银行计算机网络安全

一、网络系统安全与保密的主要内容 银行业务计算机网络化处理，在提高业务处理效率的同时，带来了风险；在使银行业务处理变得便捷、灵活的同时，也带来了不安全因素。网络环境下计算机系统的管理应包括计算机及络的可靠性、安全性软件系统的保密性。银行计算机系统中，最脆弱的环节是网络，其次为应用程序、支撑软件、硬件及操作系统。网络受到的危害可能有：对信息和其他资源的破坏；对信息的扰乱和修改；对信息和其他网络资源的窃取、篡改、转移或丢失；对信息资源的泄露；对网络服务的干扰等。影响银行计算机网络可靠性和安全性的因素主要有以下几个方面： (1)计算机网络中资源的共享。由于银行业务发展的需要，银行计算机网络中大量数据资源及设备资源等都是共享的。资源的共享，也就意味着资源对合法用户是开放的。而在网上运行的用户数量、处理和传输的信息量都是非常庞大的，对他们的存取控制也更为复杂，涉及面更广。 (2)网络环节多。银行计算机网络用户访问资源时经过的环节很多，在银行计算机网络上运行的应用系统也很多，而不同的应用对网络资源的划分及所提供的服务、所面对的用户都不同，分别需要多个子网、多台计算机协同工作，任何一个环节出错，都将影响网络的止常运行。 (3)系统的复杂性。银行计算机网络由于业务发展的需要以及网络建设的客观要求，一个网络往往包含多个网络协议、多种操作系统、多种不同厂家不同型号的计算机和网络设备，对网络用户的存取控制也更为复杂，涉及面更广，这一复杂性妨碍了计算机网络安全的建设，甚至降低了网络的安全性。 (4)计算机网络的周界难以确定。随着计算机网络的延伸，网络的可扩展性、开放性也带来了网络边界的不确定性。计算机网络纵横互联，很难有纯粹意义上的专用网络。虽然资源共享是计算机网络的优点，但是一些未知的、未经控制和授权的、有恶意的用户却对网络的安全保密构成了严重威胁。 (5)计算机网络上报文信息的传输路径难以控制。随着计算机网络的发展，网络节点之间的路由往往不止一条，网络用户对网络上周游的报文很难有太多的控制，而这些报文很可能成为犯罪分子攻击的对象。 (6)计算机网络物理空间的不确定。传统的银行和金库，往往戒备森严，外人难以潜入。但计算机联网以后，网络黑客可以通过计算机网络进入银行业务数据库，使安全防范工作更为困难。 (7)计算机网络病毒的威胁。随着个人计算机的大面积推广使用和网络覆盖范围的越来越广，网络环境下的防病毒已成为网络安全和可靠使用的一个重要组成部分。计算机病毒具有传染性，在网络环境下，计算机病毒的传播速度很快，扩散面很广，难以彻底清除，对网络系统危害极大。 二、网络系统安全体系 计算机网络最重要的资源是信息，包括向客户提供的信息和自身拥有的信息。建立安全的网络系统所要解决的根本问题是如何保证网络的联通性和可用性的同时，对网络服务和客户应用进行控制和管理以保证网络信息资源的完整性不受影响。参照ISO／TC97／SC21在开放系统互联模型中的安全机制、安全服务及安全管理和ISO／TC68，银行计算机网络信息的安全性应有以下特点： (1)对等实体认证。银行计算机网络系统中对操作实体和交换报文施以标识，并进行鉴别。在数据传输过程中用于两个开放系统同层中的实体建立连接，或数据传输阶段对对方实体的合法性及报文来源的真实性进行判断以防假冒。 (2)访问控制服务。指对一个实体访问另一个实体或使用另一实体功能、服务和能力的限制，银行计算机网络中系统资源只能被对该资源拥有访问权的实体所访问。访问控制可以防止非授权用户非法使用和访问网络资源，以保护网上特定数据资源。授权访问机制是控制不同用户的访问权限，建立安全访问权限表，鉴别访问实体身份，包括网络系统、主机、数据库系统以及文件系统等的访问权限。 (3)数据保密服务。数据保密服务的目的是保护网络上传输的信息以及服务器之间交换的数据信息，防止因数据被截取而造成数据信息的泄露和被破坏。数据保密服务支持连接方式和无连接方式两种形式的数据保护，也提供可选字段的数据保护及信息流量填充服务。 (4)数据完整性服务。银行计算机系统中存储的数据信息以及在网络上传输的数据信息不能遭受任何形式的插入、删除、修改或重发以及在数据交换过程中数据丢失等。保证合法用户读取、接受或使用该数据。防止网络上传输的数据信息被非法修改以及传输交换过程中的数据丢失。数据完整性服务分为带恢复功能和不带恢复功能的两种数据完整性服务以及服务数据单元SDU(ServiceDataUnit)中某些字段的连接和无连接方式数据完整性服务。 (5)信源确认服务。信源确认是开放系统互联模型第N层向第N+1层提供的服务，用以确保数据是由合法实体发出的。银行计算机网络中，对信息信源的确认非常重要，可用于确保在网上访问所获得的数据信息来自合法的信源及该信源实体被授权使用该项网络服务。 (6)防止否认。防止否认的目的是对数据收／发双方的行为确认无误，以防止数据发送方在发出数据后，又否认自己曾发出过该数据，或接受方收到数据后又否认自己曾收到过该数据。为数据接收者提供数据发送源的证据，使发报方无法否认发送过的报文及内容；为数据发送者提供数据接收的证据，使接收者事后无法否认收到过该报文。 (7)可审计性。银行计算机网络系统中的每一次操作都应记录下该项操作的各种属性，应用系统对每一笔交易，无论成功与否，都应作相应的审计记录，客户和操作人员无权修改和删除，保留一定的时限以备审查，以便日后发现犯罪和调查取证。 三、计算机网络系统的安全机制 为了提供上述安全服务，安全体系结构建议采用下达网络安全机制： (1)数据加密机制。数据加密是数据保护最主要和最基本的手段，按密钥的类型可分为对称密钥算法和非对称密钥算法，按密钥体制可分为序列密码和分组密码算法。通过加密把数据变成不可读的格式，防止数据信息在传输过成中被篡改、删除、替换。对网络中传输的和主机系统中存放的重要业务数据应采用加密算法予以加密。可以对整个网络传输的报文进行加密，也可以对报文的某几个元素进行加密。数据加密是最有效的安全措施之一。 (2)数字签名机制。数字签名是采用一种算法对通过网络传输的信息实现签名的技术，其目的是防止通信的任何一方对自己行为的否认，以防止有人冒充通信的一方对收到的信息进行篡改，或伪造对方发送的信息。一般说来，数字签名是保证真实的发方与真实的收方传输真实的信息。因而，完善的签名机制应体现发方签名发送，收方签名并送回回执。它有两个特点：一是动态变化，随着密钥和数据的不同而不同；二是签名和数据不可分离。 (3)访问控制机制。访问控制机制是从计算机系统的处理能力方面对信息提供保护，通过对系统文件权限的设定和网络协议后台进程的控制，可以按照事先确定的规则决定实体对资源的访问是否合法。当一个实体试图非法使用一个未经授权使用的资源时，访问控制功能将拒绝这一企图，并可附带报告这一事件给审计跟踪系统，审计跟踪系统产生一个报警或形成部分追踪审计。 (4)数据完整性机制。数据完整性包括两种形式：一种是数据单元的完整性，另一种是数据单元序列的完整性。因为文体之间信息交换是以一种数据单元的形式进行传输，所以既要对单元数据进行加密，还要保证数据单元的时序性，以防篡改、假冒、丢失、重发或插入等。数据完整性控制是在报文中加一认证码(MAC)，而这一认证码由整个报文或报文中的某些指定的元素通过某种运算得到，用以防止因为无意或有意的欺骗所造成的数据修改，保障数据的完整性。 (5)鉴别交换机制。鉴别交换机制是以交换信息的方式来确定实体身份的机制，用于鉴别交换的技术有：1口令，由发方实体提供，收方实体检验；2密码技术，将交换的数据加密，只有合法用户才能解密，得出有意义的明文；3用实体的特征和所有权进行身份鉴别。 (6)业务流量填充机制。业务流量填充机制是在信息传输的间隙连续不断地发出伪随机序列，使网上窃听者无法判断信息的可用性。这种机制主要对抗在线路上监听数据并对其进行流量和流向分析的非法行为。 (7)路由控制机制。路由控制机制保信息传输的路由是安全可靠的，因为在大型复杂的网络通信的两个节点之间可有多条线路，但不是所有的线路都是安全可靠的，通过在路由器上设立多道防火墙，限制网络用户的访问权限，控制信息流向。例如我们可以限定银行网点的主机只能以指定的方式访问网络中心指定的服务器，对其他服务器无权访问，同时网点主机之间禁止直接互访等。网络中心集中了大量的业务数据和管理信息，为了提高其安全性，根据传输的信息种类，我们可以将网络中心的局域网划分成业务数据子网、管理信息子网、应用开发子网等多个子网，应用开发子网严禁与其他子网相连，而对业务数据子网和管理信息子网的互访予以严格的限定。 (8)公证机制。通信双方在进行通信时必须各自向双方都信任的第三方公证机构发送必要的信息，由公证机构保存，以备日后发生纠纷时进行仲裁。 安全服务和安全机制并不是一一对应的。有的一种服务需要多种机制来提供，而有的机制可用于多种服务。OSI安全体系结构是建立在开放系统参考模型基础上的，一种特殊的安全服务是由一特定的层有选择地提供的，即安全服务是由相应层的安全机制提供的。这些安全服务并不是在所有各层都能实现。 四、计算机网络系统的安全管理 严格地定义加入网络的用户，在新的网络用户注册时，明确其授权范围。同时应对已定义的、合法的网络用户的信息进行有效的管理，如：管理网络用户的口令；管理网络用户对资源和文件的访问权限；防止非法用户窃取有效信息，冒充网络的合法用户。在网络用户登录时，对其进行有效的身份鉴别，确认此用户是网络的合法用户，从而保证进入网络的用户的合法性，防止非法用户进入网络。对网络文件进行严格的访问控制，只有在确认网络用户得到对某个文件的访问授权之后，才能允许该用户访问此文件。 网络用户必须加设口令，并定期更改。同时对路由器等网络设备加设口令，尤其是备份拨号端口，更应严加控制，以防非法访问。 开发与运行岗位分离，应用软件开发人员不得上生产系统。计算机专业人员不掌握业务部门生产机的用户口令。业务处理时，根据不同的操作人员和不同的交易类型，设置不同的权限，实现分级管理，明确岗位职责范围，不许超越职责权限。 对加密密钥等重要的数据应有专人保管，严禁泄露。并对密钥定期更换，进行分散管理，使密钥难以被非法窃取，在一定条件下即使窃取了部分密钥，也不能对计算机网络系统造成根本破坏。 采用相应的技术手段把所有与安全控制有关的操作记录下来，供分析使用。包括对文件的访问、对系统的访问和在终端上的各种操作，如：违章用户的身份、发生的日期和时间、使用的终端号、违章类型、认为欲访问的目标文件、任务运行时间等信息。在安全控制台上监视计算机系统和所有计算机用户的工作情况。 加强对计算机病毒的防范工作，认真落实防范计算机病毒的措施、规定、制度。要有很强的病毒防护策略和手段，做好检测与预防工作，堵塞计算机病毒的传播途径，防止计算机病毒的入侵。