银行网络安全需防微杜渐
2002-04-01   网络

应该说，银行业对网络系统的安全性是非常重视的，也采取了许多安全控制措施，但总的来说，仍存在不少问题。

安全隐患的三个方面

目前，银行网络系统潜在的安全隐患主要来自以下三个方面：计算机病毒、网络协议分析软件的流行和各种黑客资料的泛滥。

计算机病毒日益智能化网络化

病毒体具有网络容错功能，当清除某一台机器的病毒后，不影响整个病毒的破坏能力，分布在网络上病毒的其它部分可以通过网络系统重新感染被清除了病毒的计算机。 作为网络用户，特别是银行系统要对此引起足够的重视。

网络协议分析软件随处可见 在过去，网络协议分析软件价格昂贵，但现在，由于Internet的普及，过去数十万一套的网络协议分析软件已能很容易地从Internet上取得。网络协议分析软件本身是一把双刃剑。一方面，若使用恰当，可以用来排除各种网络故障、监视网络系统、防止黑客 的 侵入。另一方面，网络协议分析软件也可以被黑客用来截获并分析网络通信中的所有数据，如用户密码、交易数据等，从而对网络的安全构成极大的威胁。值得注意的是，虽然这些网络协议分析软件的功能异常强大，但并不要求使用者对计算机或网络通信协议有深入的了解，即对于普通的电脑用户，也可以通过网络协议分析软件来截取网络上的各种数据，这无疑对网络系统的安全提出了更高的要求。对于银行的网络系统来说，网络安全控制的一项基本要求是保证银行数据在网络传输过程中不被修改，而修改网络传输中银行数据的最有效办法是使用某种网络协议分析软件。因此，为保证银行网络系统的安全运行，必须制定和采用各种有效的网络安全监控措施，及 时发现银行网络系统中可能存在的非法网络协议分析软件。

电脑黑客有趋升势头

目前国内的电脑黑客活动远没有发达国家的多，但一二年后，电脑黑客活动将大大增加，从而也将使国内的银行网络系统更加直接面对各种电脑黑客的威胁，这些电脑黑客既可能来自银行内部，也可能来自银行外部。另一个值得注意的动向是，电脑黑客对网络系统的攻击方法以及所使用的工具也正向智能化、网络化发展，并已出现了一些利用网络最新技术的智能化工具软件。

银行网络系统安全重在控制

国内金融行业应采取切实有效的安全控制对策来确保银行网络系统的安全运行。

加固防火墙

Internet 的防火墙技术目前已比较成熟，简单的防火墙技术可以在路由器上直接实现，主要方法是 IP 地址过滤，即在做为防火墙的路由器上建立允许接入的源IP地址列表和目的IP地址列表，只允许源IP地址列表、目的IP地址列表上计算机的IP数据进入指定的业务网络系统。在银行的网络中心或关键之处建立专用的防火墙可有效地防止非法IP地址的计算机进入其业务网络系统。

推广IC卡技术

IC卡技术应用于银行网络系统的安全控制，可以有效保证银行交易数据在传输过程的完整性。IC卡在银行网络安全中的应用主要有：一是存贮密钥，二是对数字签名数据在传输过程中进行加密或解密。 IC卡技术应用于银行的网络安全控制在国内外已有不少成功的例子，无疑是一项值得推广的技术。

完善安全监控制度

加强网络管理和安全监控、及时记录和发现银行网络系统在运行过程中出现的各种问题，是保证银行网络系统安全运行的最重要的一个方面。目前银行网络系统中均有安全监控系统，能记录各种非正常操作。对这些安全监控记录的及时检查、分析，能使我们及早发现网络系统绝大部分潜在的安全问题。

提防病毒、黑客联手

去年下半年爆发的红色代码（CodeRed）和尼姆达（Nimda）病毒，彻底打破了以往病毒与黑客“井水不犯河水”的规律，使病毒形态发生了根本的变化。红色代码和尼姆达等病毒以蠕虫行为与黑客相结合的方式，在网络上瞬间繁衍变种病毒，对广大计算机用户进行了前所未有的猛烈攻击。相应地市场对个人防毒软件的要求也发生了很大变化，不仅限于以往的防毒软件只杀病毒，防火墙只防黑客，而是呼唤全能型的防毒软件。

趋势科技公司推出的防毒精灵2002可全面防、查、杀十大入侵途径，包括软盘、网站浏览、文件下载、局域网、BBS、E-mail、网络共享文件夹、CD-ROM、PDA等无线病毒、ICQ等聊天软件。随时检测是否有病毒入侵或破坏系统，包括程序执行前病毒检查、文件由外界（磁盘、Internet、BBS、局域网）拷贝进入系统的实时病毒检查，及磁盘插入时的引导型病毒检查，构筑最严密的安全环境。趋势科技中国区总经理吕理臣表示，这款全新的防毒软件具有瞬间自动升级、独创预测杀毒和隐形防火墙三大特点。