1、中小型銀行信息安全現(xiàn)狀大多數(shù)中小商業(yè)銀行網(wǎng)絡(luò)系統(tǒng)是于近幾年規(guī)劃建設(shè)實(shí)施的生產(chǎn)、辦公、 通信綜合系統(tǒng)網(wǎng)絡(luò)。隨著銀行業(yè)務(wù)范疇的持續(xù)擴(kuò)展，業(yè)務(wù)應(yīng)用的持續(xù)深入, IT需求持續(xù)增加，網(wǎng)絡(luò)系統(tǒng)逐步顯現(xiàn)出可治理性差、攻擊防護(hù)設(shè)備老化等 安全隱患，監(jiān)管部門也進(jìn)行了信息安全風(fēng)險(xiǎn)的有關(guān)提示。為此，結(jié)合呼和 浩特市商業(yè)銀行的現(xiàn)狀，談一談中小商業(yè)銀行信息安全體系建設(shè)的思路。中小銀行所面臨的信息安全風(fēng)險(xiǎn)隨著運(yùn)算機(jī)技術(shù)和通訊技術(shù)的飛速進(jìn)展，網(wǎng)絡(luò)正逐步改變著人們的工 作方式和生活方式。隨著網(wǎng)絡(luò)技術(shù)在金融行業(yè)的全面應(yīng)用，大大提升了金 融行業(yè)的業(yè)務(wù)處理效率和治理水平，促成了各項(xiàng)創(chuàng)新的金融業(yè)務(wù)的開展， 改善了整個(gè)金融行業(yè)的經(jīng)營(yíng)環(huán)

2、境，增強(qiáng)了金融信息的可靠性，使金融服務(wù) 于社會(huì)的手段更趨現(xiàn)代化。然而，同其他任何行業(yè)一樣，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)相 伴著網(wǎng)絡(luò)技術(shù)在金融行業(yè)的全面應(yīng)用而全面覆蓋在金融行業(yè)的每個(gè)業(yè)務(wù)角 落。金融行業(yè)IT系統(tǒng)由于涉及信息的敏銳性自然會(huì)成為內(nèi)部和外部黑客 攻擊的目標(biāo)，面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)敘述如下八類：1、非法訪咨詢：現(xiàn)有網(wǎng)絡(luò)設(shè)備本身具備一定的訪咨詢操縱能力，而這 些訪咨詢操縱強(qiáng)度較弱，攻擊者能夠在任一終端利用現(xiàn)有的大量攻擊工具 發(fā)起攻擊；另一方面金融行業(yè)（如銀行）開發(fā)的專門多增值業(yè)務(wù)、代理業(yè) 務(wù)，存在大量與外界互連的接口，外部網(wǎng)絡(luò)可能會(huì)通過這些接口攻擊銀行， 造成龐大缺失。2、失密和竊密：利用搭線竊聽竊收，使用協(xié)

3、議分析儀器竊收運(yùn)算機(jī)系 統(tǒng)的操作密碼，破解系統(tǒng)的核心密碼，竊取用戶帳號(hào)、密碼等；或利用間 諜軟件獲得敏銳的金融信息。3、信息篡改：利用信息篡改攻擊手段，非授權(quán)改變金融交易傳輸過程、 儲(chǔ)備過程中的信息。4、內(nèi)部人員破壞：內(nèi)部人員熟悉金融行業(yè)網(wǎng)絡(luò)系統(tǒng)的應(yīng)用業(yè)務(wù)和薄弱 環(huán)節(jié)，能夠比較容易地篡改系統(tǒng)數(shù)據(jù)、泄露信息和破壞系統(tǒng)的軟硬件。5、黑客入侵：利用黑客技術(shù)非法侵入金融行業(yè)的網(wǎng)絡(luò)系統(tǒng)，調(diào)閱各種 資料，篡改他人的資料，破壞系統(tǒng)運(yùn)行，或者進(jìn)行有目的的金融犯罪活動(dòng)。6、假冒和偽造：假冒和偽造是金融行業(yè)網(wǎng)絡(luò)系統(tǒng)中經(jīng)常遇見的攻擊手 段。如偽造各類業(yè)務(wù)信息，未授權(quán)篡改數(shù)據(jù)，改變業(yè)務(wù)信息流的次序、時(shí) 序、流向，破壞

4、金融信息的完整性，假冒合法用戶實(shí)施金融欺詐等。7、蠕蟲、病毒泛濫：蠕蟲、病毒泛濫可能導(dǎo)致金融行業(yè)的重要信息遭 到損壞，或者導(dǎo)致金融行業(yè)網(wǎng)絡(luò)系統(tǒng)癱瘓。8、拒絕服務(wù)：拒絕服務(wù)攻擊使金融行業(yè)的電子商務(wù)網(wǎng)站無法為客戶提 供正常服務(wù)，造成經(jīng)濟(jì)缺失，同時(shí)也使行業(yè)形象受到損害。中小銀行信息安全體系建設(shè)的目標(biāo)按照上述中小銀行所面臨的信息安全風(fēng)險(xiǎn)，我認(rèn)為中小銀行信息安全 體系建設(shè)的目標(biāo)是通過建立完善的信息安全治理制度和智能、深度的安全 防備技術(shù)手段，構(gòu)建一個(gè)治理手段與技術(shù)手段相結(jié)合的全方位、多層次、 可動(dòng)態(tài)進(jìn)展的縱深安全防范體系，來實(shí)現(xiàn)信息系統(tǒng)的可靠性、保密性、完 整性、有效性、不可否認(rèn)性，為金融業(yè)務(wù)的進(jìn)展提供

5、一個(gè)堅(jiān)實(shí)的信息系統(tǒng) 基礎(chǔ)保證。信息安全防范體系的覆蓋范疇是整個(gè)信息系統(tǒng)。中小銀行信息安全建設(shè)的要緊工作內(nèi)容有：1、建立銀行信息安全治理組織架構(gòu)，專門負(fù)責(zé)信息系統(tǒng)的安全治理和 監(jiān)督。2、制訂金融安全策略和安全治理制度。安全治理部門結(jié)合銀行信息系 統(tǒng)的實(shí)際情形，制訂合理的安全策略，對(duì)信息資源進(jìn)行安全分級(jí)，劃分不 同安全等級(jí)的安全域，進(jìn)行不同等級(jí)的愛護(hù)。制訂并執(zhí)行各種安全制度和 應(yīng)急復(fù)原方案，保證信息系統(tǒng)的安全運(yùn)行。這些包括：密碼治理制度、數(shù) 據(jù)加密規(guī)范、身份認(rèn)證規(guī)范、區(qū)域劃分原則及訪咨詢操縱策略、病毒防范 制度、安全監(jiān)操縱度、安全審計(jì)制度、應(yīng)急反應(yīng)機(jī)制、安全系統(tǒng)升級(jí)制度 等。3、設(shè)計(jì)并實(shí)施技術(shù)手段

6、，技術(shù)手段要包括外網(wǎng)邊界防護(hù)、內(nèi)網(wǎng)區(qū)域劃 分與訪咨詢操縱、端點(diǎn)準(zhǔn)入、內(nèi)網(wǎng)監(jiān)控與治理、移動(dòng)辦公接入、撥號(hào)安全 操縱、病毒防范、安全審計(jì)、漏洞掃描與補(bǔ)丁治理等諸多方面安全措施。4、建立安全運(yùn)維治理中心，集中監(jiān)控安全系統(tǒng)的運(yùn)行情形，集中處理 各種安全事件；統(tǒng)一制訂安全系統(tǒng)升級(jí)策略，并及時(shí)對(duì)安全系統(tǒng)進(jìn)行升級(jí)， 以保證提升安全體系防護(hù)能力。中小銀行信息安全現(xiàn)狀及需求分析下面以呼和浩特市商業(yè)銀行的網(wǎng)絡(luò)及應(yīng)用現(xiàn)狀，分析在不同層次的安 全需求，大部分中小銀行具有共性。（一）網(wǎng)絡(luò)層為保證網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)目煽啃院桶踩?，網(wǎng)絡(luò)層存在的安全風(fēng)險(xiǎn)要緊 包括以下幾個(gè)方面：1、網(wǎng)絡(luò)結(jié)構(gòu)以及網(wǎng)絡(luò)數(shù)據(jù)流通模式的風(fēng)險(xiǎn)：現(xiàn)有要緊的網(wǎng)

7、絡(luò)結(jié)構(gòu)為星形、樹形、環(huán)形以及網(wǎng)狀，隨著網(wǎng)絡(luò)節(jié)點(diǎn)間 的連接密度的增加，整個(gè)網(wǎng)絡(luò)提供的線路冗余能力也會(huì)增加，提供的網(wǎng)絡(luò) 數(shù)據(jù)的流淌模式會(huì)更靈活，整個(gè)網(wǎng)絡(luò)可靠性和可用性也會(huì)大大的增加。呼 和浩特市商業(yè)銀行現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)，能夠滿足數(shù)據(jù)流淌模式的需求，為了 保證網(wǎng)絡(luò)系統(tǒng)的可靠性，能夠采取的有效可行的措施是加大網(wǎng)絡(luò)設(shè)備和線 路備份措施的實(shí)施。2、網(wǎng)絡(luò)設(shè)備安全有效配置的風(fēng)險(xiǎn)：網(wǎng)絡(luò)設(shè)備是網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)暮诵模钦麄€(gè)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施，各種網(wǎng)絡(luò) 設(shè)備本身的安全與可靠性以及這些設(shè)備上應(yīng)用策略的安全都需要進(jìn)行合理 的配置才能夠保證。3、來自不同安全域的訪咨詢操縱的風(fēng)險(xiǎn)：網(wǎng)絡(luò)結(jié)構(gòu)越來越復(fù)雜，接入網(wǎng)絡(luò)的用戶也越來越多，必須能

8、夠在不同 的網(wǎng)絡(luò)區(qū)域之間采取一定的操縱措施，有效操縱不同的網(wǎng)絡(luò)區(qū)域之間的網(wǎng) 絡(luò)通信，以此來操縱網(wǎng)絡(luò)元素間的互訪能力，幸免網(wǎng)絡(luò)濫用，同時(shí)實(shí)現(xiàn)安 全風(fēng)險(xiǎn)的有效的隔離，把安全風(fēng)險(xiǎn)隔離在相對(duì)比較獨(dú)立以及比較小的網(wǎng)絡(luò) 區(qū)域。4、網(wǎng)絡(luò)攻擊行為的檢測(cè)和防范的風(fēng)險(xiǎn)：基于網(wǎng)絡(luò)協(xié)議的缺陷，專門是TCP/IP協(xié)議的開放特性，帶來了專門大 的安全風(fēng)險(xiǎn)，常見的IP地址竊取、IP地址假冒，網(wǎng)絡(luò)端口掃描以及危害專門大的拒絕服務(wù)攻擊（DOS、DDOS）等，必須能夠?qū)@些攻擊行為進(jìn)行 有效的深度防備。（二）用戶層1、用戶操作系統(tǒng)平臺(tái)安全漏洞的風(fēng)險(xiǎn)：大部分的網(wǎng)絡(luò)攻擊行為以及網(wǎng)絡(luò)病毒的傳播差不多上由于操作系統(tǒng)平 臺(tái)本身存在的安全漏

9、洞，微軟持續(xù)公布系統(tǒng)補(bǔ)丁即是明證，因此必須有效 幸免系統(tǒng)漏洞造成的安全風(fēng)險(xiǎn)，同時(shí)對(duì)操作系統(tǒng)的安全機(jī)制進(jìn)行合理的配 置。2、用戶主機(jī)遭受網(wǎng)絡(luò)病毒攻擊的風(fēng)險(xiǎn)：網(wǎng)絡(luò)給病毒的傳播提供了專門好的路徑，網(wǎng)絡(luò)病毒傳播速度之快、危 害之大是令人吃驚的，專門是流行的一些蠕蟲病毒，更是防不勝防，因此 必須建設(shè)全面的網(wǎng)絡(luò)防病毒系統(tǒng)，層層設(shè)防，逐層把關(guān)，堵住病毒傳播的 各種可能途徑。3、針對(duì)用戶主機(jī)網(wǎng)絡(luò)攻擊的安全風(fēng)險(xiǎn)：目前Internet上有各種完善的網(wǎng)絡(luò)攻擊工具，在局域網(wǎng)的環(huán)境下，這種 攻擊會(huì)更加有效，針對(duì)的目標(biāo)會(huì)更加明確，據(jù)統(tǒng)計(jì)，有97%的攻擊是來自 內(nèi)部的攻擊，而且內(nèi)部攻擊成功的概率要遠(yuǎn)遠(yuǎn)高于來自于Intern

10、et的攻擊， 造成的后果也嚴(yán)峻的多。4、用戶網(wǎng)絡(luò)訪咨詢行為有效操縱的風(fēng)險(xiǎn)：第一需要對(duì)用戶接入網(wǎng)絡(luò)的能力進(jìn)行操縱，同時(shí)需要更細(xì)粒度的訪咨 詢操縱，專門是對(duì)Internet資源的訪咨詢操縱，例如應(yīng)該能夠操縱內(nèi)部用戶 訪咨詢Internet的什么網(wǎng)站。在此基礎(chǔ)之上，必須能夠進(jìn)行縝密的行為審計(jì) 治理。（三）業(yè)務(wù)層1、服務(wù)器及數(shù)據(jù)儲(chǔ)備系統(tǒng)的可用性風(fēng)險(xiǎn)：業(yè)務(wù)系統(tǒng)的可靠性和可用性是網(wǎng)絡(luò)安全的一個(gè)專門重要特性，必須保 證業(yè)務(wù)系統(tǒng)硬件平臺(tái)（要緊是大量的服務(wù)器）以及數(shù)據(jù)硬件平臺(tái)（要緊是 儲(chǔ)備系統(tǒng)）的可靠性。2、操作系統(tǒng)和網(wǎng)絡(luò)服務(wù)平臺(tái)的安全風(fēng)險(xiǎn)：通過對(duì)各種流行的網(wǎng)絡(luò)攻擊行為的分析，能夠發(fā)覺絕大多數(shù)的攻擊是 利用各種

11、操作系統(tǒng)和一些網(wǎng)絡(luò)服務(wù)平臺(tái)存在的一些已公布的安全漏洞發(fā) 起，因此，杜絕各種操作系統(tǒng)和網(wǎng)絡(luò)服務(wù)平臺(tái)的已公布的安全漏洞，能夠 在專門大程度上防范系統(tǒng)攻擊的發(fā)生。由于網(wǎng)絡(luò)中的各個(gè)應(yīng)用系統(tǒng)上有專門多信息是提供給不同權(quán)限用戶查 閱的，不同級(jí)不、不同部門、不同人員能夠訪咨詢的資源都不一樣，因此 需要嚴(yán)格區(qū)分用戶的身份，設(shè)置合理的訪咨詢權(quán)限，保證信息能夠在被有 效操縱下共享。4、用戶對(duì)業(yè)務(wù)訪咨詢的有效的記錄和審計(jì)：業(yè)務(wù)系統(tǒng)必須能夠?qū)τ脩舻母鞣N訪咨詢行為進(jìn)行詳細(xì)的記錄，以便進(jìn) 行事后查證。中小銀行信息安全體系建設(shè)的思路金融系統(tǒng)的網(wǎng)絡(luò)應(yīng)用比較復(fù)雜，對(duì)安全的要求也專門高，按照中小銀 行所面臨的風(fēng)險(xiǎn)以及上述安全現(xiàn)狀

12、和需求，在信息安全體系建設(shè)過程中應(yīng) 該關(guān)注以下幾個(gè)方面。第一、進(jìn)行網(wǎng)絡(luò)安全區(qū)域設(shè)計(jì)網(wǎng)絡(luò)安全區(qū)域設(shè)計(jì)是網(wǎng)絡(luò)安全建設(shè)的基礎(chǔ)，其他的網(wǎng)絡(luò)安全建設(shè)措施 全部差不多上基于那個(gè)差不多設(shè)計(jì)展開的。因此要按照銀行的實(shí)際情形進(jìn) 行劃分，例如按照呼和浩特市商業(yè)銀行網(wǎng)絡(luò)和應(yīng)用的現(xiàn)狀，能夠進(jìn)行如下 安全區(qū)域的劃分：數(shù)據(jù)中心區(qū)：由呼和浩特市商業(yè)銀行生產(chǎn)服務(wù)群構(gòu)成，是呼和浩特市 商業(yè)銀行一切生產(chǎn)活動(dòng)的基礎(chǔ)。那個(gè)區(qū)域的安全性要求最高，對(duì)業(yè)務(wù)連續(xù) 性要求也最高。要求不能隨便進(jìn)行任何可能阻礙業(yè)務(wù)的操作，包括為服務(wù) 器打補(bǔ)丁，治理起來也最為復(fù)雜。外聯(lián)邊界區(qū)：與外聯(lián)單位進(jìn)行中間業(yè)務(wù)服務(wù)器構(gòu)成的安全區(qū)域。與外 聯(lián)單位一樣采納專線連接

13、，由于業(yè)務(wù)具有一定的愛護(hù)手段，對(duì)業(yè)務(wù)連續(xù)性 要求不如數(shù)據(jù)中心區(qū)。外聯(lián)服務(wù)區(qū)：開展對(duì)外服務(wù)的服務(wù)器所在的安全區(qū)域。由于直截了當(dāng) 與公網(wǎng)連接，同時(shí)又是比較敏銳的金融業(yè)務(wù)，因此安全性要求專門高，對(duì) 業(yè)務(wù)連續(xù)性要求也較高。同時(shí)也最容易遭受包括DoS/DDoS攻擊在內(nèi)的來 自互聯(lián)網(wǎng)的威逼。內(nèi)網(wǎng)辦公區(qū)：辦公服務(wù)器所在的安全區(qū)域，要緊用于內(nèi)部OA系統(tǒng)等 應(yīng)用。對(duì)安全的要求較前面講的各個(gè)安全區(qū)域低，業(yè)務(wù)連續(xù)性要求也相對(duì) 較低。多采納Windows服務(wù)器，比較容易遭受病毒等威逼的阻礙。網(wǎng)絡(luò)治理區(qū)：網(wǎng)管業(yè)務(wù)開展的區(qū)域，由網(wǎng)管類服務(wù)器和網(wǎng)管工作站構(gòu) 成。封閉性較強(qiáng)，那個(gè)區(qū)域的安全與否直截了當(dāng)關(guān)系到網(wǎng)絡(luò)的穩(wěn)固運(yùn)行， 某些方面的要求可能還要高于內(nèi)網(wǎng)辦公區(qū)。分支機(jī)構(gòu)區(qū)：所有分支機(jī)構(gòu)共同構(gòu)成的安全區(qū)域，一樣采納專線接入 數(shù)據(jù)中心。對(duì)數(shù)據(jù)中心來講那個(gè)區(qū)域?qū)儆谕饩W(wǎng)，一樣是另外單獨(dú)考慮那個(gè) 區(qū)域內(nèi)各個(gè)節(jié)點(diǎn)的安全。第二、以安全為核心規(guī)劃網(wǎng)絡(luò)現(xiàn)有網(wǎng)絡(luò)大多是以連通性作為中心進(jìn)行設(shè)計(jì)的，而專門少考慮安全性。 例如最典型的網(wǎng)絡(luò)三層架構(gòu)模型（核心層、匯聚層、接入層架構(gòu)）中，網(wǎng) 絡(luò)是向核心層集中的