目的是在两个通信间提供秘密而可靠的连接,目前大部分Web服务器和浏览器都支持此协议。用户登录并通过身份认证之后,用户和服务方之间在网络上传输的所有数据全部用会话密钥加密,直到用户退出系统为止。而且每次会话所使用的加密密钥都是随机产生的。这样,攻击者就不可能从网络上的数据流中得到任何有用的信息。同时,引入了数字证书对传输数据进行签名,一旦数据被篡改,则必然与数字签名不符。SSL协议的加密密钥长度与其加密强度有直接关系,一般是40~128位,可在IE浏览器的“帮助”“关于”中查到。目前,建设银行等已经采用有效密钥长度128位的高强度加密。 客户的安全意识? 银行卡持有人的安全意识是影响网上银行安全性的不可忽视的重要因素。目前,我国银行卡持有人安全意识普遍较弱:不注意密码保密,或将密码设为生日等易被猜测的数字。一旦卡号和密码被他人窃取或猜出,用户账号就可能在网上被盗用,例如进行购物消费等,从而造成损失,而银行技术手段对此却无能为力。因此一些银行规定:客户必须持合法证件到银行柜台签约才能使用“网上银行”进行转账支付,以此保障客户的资金安全。 另一种情况是,客户在公用的计算机上使用网上银行,可能会使数字证书等机密资料落入他人之手,从而直接使网上身份识别系统被攻破,网上账户被盗用。 安全性作为网络银行赖以生存和得以发展的核心及基础,从一开始就受到各家银行的极大重视,都采取了有效的技术和业务手段来确保网上银行安全。但安全性和方便性又是互相矛盾的,越安全就意味着申请手续越烦琐,使用操作越复杂,影响了方便性,使客户使用起来感到困难。因此,必须在安全性和方便性上进行权衡。到目前为止,国内网上银行交易额已达数千亿元,银行方还未出现过安全问题,只有个别客户由于保密意识不强而造成资金损失。 总 结 据有关资料显示,现在美国有1500多万户家庭使用“网上银行”服务,“网上银行”业务量占银行总业务量的10%,到2005年,这一比例将接近50%。而我国网上银行业务量尚不足银行业务总量的1%,就此点讲我国网上银行业务的发展前景极为广阔,我们有理由相信,随着国民金融意识的增强,国家规范网上行为的法律法规的出台,将会有更好的网上银行使用环境,能为客户提供“3A服务”(任何时间、任何地点、任何方式)的“网上银行”一定会赢得用户的青睐。 自从美国在1995年推出世界第一家网络银行------安全第一网络银行,世界各国网络银行的发展势头十分迅猛。美国在2002年时,约有560万个家庭每月至少使用一次网络银行功能或在线支付功能。2003 年,东亚银行、汇丰银行等均在我国内地开办了网络银行业务。我国第一家网络银行出现于1998年。有报道说,到2004年底,我国网络银行个人客户已达到1758万户,企业用户已达60万户,网络银行交易量达到了49万亿元。 但是,正当消费者接受并尝试着这一新鲜事物带来的新奇和便捷时,因安全问题引发的欺诈案件却接踵而来。这使得消费者开始产生质疑,不得不重新审视网络银行的可信度。网络银行的安全究竟该如何认识?问题是出在银行,还是在消费者自身缺乏防范意识?安全问题确实已成为网络银行发展过程中的一个聚焦。 形形色色的网银安全问题 网络银行,又称网上银行或在线银行,是指银行以自己的计算机系统为主体,以单位和个人的计算机为入网操作终端,借助互联网技术,通过网络向客户提供银行服务的虚拟银行柜台。简单地说,网络银行就是互联网上的虚拟银行柜台,它把传统银行的业务“搬到”网上,在网络上实现银行的业务操作。 在西方发达国家,网络银行业务一般分为三类,即信息服务、客户交流服务和银行交易服务。信息服务是银行通过互联网向客户提供产品和服务。客户交流服务包括电子邮件、帐户查询、贷款申请等。银行交易服务包括个人业务和公司业务,前者包括转帐、汇款、代缴费用、按揭贷款、证券买卖、外汇买卖等;后者包括结算、信贷、投资等。银行交易服务是网络银行的主体业务。 网络银行的特点是客户只要拥有帐号和密码,便能在世界各地通过互联网,进入网络银行处理交易。与传统银行业务相比,网络银行的优势体现在,不仅能够大大降低银行的经营成本,还有利于扩大客户群,交叉销售产品,吸引和保留优质客户。由于客户采用的是公共浏览器软件和公共网络资源,节省了银行对客户端的软、硬件开发和维护费用。网络银行的无时空限制的特点,打破了传统业务受地域和时间的限制,能在任何时候、任何地方为客户提供金融服务;并且在整合各类交叉销售产品信息的基础上,实现金融创新,为客户提供更具个性化的服务。 网络银行发展的模式有两种,一是完全依赖于互联网的无形的电子银行,也叫“虚拟银行”;另一种是在现有的传统银行的基础上,利用互联网开展传统的银行业务交易服务。因此,事实上,我国还没有出现真正意义上的网络银行,也就是“虚拟银行”,国内现在的网络银行基本都属于第二种模式。 对于银行来讲,历来是“信用第一”。网络银行既然是互联网的产物,互联网所带来的一切安全隐患,自然会波及网络银行,影响其信用。因此,网络银行的安全问题不仅是客户最担心的事情,也为各传统银行所关注和重视。网络银行面临的安全隐患除了来自数据传输风险、应用系统设计的缺陷和计算机病毒的攻击三个方面外,利用网络银行进行欺诈的行为是当前危害最大、影响最恶劣的一个安全问题。这些欺诈手段包括假冒银行网站、电子邮件欺诈和网上交易陷阱等。 假冒银行网站具有很强的隐蔽性,其域名通常和真实银行的域名相差一个字母或数字,主页则与真实银行的非常相似。欺诈邮件是提供一个与银行或购物网站极为相似的链接,收到此类邮件的用户一旦点击这个链接,紧接着页面会提示用户继续输入自己的帐户信息;如果用户填写了此类信息,这些信息将最终落入诈骗者手中。而网上交易陷阱则是,一些不知名的购物网站通常会打出超低价商品等信息,待用户点击付款链接时就将用户的银行资料骗取出去。面对发生在网络银行上形形色色的安全问题,各家银行的反映如何?它们都采取了哪些相应的措施? 银行篇:该出手时就出手 8月份,国内14家商业银行与中国金融认证中心(CFCA)联合推出“2005放心安全用网银”的活动。银行界与第三方安全认证机构联手行动,为广大消费者提供了一次了解网上银行和信息安全知识的机会。 在这14家银行中,中国工商银行于2000年推出了网上银行。通过采用国际先进的技术安全措施和严格的风险控制手段,工行建立了一整套严密的网上银行技术与制度体系,确保了网上银行安全的运行。 中国工商银行电子银行部副处长尚阳向记者介绍说,利用网上银行进行欺诈行为,骗取客户资金,目前主要有四种类型:一是不法分子通过电子邮件冒充知名公司,特别是冒充银行,以系统升级等名义诱骗不知情的用户点击进入假网站,并要求他们同时输入自己的账号、网上银行登录密码、支付密码等敏感信息。二是不法分子利用网络聊天,以网友的身份低价兜售网络游戏装备、数字卡等商品,诱骗用户登录犯罪嫌疑人提供的假网站地址,输入银行账号、登录密码和支付密码。三是不法分子利用一些人喜欢下载、打开一些来路不明的程序、游戏、邮件等不良上网习惯,有可能通过这些程序、邮件等将木马病毒置入客户的计算机内,一旦客户利用这种“中毒”的计算机登录网上银行,客户的账号和密码就有可能被不法分子窃取。 例如,人们在网吧等公共电脑上网时,网吧电脑内有可能预先埋伏木马程序,账号、密码等敏感信息。四是不法分子利用人们怕麻烦而将密码设置得过于简单的心理,通过试探等方式可能猜测出密码。所以,为了保证信息和资金的安全,我们不仅需要具备辨识网络诈骗的能力,更需要养成良好的网上银行使用习惯。当然,如果用户申请了客户证书,就可以有效防范目前常见的各种网络犯罪,确保用户资金安全无忧。 工商银行网上银行系统的安全保障是多层的,包括网上银行技术安全和业务安全,二者共同构成了一个完备的网上银行安全体系。从技术安全的层面上,网上银行的技术安全包括网络安全和交易安全两个方面。网络安全确保工行网站的安全可靠,交易安全确保客户通过网上银行进行交易的资金安全。其中,网络安全涉及系统安全、网络运行安全等。 系统安全实际上指的是主机和服务器的安全,主要包括反病毒、系统安全检测、入侵检测(监控) 和审计分析;网络运行安全就是指要具备必须的针对突发事件的应急措施,如数据的备份和恢复等等。工商银行为保障网上银行的网络安全性,采取了一系列措施,包括:在互联网与网上银行服务器之间设置第一道防火墙, 在门户网站服务器和工行内部网络(应用服务器)之间设置第二道防火墙。第二道防火墙与入口的第一道防火墙采用的是不同厂商的产品,设置不同的安全策略,使黑客即使攻破第一道防火墙,也无法轻易攻破第二道防火墙而进入内部网络,等等。 在确保网络安全的同时,工行网上银行还采取了一系列确保网上交易安全的措施,包括采用中国金融认证中心(CFCA)提供的、目前最严密的1024位证书认证和128位SSL加密的公钥证书安全体系等等。根据客户对方便性和安全级别要求的不同,工行将客户分为无证书客户和证书客户两大类。没有申请证书的客户要进入网上银行,首先要验证客户的账号(或自己设立的登录ID)和登录密码,对外支付还必须验证支付密码。 此外,通过增加密码难度(必须是6—30位数字与字母的组合)、设置虚拟“e”卡(专门用于网上购物)和每日支付最高限额等一系列方式,最大限度地保证客户安全使用网上银行。对于申请了证书的客户,工行USBKey客户证书是一个外形类似U盘的智能芯片,是网上银行的“身份证”和“安全钥匙”,也是目前安全级别最高的一种安全措施。客户申请了这个证书后,网上所有涉及资金对外转移的操作,都必须通过这个客户证书才能完成,而此证书,仅客户自己保管和使用。换句话说,账号、登录密码、支付密码、客户证书、证书密码等种种安全防范措施,只要其中一样没有丢失或泄露,或即使丢失,只要密码和证书没有被同一个人获得,就不存在资金安全问题。 除了技术安全外,工行在业务安全层面上,制定了健全的内部柜员操作管理机制。整个网上银行的内部管理系统,都通过工行内网向全行提供统一的内部管理功能。系统内部从总行、省行到市行建立4类9级柜员制度,逐级管理,每一级对下一级有管理、监督的权限。同时柜员在进行一些关键性操作时,还需要上一级柜员的实时审核,防止单人作案。 那么,用户应该如何安全使用网上银行?尚阳副处长说,对于有了客户证书的客户来说,只要密码和证书没有被同一个人获得,就能确保客户资金的安全。而没有申请客户证书的客户,只要保管好自己的账号和密码以及支付密码,就是非常安全的。总而言之,有几点需要提醒人们:1.要妥善保管好自己的账号和密码。2.谨防假网站索要账号、密码、支付密码等客户敏感信息。3.维护好自己的电脑。不要轻易下载一些来历不明的软件。最好不要在公共场所(如网吧、公共图书馆等)使用网上银行。4、最有效的方式就是到工行网点申请一个客户证书。一旦拥有了自己的客户证书,就可以有效防范诸如假网站、“木马”病毒等网络诈骗;换句话说,即使假网站、“木马”病毒通过欺骗等手段获得了您的账号、密码等敏感信息,但有了证书,照样可以安心使用网上银行。
㈣ 为什么网络安全很重要
现在的网络犯罪分子可以找到很多漏洞,并对内部系统造成损害。这样的事件将导致资金,机密信息和客户数据的丢失,并且还会破坏业务在市场上的声誉。2020年3月,Mariott International遭受了重大数据泄露,其中520万客人的信息被访问,使用特许经营物业的两名员工的登录凭据。大流行和远程工作甚至没有放过Twitter。2020年6月,几位知名人士的帐户通过电话网络钓鱼被劫持。强大的网络安全技术是企业生存的现代必需品,但更重要的是,网络卫生意识也已成为当务之急。在当今的业务基础架构中,网络安全不仅限于 IT 专业人员和与之相关的公司。网络安全适合所有人,律师,室内装饰师,音乐家,投资银行家等,都会发现网络安全系统对他们的工作和业务有益。通过泰科云Techcloudpro实施和学习网络安全,小型企业将使其员工更加负责任,律师事务所将有动力保护其数据,室内设计师将找到更有效的方法来控制其繁重的文件。
㈤ 什么是网络安全架构
网络架构(Network Architecture)是为设计、构建和管理一个通信网络提供一个构架和技术基础的蓝图。网络构架定义了数据网络通信系统的每个方面,包括但不限于用户使用的接口类型、使用的网络协议和可能使用的网络布线的类型。网络架构典型地有一个分层结构。分层是一种现代的网络设计原理,它将通信任务划分成很多更小的部分,每个部分完成一个特定的子任务和用小数量良好定义的方式与其它部分相结合。
㈥ 电子银行:网络安全如何保障
编者按:随着银行业的竞争加剧,“钱庄多于米铺”的情景可能会再次重演。作为客户关心的要点,安全性再次引起了银行的关注。在电子银行大行其道的今天,银行的安全已经不能只从物理层面实施了,我们需要从机制、内部、外部等多方面加以考虑。新环境,新挑战:银行安全的标准升级 银行和客户之间最重要的合作条款是安全性。银行的业务就是要为客户提供一个安全可靠的环境,使他们可以把贵重资产交由银行保管。不久前,安全意味着银行要在其办公场所采取一级防范禁闭,选用堡垒式的建筑、配置报警设施、安排保安人员把守等。不过,近十年来,全球性数字化革命从根本上改变了银行开展业务的方式,既为他们带来新的商机,也为他们提出了新的挑战。 当前,电子网络不仅构成银行与客户进行合作的主要环境,同时也成为银行开展金融业务的主要管道和保存客户资产和敏感数据的中央仓库。银行通过部署外联网、内联网和基于因特网的其他系统,加快了运营速度,实现了相互通信,为客户提供了史无前例的服务和便利。为了适应安全和规章条令的要求[如,美国的Gramm-Leach-Bliley法案],银行正在着手采取各种措施来保护网络不受攻击。 然而,金融业在不断发展。为了进一步加强竞争优势,银行正在实现先进的网络应用,为客户提供从保险合同到票据和工资发放等新的业务。而且,随着经济全球化的不断发展,银行将越来越多地在世界范围内与客户进行沟通,无论是使用自动柜员机(ATM)卡的旅游者,还是跨境划拨资金的公司。除此之外,银行还必须遵守国内外关于跟踪和保护国际资金流及客户信息的相关法令,以及保证不拒绝大宗金融交易及赔付的相关规章制度。因此,随着银行不断拓展市场范围,其网络基础架构也将超越他们的物理地点被扩展到客户或第三方来执行交易,或访问保密信息所需要的任何地方。 新的保障机制:银行安全的基础架构 电子银行的不断发展增加了IT部门的压力。他们既要保障安全性和保密性,又要设法减轻IT人员高度紧张的管理负担。随着银行不断增加物理设施来加强防范措施外,IT管理人员也必须加大他们的安全防范工作,全方位的保障网络安全。 这意味着IT管理员需要设计行之有效的验证和授权机制,以便只允许授权用户,包括员工、客户和伙伴,在网上访问授权他们访问的特定资源。例如,通过部署防火墙,银行能够控制通过企业的因特网门户进入网络进行访问的人员。而对于入侵者而言,门户往往是诱人的目标。防火墙只允许合法用户进入,入侵者和外部人员将被拒之门外。 银行还需要其他安全机制,包括数字签名和证书支持功能。验证必须扩展到网络设备,特别是服务器。例如,窃贼有可能把缺乏控制的服务器和网络相连接,以便非法处理各种交易和转移资金,从而给银行造成严重后果。 保护内部安全:实施企业级安全政策 一旦加强了基础架构边缘的安全保障,银行还必须控制网络内部可能发生的情况,对象应包括银行员工和承包商。因为银行的威胁既可能来自网络外部,又可能来自网络内部。如果未经授权的人员可以擅自访问关键金融应用,他们就可能随意拒绝或窜改交易,由此给银行带来风险。 因此,银行需要实施企业级安全政策。这些政策能够进行集中管理,只允许获得授权的员工访问规定的应用和数据库。一旦某人进入网络,常规边缘防火墙就不能保护金融数据,所以银行应考虑采用先进防火墙技术,以便把防窜改安全特性嵌入到桌面系统和服务器,只允许每个机器访问用户获得授权的那部分网络资源。另外,银行还可以部署虚拟LAN/VLAN,把网络分割成各种不同的用户组。VLAN允许管理员组织和控制通信流,因此有利于对网络内部资源实行隔离。 传送不容出错:VPN+防火墙 当客户访问银行外联网查看帐户信息或执行交易时,请求将始发于客户的远程地点,然后通过因特网或其他公用网络传至银行网络。在无法约束的因特网空间内,这类敏感通信容易成为窥视的目标,甚至可能被窜改。 为了保障基于因特网和基于Web交易的保密性和完整性,银行可以实现虚拟专用网(VPN)。就像装甲车一样,VPN在金融资源从银行传到其他位置的途中能为它们提供保驾护航作用。在远程用户和金融机构之间,VPN提供安全可靠的加密式端对端"隧道"。即使是最狡猾的无赖之徒,VPN的强劲安全性也能防止他们截取隧道传输的内容,使他们的阴谋不能得逞。VPN的创建宗旨就是要在每个远程访问会话期间保障其安全性,它对用户是透明的。一般而言,具有VPN功能的防火墙和客户计算机配置的许多操作系统都支持VPN。 在内部台式系统、服务器和笔记本电脑内可以部署基于防窜改硬件的防火墙来加强保护,防止入侵者通过远程访问VPN进入银行网络,同时严防在银行非军事区内(DMZ)从事破坏安全的活动。通常,DMZ包括允许公开访问的Web服务器和其它外联网服务器。 外包安全也要考虑:银行安全的外部延伸 当前,银行在保护企业的同时,又要为客户、供应商和合作伙伴提供安全可靠的通信,这是银行在全球连接的经济环境中保持赢利的关键因素。银行需要整体网络保护方案,而不仅仅是为其网络基础设施增加一些零碎的安全部件。他们必须从独立的边缘防火墙,跨越所有的有线和无线端口,扩展到基于端口的网络登录和安全可靠的网络管理等领域。 显然,有效的安全性设计来源于网络本身。网络基础架构必须具有嵌入式防火墙、验证和VPN等安全功能。不仅设计安全的网络很重要,而且设计网络时所采用的方法同样也重要,不能使企业的日常运营脱离正常轨道。当超负荷网络发生故障或崩溃时,将会给银行业务造成令人可怕的后果。 要建设一种能够提供银行安全特性的基础架构,就需要IT资源和技术。正是由于这个原因,越来越多的银行对其网络安全实行外包,虽然外包网络安全能够带来某种好处,但这并非适用于所有情况。如果银行考虑采用这种选择,就应该依靠那些了解他们特定的严格安全要求的供应商。 银行需要通过与可信赖的供应商建立合作伙伴关系,并以此作为安全决策要求的一部分,采取经济有效的方式,并适应相关规章条例的要求。在一个瞬息万变的世界,这种伙伴关系有利于金融机构应对当前和今后的所有安全问题,保证使客户永不放弃对银行的信任度和满意度。
还有什么问题,问问网络专家 3Com公司的业务专长就是为客户提供安全可靠的网络解决方案。3Com公司的技术开发策略是建立在一种实用方法基础之上,宗旨是把安全性扩展到整个网络的各个层面,设计原理就是要像高性能和高可用性那样,把安全性作为网络解决方案的内在特性来对待,从而满足客户的需要。3Com公司认为,企业网络的安全性必须作为公司策略来加以实施。而3Com公司能够提供性能强劲和可靠的系统,并支持几乎所有级别的安全保护要求。
除此之外,3Com公司创建产品的先决条件就是为企业提供分层式和分布式安全解决方案,用以满足他们的各种业务需求。如果银行安装了易于部署、易于管理和易于扩展的系统,就能够减轻其IT部门的压力,减少网络总拥有成本。
㈦ 如何利用互联网技术提高银行安全防范措施
一是要提高硬件建设水平,加大技防投资力度;
二是要提高管理人员水平,从建立领导组织体系、落实内控制度、强化日常操作管理入手,管理好网络系统,使被保护信息的价值与保护成本达到平衡。
通常,计算机网络信息系统安全包括实体安全、信息安全、运行安全和人员安全。对于银行网络而言,在其安全体系架构过程中,由于银行业务、管理体制的不断变化,加上攻击手段层出不穷,使得对于网络系统安全风险点的分析存在不确定性。如果对局域网的管理不到位,掉线、网络堵塞、无法快速上网、受攻击等问题将屡屡出现,将对网络整体安全构成巨大隐患,进一步加强网络管理十分必要。
㈧ 银行网络安全工程师具体是做什么的
银行的网络安全工程师,具体肯定是负责银行内部的软件的运营维护,还有系统的一些维护,甚至包括了他们内部的一些线路的一些调配或调试。
㈨ 怎样提高银行网络安全管理能力
通常,计算机网络信息系统安全包括实体安全、信息安全、运行安全和人员安全。对于银行网络而言,在其安全体系架构过程中,由于银行业务、管理体制的不断变化,加上攻击手段层出不穷,使得对于网络系统安全风险点的分析存在不确定性。如果对局域网的管理不到位,掉线、网络堵塞、无法快速上网、受攻击等问题将屡屡出现,将对网络整体安全构成巨大隐患,进一步加强网络管理十分必要。 随着银行电子化建设的不断深入,内联网建设已成为银行信息化工程的重要组成部分,计算机网络系统的安全问题将直接关系到银行的业务发展和社会形象。 安全规划和整体策略框架的确定比较困难,因此应遵循需求、风险、代价平衡的原则。对于任何信息系统来说,不可能达到绝对安全,因此我们必须对系统面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制定规范并确定安全策略,使被保护信息的价值与保护成本达到平衡。 应该建立具有一个多重保护功能的安全系统,各层保护相互补充,当一层保护被攻破时,其他层保护仍可保护信息的安全。网络的安全性问题实际上包括两方面的内容,一是网络的系统安全,二是网络的信息安全,而保护网络的信息安全是最终目的。就网络信息安全而言,首先是信息的保密性,其次是信息的完整性。 一、提高硬件建设水平1.遵循建设标准。在银行网络建设初期,或者在网络机房的改造过程中,要按照国家统一颁布的标准进行建设、施工、装修、安装,并经公安、消防等部门检验验收合格后投入使用。做好三级备份网络的建设,对网络的信号传输进行屏蔽(静电屏蔽、磁屏蔽和电磁屏蔽)处理,装置必要的电磁屏蔽设施。 2.合理布线。布线也是一个重要的问题,不良的布线会引起日后频繁的网络故障,会给网络管理工作带来很大的麻烦。尤其是千兆交换机的光纤模块,如果光纤安装存在问题,会造成交换机工作不稳定,数据传输会时断时续,这将严重影响网络的整体性能。定期与电力、电信等部门协调,争取技术支持,是保证良好的供电环境和畅通的网络环境的重要措施。 3.增加网络机架。通过增加机架,可以将各部门的服务器集中到网络管理中心,进行统一管理。几十台服务器所占空间可能太多,可以在网络中心的机房里,增加机架,把这些服务器一个个固定在机架上,这样可以减少服务器占用地面空间。 4.如果条件允许设置二级网络机房,还可以考虑进行摄像监控。在二级交换机的分机房中安装摄像机,通过摄像机连线,将分机房的现场情况传到网络中心机房的监视器,通过监视器上传来的视频信息,就可以知道分机房的网络设备运转情况。如果出现问题,在中心机房就能及时告警,便于网管员迅速采取措施,从而提高管理效率。 5.在交换机中添加硬件管理模块。新一代交换机具有多种提高管理的硬件模块,除了硬件入侵监视模块能方便管理外,还有以太网随线供电模块、超级引擎模块等功能。形成以入侵检测系统为核心,联合防火墙、非法外联、安全认证、网管系统、灾难备份等安全产品的防御体系,以提高网络安全系数,因此,增加硬件管理模块十分必要。 6.及时升级网络管理与安全软件。网络规模的逐渐扩大,网络的复杂性不断增加,一些老的网络管理技术、网络防病毒管理系统已不能适应网络的迅速发展。因此,网管软件、防病毒软件需要及时升级,以便能利用先进的网络管理技术和带宽等有限的网络资源。 二、提高管理人员水平现在,一些基层单位在局域网建设中存在重建轻管现象,不同程度地存在着对信息安全的防范意识不强、管理硬件不到位、网络疏于管理等问题,这些将直接影响人行局域网的正确使用的现象应当引起高度重视。 1.建立领导组织体系。要将计算机网络管理及风险防范纳入行长的工作日程,就必须成立相应的领导组织,明确权利责任,做好对网络安全运行领导、检查和监督工作。要研究网络安全防范技术,找出易发问题的部位和环节,进行重点管理和监督,各相关职能部门要形成合力加大对计算机网络风险管理力度。 2.落实内控制度。建立健全各项计算机网络安全管理和防范制度,完善业务的操作规程;加强网络要害岗位管理,建立和不断补充完善要害岗位人员管理制度;加强内控制度的落实,严禁系统管理人员、网络技术人员、程序开发人员和前台操作人员混岗、代岗或一人多岗,做到专机专用、专人专管、各负其责。 3.强化日常操作管理。加强网管操作人员权限和密码管理。对访问数据库的所有用户要科学的分配权限,实现权限等级管理,严禁越权操作,密码强制定期修改,数据输入检查严密,尽量减少人工操作机会,防止非法使用网络系统资源。严禁在网络上放置和发布与业务系统无关信息,及时清除各种垃圾文件,对一切操作要有记录,以防误操作损坏网络系统或业务数据。做好数据备份,确保数据安全。
㈩ 银行内网用的是什么网络,怎么保证安全
内部局域网,就是生产用的,通过一系列的防火墙和软硬件设备