国　颖　王海峰

[摘要]通过分析目前银行系统网络在多个环节普遍存在的潜在风险，试着针对性地从各方面找出有效的应对措施，对网络安全隐患做出有效的防范。

[关键词]银行网络安全应对措施

中图分类号：F83文献标识码：A文章编号：1671－7597(2009)0210060－01

一、引言

近年来，随着国内网络技术和数据传输基础建设的快速发展，银行系统网络渐渐直接或间接地与互联网或者其它专用网络发生了联系，这一方面为信息的共享提供了快速的渠道，拓展了更多的业务类型，另一方面也浮现出种种安全隐患。

二、银行网络应用现状与风险分析

(一)银行网络应用

随着各金融企业之间的竞争日益激烈，银行在改进服务手段、增加服务功能、完善业务品种、提高服务效率等方面做了大量的工作。通过实现金融电子化，利用高科技手段推动金融业的发展和进步，势必为银行业的发展带来巨大的经济效益。

(二)银行网络安全风险分析

1．来自互联网风险。网上银行、电子商务、网上交易系统都是通过Internet公网并且都与银行发生关系，由于互联网自身的广泛性、自由性等特点，像银行这样的金融系统自然会被恶意的入侵者列入其攻击目标的前列。

2．来自外联单位风险。由于银行不断增加的代收费、代缴税、三方存管等中间业务，与通信、水电、税务、证券交易所等单位网络互联，使得银行网络系统存在着来自外单位的安全威胁。

3．来自内部网风险。据调查统计，已发生的网络安全事件中，70％的攻击是来自内部。因此内部网的安全风险更严重。内部员工对自身企业网络结构、应用比较熟悉，自己攻击或内外勾结，都将可能成为导致系统受攻击的最致命安全威胁。

4．管理安全风险。企业员工的安全意识薄弱，企业的安全管理体制不健全也是网络存在安全风险的重要因素之一，健全的安全管理体制是一个企业网络安全得以保障及维系的关键因素。

(三)风险可能导致的结果

安全威胁可能引发的结果有非法使用资源、恶意破坏数据、数据窃取、数据篡改、假冒、伪造、欺骗、敲诈勒索等。种种结果对银行这样特殊性的行业来说，其损失都是不可估量的。

三、银行网络安全应对措施

(一)物理安全

物理安全主要包括：环境安全、设备安全、媒介安全。

(二)系统安全

1．操作系统安全。包括操作系统的安全漏洞、后门等，而这些因素往往又是被入侵者攻击所利用。因此，对操作系统必须进行安全配置、打上最新的补丁，还要利用相应的扫描软件对其进行安全性扫描评估、检测其存在的安全漏洞，分析系统的安全性，提出补救措施。

2．应用系统安全。对应用系统的安全性，应该尽量只开放必须使用的服务，关闭不使用的协议。加强用户登录身份认证，确保用户的合法性，严格限制操作权限。充分利用日志功能，对用户所访问的信息做记录，为事后审查提供依据。

(三)网络安全

1．网络结构安全。网络结构布局的合理与否，也影响着网络的安全性。对银行系统生产区域、办公区域、外联区域、测试区域之间必须按各自的应用范围、安全保密程度进行合理分布，以免局部安全性较低的网络系统造成的威胁，传播到整个网络系统。

2．加强访问控制

(1)银行业务系统网络必须与Internet公网物理隔离。解决方法可以是两个网络之间完全断开或者通过物理安全隔离设备来实现。

(2)网结构合理分布后，在内部局网内可以通过交换机划分VLAN功能来实现不同部门、不同级别用户之间简单的访问控制。

(3)内部局域网与外单位网络、不信任域网络之间可以通过配备防火墙来实现隔离与访问控制。

(4)根据企业具体应用，也可以配备应用层的访问控制软件系统，针对局域网具体的应用进行更细致的访问控制。

3．安全检测。由于防火墙等安全控制系统都属于静态防护安全体系，因此，还必须配备入侵检测系统进行主动防御，该系统可以安装在局域网络的共享网络设备上，它的功能是实时分析进出网络数据流，对网络违规事件跟踪、实时报警、阻断连接并做日志。它既可以对付内部人员的攻击，也可以对付来自外部网络的攻击行为。

(四)应用安全

1．安全认证。银行系统在解决网络安全问题肯定要配备加密系统，由于要加密就涉及到密钥。我们都知道密钥的发放一般都是通过发放证书来实现，为确认对方证书的真实性，引入了第三方来发放证书，即构建一个权威认证机构(CA认证中心)。目前中国金融认证中心(CFCA)是被多家银行普遍使用的认证体系。

2．病毒防护。防范病毒的入侵，应该根据具体的系统类型，配置相应的、最新的防病毒系统。从单机到网络实现全网的病毒安全防护体系，病毒无论从外部网络还是从内部网络中的某台主机进入网络系统，通过防病毒软件的实时检测功能，将会把病毒扼杀在发起处，防止病毒的扩散。

(五)信息安全

1．加密传输。要保护数据在传输过程中不被泄露，保证用户数据的机密性，必须对数据进行加密。加密后，数据在传输过程中便是以密文传输，即使被入侵者截获，由于是密文形式，也读不懂。对于银行网上应用系统，目前大多通过应用层加密来实现，应用层加密可以采用SET协议或者SSL协议，通过B/s结构完成网上交易的加密及解密。对银行普通业务系统，一般采用网络层加密设备，来保护数据在网络上传输的安全性。

2．信息存储。对银行系统主要是数据库的安全，由于各地银行系统都是采用客户／服务器模式，数据都集中存在一个大型数据库系统中，因此数据库的安全尤其重要。保护数据库最安全、最有效的方法就是采用备份与恢复系统。

(六)管理安全

我们知道网络安全实现并不完全取决于技术手段，管理安全是网络安全真正得以维系的重要保证。管理安全银行系统安全制度的制定、国家法律、法规的宣传以及提高企业人员的整体网络安全意识。

作者简介：

国颖，男，山东，中国海洋大学信息科学与工程学院研究生，研究方向：信息安全、数据库；王海峰，男，山东青岛，中国农业发展银行青岛市分行信息技术部，工程师，研究方向：信息安全、数据库。