《从某省级中国农行解决方案谈网络安全策略.docx》由会员分享,可在线阅读,更多相关《从某省级中国农行解决方案谈网络安全策略.docx(5页珍藏版)》请在第壹文秘上搜索。
1、从某省级中国农行解决方案谈网络平安策略在金融业日益现代化、国际化的今日,中国农业银行XX省分行留意服务手段进步和金融创新,不仅依靠;电子化建设实现了城市间的资金汇划,消费结算、储蓄存取款、信用卡交易的电子化、开办了电话银行等多种服务,而X1.以资金清算系统、信用卡异地交易系统形成J遍及全省的网络化服务“随者银行外联业务的兴起以及与相关行业部门(例如公安、税务、电信、电力、证券、商业)业务往来增多,地市分行的外联网也在逐步扩大,网上银行正蓬勃发展,以上种种网络环境要求银行网要有很尚的牢靠性、平安性和保密性。由于F1.前网络的应用的自由性、广泛性以及黑客的流行银行面临着各种平安威逼。如:非授权访问
2、、信息泄露、数据被磔改或丢失等。一旦信息泄密或者信息混乱,将给银行自身信誉、社会稳定、国家平安带来巨大影响。要构建坚不行推的平安网络,就必需从其面临的威通入手。目前,计算机网络所面临的威逼大体可分为两种:是对网络中信息的威逼:二是对网络中设备的威逼.影响计克机网络的因素许多,有些因素可能是有意的,也可能是无意的:可能是人为的,也可能是非人为的:可能是外来黑客对网络系统资源的非法使有,归结起来,针对网络平安的威逼主要有三:I人为的无意失误:如操作员平安配置不当造成的平安漏涧,用户平安意识不强,用户口令选择不慎,用户将自己的帐号随意转借他人或与别人共享等都会对网络平安带来威逼。2人为的恶意攻击:这
3、是计算机网络所面临的最大威逼,敌手的攻击和计算机犯罪就限于这类。此类攻击又可以分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性:另一类是被动攻击,它是在不影晌网络正常工作的状况下,进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害,并导致机物数据的泄漏。3网络软件的漏洞和“后门”:网络软件不行能是百分之百的无缺陷和无漏洞的,然而,这些漏洞和缺陷恰恰是黑客进行攻击的首选目标,曾经出现过的黑客攻入网络内部的事务,这些事务的大部分就是因为平安措施不完善所招致的苦果。另外,软件的“后门”都是软件公司的设计编程人员为了自便而设置的,一一般不为外人所
4、知,但一旦“后门”涧开,其造成的后果将不行思议下面,我们就从不同的方面来构建一个平安的金融网络体系:I平台平安平台平安泛指操作系统和通用基珈服务平安,主要用r防范黑客攻击手段.目前市场上大多数平安产品均限于解决平台平安,该行以信息平安评估准则为依据,确定平台平安实施过程包括以下内容:操作系统漏洞检测与修第:UniX系统、WindOWS系统、网络协议、网络基础设施漏洞检测与修复;路由器、交换机、防火墙、通用基础应用程序漏洞检测与修复;数据库、Web/Ftp/Mai1./DNS等其他各种系统守护进程、网络平安产品部署。平台平安实施须要用到市场上常见的网络平安产品,主要包括防火墙、入侵检测、脆弱性扫
5、描和防病毒产品、整体网络系统平台平安综合测试/模拟入侵与平安优化。2应用平安应用平安可保障相关业务在计算机网络系统上平安运行,它的脆弱性可能给信息化系统带来致命威逼.该行以业务运行实际面临的威逼为依据,为应用平安供应的评估措施有:业务软件的程序平安性测试(BUg分析)、业务交往的防抵赖测试、业务资源的访问限制验证测试、业务实体的身份鉴别检测、业务现场的备份与发原机制检查、业务数据的惟一性/一样性/防冲突检测,业务数据的保密性测试、业务系统的牢靠性测试、业务系统的可用性测试。测试实施后,可有针时性地为业务系统供应平安建议、修笑方法、平安策略和平安管理规范。3通讯平安为防止系统之间通信的平安脆弱性
6、威逼,该行以网络通信面临的实际威逼为依据,为保障系统之间通信的平安实行的措施有:通信线路和网络基础设施平安性测试与优化、安装网络加密设施、设置通信加密软件、设置身份鉴别机制、设置并测试平安通道、测试各项网络协议运行漏洞。其中访问限制是网络平安防范和爱护的主要策略,它的主要任务是保证网络资源不被非法运用和特别访问。它也是维护网络系统平安、爱护网络资源的重要手段。主要包括入网访问限制,网络的权限限制,书目级平安限制,属性平安限制,网络服务器平安限制,网络监测和锁定限制等.1运行平安运行平安可保障系统的稳定性,较长时间内将网络系统的平安限制在肯定范围内。该行为运行平安供应的实施措施有:应急处置机制和
7、配套服务、网络系统平安性监测网络平安产品运行监测、定期检查和评估、系统升级和补丁供应、跟踪最新平安漏洞、灾难复原机制与预防、系统改造管理、网络平安专业技术询向服务。运行平安是项长期的服务,包含在网络平安系统工程的售后服务内。网络平安审计的目的就是要了解网络的弱点位置和严竣程度,以便如何订正。提前留诲到问题的存在,就能防止这些问题在被忽视的状况卜.变得特别严收。审计是每天都耍完成的任务,网络平安工作是一个持续的过程。基本的审计工作包括:记录用户运用网络系统的过程并对这些记录检杳审计、分析例外事务和违规操作,对网络的平安和运用作出评估。5管理平安管理平安对以上各个层次的平安性供应管理机制,以网络系
8、统的特点、实际条件和管理要求为依据,利用各种平安管理机制,为用户综合限制风险、降低损失和消耗,促进平安生产效益。银行的各种重大数据都集中在服务器,从而也成为黑客们攻击的主要对象。因此,服务器的平安是银行系统平安的重中之重。一旦服务耦上存放的数据被窃取、尊改、破坏、删除,其后果特别严峻。要保障银行平安,除了要部署目前己经得到广泛应用的防火墙和防制毒产品外,入侵检测、生机爱护等产品或工具也是必不行少的。设巴平安检测和攻击预警系统的目的是:运用成熟的攻击、反攻击技术,分析已知的系统平安漏洞和薄弱环节。平安检测可以在担心全因素被诱发之前,消退系统可能的平安隐患.攻击预警系统可以实时发觉网络攻击,阻挠担
9、心全用户进入系统。入侵检测的主要平安需求是:依据网络攻击的特征,在被爱护网络的人口处进行实时监测。发觉攻击时,向管理员报警并阻断、记录攻击的来源:针时系统扫描以及实时监测发觉的系统漏洞,刚好实行措施,实施动态的平安防卫策略;6人为因素引发的平安策略在建立网络管理体系时,人为因素对网络平安的影响特别重要,即使制定r相当完善的平安制度,如果操作员不仔细履行操作规程或越权执行,都将对网络造成担心全因素。f作人员、网络管理人员、平安管理人员,应坚持多人负货、职费分别、任期仃限的原则。对于有些工作:如程序的操作和开发、机密资料的接受和发送、平安管理和网络系统管理、密码的管理和运用、操作和媒介管理等,必需
10、分工管理;重要操作如证件发放、处理机密信息、软硬件维护、程序删除和修改、数据制除和修改等,必需坚持多人监督.平安管理工作人员,应当有任期时限,不能成为专有和永久性的,应强制休假或培训,以提高网络平安性和平安管理效率。结语依据上述平安管理策略,结合从事金融行业网络建设多年的阅历,作者认为一套完善、高效、集中的金融网络管理系统应当达到如卜目标:(1)面对运维:系统应作为全行网络的性能预警器,对异样和非趋势现象向相关运维雅元通告。系统应是一套适合全行网络发展的完整的网络性能分析方案,它由些不同的功能模块所组成,性能管理、配置管理、报表管理等,这些功能模块建立在通用的数据平台上,通过臼动化的工作流程紧密连接,形成一个有机的整体。(2)面时规划:系统利用其的数据库中历史资制,明确在网上的业务类型及其统计与分析,用户带宽运用状况,使网络规划建立在网络的实际流量模型上。预见彼路、设备的性能趋势,为性能调整供应依据。(3)面对业务:系统应针对特别业务的特别需求,利用已有的体系,供应业务性能分析服务和S1.A报告,为决策层供应经营决策的依据。(4)面对用户:系统应依据不用层次用户的依同业务需求,供应不同面次、不同平安级别的性能报告、操作许可;通过用户数据库的建立,对全部运维人员的操作活动进行有效监督、规范和审计。
