研究银行计算机网络信息系统安全管理要点

2016-03-12安徽理工大学计算机科学与工程学院王作鹏

电子世界 2016年18期

安徽理工大学计算机科学与工程学院　王作鹏

研究银行计算机网络信息系统安全管理要点

安徽理工大学计算机科学与工程学院王作鹏

金融安全是银行计算机网络信息安全的一个重要组成部分，关系国家的经济命脉。计算机在现代银行中有着广泛的应用，这使银行中的一些工作变得更加简单，但是同时需要工作人员注意，计算机网络系统的安全性，只有安全的网络环境才能确保银行中各项工作的顺利开展。

银行；计算机网络；安全管理

随着计算机技术的不断发展，现代银行不仅在办公中实现了全面电子化，而在存储、结算等业务上也实现了电子化，这对提高银行的业务水平来说有着重要意义。同时，也是自主银行、网上银行等业务的出现，金融电子银行生存和发展的基础。但是，随着银行中各项业务对计算机网络系统依赖性的提高，网点数量的增加，安全问题对银行的运行与发展来说越来越重要，因此对银行计算机网络信息安全系统管理要点进行分析是必要的。

一、银行网络安全的具体要求

银行网络安全主要针对的是办公自动网络、业务系统网络、网上银行等多个系统应用中的网络安全。银行网络中部署了重点服务器、网络设备，银行在正常运行过程中，需要确保这些设备的正常运行，确保银行中业务系统的安全性，这也是银行网络安全的基本要求。银行网络安全的具体要求如下：1、银行网络在正常运行状况下，如果遭遇到攻击，需要保证网络系统能够持续安全运行。

2、需要具备先进的跟踪体系和入侵检测技术。3、可以提供工作效率、灵活的内外通讯服务，确保沟通的顺畅性。

二、银行计算机网络安全存在问题的主要原因

银行系统中的计算机网络机会涉及到银行内的所有部门和工作人员，尤其是以Internet技术为基础的网上银行业务的开展，这使得复杂网络环境下的安全问题变得更加严重，主要体现在以下几个方面：

1、系统复杂

银行计算机系统包含多种不同的操作系统、网络协议、应用系统、不同厂家生产的不同型号的网络通信设备和计算机，这一复杂性不仅妨碍了网络确认，而且降低了网络的安全性和可靠性，对银行计算机网络信息系统应用的安全性会造成不良影响［1］。

2、边界模糊

网络的开放性和可拓展性都导致网络边界变得较为模糊。一个业务系统，甚至关键业务系统资源有可能被其它业务系统中的网络用户或非法人员所应用，从而导致系统运行出现错误。

3、共享资源

共享资源最初是银行计算机信息系统的一个最大优点，但是从实际情况来看，资源共享导致访问银行中的关键业务系统的服务资源变得更加复杂，在具体操作过程中容易被未授权者访问，导致系统的安全性下降。

4、TCP/IP缺陷

TCP/IP通讯协议是在TCP/IP协议网络服务设计基础下进行，在设计过程中由于没有考虑安全问题，因此会存在脆弱认证机制、匿名服务、存在缺陷的信任机制等［2］。因此，在应用过程中可能会存在地址欺骗、他人假扮身份攻击等。

5、管理制定不完善或执行不到位

管理制度的制定不合理，控制手段较为落后，网络建设程度不够深入，没有针对安全体系内容进行深入研究，同时在发展过程中缺少迫切性。有人员和资金上的投入，但是投入不够，工作人员固定，在应用具体应用过程中，一旦遇到冲突，将会对立即舍弃存在冲突的内容，没有改变传统上轻视安全的做法。

此外，也存在有制度和标准，但是执行不到位的情况，多数的制度成为一种形式，在银行内部没有计算机网络信息安全进行宣传教育，缺少有效的控制措施，无法从本质上处理好安全与发展两者之间的关系［3］。

三、提高银行计算机网络信息系统安全的对策

（一）构建完善的安全体系

在银行内部构建完善的安全体系可以从以下几个方面入手：1、在银行内部需要加强硬件和基础设施的安全管理，确保计算系统运行的安全性和可靠性。

2、强化网络建设，电脑网络是电子化发展的核心和基础，要增加资金和人员上的投入，从而确保银行各项业务的合理运转。

3、针对存在的漏洞进行周期性检查，最大程度避免网络遭受攻击的可能，即使遭受攻击，也可以使多数攻击无效。

4、对通讯进行加密处理，主动对通讯内容加密，从而避免攻击者掌握信息中的核心内容，从而对核心信息进行修改。

5、定期对重要信息进行备份，同时需要制定相应的恢复制度，通过恢复制度可以使系统在遭受攻击时，尽快恢复系统服务和丢失的数据。

6、对内部信息进行合理隐藏，从而使攻击者无法掌握系统内部的具体情况，失去攻击目标。

（二）计算安全管理体系

1、多人负责

银行中的每一项业务对安全有着较高要求，为了确保业务安全不受到威胁，每一项与安全相关的活动都不能有人独自完成，需要采取多人制对安全问题进行负责。例如，访问控制证件的发放与回收；处理保密信息；软件与硬件的维护；重要程序的销毁与删除等，这些操作都会是与安全有关的活动，因此在具体操作过程中都需要在两人或更多人的监督下进行。

2、分离职责

负责信息处理系统的工作人员要做好自己的工作，在工作过程中尽量不要参与其它职位的工作，除非获取系统主管的批准，否则参与除了自身之外的工作，或打听系统其它部分的性能都应当被视为一种破坏系统安全的行为［4］。为了提高系统的安全性，系统中机密文件的接收与传输；计算机编程；访问证件的管理等各项内容都应当分开处理。

3、短期任职

工作人员不易在同一工作岗位长期任职，应当采用循环任职制度，并且应当采用强行休假制度，同时需要对工作人员的工作制度进行严格规定，要求其轮流参加培训，从而使短期任职制度变得实际可行。

（三）技术防范

1、数据加密

在银行一般业务中，采用链路层加密与端到端加密相结合的方式实现对数据的加密，在上层可以利用一个软件完成相应的加密操作，底层复杂加密算法则可以利用硬件实现，从而确保数据在传输过程中的安全性。而针对网络银行，在应用过程中传输的数据保存是基于Hash算法的报文验证码MAC构成的，接收报文后，对MAC进行验证，能够检测出被蓄意修改或偶然传输的差错，从而确保数据的机密性与完整性。

2、身份验证及网络安全评估

认证数据源身份也是鉴别信息的一种有效手段，通过认证可以确定信息来源的可靠性，认证数据源身份通过通过数字签名技术实现，同是利用该技术还可以避免抵赖情况的发生。

安全评估针对内容是网络，分析网络系统应当通过实践性的安

全扫描进行，对系统报告中存在的漏洞和弱点进行全范围检查，依据最终的扫描结果对网络系进行适当修改，从而达到提高银行网络安全的最终目的。

3、防火墙技术

防火墙是一种隔离控制技术，在其他网络与银行网络之间设置阻碍，有效阻止非法访问信息情况的出现，同时也可以对银行内部的信息进行保护控制，避免机密信息外泄。可以通过限制与特定区域或网络的通信，避免非法用户侵犯公用网络。在系统中安装防火墙，如果外界网络想要攻入到内网中，就必须要突破防火墙，这需要一段较长的时间，此时管理员可以对问题进行修补，避免内网遭受攻击。