摘要:銀行安防網(wǎng)絡采用了Internet的組網(wǎng)技術(shù)和應用技術(shù),也同樣存在著當今互聯(lián)網(wǎng)絡共通的安全問題。隨著各家銀行安防服務器上運行的軟件系統(tǒng)的規(guī)模越來越大,復雜度越來越高,大量的漏洞不斷涌現(xiàn),構(gòu)建銀行安防網(wǎng)絡安全保障體系就迫在眉睫。本文結(jié)合各家銀行的實際,就銀行安防網(wǎng)絡涉及到的安全問題進行深入研究,分析了目前銀行安防網(wǎng)絡已發(fā)現(xiàn)的一系列安全問題以及存在的安全隱患,提出了相應的解決方法。
隨著整個社會的信息化發(fā)展,各家銀行安防系統(tǒng)的日益復雜,各家銀行安防系統(tǒng)對信息網(wǎng)絡的依賴性越來越強,對信息網(wǎng)絡安全的要求也越來越高。如果不能解決安全問題將直接影響到各家銀行的經(jīng)營管理,甚至危及各家銀行的安全。
銀行安防網(wǎng)絡是實現(xiàn)銀行各個安防子系統(tǒng)之間信息共享、快速反應和運行重要保證。網(wǎng)絡安全保障體系首先保證網(wǎng)絡的安全、可靠運行,在此基礎上保證應用系統(tǒng)和業(yè)務的保密性、完整性和高度的可用性,同時為將來的應用提供可擴展的空間。因此,銀行安防網(wǎng)絡信息安全保障系統(tǒng)成為各家銀行信息化建設過程中*的重要組成部分。
本文結(jié)合筆者在銀行業(yè)安防工程中的多年經(jīng)驗和體會,研究整理了一套體系化的安全保障策略,在后面章節(jié)中逐一展開,與大家分享。
1.概述
1.1網(wǎng)絡安全
網(wǎng)絡安全是指網(wǎng)絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統(tǒng)連續(xù)可靠正常地運行。從其本質(zhì)上講,網(wǎng)絡安全就是網(wǎng)絡上的信息安全。從廣義上來說,凡是涉及到網(wǎng)絡上信息的保密性、完整性、可用性、真實性和可控性的相關技術(shù)和理論都是網(wǎng)絡安全。
網(wǎng)絡安全分為兩大范疇,即通信安全范疇和計算機安全范疇。通信安全是對通信過程中所傳輸?shù)男畔⑹┘颖Wo,它包含操作系統(tǒng)安全、數(shù)據(jù)庫系統(tǒng)安全和網(wǎng)絡站點安全。通信安全和計算機安全措施需要與其它類型的安全措施,諸如物理安全和人員安全措施配合使用,才能更有效地發(fā)揮作用。
隨著計算機網(wǎng)絡的不斷發(fā)展,網(wǎng)絡上信息資源的豐富使得普通人很容易就能夠掌握各種計算機技術(shù),迅速找到各種軟件的漏洞;此外,計算機安全知識涉及的面太廣,包括網(wǎng)絡企業(yè)都難于采取有效的措施對網(wǎng)絡進行安全防護。這幾個因素使得安全威脅飛速增長,尤其是混合威脅所帶來的風險。 黑客攻擊、蠕蟲病毒、木馬后門、間諜軟件等威脅泛濫,企業(yè)的機密數(shù)據(jù)被盜竊,重要數(shù)據(jù)被篡改、破壞,遭受了嚴重的經(jīng)濟損失。所以網(wǎng)絡與信息安全已成為各家企業(yè)函待解決的重大關鍵問題。對于各家銀行安防網(wǎng)路的網(wǎng)上信息的安全和保密尤為重要,因此,網(wǎng)絡的安全措施應能地針對各種不同的威脅和脆弱性,這樣才能確保網(wǎng)絡信息的保密性、完整性和可用性。
1.2計算機網(wǎng)絡面臨的威脅
計算機網(wǎng)絡所面臨的威肋、大體可分為兩種:一是對網(wǎng)絡中信息的威脅;二是對網(wǎng)絡中設備的威脅。針對網(wǎng)絡安全的威肋、主要有以下幾種:一是人為的無意失誤,如由于配置問題造成的安全漏洞,用戶口令太弱等;二是人為的惡意攻擊,計算機*就屬于這一類。主要分為主動攻擊和被動攻擊;三是網(wǎng)絡軟件的漏洞和“后門”這類威脅所引起的事件主要還是因為安全措施不健全的緣故。
2.銀行安防系統(tǒng)信息化建設工作
銀行的安防體系是由人防系統(tǒng)、技防系統(tǒng)、物防系統(tǒng)和管理系統(tǒng)多角度多緯度復合型的安全技術(shù)防范體系。技防系統(tǒng)中常見的安防子系統(tǒng)包括入侵報警、出入口控制、語音對講、視頻監(jiān)控等。上述四個安防子系統(tǒng)都有一個共有的特性,即各子系統(tǒng)的建設都會關注到“網(wǎng)絡化”、“可視化”、“信息化”,同時這也是現(xiàn)階段銀行安防行業(yè)發(fā)展的特征點。為適應社會形勢的變化和銀行自身發(fā)展的要求,提率,開展銀行安防系統(tǒng)信息化的建設是刻不容緩的。
2.1銀行安防系統(tǒng)信息化的現(xiàn)狀
技防系統(tǒng)中常見的安防子系統(tǒng)包括入侵報警、出入口控制、語音對講、視頻監(jiān)控等。下面主要對這四種安防子系統(tǒng)信息化建設做一個現(xiàn)狀分析。
入侵報警
入侵報警近些年發(fā)展的一個明顯特征是設備實現(xiàn)IP化,由前期單一的線等模擬線路傳輸發(fā)展成支持以太網(wǎng)傳輸、GPRS無線傳輸?shù)榷喾N網(wǎng)絡傳輸技術(shù)。同時在應用上提供二次開發(fā)接口,形成產(chǎn)品形態(tài)趨于一體化發(fā)展態(tài)勢。由單一的報警主機設備發(fā)展成提供智能報警平臺相關的產(chǎn)品,其中部分廠家還推出了帶視頻功能的報警主機,并支持可視化的入侵報警系統(tǒng)產(chǎn)品。
出入口控制
出入口控制系統(tǒng)近些年的一個明顯特征也趨向IP化發(fā)展,眾多廠家不斷推出支持以太網(wǎng)傳輸?shù)南嚓P設備,同時也引入了眾多新技術(shù),如指靜脈技術(shù)、視頻生物識別技術(shù)、RFID技術(shù)、智能技術(shù)、移動互聯(lián)技術(shù)等,使得現(xiàn)在的出入口控制系統(tǒng)更加智能化、可視化、人性化。
語言對講系統(tǒng)
語音對講系統(tǒng)近些年主要的變化是IP語音對講系統(tǒng)逐漸取代了傳統(tǒng)的模擬語音系統(tǒng),實現(xiàn)將視頻融入IP對講,形成可視化對講系統(tǒng)。例如:自助銀行中的語音對講系統(tǒng)。
視頻監(jiān)控
視頻監(jiān)控是安防監(jiān)控可視化中管理的核心,其投資占比在整個銀行安防產(chǎn)品中約占較大份額。結(jié)合近些年的視頻監(jiān)控發(fā)展的分析,可以總結(jié)為:“高清化”、“網(wǎng)絡化”、“智能化”。高清化指的是支持高清的前后端設備快速應用,網(wǎng)絡化指的視頻監(jiān)控的IPC、NVR、解碼設備等使用網(wǎng)絡型的設備使用量快速上升,而智能化指的是視頻設備逐漸向智能化發(fā)展,具備智能功能視頻監(jiān)控設備越來越多。
除了各子系統(tǒng)的發(fā)展都會關注到“網(wǎng)絡化”、“可視化”、“信息化”之外,銀行安防技術(shù)發(fā)展的另一個特征就是聯(lián)網(wǎng)平臺及監(jiān)控中心的建設進入一個活躍期。國有銀行、股份銀行以及區(qū)域性銀行進行聯(lián)網(wǎng)平臺的選型及全行聯(lián)網(wǎng)不斷建設。在這一過程中,有幾個重要特點:視頻報警聯(lián)網(wǎng)基礎應用、安防各子系統(tǒng)深度集成與安防與業(yè)務管理深入融合三者并重;普遍遵循了GB/T28181《安全防范視頻監(jiān)控聯(lián)網(wǎng)系統(tǒng)信息傳輸、交換、控制技術(shù)要求》國家標準。
2.2銀行安防系統(tǒng)信息化的展望
安防系統(tǒng)信息化在zui近幾年發(fā)展極為迅速,其中一個重要的支撐點就是安防技術(shù)的快速發(fā)展,從而不斷推動該行業(yè)的快速發(fā)展。那么未來幾年,銀行安防系統(tǒng)信息化發(fā)展的趨勢有哪些呢?有哪些技術(shù)會推動銀行安防行業(yè)的發(fā)展呢?用以下幾個詞語能基本概括——“網(wǎng)絡高清”、“智能化”、“大數(shù)據(jù)”、“業(yè)務融合”、“智慧銀行”,針對這些技術(shù)發(fā)展趨勢下面進行簡要分析:
網(wǎng)絡高清
這一發(fā)展趨勢的重點關注點在于“網(wǎng)絡”,而不在于“高清”。隨著高分辨率、更寬廣的監(jiān)控視野,設備經(jīng)濟適用性更好,高清監(jiān)控已經(jīng)成為金融安防一致認可的趨勢,毫無爭議。在安防行業(yè)進入IP大時代的今天,金融行業(yè)作為安防規(guī)模化應用的行業(yè),自然也會緊跟這一潮流,網(wǎng)絡高清的代表就是IPC和NVR。同時隨著攝像機芯片計算性能的提高,編碼技術(shù)的升級換代,使得網(wǎng)絡高清之前所面臨的延時問題、傳輸帶寬問題、存儲空間問題等目前都已得到相關技術(shù)解決。
智能化
監(jiān)控視頻的高清化為行業(yè)的智能化奠定了良好基礎,智能分析不斷深入應用銀行安防行業(yè),未來的智能化技術(shù)將會集中呈現(xiàn)“前置化”、“體系化”等特點,即智能分析計算從后臺服務分析走向前端設備自行分析,真正的智能應用將會是前端、后端、平臺、傳輸?shù)纫惑w化的智能。
業(yè)務融合
隨著對金融安防管理要求越來越高,不僅僅要滿足安全防范的功能,同時還要滿足對金融機構(gòu)各個日常經(jīng)營業(yè)務管理的需求。例如對各營業(yè)網(wǎng)點經(jīng)營秩序的遠程檢查、對工作人員的遠程督察、對客戶投訴的事后認證和處理、對相關業(yè)務管理中音視頻數(shù)據(jù)與業(yè)務管理系統(tǒng)的無縫結(jié)合等。即需要聯(lián)網(wǎng)平臺軟件具有和金融業(yè)務系統(tǒng)進行深度融合的功能。例如支持實時事件的在線標志、支持多媒體檔案庫的管理、支持數(shù)字視頻加密、支持專屬部門和個人的監(jiān)控分組、支持音視頻數(shù)據(jù)片段式管理等。zui近**發(fā)文要求對理財產(chǎn)品交易行為要有完整的音視頻采集錄像,要求安防系統(tǒng)所提供音視頻數(shù)據(jù)將作為銀行業(yè)務系統(tǒng)的數(shù)據(jù)支撐。
以金融用戶業(yè)務管理需求為導向,將安防系統(tǒng)與業(yè)務管理系統(tǒng)深度整合,視頻資源作為工具提供給業(yè)務管理者,實現(xiàn)金融安防系統(tǒng)與業(yè)務系統(tǒng)的無縫對接。
大數(shù)據(jù)
云計算、云存儲等技術(shù)在金融安防行業(yè)已經(jīng)成功應用,例如在銀行大樓監(jiān)控項目,金庫項目中“私有云平臺”的項目逐漸增多,云技術(shù)不再是空中樓閣。隨著全行聯(lián)網(wǎng)的逐步實現(xiàn)帶來的海量數(shù)據(jù)匯聚,安防系統(tǒng)與業(yè)務系統(tǒng)融合的業(yè)務需求不斷凸顯,安防管理水平要求的不斷提高,同時視頻結(jié)構(gòu)化技術(shù)的逐步成熟,大數(shù)據(jù)應用會在出金融安防行業(yè)逐步出現(xiàn)。即該應用的出現(xiàn)將幫助金融行業(yè)管理決策從“經(jīng)驗依賴”轉(zhuǎn)向“數(shù)據(jù)依據(jù)”,zui終數(shù)據(jù)的有效利用將催生出很多新的關于金融行業(yè)的智能應用。
助力智慧銀行
智慧銀行是傳統(tǒng)銀行、網(wǎng)絡銀行的階段,目前國內(nèi)很多銀行通過提高自身的特征性、職能化和多樣化等方面來打造出“智慧銀行”的服務模式。主要是通過科學化的技術(shù)手段、人性化服務方式,實現(xiàn)良好的人機交互體驗效果。在智慧銀行的建設大背景下,金融安防企業(yè)可以在可視化技術(shù)、生物識別技術(shù)、語音技術(shù)、大屏顯示技術(shù)、智能分析技術(shù)、RFID(無線射頻)技術(shù)等方面提供支撐,助力金融行業(yè)走向智慧銀行階段。
2.3銀行安防網(wǎng)絡安全保障的重要性
銀行安防網(wǎng)絡作為銀行的重要信息網(wǎng)之一,它在銀行工作中的基礎性、全局性作用日益明顯,同時,網(wǎng)絡和信息安全問題也日益凸顯。隨著網(wǎng)絡上圍繞信息的獲取、使用和控制的斗爭愈演愈烈,網(wǎng)絡攻擊、網(wǎng)絡竊密和網(wǎng)上違法*等問題日漸突出,銀行安防網(wǎng)絡安全問題已成為銀行經(jīng)濟安全的重大問題。
銀行安防網(wǎng)絡一旦發(fā)生安全問題,造成系統(tǒng)中斷、網(wǎng)絡癱瘓、病毒爆發(fā)或者重要信息數(shù)據(jù)丟失、泄露,勢必導致災難性的后果,給銀行工作的正常運轉(zhuǎn)帶來重大損失。加強銀行安防網(wǎng)絡安全工作,確保網(wǎng)絡安全,已成為擺在我們面前的一項十分重要而又緊迫的任務。
3.網(wǎng)絡安全體系模型構(gòu)建
銀行安防網(wǎng)絡對安全的需求是任何一種單元安全技術(shù)都無法解決的。安全方案的設計必須建立在科學的網(wǎng)絡安全體系結(jié)構(gòu)模型之上,才能保障整個網(wǎng)絡安全體系的完備性、合理性。
我們在信息網(wǎng)絡網(wǎng)絡安全體系結(jié)構(gòu)方面作了長期的、大量的研究。我們提出了適合銀行安防網(wǎng)絡的網(wǎng)絡安全體系結(jié)構(gòu)模型。該模型表現(xiàn)為一個三維立體框架結(jié)。
3.1安全保障設計原則
從上述網(wǎng)絡安全體系結(jié)構(gòu)模型出發(fā),銀行安防網(wǎng)絡安全設計包括以下幾個方面原則:
3.1.1機密性
保證數(shù)據(jù)內(nèi)容不被未*的人竊取。阻止由于口令和文件系統(tǒng)的明文存儲、明文傳輸所造成的安全漏洞。
3.1.2完整性
保證數(shù)據(jù)在存儲和傳輸過程中不被非法篡改或丟失。利用數(shù)據(jù)動態(tài)加密和入侵警報,防止利用暴力破解口令、操作系統(tǒng)本身的漏洞直接進入系統(tǒng)內(nèi)部對數(shù)據(jù)進行非法篡改,達到欺騙的目標,甚至直接對數(shù)據(jù)進行刪除。
3.1.3可用性
保證系統(tǒng)的連續(xù)正常可用。系統(tǒng)可提供7*24小時的不間斷服務,當出現(xiàn)嚴重問題時可快速自動修復或自動切換至備用服務器接替工作;在主從設備之間保持數(shù)據(jù)同步。
3.1.4認證性
保證只有*用戶才能獲取相關的訪問權(quán)限。保證帳號的*性和登陸后的*性,并且具有密碼找回功能。
3.1.5不可否認性
防止用戶對自身操作的抵賴。為每用戶建立工作日志,該特性應當符合當?shù)胤傻囊螅梢猿蔀樗痉ㄈ∽C的手段。
3.2安全保障體系設計
結(jié)合安全模型和設計原則,銀行安防網(wǎng)絡和信息安全保障體系的具體措施分別設計如下:
3.2.1建立應用網(wǎng)絡安全體系
建立一套用戶管理、權(quán)限控制和分配機制,并在應用軟件設計、應用軟件開發(fā)的全過程切實貫徹這一機制,使得在任何情況下,任何人只能獲取在其當時、當?shù)卦试S獲取的信息或操作。推行PKI/PMI認證機制,關鍵應用還需采用公鑰/私鑰保護,防止*分子假冒身份登錄系統(tǒng)。
3.2.2建立網(wǎng)絡網(wǎng)絡安全體系
①入侵檢測系統(tǒng)
使用入侵檢測系統(tǒng)監(jiān)控網(wǎng)絡內(nèi)部的流量,能夠快速定位攻擊源頭,并能夠?qū)崿F(xiàn)應急聯(lián)動攻擊進行阻斷。
②端點準入系統(tǒng)
當一個系統(tǒng)或用戶連接入網(wǎng)時,對其安全狀態(tài)進行評估,一旦系統(tǒng)連接入網(wǎng),對其安全狀態(tài)進行連續(xù)監(jiān)控,基于系統(tǒng)狀態(tài),執(zhí)行網(wǎng)絡訪問和系統(tǒng)修復策略。
③防止外來接入
通過接入認證、實現(xiàn)計算機MAC地址與交換機端口的綁定,沒有經(jīng)過認證的終端接入立即就被阻斷(防止陌生的IP終端接入),可有效避免圖像網(wǎng)IP端口(尤其是外場端口)被盜用。
3.2.3建立全面的病毒防護體系
在網(wǎng)絡上部署防病毒軟件,對所有數(shù)據(jù)都進行全面的病毒防護,保護網(wǎng)絡上的服務器和計算機,防止病毒在網(wǎng)絡上蔓延。
3.2.4建立系統(tǒng)漏洞掃描服務
利用網(wǎng)絡漏洞掃描服務定期或不定期地對受保護系統(tǒng)進行掃描、評估。根據(jù)掃描、評估報告對網(wǎng)絡系統(tǒng)存在的高、中、低風險漏洞分別采取相應的措施進行修補,主動發(fā)現(xiàn)和修復各類安全隱患。
3.2.5建立主機系統(tǒng)網(wǎng)絡安全體系
視頻管理服務器和數(shù)據(jù)庫服務器配置雙機熱備,保證核心管理和數(shù)據(jù)庫的安全穩(wěn)定。在應用成熟的時候,可對關鍵應用服務器升級,采用雙機熱備技術(shù),實現(xiàn)應用運行故障自動倒換功能。
3.2.6建立數(shù)據(jù)存儲網(wǎng)絡安全體系
提供RAID、熱備等磁盤冗余保護,磁盤故障時可自動進行重建,支持RAID容量在線動態(tài)擴展,提供UPS掉電保護,提供多重報警模式,為陣列數(shù)據(jù)存儲提供全面保護。必要時提供數(shù)據(jù)的異地冗余備份。
3.2.7建立安全管理體制與管理制度
為保證各項安全措施的實施并真正發(fā)揮作用,除了注重技防以外,還必須注重人防,在技術(shù)網(wǎng)絡安全體系建立的同時,制定以下各項安全管理規(guī)章制度:
①人員安全管理制度
包括安全審查制度、崗位安全考核制度、安全培訓制度、安全保密契約管理、離崗人員安全管理制度等;
②文檔管理制度
各種文檔(包括書面的和電子等各種形式)必須有清晰的密級劃分,妥善管理;
③系統(tǒng)運行環(huán)境安全管理制度
包括機房出入控制、環(huán)境條件保障管理、自然災害防護、防護設施管理、電磁波與磁場防護等;
④應用系統(tǒng)運營安全管理制度
包括操作安全管理、操作權(quán)限管理、操作規(guī)范管理、操作責任管理、操作監(jiān)督管理、操作恢復管理;系統(tǒng)啟用安全審查管理、應用軟件稽核管理、應用軟件版本安全管理、應用軟件更改安全管理、應用系統(tǒng)備份管理、應用軟件維護安全管理;
⑤應急安全管理制度
制訂應急案例制定和應急實施計劃、應急備用管理、應急恢復管理、應急后果評估管理。
參考文獻
[1] 信息系統(tǒng)安全保護等級定級指南.
[2] 信息系統(tǒng)安全等級保護測評準則.
[3] AndrewS.Tanenbuam.計算機網(wǎng)絡(第四版)[M].北京:清華大學出版社,2002.
[4] 鄧秀華.計算機網(wǎng)絡病毒的危害與防治[J].電腦知識與技術(shù),2005.7.
[5] VitoAmato.思科網(wǎng)絡技術(shù)學院教程[M].北京:人民郵電出版社,2003.
