论文部分内容阅读
[摘 要]讨论银行网络安全体系的安全问题,介绍了提高网络安全体系的一些方法和原理,并提出了相应的安全策略。同时对于银行计算机网络安全体系的建立提出了一般的建议。
[关键词]银行网络 网络安全 安全体系
中图分类号:TP3文献标识码:A 文章编号:1671-7597(2008)0510117-01
近年,随着数据大集中的完成,银行已转向信息资源综合利用,电话银行、手机银行、网上银行方兴未艾,银行的网络系统不仅传输银行关键业务数据,还传输管理信息和决策信息等重要数据。因此对网络的稳定性、可靠性具有相当高的要求,银行的网络安全建设日益显现出其重要性。为保证银行业务系统各类信息在存取、处理和传输中的完整性、机密性、可审计性和可用性,以及网络系统自身的可靠性、完整性和可用性,需多方位考虑设计网络系统的安全方案。网络系统安全方案的制定应尽可能全面和合理,并根据银行特有的多级管理和一级营业的管理特征,利用当前成熟和较为先进的网络安全技术,构建银行网络系统安全体系结构。
一、银行计算机网络安全定义
银行计算机网络系统的安全问题一般来说,计算机网络安全包括物理安全和逻辑安全两大部分[1]。物理安全是指网络系统设备及相关设施受到物理保护,免于被破坏、被丢失等。逻辑安全包括信息完整性、保密性和可用性。
一般来说,计算机网络的安全隐患主要来自两个方面:一个来自外部的非授权的访问,例如黑客的攻击或其它未经允许的访问;一个来自于本单位内部的攻击,如内部人员的蓄意更改、操作失误等原因而对计算机网络构成的危害。
依据ISO 的OSI 网络层次模型来讨论,计算机网络安全问题主要可分为数据链路层安全、网络层的安全及应用层安全。
(一)数据链路层安全
目前实现数据链路层安全的最常用的方法是数据加密传输。通常在网络层以下的加密称为链路加密,网络层以上的加密称为端间加密。链路加密是面向节点的,对于网络高层主体是透明的,它对高层的协议信息(地址、纠错、甚至帧头、帧尾) 都加密,因此数据在传输中是密文的,但是在中间节点必须解密得到路由信息。通常用硬件在物理层实现,从技术的角度讲,目前流行有三种数据加密算法:对称密钥加密算法、非对称密钥加密算法和不可逆加密算法。
(二)网络层的安全
防火墙是计算机网络安全领域的新热点,它是设在网络和外界之间的一道屏障,防止不可预料的、潜在的破坏和侵入。建立一个防火墙,主要有下述3种常用的方法:(1)基于路由器的过滤器。采用一台可编程的路由器来控制网络中的通信流量,它根据源地址、目的地址或信息头部的端口信息,有选择地使数据包通过或过滤掉数据包;(2)堡垒主机。这种方法是建立一个基于主机系统的防火墙,其具有更强的功能,包括登录通过网关的所有活动;(3)独立的隔离网络。这种方法类似于堡垒主机的方式,但它不是插入一台主机,而是建立另一个位于外部网络和内部网络之间的隔离子网,通对该子网进行特别配置,使得外部和内部网络都能够对它进行存取,而隔断跨越该子网的通信。
(三)应用层的安全
在实际网络应用中,我们根据TCP/IP的分层原则将网络层上会话层、表示层、应用层统称为应用层。在这些层中常见的一些协议有Telnet、FTP、SMTP、POP、HTTP等。但这些应用协议只是提供了一些简单的安全防护措施,如简单的口令保护措施等,这样就给系统的安全使用带来极大的安全隐患。另外,类似Telnet协议的数据完全以明文的方式进行传输,网络黑客即使不知道用户的口令字,也可以进入系统。因此,有很多网络攻击入侵往往也从这些地方入手。所以对这些网络应用进行全局考虑,精心规划,设计全系统的安全访问控制是很有必要的。
二、银行网络安全体系结构
银行网络系统安全是信息安全的一个有机组成部分,它包括网络级安全(物理层、链路层、网络层和传输层的安全)、系统级安全、应用级安全、管理级安全等。网络安全是一个需要不断提高和调整的循环过程,它包括安全策略的制定、实施,安全监控与响应,安全测试,安全的管理和提高等过程。网络信息系统安全体系应从技术和管理相结合的基础上,给出系统的网络通信基础设施及环境、网络结构平台、应用系统平台、应用业务等的安全框架。信息安全框架体系可以从安全技术体系、安全组织体系和安全管理体系三个方面进行分析。
(一)安全技术体系
通信平台的安全主要包括广域网传输时数据的加密或解密、数据的完整性和保密性保证、拨号访问安全等。
网络平台安全包括网络设备热备份和路由迂回、出入网络的访问控制、网络资源服务的访问控制、数据通过网络层的保密性和完整性及可用性、网络和网络服务的可用性和可靠性、防范网络入侵等。
系统平台安全包括操作系统的安全性、安全检测、系统的备份与恢复、防病毒等。
应用平台安全包括身份认证、全局资源管理、授权管理、数据加密传输等。环境安全及可靠性是指具有可靠的安全功能和符合一定的安全标准并具有一定的安全机制。安全技术管理应基于分离与制约原则,有限授权、预防为主原则,可审计功能及安全管理制度等。
(二)安全组织体系
安全组织体系是安全管理体系的组织保障。这个组织体系在国家有关信息安全主管部门的指导下,遵循国家相关法律法规,制定相应的安全管理制度和内部的法规政策,并对内部人员进行安全教育和管理,指导、监督、考核安全制度的执行。
(三)安全管理体系
网络安全就是控制对网络信息访问的一种策略,它可在网络的多个层次上实现: 在物理层和数据链路层进行加密或解密; 在网络层采用分组过滤及路由协议认证等安全措施; 在每个主机上对信息的每个访问点有相应的服务,而每个服务对敏感信息的访问提供一种或多种认证机制,如主机身份认证、用户身份认证和密钥认证、访问控制、代理服务器、网络管理及安全检测等。实际上,网络安全除了上述有关安全的技术内容外还应包括各种物理设备的双机热备、系统的异地灾难备份、安全规章制度、网络产品生产厂家的市场准入机制和集成商的资质认证等内容。
总之,构建完善的银行计算机安全管理体系是一项长期的工作。安全问题要从技术、人员和管理上全面考虑。我们将一如既往,密切关注信息安全技术及其应用发展的新趋势,加强安全技术的研究,为银行计算机系统的安全、稳定、高效运行保驾护航。
参考文献:
[1]Andrew S.Tanenbaum 著,熊桂喜,王小虎译 Computer Networks :Third Edition[M] 北京:清华大学出版社,20021.
作者简介:
花建国,男,汉,籍贯山东2004年7月毕业于山东理工大学.
[关键词]银行网络 网络安全 安全体系
中图分类号:TP3文献标识码:A 文章编号:1671-7597(2008)0510117-01
近年,随着数据大集中的完成,银行已转向信息资源综合利用,电话银行、手机银行、网上银行方兴未艾,银行的网络系统不仅传输银行关键业务数据,还传输管理信息和决策信息等重要数据。因此对网络的稳定性、可靠性具有相当高的要求,银行的网络安全建设日益显现出其重要性。为保证银行业务系统各类信息在存取、处理和传输中的完整性、机密性、可审计性和可用性,以及网络系统自身的可靠性、完整性和可用性,需多方位考虑设计网络系统的安全方案。网络系统安全方案的制定应尽可能全面和合理,并根据银行特有的多级管理和一级营业的管理特征,利用当前成熟和较为先进的网络安全技术,构建银行网络系统安全体系结构。
一、银行计算机网络安全定义
银行计算机网络系统的安全问题一般来说,计算机网络安全包括物理安全和逻辑安全两大部分[1]。物理安全是指网络系统设备及相关设施受到物理保护,免于被破坏、被丢失等。逻辑安全包括信息完整性、保密性和可用性。
一般来说,计算机网络的安全隐患主要来自两个方面:一个来自外部的非授权的访问,例如黑客的攻击或其它未经允许的访问;一个来自于本单位内部的攻击,如内部人员的蓄意更改、操作失误等原因而对计算机网络构成的危害。
依据ISO 的OSI 网络层次模型来讨论,计算机网络安全问题主要可分为数据链路层安全、网络层的安全及应用层安全。
(一)数据链路层安全
目前实现数据链路层安全的最常用的方法是数据加密传输。通常在网络层以下的加密称为链路加密,网络层以上的加密称为端间加密。链路加密是面向节点的,对于网络高层主体是透明的,它对高层的协议信息(地址、纠错、甚至帧头、帧尾) 都加密,因此数据在传输中是密文的,但是在中间节点必须解密得到路由信息。通常用硬件在物理层实现,从技术的角度讲,目前流行有三种数据加密算法:对称密钥加密算法、非对称密钥加密算法和不可逆加密算法。
(二)网络层的安全
防火墙是计算机网络安全领域的新热点,它是设在网络和外界之间的一道屏障,防止不可预料的、潜在的破坏和侵入。建立一个防火墙,主要有下述3种常用的方法:(1)基于路由器的过滤器。采用一台可编程的路由器来控制网络中的通信流量,它根据源地址、目的地址或信息头部的端口信息,有选择地使数据包通过或过滤掉数据包;(2)堡垒主机。这种方法是建立一个基于主机系统的防火墙,其具有更强的功能,包括登录通过网关的所有活动;(3)独立的隔离网络。这种方法类似于堡垒主机的方式,但它不是插入一台主机,而是建立另一个位于外部网络和内部网络之间的隔离子网,通对该子网进行特别配置,使得外部和内部网络都能够对它进行存取,而隔断跨越该子网的通信。
(三)应用层的安全
在实际网络应用中,我们根据TCP/IP的分层原则将网络层上会话层、表示层、应用层统称为应用层。在这些层中常见的一些协议有Telnet、FTP、SMTP、POP、HTTP等。但这些应用协议只是提供了一些简单的安全防护措施,如简单的口令保护措施等,这样就给系统的安全使用带来极大的安全隐患。另外,类似Telnet协议的数据完全以明文的方式进行传输,网络黑客即使不知道用户的口令字,也可以进入系统。因此,有很多网络攻击入侵往往也从这些地方入手。所以对这些网络应用进行全局考虑,精心规划,设计全系统的安全访问控制是很有必要的。
二、银行网络安全体系结构
银行网络系统安全是信息安全的一个有机组成部分,它包括网络级安全(物理层、链路层、网络层和传输层的安全)、系统级安全、应用级安全、管理级安全等。网络安全是一个需要不断提高和调整的循环过程,它包括安全策略的制定、实施,安全监控与响应,安全测试,安全的管理和提高等过程。网络信息系统安全体系应从技术和管理相结合的基础上,给出系统的网络通信基础设施及环境、网络结构平台、应用系统平台、应用业务等的安全框架。信息安全框架体系可以从安全技术体系、安全组织体系和安全管理体系三个方面进行分析。
(一)安全技术体系
通信平台的安全主要包括广域网传输时数据的加密或解密、数据的完整性和保密性保证、拨号访问安全等。
网络平台安全包括网络设备热备份和路由迂回、出入网络的访问控制、网络资源服务的访问控制、数据通过网络层的保密性和完整性及可用性、网络和网络服务的可用性和可靠性、防范网络入侵等。
系统平台安全包括操作系统的安全性、安全检测、系统的备份与恢复、防病毒等。
应用平台安全包括身份认证、全局资源管理、授权管理、数据加密传输等。环境安全及可靠性是指具有可靠的安全功能和符合一定的安全标准并具有一定的安全机制。安全技术管理应基于分离与制约原则,有限授权、预防为主原则,可审计功能及安全管理制度等。
(二)安全组织体系
安全组织体系是安全管理体系的组织保障。这个组织体系在国家有关信息安全主管部门的指导下,遵循国家相关法律法规,制定相应的安全管理制度和内部的法规政策,并对内部人员进行安全教育和管理,指导、监督、考核安全制度的执行。
(三)安全管理体系
网络安全就是控制对网络信息访问的一种策略,它可在网络的多个层次上实现: 在物理层和数据链路层进行加密或解密; 在网络层采用分组过滤及路由协议认证等安全措施; 在每个主机上对信息的每个访问点有相应的服务,而每个服务对敏感信息的访问提供一种或多种认证机制,如主机身份认证、用户身份认证和密钥认证、访问控制、代理服务器、网络管理及安全检测等。实际上,网络安全除了上述有关安全的技术内容外还应包括各种物理设备的双机热备、系统的异地灾难备份、安全规章制度、网络产品生产厂家的市场准入机制和集成商的资质认证等内容。
总之,构建完善的银行计算机安全管理体系是一项长期的工作。安全问题要从技术、人员和管理上全面考虑。我们将一如既往,密切关注信息安全技术及其应用发展的新趋势,加强安全技术的研究,为银行计算机系统的安全、稳定、高效运行保驾护航。
参考文献:
[1]Andrew S.Tanenbaum 著,熊桂喜,王小虎译 Computer Networks :Third Edition[M] 北京:清华大学出版社,20021.
作者简介:
花建国,男,汉,籍贯山东2004年7月毕业于山东理工大学.