摘要:銀行安防網絡采用了Internet的組網技術和應用技術,也同樣存在著當今互聯網絡共通的安全問題。隨著各家銀行安防服務器上運行的軟件系統的規模越來越大,復雜度越來越高,大量的漏洞不斷涌現,構建銀行安防網絡安全保障體系就迫在眉睫。本文結合各家銀行的實際,就銀行安防網絡涉及到的安全問題進行深入研究,分析了目前銀行安防網絡已發現的一系列安全問題以及存在的安全隱患,提出了相應的解決方法。
隨著整個社會的信息化發展,各家銀行安防系統的日益復雜,各家銀行安防系統對信息網絡的依賴性越來越強,對信息網絡安全的要求也越來越高。如果不能解決安全問題將直接影響到各家銀行的經營管理,甚至危及各家銀行的安全。
銀行安防網絡是實現銀行各個安防子系統之間信息共享、快速反應和運行重要保證。網絡安全保障體系首先保證網絡的安全、可靠運行,在此基礎上保證應用系統和業務的保密性、完整性和高度的可用性,同時為將來的應用提供可擴展的空間。因此,銀行安防網絡信息安全保障系統成為各家銀行信息化建設過程中*的重要組成部分。
本文結合筆者在銀行業安防工程中的多年經驗和體會,研究整理了一套體系化的安全保障策略,在后面章節中逐一展開,與大家分享。
1.概述
1.1網絡安全
網絡安全是指網絡系統的硬件、軟件及其系統中的數據受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統連續可靠正常地運行。從其本質上講,網絡安全就是網絡上的信息安全。從廣義上來說,凡是涉及到網絡上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是網絡安全。
網絡安全分為兩大范疇,即通信安全范疇和計算機安全范疇。通信安全是對通信過程中所傳輸的信息施加保護,它包含操作系統安全、數據庫系統安全和網絡站點安全。通信安全和計算機安全措施需要與其它類型的安全措施,諸如物理安全和人員安全措施配合使用,才能更有效地發揮作用。
隨著計算機網絡的不斷發展,網絡上信息資源的豐富使得普通人很容易就能夠掌握各種計算機技術,迅速找到各種軟件的漏洞;此外,計算機安全知識涉及的面太廣,包括網絡企業都難于采取有效的措施對網絡進行安全防護。這幾個因素使得安全威脅飛速增長,尤其是混合威脅所帶來的風險。 黑客攻擊、蠕蟲病毒、木馬后門、間諜軟件等威脅泛濫,企業的機密數據被盜竊,重要數據被篡改、破壞,遭受了嚴重的經濟損失。所以網絡與信息安全已成為各家企業函待解決的重大關鍵問題。對于各家銀行安防網路的網上信息的安全和保密尤為重要,因此,網絡的安全措施應能地針對各種不同的威脅和脆弱性,這樣才能確保網絡信息的保密性、完整性和可用性。
1.2計算機網絡面臨的威脅
計算機網絡所面臨的威肋、大體可分為兩種:一是對網絡中信息的威脅;二是對網絡中設備的威脅。針對網絡安全的威肋、主要有以下幾種:一是人為的無意失誤,如由于配置問題造成的安全漏洞,用戶口令太弱等;二是人為的惡意攻擊,計算機*就屬于這一類。主要分為主動攻擊和被動攻擊;三是網絡軟件的漏洞和“后門”這類威脅所引起的事件主要還是因為安全措施不健全的緣故。
2.銀行安防系統信息化建設工作
銀行的安防體系是由人防系統、技防系統、物防系統和管理系統多角度多緯度復合型的安全技術防范體系。技防系統中常見的安防子系統包括入侵報警、出入口控制、語音對講、視頻監控等。上述四個安防子系統都有一個共有的特性,即各子系統的建設都會關注到“網絡化”、“可視化”、“信息化”,同時這也是現階段銀行安防行業發展的特征點。為適應社會形勢的變化和銀行自身發展的要求,提率,開展銀行安防系統信息化的建設是刻不容緩的。
2.1銀行安防系統信息化的現狀
技防系統中常見的安防子系統包括入侵報警、出入口控制、語音對講、視頻監控等。下面主要對這四種安防子系統信息化建設做一個現狀分析。
入侵報警
入侵報警近些年發展的一個明顯特征是設備實現IP化,由前期單一的線等模擬線路傳輸發展成支持以太網傳輸、GPRS無線傳輸等多種網絡傳輸技術。同時在應用上提供二次開發接口,形成產品形態趨于一體化發展態勢。由單一的報警主機設備發展成提供智能報警平臺相關的產品,其中部分廠家還推出了帶視頻功能的報警主機,并支持可視化的入侵報警系統產品。
出入口控制
出入口控制系統近些年的一個明顯特征也趨向IP化發展,眾多廠家不斷推出支持以太網傳輸的相關設備,同時也引入了眾多新技術,如指靜脈技術、視頻生物識別技術、RFID技術、智能技術、移動互聯技術等,使得現在的出入口控制系統更加智能化、可視化、人性化。
語言對講系統
語音對講系統近些年主要的變化是IP語音對講系統逐漸取代了傳統的模擬語音系統,實現將視頻融入IP對講,形成可視化對講系統。例如:自助銀行中的語音對講系統。
視頻監控
視頻監控是安防監控可視化中管理的核心,其投資占比在整個銀行安防產品中約占較大份額。結合近些年的視頻監控發展的分析,可以總結為:“高清化”、“網絡化”、“智能化”。高清化指的是支持高清的前后端設備快速應用,網絡化指的視頻監控的IPC、NVR、解碼設備等使用網絡型的設備使用量快速上升,而智能化指的是視頻設備逐漸向智能化發展,具備智能功能視頻監控設備越來越多。
除了各子系統的發展都會關注到“網絡化”、“可視化”、“信息化”之外,銀行安防技術發展的另一個特征就是聯網平臺及監控中心的建設進入一個活躍期。國有銀行、股份銀行以及區域性銀行進行聯網平臺的選型及全行聯網不斷建設。在這一過程中,有幾個重要特點:視頻報警聯網基礎應用、安防各子系統深度集成與安防與業務管理深入融合三者并重;普遍遵循了GB/T28181《安全防范視頻監控聯網系統信息傳輸、交換、控制技術要求》國家標準。
2.2銀行安防系統信息化的展望
安防系統信息化在zui近幾年發展極為迅速,其中一個重要的支撐點就是安防技術的快速發展,從而不斷推動該行業的快速發展。那么未來幾年,銀行安防系統信息化發展的趨勢有哪些呢?有哪些技術會推動銀行安防行業的發展呢?用以下幾個詞語能基本概括——“網絡高清”、“智能化”、“大數據”、“業務融合”、“智慧銀行”,針對這些技術發展趨勢下面進行簡要分析:
網絡高清
這一發展趨勢的重點關注點在于“網絡”,而不在于“高清”。隨著高分辨率、更寬廣的監控視野,設備經濟適用性更好,高清監控已經成為金融安防一致認可的趨勢,毫無爭議。在安防行業進入IP大時代的今天,金融行業作為安防規模化應用的行業,自然也會緊跟這一潮流,網絡高清的代表就是IPC和NVR。同時隨著攝像機芯片計算性能的提高,編碼技術的升級換代,使得網絡高清之前所面臨的延時問題、傳輸帶寬問題、存儲空間問題等目前都已得到相關技術解決。
智能化
監控視頻的高清化為行業的智能化奠定了良好基礎,智能分析不斷深入應用銀行安防行業,未來的智能化技術將會集中呈現“前置化”、“體系化”等特點,即智能分析計算從后臺服務分析走向前端設備自行分析,真正的智能應用將會是前端、后端、平臺、傳輸等一體化的智能。
業務融合
隨著對金融安防管理要求越來越高,不僅僅要滿足安全防范的功能,同時還要滿足對金融機構各個日常經營業務管理的需求。例如對各營業網點經營秩序的遠程檢查、對工作人員的遠程督察、對客戶投訴的事后認證和處理、對相關業務管理中音視頻數據與業務管理系統的無縫結合等。即需要聯網平臺軟件具有和金融業務系統進行深度融合的功能。例如支持實時事件的在線標志、支持多媒體檔案庫的管理、支持數字視頻加密、支持專屬部門和個人的監控分組、支持音視頻數據片段式管理等。zui近**發文要求對理財產品交易行為要有完整的音視頻采集錄像,要求安防系統所提供音視頻數據將作為銀行業務系統的數據支撐。
以金融用戶業務管理需求為導向,將安防系統與業務管理系統深度整合,視頻資源作為工具提供給業務管理者,實現金融安防系統與業務系統的無縫對接。
大數據
云計算、云存儲等技術在金融安防行業已經成功應用,例如在銀行大樓監控項目,金庫項目中“私有云平臺”的項目逐漸增多,云技術不再是空中樓閣。隨著全行聯網的逐步實現帶來的海量數據匯聚,安防系統與業務系統融合的業務需求不斷凸顯,安防管理水平要求的不斷提高,同時視頻結構化技術的逐步成熟,大數據應用會在出金融安防行業逐步出現。即該應用的出現將幫助金融行業管理決策從“經驗依賴”轉向“數據依據”,zui終數據的有效利用將催生出很多新的關于金融行業的智能應用。
助力智慧銀行
智慧銀行是傳統銀行、網絡銀行的階段,目前國內很多銀行通過提高自身的特征性、職能化和多樣化等方面來打造出“智慧銀行”的服務模式。主要是通過科學化的技術手段、人性化服務方式,實現良好的人機交互體驗效果。在智慧銀行的建設大背景下,金融安防企業可以在可視化技術、生物識別技術、語音技術、大屏顯示技術、智能分析技術、RFID(無線射頻)技術等方面提供支撐,助力金融行業走向智慧銀行階段。
2.3銀行安防網絡安全保障的重要性
銀行安防網絡作為銀行的重要信息網之一,它在銀行工作中的基礎性、全局性作用日益明顯,同時,網絡和信息安全問題也日益凸顯。隨著網絡上圍繞信息的獲取、使用和控制的斗爭愈演愈烈,網絡攻擊、網絡竊密和網上違法*等問題日漸突出,銀行安防網絡安全問題已成為銀行經濟安全的重大問題。
銀行安防網絡一旦發生安全問題,造成系統中斷、網絡癱瘓、病毒爆發或者重要信息數據丟失、泄露,勢必導致災難性的后果,給銀行工作的正常運轉帶來重大損失。加強銀行安防網絡安全工作,確保網絡安全,已成為擺在我們面前的一項十分重要而又緊迫的任務。
3.網絡安全體系模型構建
銀行安防網絡對安全的需求是任何一種單元安全技術都無法解決的。安全方案的設計必須建立在科學的網絡安全體系結構模型之上,才能保障整個網絡安全體系的完備性、合理性。
我們在信息網絡網絡安全體系結構方面作了長期的、大量的研究。我們提出了適合銀行安防網絡的網絡安全體系結構模型。該模型表現為一個三維立體框架結。
3.1安全保障設計原則
從上述網絡安全體系結構模型出發,銀行安防網絡安全設計包括以下幾個方面原則:
3.1.1機密性
保證數據內容不被未*的人竊取。阻止由于口令和文件系統的明文存儲、明文傳輸所造成的安全漏洞。
3.1.2完整性
保證數據在存儲和傳輸過程中不被非法篡改或丟失。利用數據動態加密和入侵警報,防止利用暴力破解口令、操作系統本身的漏洞直接進入系統內部對數據進行非法篡改,達到欺騙的目標,甚至直接對數據進行刪除。
3.1.3可用性
保證系統的連續正常可用。系統可提供7*24小時的不間斷服務,當出現嚴重問題時可快速自動修復或自動切換至備用服務器接替工作;在主從設備之間保持數據同步。
3.1.4認證性
保證只有*用戶才能獲取相關的訪問權限。保證帳號的*性和登陸后的*性,并且具有密碼找回功能。
3.1.5不可否認性
防止用戶對自身操作的抵賴。為每用戶建立工作日志,該特性應當符合當地法律的要求,可以成為司法取證的手段。
3.2安全保障體系設計
結合安全模型和設計原則,銀行安防網絡和信息安全保障體系的具體措施分別設計如下:
3.2.1建立應用網絡安全體系
建立一套用戶管理、權限控制和分配機制,并在應用軟件設計、應用軟件開發的全過程切實貫徹這一機制,使得在任何情況下,任何人只能獲取在其當時、當地允許獲取的信息或操作。推行PKI/PMI認證機制,關鍵應用還需采用公鑰/私鑰保護,防止*分子假冒身份登錄系統。
3.2.2建立網絡網絡安全體系
①入侵檢測系統
使用入侵檢測系統監控網絡內部的流量,能夠快速定位攻擊源頭,并能夠實現應急聯動攻擊進行阻斷。
②端點準入系統
當一個系統或用戶連接入網時,對其安全狀態進行評估,一旦系統連接入網,對其安全狀態進行連續監控,基于系統狀態,執行網絡訪問和系統修復策略。
③防止外來接入
通過接入認證、實現計算機MAC地址與交換機端口的綁定,沒有經過認證的終端接入立即就被阻斷(防止陌生的IP終端接入),可有效避免圖像網IP端口(尤其是外場端口)被盜用。
3.2.3建立全面的病毒防護體系
在網絡上部署防病毒軟件,對所有數據都進行全面的病毒防護,保護網絡上的服務器和計算機,防止病毒在網絡上蔓延。
3.2.4建立系統漏洞掃描服務
利用網絡漏洞掃描服務定期或不定期地對受保護系統進行掃描、評估。根據掃描、評估報告對網絡系統存在的高、中、低風險漏洞分別采取相應的措施進行修補,主動發現和修復各類安全隱患。
3.2.5建立主機系統網絡安全體系
視頻管理服務器和數據庫服務器配置雙機熱備,保證核心管理和數據庫的安全穩定。在應用成熟的時候,可對關鍵應用服務器升級,采用雙機熱備技術,實現應用運行故障自動倒換功能。
3.2.6建立數據存儲網絡安全體系
提供RAID、熱備等磁盤冗余保護,磁盤故障時可自動進行重建,支持RAID容量在線動態擴展,提供UPS掉電保護,提供多重報警模式,為陣列數據存儲提供全面保護。必要時提供數據的異地冗余備份。
3.2.7建立安全管理體制與管理制度
為保證各項安全措施的實施并真正發揮作用,除了注重技防以外,還必須注重人防,在技術網絡安全體系建立的同時,制定以下各項安全管理規章制度:
①人員安全管理制度
包括安全審查制度、崗位安全考核制度、安全培訓制度、安全保密契約管理、離崗人員安全管理制度等;
②文檔管理制度
各種文檔(包括書面的和電子等各種形式)必須有清晰的密級劃分,妥善管理;
③系統運行環境安全管理制度
包括機房出入控制、環境條件保障管理、自然災害防護、防護設施管理、電磁波與磁場防護等;
④應用系統運營安全管理制度
包括操作安全管理、操作權限管理、操作規范管理、操作責任管理、操作監督管理、操作恢復管理;系統啟用安全審查管理、應用軟件稽核管理、應用軟件版本安全管理、應用軟件更改安全管理、應用系統備份管理、應用軟件維護安全管理;
⑤應急安全管理制度
制訂應急案例制定和應急實施計劃、應急備用管理、應急恢復管理、應急后果評估管理。
參考文獻
[1] 信息系統安全保護等級定級指南.
[2] 信息系統安全等級保護測評準則.
[3] AndrewS.Tanenbuam.計算機網絡(第四版)[M].北京:清華大學出版社,2002.
[4] 鄧秀華.計算機網絡病毒的危害與防治[J].電腦知識與技術,2005.7.
[5] VitoAmato.思科網絡技術學院教程[M].北京:人民郵電出版社,2003.
