网络安全问题解决为银行业主争先机
来源:新浪 更新时间:2012-04-13
 

  网络安全问题的解决 将为面临寡头争夺的银行业主们争得一席先机

  银行业网络安全面临三大挑战

  由于银行业零售业务的比重增大,银行卡尤其是信用卡系统的建设也是国内银行在现阶段IT建设面临的主要任务,同时电子银行、网上银行、移动银行等新业务也将是国内银行的需求热点。而这些新业务引入了更多的网络安全隐患,网络安全的压力日益加剧。

  银行业的网络安全主要有业务连续性、防泄密、数据完整性等三个方面的需求。根据易观国际《银行业网络安全应用研究报告(2005)》显示,从目前银行业网络安全的现状来看,银行业的网络安全仍然面临诸多问题。

  业务连续性:攻击者利用终端的大量黑客工具对银行系统发起攻击,造成银行业务受到影响甚至中断,银行的很多增值业务、代理业务,存在大量与外界互连的接口,这些接口现在没有强的安全保护措施,如果外部网络通过这些接口攻击银行就可能造成巨大损失。

  防泄密:一般银行信用卡系统和柜台系统采用的是软件加密的形式保护关键数据,因此对加密密钥的保护成为安全的关键,而软件加密存在的一个重大安全隐患是无法安全保存加密密钥,程序员可修改运行程序得到密钥从而得到主机中的敏感数据。此外,最近发生的伪造银行网站获得客户信息的事件也使得客户信息泄漏给不法分子。

  数据完整性:银行网络系统通过公网传输的大量数据没有经过加密而且使用开放的TCP/IP协议,从而使得截获、分析甚至修改银行系统的信息成为可能。

  区域性扩张使银行内联网的安全面临严峻考验

  各银行内联网实行的一般是“总行~二级分行(省会中心支行)~地市中心支行~县支行”的Internet网络,每个节点上都或多或少与外界存在着联系。随着银行的区域性扩张,银行的计算机内联网将面临越来越严峻的考验。随之带来的安全问题主要包括:内部管理问题、黑客入侵、病毒攻击等。

  1.1内部管理问题:在银行计算机系统内联网受到的危害中,很多是由于管理不善或控制不严造成的。国内多家商业银行在IT系统管理与安全管理方面的方式都不一样,有的银行部门之间的权力划分不清,管理规范不统一,缺乏专门的部门或人员负责安全问题。安全建设不是由一个部门牵头来做,而是分散在各业务部门中,各自为政。

  1.2黑客入侵:目前的局域网基本上都采用以广播为技术基础的以太网,任何两个节点之间的通信数据包,不仅被目标节点的网卡所接收,也能被处在同一以太网上的任一节点的网卡所截取。因此,居心不良者在以太网上的任一节点进行侦听,就可以捕获发生在这个以太网上的数据包,并对数据包进行分析,从而窃取关键信息。

  1.3病毒攻击:近年来,各种各样的计算机病毒层出不穷,给银行内部网络带来很大危害。比如蠕虫病毒利用操作系统和应用程序的漏洞主动进行攻击,利用多种传播方式传播,并容易产生变种,给防范带来困难。银行局域网主要应用于文件和打印服务共享、办公自动化系统、业务系统等,网络具有便利信息交换特性,蠕虫病毒可以充分利用网络快速传播,阻塞网络,给银行内部网络造成巨大破坏。

  银行业网络安全,七成归咎于管理制度

  易观国际研究发现,银行业网络安全除了需要技术上的保证,银行本身的管理制度也需要从安全角度完善和提高。在银行业的网络安全问题中,由于风险防范管理措施没有跟上而出现的问题占70%以上。解决网络安全问题,管理制度一定要跟上安全的需求,例如:

  将网络管理、软件开发、业务系统管理三者相互分开。网络管理员、软件开发人员、业务系统维护人员之间应该按照权力和责任严格限制工作范围,业务流程中互相制约,互相监督,避免权力集中于一人。

  健全网络制度。各方面的管理制度要跟上,比如机房的管理、网络管理员的行为规范、密码权限的管理等制度都要健全完善并严格遵照执行。

  加强网络监管。记录下银行网络设备每一个时刻的运行情况、网络流量、访问者身份和访问目标,对网络整体的安全状况进行监控分析。