1.前言

        随着我国金融改革的不断推进，网络技术在银行中的应用范围不断扩大。电子化的应用，给银行业务带来诸多便利，同时也给银行带来新的安全问题。随着银行信息化的不断深入，其网络安全问题已越来越受到关注。

        2.银行网络安全分析及处理

        为了便于分析，我们将银行系统安全分为实体安全、平台安全、数据安全、通讯安全、应用安全、运行安全、管理安全等几个方面。

        银行网络拓扑图

        2.1实体安全

        实体安便信息系统安全的基础，它包括机房安全、场地安全、机房环境/温度/湿度/电磁/噪声/防尘/静电/振动、建筑/防火/防雷/围墙/门禁、设施安全、设备可靠性、通信线路安全性、辐射控制与防泄露、动力、电源/空调、灾难预防与恢复等方面。

        实体安全是信息系统安全的基础。依据实体安全国家标准，将实施过程确定为以下检测与优化项目：机房安全、场地安全、机房环境/温度/湿度/电磁/噪声/防尘/静电/振动、建筑/防火/防雷/围墙/门禁、设施安全、设备可靠性、通信线路安全性、辐射控制与防泄露、动力、电源/空调、灾难预防与恢复等，检测优化实施过程按照国家相关标准和公安部的实体安全标准。

        2.2

        平台安全

        平台安全泛指操作系统和通用基础服务安全，主要用于防范黑客攻击手段。目前市场上大多数安全产品均限于解决平台安全，理工先河以信息安全评估准则为依据，确定平台安全实施过程包括以下内容：操作系统漏洞检测与修复;

        Unix系统、Windows系统、网络协议、网络基础设施漏洞检测与修复;

        路由器、交换机、防火墙、通用基础应用程序漏洞检测与修复;

        数据库、Web/Ftp/Mail/DNS等其他各种系统守护进程、网络安全产品部署。平台安全实施需要用到市场上常见的网络安全产品，主要包括防火墙、入侵检测、脆弱性扫描和防病毒产品、整体网络系统平台安全综合测试/模拟入侵与安全优化。

        2.3数据安全

        为防止数据丢失、崩溃和被非法访问，理工先河以用户需求和数据安全实际威胁为依据，为保障数据安全提供如下实施内容：介质与载体安全保护、数据访问控制、系统数据访问控制检查、标识与鉴别、数据完整性、数据可用性、数据监控和审计、数据存储与备份安全。

        2.4

        通讯安全

        为防止系统之间通信的安全脆弱性威胁，理工先河以网络通信面临的实际威胁为依据，为保障系统之间通信的安全采取的措施有：通信线路和网络基础设施安全性测试与优化、安装网络加密设施、设置通信加密软件、设置身份鉴别机制、设置并测试安全通道、测试各项网络协议运行漏洞。

        2.5应用安全

        应用安全可保障相关业务在计算机网络系统上安全运行，它的脆弱性可能给信息化系统带来致命威胁。理工先河以业务运行实际面临的威胁为依据，为应用安全提供的评估措施有：业务软件的程序安全性测试(Bug分析)、业务交往的防抵赖测试、业务资源的访问控制验证测试、业务实体的身份鉴别检测、业务现场的备份与恢复机制检查、业务数据的惟一性/一致性/防冲突检测、业务数据的保密性测试、业务系统的可靠性测试、业务系统的可用性测试。

        测试实施后，可有针对性地为业务系统提供安全建议、修复方法、安全策略和安全管理规范。

        2.6运行安全

        运行安全可保障系统的稳定性，较长时间内将网络系统的安全控制在一定范围内。理工先河为运行安全提供的实施措施有：应急处置机制和配套服务、网络系统安全性监测、网络安全产品运行监测、定期检查和评估、系统升级和补丁提供、跟踪最新安全漏洞、灾难恢复机制与预防、系统改造管理、网络安全专业技术咨询服务。运行安全是一项长期的服务，包含在网络安全系统工程的售后服务内。

        2.7管理安全

        管理安全对以上各个层次的安全性提供管理机制，以网络系统的特点、实际条件和管理要求为依据，利用各种安全管理机制，为用户综合控制风险、降低损失和消耗，促进安全生产效益。理工先河为管理安全设置的机制有：人员管理、培训管理、应用系统管理、软件管理、设备管理、文档管理、数据管理、操作管理、运行管理、机房管理。

        3.产品部署

        银行的各种重大数据都集中在服务器，从而也成为黑客们攻击的主要对象。因此，服务器的安全是银行系统安全的重中之重。一旦服务器上存放的数据被窃取、篡改、破坏、删除，其后果非常严重。

        要保障银行安全，除了要部署目前已经得到广泛应用的防火墙和防病毒产品外，入侵检测、主机保护等产品或工具也是必不可少的。

        设置安全检测和攻击预警系统的目的是：运用成熟的攻击、反攻击技术，分析已知的系统安全漏洞和薄弱环节。安全检测可以在不安全因素被诱发之前，消除系统可能的安全隐患。攻击预警系统可以实时发现网络攻击，阻挠不安全用户进入系统。

        入侵检测的主要安全需求是：根据网络攻击的特征，在被保护网络的入口处进行实时监测。发现攻击时，向管理员报警并阻断、记录攻击的来源；针对系统扫描以及实时监测发现的系统漏洞，及时采取措施，实施动态的安全防卫策略；

        4.解决的各种安全问题及产品作用

        作为整个系统的核心，“金海豚?”系统在整个系统中处在关键的位置，整个系统的联动防护正是由“金海豚?”系统进行统一运作的。

        4.1关键服务器的监测

        “金海豚?”网络动态防护系统可实现对关键服务器的运行状态和用户行为进行主动实时监测。当被监测的服务器系统受到攻击时，它能及时向管理员报警，并主动执行预设地响应行为，如封锁或断开，并记录攻击过程，保护整个系统的安全，并为事后引用法律手段提供依据。

        4.2三平台架构，保障系统安全和正常运行

        目前，银行的信息系统的一大特点就是，其服务器本身负载已经相当大，在考虑安全的同时，更要考虑到部署的安全产品是否影响系统的正常运行。“金海豚?”网络动态防护系统的“三平台架构”解决了这一矛盾。它采用信息采集—信息分析—管理相分离的结构，形成代理系统-中控系统-管理系统的三平台架构。我们只需要在服务器上安装代理系统采集信息，而数据分析则由理工先河的中控系统来完成，再通过管理平台实现相应的报警与响应功能。它可以实现在不影响系统的正常运行，基本不增加系统负载的情况下，对服务器的保护。

        4.3实现多台服务器统一保护，集中控制

        银行系统中需要保护的服务器比较多。“金海豚?”网络动态防护系统的一台中控系统，可以保护多达八台服务器。当增加新的服务器时，只需要在新增的服务器上加装检测代理系统即可。通过控制系统，对分析系统和检测系统实现分布式管理和策略的集中分发，使得部署在复杂的银行网络环境中的主机的检测工作既方便又快捷，只需通过控制系统远程管理即可。

        4.4主动、动态防护，防范未知安全风险

        “金海豚”动态防护系统采取异常检测与滥用检测相结合的分析方式，深入分析了用户通过合法途径访问系统的特点，建立了完备的“专家系统”，同时也归纳了常见的入侵方式的特征，采用“以不变应万变的策略”，将未经过合法手段和授权而获得访问权限的行为视为对系统的攻击，从而淡化了已知攻击与未知攻击的界限，因此可有效地检测几乎所有旨在获取权限或非法访问数据的攻击手段（无论是“已知的”还是“未知的”）。

        “专家系统”的建立，