摘 要:信息安全对于银行业务而言至关重要。本文首先概述了常用的信息安全技术,并详细探讨了信息安全技术在银行业务信息安全中的应用。
关键词:银行业务;信息安全;防火墙;入侵检测;访问控制
1 引言
随着计算机及通讯技术在银行业务相关系统应用的不断拓展,银行业的利润得到了很大的提高,但同时又带来了新的问题。相当一部分的银业业务系统只注重电子化网站的扩大,而忽略了计算机安全隐患所带来的银行业务信息安全问题,比如:非法入侵、病毒干扰等等。所有这些安全隐患都会造成银行敏感业务信息的泄露。
目前,针对信息安全的技术包括:防火墙技术、入侵检测技术以及访问控制技术等。本文就是针对银行业务处理过程存在的安全问题,研究有效的信息安全保障技术。
2信息安全技术概述
2.1防火墙技术
防火墙是处于内网与外网之间的一个过滤屏障,凡是外网需要访问内网的请求,都会经过防火墙的检测,只有符合安全规则的数据包才允许通过防火墙而进入内网。此外,防火墙还可以实现动态过滤、抗攻击、热备份以及审计报警等功能。
目前,防火墙的种类诸多,常用的有三种:基于包过滤类型、应用级网关类型以及基于状态检测类型。其中,基于包过滤类型的防火墙是借助于路由器共同来实现对访问请求的控制,根据网络数据包中的源地址、目标地址以及端口号等信息判定其合法性,再进行相应的转发或者丢弃操作。应用级网关类型也可以称之为代理服务器,内网与外网终端的所有信息都由该代理服务器进行检测分析,有效隔离非法数据。而基于状态检测类型的防火墙是通过抽取数据信息实现监测,并进行日志记录,如有情况,向系统管理器发出提示报警信息。
2.2入侵检测技术
入侵检测技术是一种主动型免攻击技术,可以作为防火墙技术的安全补充技术之一。入侵检测技术通过是基于一个特定端口进行监听,不实现数据包的转发,只是收集相关的报文即可。
从本质上讲,入侵检测技术是通过对数据包的窥探、监听实现关键信息的收集以及分析,从而判定数据包的安全性。该技术能够有效分析各种攻击,并对网络中的IDS侦测进行阻隔以及报警。此外,入侵检测技术还可以实现网络的嗅探,实时显示在线用户访问数以及相关访问信息,对于连接数过大、流量过大的访问连接可以局部监视,有可疑时可随时断开。
2.3 访问控制技术
访问控制技术是信息安全的重要策略,能很好地杜绝非法访问。所谓非法就是没有访问权限的终端,通过非法手段进入系统,对系统数据进行泄露、发布等操作。
访问控制技术规定只有合法用户,才可以去访问该用户具有权限的数据信息。比如:系统有一些机密数据,只有被授权的用户才可以访问,而且每次访问的时候,都需要提供相应的用户名与密码,通过验证匹配后才可能进行相应操作。一般情况下,为了保证机密数据的安全性,普通合法用户只可以进行浏览、查询等操作,系统级管理员才可以对数据进行更改、删除等操作。
3 银行业务信息的安全保障
3.1 防火墙在银行业务信息安全中的应用
以银行分行为例,如果将分行的局域网视为内部网络,那么总行以及其他类型银行的网络可以视为外部网络。可以在分行内网的出口处设置防火墙实现数据的过滤与隔离。
分行局域网与总行、各地市分行网络的隔离。分行与下属各分行的互联平台是银行的主要业务网络。因此考虑在边界处设置两台防火墙,这样可以方便地实现双机备份。采用双ACTIVE方式进行负载均衡,隔离和过滤内外网之间的通信。该防火墙应有很强的处理能力和较高的可靠性,在满足安全性要求的前提下,可以很好地满足银行网络与总行、下属地市分行网点连接的速率、流量要求。
3.2 IDS在银行业务信息安全中的应用
根据实际情况,银行可按照“三级部署结构、三级监控中心”进行IDS的部署,在总行、分行及地市支行部署入侵检测设备,并在总行、分行及地市支行安装监控平台,从而达到增强银行网络安全防护能力的目标。
在实际部署中,在总行、分行及地市中心支行三级机构部署探测引擎。在总行建立安全监控中心,负责对本地局域网、分行网络的安全管理;在分行行建立安全监控中心,负责对本地局域网、辖内各地市中心区域的安全管理;在各地市中心支行建立安全监控平台,负责本地局域网的安全监控管理。
3.3 访问控制在银行业务信息安全中的应用
在银行网络设备上应用自身的AAA服务,由于银行管理网络设备的主要方式是采用Telnet方式,而银行实际管理员人数有多个,对Telnet方式登陆用户创建多个帐户和对应密码,便于明确责任到人。
此外,银行为加强病毒控制,在银行业务系统的相关网络设备上预先定义访问控制列表,配置命令如下描述:
Router( Config ) # aeeess-list 161 deny udp any any eq 137
Router( Config ) # aeeess-list 161 deny udp any any eq 145
Router( Config ) # aeeess-list 161 deny udp any any eq 149
4 总结
利用信息化促进银行业务流程高效化、一体化无疑是正确的方法。但在网络通信环节中,银行的业务信息都是至关重要的,要有效地防范任何来自系统内部或外部对通信数据的非法截取、篡改和窥视。利用信息安全技术对各银行进行全过程、全方位的动态监控,促进银行业务的安全运行更是至关重要。
参考文献:
程兴财.银行业计算机信息系统安全风险识别与控制.西部金融. 2010/04 .
