第 1 章 我国金融行业的现状和业务特点
随着加入WTO的临近,金融行业加快了改革和重组的步伐,面对国内外的竞争,各行加大了科技的资金投入,不断完善网络结构,纷纷推出高技术含量的客户服务项目,争取客户,吸收存款,多占市场份额。
因此,争取客户使各金融机构展开了竞争的行动。竞争的加剧使各金融机构各施所能,推出网上银行、手机银行、电子商务、网上证券交易等服务,随着电子商务(E-Commerce)、银行信息化建设(Intranet/Internet/Extranet)、虚拟专用网(VPN)等的兴起,网络改造的逐渐深入,各金融机构内部网络已经形成了一个基于TCP/IP,网络设备多种多样的一个复杂的全国性的复杂的广域网,同时,金融机构内部的网络系统安全也越来越直接的地涉及到生产领域,与经济效益和经济利益也越来越紧密的联系在了一起,金融业务的特殊性和实时性以及保密性又要求不能有任何一点的失误,如何设计一个好的,高效的,经济的,风险最低的安全网络系统已成为亟待解决的大问题。
金融业务由于其覆盖范围广,服务范围极宽,所以具有以下特点:
• 安全性
金融机构是经营货币的特殊企业。其基本性质决定了在办理过程中必须有高度的安全性,而办理过程对客户来说是相对透明的,这就要求银行的网络,系统具有高度的安全性。
• 方便性
随着各种金融业务的放开,各金融机构之间的竞争愈来愈激烈,而能够给客户提供最大方便者,必定会取得胜利,服务快捷正是银行的口号之一,而随着中国市场经济的进一步发展,只有高度的电子化,网络化,才能在这场竞争中立于不败之地。比如各行大力发展的全国电子联行,网上银行服务以及各种中间业务便是如此。
第 2 章 金融业信息安全的威胁
1. 对内部人员的充分信任,特别是对于内部信息科技人员的充分信任,而且没有可靠的管理手段往往是出现内部高科技犯罪的开始。
2. 虽然制定了一系列信息安全规定,但是没有一个科学的评估方法和管理,无法对系统的安全和漏洞进行量化的分析和科学的管理,结果往往是事与愿违。
3. 业务系统操作人员安全管理薄弱,口令系统混乱,安全性差。虽然有加密机,只要能物理的接触到营业终端,就能很容易的实现到主机系统的越权访问。
4. 加密机的黑箱设计,算法的不公开给黑客的远程攻击造成了困难,也使得算法和设计上的缺陷不易被监察,而对有心人来说,也许解密和仿冒并不困难。
5. 分组协议里的闭合用户群并不安全,信任关系可能被黑客利用。
6. 有的同城清算、联行系统可能被攻破和渗透。
7. 应用软件的潜在设计缺陷。
8. 主机系统存在安全漏洞。
由于电子商务的发展,现在不少银行开始将一部分业务逻辑放到Internet上,而且随着新业务发展需要,单人临柜制、金融综合网、网上银行服务、电子支付、金融票据电子化等等,今后几年内将迅速形成一个以开放协议为主流复杂网络应用环境,来自外部和内部的攻击将不断增加.这就对金融系统的安全性提出了更高的要求。
第 3 章 金融业信息安全需求
金融行业在考虑安全过程中主要需要考虑包含贯穿始终的安全策略、安全评估和安全管理;而在技术层面上需要考虑实体的物理安全,网络的基础结构、网络层的安全、操作系统平台的安全、应用平台的安全,以及在此基础之上的应用数据的安全。
上述多个方面,既是一种防护基础,也是相互促进的,同时,也是一个循环递进的工程,需要不断的自我完善和增强,才能够形成一套合理有效的整体安全防护系统。
总体来讲,金融行业业务支撑网的安全需求包括如下几个部分:
• 策略安全,包括安全的范围、等级、公司的政策、标准。
• 安全评估,包括威胁评估、漏洞评估、制度评估。
• 物理安全,包括门禁系统、防静电防磁、防火防盗、多路供电。
• 系统安全,包括系统漏洞扫描、系统加固、系统入侵侦测和响应、主机访问控制、集中认证。