银行网络安全解决方案

　　一、银行网络现状

　　目前我国银行网络通常以总行为中心，各地分、支行通过电信的帧中继线路或DDN与总行进行连接。银行主要应用有：储蓄、对公、信用卡、储蓄卡、IC卡、国际业务、电子汇兑、电子邮件、电子公文、新的综合对公业务、国际业务信贷系统等。同时各地分支行又根据业务发展情况，通过DDN专线连接到其他行业领域，并陆续开办了网上银行、银证转券及各种代收业务，诸如电话费、电费等等。

　　 目前的安全措施主要有：依靠操作系统的身份认证功能，通过划分VLAN的方式隔离网络，以及防病毒、和定期磁带数据备份等。以上这些已经不适应现代金融系统的安全需求。具体说明如下：

　　 目前银行网络系统常用的操作系统有Unix、Windows NT等，安全等级都是C2级，可以说是相对安全、严密的系统，但并非无懈可击。许多银行业务系统使用Unix网络系统，黑客可利用网络监听工具截取重要数据; 利用用户使用telnet、ftp、rlogin等服务时监听这些用户的明文形式的账户名和口令; 利用具有suid权限的系统软件的安全漏洞; 利用Unix平台提供的工具，如finger命令查找有关用户的信息，获得大部分的用户名; 利用IP欺骗技术; 利用exrc文件等获得对系统的控制权。连接到骨干网络的路由器、交换机设备等，由于简单的口令设置，及某些路由协议存在的漏洞，造成整个网络的不安全。划分VLAN，并不能保证防范内部的恶意员工的破坏。与外界连接，无法防范各种黑客利用各种手段对内部网络的攻击，如DDOS攻击，及IP欺骗攻击等。　　

　　二. 安全解决方案

　　对于银行网络系统的全面解决方案包括物理安全、系统安全、网络安全、应用安全、信息安全及管理安全等各个方面。　　

　　＊ 物理安全：

　　保证计算机信息系统各种设备的物理安全是保障整个网络系统安全的前提。物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾、雷击等自然灾害，人为的破坏或误操作失误及各种计算机犯罪行为导致的破坏过程。

　　＊ 系统安全：

　　1、操作系统安全

　　针对UNIX系统，可采取以下措施：

　　--- 系统的补丁程序；

　　--- 将系统的安全级别设置为最高，停止不必要的服务，该关的功能关闭；

　　--- 强账号和口令的安全管理，定期检查/etc/passwd和/etc/shadow文件，经常更换各账号口令，查看su日志文件和拒绝登录消息日志文件。

　　对于Windows NT网络系统，可采取以下措施：

　　--- 使用NTFS文件系统，它可以对文件和目录使用ACL存取控制表；

　　--- 系统管理员账号由原先的“Administrator”改名，使非法登录用户不但要猜准口令，还要先猜出用户名；

　　--- 对于提供Internet公共服务的计算机，废止Guest账号，移走或限制所有的其他用户账号；

　　--- 开审计系统，审计各种操作成功和失败的情况，及时发现问题前兆，定期备份日志文件；

　　--- 及时安装补丁程序。

　　与此同时，利用相应的扫描软件对其进行安全性扫描评估、检测其存在的安全漏洞，分析系统的安全性，提出补救措施。最后对管理人员应加强身份认证机制及认证强度。建议使用增强身份验证系统，比如基于令牌的一次性口令认证系统等。

　　2、应用系统安全

　　 应用系统通常包括数据库系统及专为某些应用开发的系统。对于数据库系统的安全，通常需要注意以下方面：

　　用户分类：不同类型的用户应该授予不同的数据库访问；

　　管理权限：比如数据库系统登陆权限、资源管理权限、数据库管理员权限、远程访问权限等；

　　数据分类：对每类用户他能够使用的数据库是不同的，要进行数据库分类。不同的用户访问不同的数据库系统；

　　审计功能：DBMS提供审计功能对维护数据库的安全是十分重要的，它用来监视各用户对数据库施加的动作。可以通过用户审计和系统审计两种方式来发现数据库使用过程中出