銀行計算機網絡安全探究論文

導語：銀行計算機網絡安全探究論文一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

摘要從近幾年金融犯罪的手段來看,銀行的計算機網絡系統已成為一些罪犯侵犯的對象和渠道。因此，其安全問題不僅是當前銀行的重點工作，也應一直作為銀行日常的重點工作。筆者根據近幾年的工作實踐，談談對安全工作的一些看法。

關鍵詞網絡安全管理防范

一．銀行系統主要面臨的網絡安全問題

1．計算機網絡系統的實體遭到破壞

實體是指網絡中的關鍵設備，包括各類計算機（服務器、工作站等）、網

絡通信設備（路由器、交換機、集線器、調制解調器、加密機等）、存放數據的媒體（磁帶機、磁盤機、光盤等）、傳輸線路、供配電系統以及防雷系統和抗電磁干擾系統等。這些設備不管哪一個環節出現問題，都會給整個網絡帶來災難性的后果。這類問題，一部分由于系統設計不合理造成，一部分由于內部工作人員責任心不強、不按規定操作、麻痹大意造成，一部分是來自外部的惡意破壞。

2．內部人員利用網絡實施金融犯罪

據有關調查顯示，在已破獲的采用計算機技術進行金融犯罪的人員中

，內部人員占到75%，其中內部授權人員占到58%。他們方便地利用所授的權利，輕松地對網絡中的數據進行刪除、修改、增加，轉移某些帳戶的資金，達到挪用、盜用的目的。更為嚴重的是預設“后門”，“后門”就是信息系統中未公開的通道，在用戶未授權的情況下，系統的設計者或其他技術人員可以通過這些通道出入系統而不被用戶發覺，這類行為不僅損害客戶的利益，大大影響銀行在民眾中的信譽，更為嚴重的是“后門”成為黑客入侵系統的突破口危及整個系統的安全性和數據的安全性。

3．遭受各類黑客的侵犯和破壞

存儲和運行在銀行計算機網絡系統中的信息、數據，不僅本質上代表著資金的運動，而且從微觀上能反映某些企業的經濟活動，從宏觀上能折射出國家的經濟運行情況。因此，在經濟競爭如此激烈的當今時代，銀行網絡系統必然遭到各類黑客的“親睞”。有的通過監視網絡數據截取信息，從事經濟領域的間諜活動；有的未經授權擅自對計算機系統的功能進行修改；有的進行信用卡詐騙和盜用資金；有的進行惡意破壞，造成通信流量堵塞；我國的電子商務工作屢遭挫折，很多原因是遭遇黑客，如2000年3月30日金融CA認證中心（由國內12家銀行發起的保障企業進行電子商務交易的組織）試發證書的消息公布不到1小時，認證中心就遭到黑客的攻擊。

4．面臨名目繁多的計算機病毒的威脅

計算機病毒數據，將導致計算機系統癱瘓，程序和數據嚴重破壞，使網絡的效率和作用大大降低，使許多功能無法使用或不敢使用。雖然，至今尚未出現災難性的后果，但層出不窮的各種各樣的計算機病毒活躍在各個角落，大有一觸即發之勢，令人堪憂。

二．銀行計算機網絡系統的安全防范工作

筆者認為，銀行計算機網絡系統的安全防范工作是一個極為復雜的系統

工程，是人防和技防相結合的工程方案。在目前法律法規尚不完善的情況下，首先是各級領導的重視，加強工作人員的責任心和防范意識，自覺執行各項安全制度，在此基礎上，再采用一些先進的技術和產品，構造全方位的防御機制，使系統在理想的狀態下運行。

1．加強安全制度的建立和落實工作

安全制度的建立也是一門科學。一定要根據本單位的實際情況和所采用

的技術條件，參照有關的法規、條例和其他單位的版本，制定出切實可行又比較全面的各類安全管理制度。主要有：操作安全管理制度、場地與實施安全管理制度、設備安全管理制度、操作系統和數據庫安全管理制度、計算機網絡安全管理制度、軟件安全管理制度、密鑰安全管理制度、計算機病毒防治管理制度等。

制度的建立切不能流于形式，重要的是落實和監督。尤其是在一些細小的環節上更要注意。如系統管理員應定期及時審查系統日志和記錄。重要崗位人員調離時，應進行注銷，并更換業務系統的口令和密鑰，移交全部技術資料，但不少人往往忽視執行這一措施的及時性。還有防病毒制度規定，要使用國家有關主管部門批準的正版查毒殺毒軟件適時查毒殺毒，而不少人使用盜版殺毒軟件，使計算機又染上了其他病毒。另外，要強化工作人員的安全教育和法制教育，真正認識到計算機網絡系統安全的重要性和解決這一問題的長期性、艱巨性及復雜性。決不能有依賴于先進技術和先進產品的思想。技術的先進永遠是相對的。俗話說：“道高一尺，魔高一丈”，今天有矛，明天就有盾。安全工作始終在此消彼長的動態過程中進行。只有依靠人的安全意識和主觀能動性，才能不斷地發現新的問題，不斷地找出解決問題的對策。

2．構造全方位的防御機制

筆者認為，衡量一個網絡系統的安全性如何，至少應能保證其數據的保

密性、完整性、可使用性及可審計性等。為達到這些要求應采用如下的防御機制：

要保證處于聯機數據文件系統或數據庫之中的以及網絡傳輸當中的保密信息不會非法地主動地或被動地提供給非授權人員，系統資源只能被擁有資源訪問權的用戶所訪問，能鑒別訪問用戶身份，保證合法用戶對系統資源的訪問和使用。其防御機制是：除了對關鍵數據進行級別較高的加密外，還要建立訪問控制體系，根據信息密級和信息重要性劃分系統安全域，在安全域之間用安全保密設備（加密機、防火墻、保密網關等），通過存取矩陣來限制用戶使用方式，如只讀、只寫、可讀寫、可修改、可完全控制等。

要使信息的安全性、精確性、有效性不因種種不安全因素而降低，不會使存儲在數據庫中以及在網絡中傳輸的數據遭受任何形式的插入、刪除、修改或重發，保證合法用戶讀取、接收或使用的數據的真實性。其防御機制是除了安裝“防火墻”和計算機病毒防治措施之外，還要建立良好的備份和恢復機制，形成多層防線。主要設備、軟件、數據、電源等都有備份，并具有在較短時間內恢復系統運行的能力。

要使合法的用戶能正常訪問網絡的資源，有嚴格時間要求的服務能得到及時響應，不會因系統的某些故障或誤操作而使資源丟失，或妨礙對資源的使用，即使在某些不正常條件下也能正常運行。其防御機制主要靠系統本身所設計的功能來實現。

要使網絡系統中的每一項操作都留有痕跡，記錄下操作的各種屬性，并保留必要的時限，以使各種犯罪行為有案可查。其關鍵是建立監控體系和審計系統。集中式審計系統將各服務器和安全保密設備中的審計信息收集、整理、分析匯編成審計報表，用來處理絕密級信息或信息內容，特別重要的涉密系統，分布式審計系統的審計存放在各服務器和安全保密設備上，用于系統安全保密管理員審查。

3．采用先進的技術和產品

要構造上述的防御機制，保證計算機網絡系統的安全性，還要采用一些先進的技術和產品。目前主要采用的相關技術和產品有以下幾種。

①“防火墻”技術

“防火墻”是近年發展起來的一種重要安全技術，是通過對網絡作拓撲結構和服務類型上的隔離來加強網絡安全的一種手段，它是電腦網絡之間的一種特殊裝置，主要用來接收數據，確認其來源及去處，檢查數據的格式及內容，并依照用戶的規則傳送或阻止數據。其類別主要有：應用層網關、包過濾網關、服務器等，它可與路由器結合，按不同要求組成配置功能各異的防火墻。

②加密型網絡安全技術

這一類技術的特征是利用現代的數據加密技術來保護網絡系統中包括用

戶數據在內的所有數據流，只有指定的用戶或網絡設備才能夠解譯加密數據，從而在不對網絡環境作特殊要求的前提下從根本上保證網絡信息的完整性和可用性。這種以數據和用戶確認為基礎的開放型安全保障技術是比較適用的，是對網絡服務影響較小的一種途徑，可望成為網絡安全問題的最終的一體化解決途徑。

③漏洞掃描技術

漏洞掃描是自動檢測遠端或本地主機安全脆弱點的技術，通過執行一些腳本文件對系統進行攻擊并記錄它的反應，從而發現其中的漏洞。它查詢TCP/IP端口，并記錄目標的響應，收集關于某些特定項目的有用信息，如正在進行的服務，擁有這些服務的用戶，是否支持匿名登錄，是否有某些網絡服務需要鑒別等，可以用來為審計收集初步的數據。

④入侵檢測技術

入侵檢測可被定義為對計算機和網絡資源上的惡意使用行為進行識別和

響應的處理過程。它不僅檢測來自外部的入侵行為，同時也檢測內部用戶的未授權活動，還能發現合法用戶濫用特權，提供追究入侵者法律責任的有效證據。該技術通過分析入侵過程的特征、條件、排列以及事件間的關系，具體描述入侵行為的跡象，這些跡象不僅對分析已經發生的入侵行為有幫助，而且對即將發生的入侵也有警戒作用。

總之，銀行計算機網絡系統的安全工作不是一朝一夕的工作，而是一項長期的任務，需要全體員工的參與和努力，同時要加大投入引進先進技術，建立嚴密的安全防范體系，并在制度上確保該體系功能的實現。