商业银行网络安全管理

摘 要 随着网络技术的飞速发展和大量应用，网络在银行业的信息化建设中已占据了不可替代的位置。当前国内各主要商业银行的信息安全体系结构中，外部防护、内部防护和信息加密已经成为保障网络安全最主要的策略。

关键词 商业银行网络安全；外部安全；内部防护；信息加密

中图分类号TP39 文献标识码 A 文章编号 1674-6708（2014）123-0222-02

1计算机网络概述及其面临的风险

网络技术的应用已经融入我们生活的各个方面，网络技术的使用，不仅使我们的生活更加便利，也让信息的传播更加便捷与迅速。计算机网络在银行各项业务中逐步应用，各大商业银行均把网络安全放在了信息化建设中的至关重要的位置上，网络安全已发展为构建银行信息网络发展过程中必须首先需要思考和解决的问题。[1]随着“棱镜门”事件的曝光国家也越来越重视网络安全的防护。

商业银行网络，鉴于其涉及内容的机密性，会变成外部黑客和内部非法权限攻击的靶子。保证银行的金融安全并且增强银行风险抵御水平已成为时下各大银行急需解决的难题。目前商业银行网络系统应对的主要风险和威胁包含下面几点。[1， 2]

1.1外部黑客的攻击

当前大多数黑客使用特洛伊木马、操作系统或应用程序的bug，甚至通过网络嗅探和中间方攻击这几个渠道来攻击网络和系统。然而，黑客能够利用的攻击方法绝对不止这些，其它的攻击方法一样能够给网络用户带来不良的结果。并且，银行信息系统的安全防御工作必须全面周到地斟酌，此类顾此失彼的安全防御方法不管做得多么稳定，黑客还是可能另有机会可寻。

1.2内部非法攻击

目前商业银行对防范外部攻击较为重视，控制也较为严格。但是相对于外部攻击的层层防护，银行内部的网络安全防护经常被人忽视，所以内部防护相对外部防护来说更显得薄弱。内部攻击由可以合法访问公司网络和系统的人员所执行的攻击。这些内部人员可能是对公司不满的员工、受到金钱诱惑从而使用各种攻击窃取信息的员工、临时为公司工作同时担当商业间谍的雇员或者是某个滥用网络特权的其它任何人。

1.3截获和篡改传输数据

目前绝大部分商业银行均通过租用运营商的点对点专线来组建自己的计算机网络。然而，银行内部局域网或专线上经常传输大量敏感的交易信息，极易被不法分子或网络黑客截获、分析甚至修改信息，造成信息泄露或使核心系统成为攻击对象。

2计算机网络系统安全解决的原则

商业银行计算机网络安全与网络规模、结构、通信协议、应用业务程序的功能和实现方式紧密相关，一个优秀的安全设计应当整合当前网络和业务特殊之处并全面考虑发展要求。商业银行的网络安全保护应选择分层次保护的优点，使用多级拓扑防护方式，设置不同级别的防御方法。访问控制是网络安全防护和防御的首要方式之一，其重要目标是保证网络资源不被非法访问。访问控制技术所包括内容相对广泛，其中有网络登录控制、网络使用权限控制、目录级安全控制以及属性安全控制等多种手段。

结合某些商业银行的网络系统和部分商业银行的网络和业务规划，谈商业银行计算机网络安全解决的原则。[1， 3]

2.1 实行分级和分区防护的原则

商业银行的计算机网络绝大多数是分层次的，即总行中心、省级中心、网点终端，计算机网络安全防护对应实行分级防护的原则，实现对不同层次网络的分层防护。

防火墙也根据访问需求被分为不同的安全区域：内部核心的TRUST区域，外部不可信的Untrust区域，第三方受限访问的DMZ区域。

2.2 风险威胁与安全防护相适应原则

商业银行面对的是极其复杂的金融环境，要面临多种风险和威胁，然而商业银行计算机网络不容易实现完全的安全。需要对网络及所处层次的机密性及被攻击的风险性程度开展评估和研究，制定与之匹配的安全解决方式。

2.3 系统性原则

商业银行计算机网络的安全防御必须合理使用系统工程的理论进而全面分析网络的安全及必须使用的具体方法。第一，系统性原则表现在各类管理制度的制定、落实和补充和专业方法的落实。第二，要充分为综合性能、安全性和影响等考虑。第三，关注每个链路和节点的安全性，建立系统安防体系。

3计算机网络安全采取的措施

商业银行需要依据银监会发布的《银行业金融机构信息系统风险管理指引》，引进系统审计专家进行评估，结合计算机网络系统安全的解决原则，建立综合计算机网络防护措施。

3.1加强外部安全管理

网络管理人员需要认真思考各类外部进攻的形式，研究贴近实际情况的网络安全方法，防止黑客发起的攻击行为，特别是针对于金融安全的商业银行网络系统。通过防火墙、入侵检测系统，组成多层次网络安全系统，确保金融网络安全。

入侵检测技术是网络安全技术和信息技术结合的新方法。通过入侵检测技术能够实时监视网络系统的相关方位，当这些位置受到进攻时，可以马上检测和立即响应。构建入侵检测系统，可以马上发现商业银行金融网络的非法入侵和对信息系统的进攻，可以实时监控、自动识别网络违规行为并马上自动响应，实现对网络上敏感数据的保护。[2]

3.2加强内部安全管理

内部安全管理可以利用802.1X准入控制技术、内部访问控制技术、内部漏洞扫描技术相结合，构建多层次的内部网络安全体系。

基于802.1x协议的准入控制设计强调了对于交换机端口的接入控制。在内部用户使用客户端接入局域网时，客户端会先向接入交换机设备发送接入请求，并将相关身份认证信息发送给接入交换机，接入交换机将客户端身份认证信息转发给认证服务器，如果认证成功该客户端将被允许接入局域网内。如认证失败客户端将被禁止接入局域网或被限制在隔离VLAN中。[4]

内部访问控制技术可以使用防火墙将核心服务器区域与内部客户端区域隔离，保证服务器区域不被非法访问。同时结合访问控制列表（ACL）方式，限制内部客户端允许访问的区域或应用，保证重要服务器或应用不被串访。

同时结合内部漏洞扫描技术，通过在内部网络搭建漏洞扫描服务器，通过对计算机网络设备进行相关安全扫描收集收集网络系统信息，查找安全隐患和可能被攻击者利用的漏洞，并针对发现的漏洞加以防范。

3.3加强链路安全管理

对于数据链路的安全管理目前常用方法是对传输中的数据流进行加密。对于有特殊安全要求的敏感数据需要在传输过程中进行必要的加密处理。常用的加密方式有针对线路的加密和服务器端对端的加密两种。前者侧重在线路上而不考虑信源与信宿，通过在线路两端设置加密机，通过加密算法对线路上传输的所有数据进行加密和解密。后者则指交易数据在服务器端通过调用加密软件，采用加密算法对所发送的信息进行加密，把相应的敏感信息加密成密文，然后再在局域网或专线上传输，当这些信息一旦到达目的地，将由对端服务器调用相应的解密算法解密数据信息。随着加密技术的不断运用，针对加密数据的破解也越来越猖獗，对数据加密算法的要求也越来越高，目前根据国家规定越来越多的商业银行开始使用国密算法。

3.4 建立商业银行网络安全审计评估体系

通过建立商业银行网络安全审计评估体系，保证计算机信息系统的正常运行。对商业银行的核心业务系统和计算机网络数据进行安全风险评估，发掘风险隐患，制订相关的措施。[5]

3.5 商业银行管理决策层对策

商业银行计算机网络的安全管理，不仅要看所采用的安全技术和防范措施，而且要看它所采取的管理措施和执行计算机安全保护法律、法规的力度。只有将两者紧密结合，才能使计算机网络安全确实有效。商业银行计算机网络的安全管理，还包括完善相应的安全管理机构、不断完善和加强计算机的管理功能、加强立法和执法力度等方面。加强计算机安全管理、加强用户的法律、法规和道德观念，提高商业银行网络用户的安全意识，对防止计算机犯罪、抵制黑客攻击和防止计算机病毒干扰。[6]

4 结论

商业银行的网络安全与社会的发展戚戚相关，认清网络的脆弱性和潜在威胁，采取强有力的安全策略，对于保障网络的安全性将变得十分重要。商业银行计算机网络安全是一个综合性的课题，它涉及到管理、技术、使用等很多方面，因此，只有高素质的网络管理人才，严格的保措施、明晰的安全策略才可能防微杜渐，把可能出现的损失降低到最低点，才能生成一个高效、通用、安全的商业银行网络系统。

参考文献

[1]仇坤.商业银行计算机网络安全管理探讨[M]，2008.

[2]张峥.基于访问控制技术的银行网络安全研究及应用 [M].重庆大学3.%A刘玉强，2007.

[3]基于访问控制技术银行网络安全及应用[M].

[4]赵志强.商业银行信息安全保障体系的研究[D].天津大学，2008.

[5]徐鹏.浅谈商业银行网络系统安全 [J].金山，2013，1：96.

[6]王琰，姜帆.商业银行研发风险管控体系研究[J].计算机安全，2013，11：63-67.

推荐访问:商业银行 安全管理 网络