金融信息安全監(jiān)管闡述
前言:本站為你精心整理了金融信息安全監(jiān)管闡述范文,希望能為你的創(chuàng)作提供參考價(jià)值,我們的客服老師可以幫助你提供個(gè)性化的參考范文,歡迎咨詢(xún)。
摘要:本文闡述了金融系統(tǒng)的網(wǎng)絡(luò)安全特點(diǎn)、現(xiàn)狀和解決方案,重點(diǎn)闡述了VPN技術(shù)及其在現(xiàn)代金融管理系統(tǒng)中的實(shí)現(xiàn)與應(yīng)用。
關(guān)鍵詞:網(wǎng)絡(luò);VPN;金融;信息;安全
在現(xiàn)代金融行業(yè)里,計(jì)算機(jī)網(wǎng)絡(luò)有著廣泛全面的應(yīng)用,現(xiàn)代金融管理正朝著電子化、信息化、網(wǎng)絡(luò)安全化的方向在發(fā)展,尤其是網(wǎng)絡(luò)信息安全化發(fā)展的VPN技術(shù)在現(xiàn)代金融行業(yè)管理中起著越來(lái)越重要的作用。
一、現(xiàn)代金融網(wǎng)絡(luò)系統(tǒng)典型架構(gòu)及其安全現(xiàn)狀
就金融業(yè)目前的大部分網(wǎng)絡(luò)應(yīng)用而言,典型的省內(nèi)網(wǎng)絡(luò)結(jié)構(gòu)一般是由一個(gè)總部(省級(jí)網(wǎng)絡(luò)中心)和若干個(gè)地市分支機(jī)構(gòu)、以及數(shù)量不等的合作伙伴和移動(dòng)遠(yuǎn)程(撥號(hào))用戶(hù)所組成。除遠(yuǎn)程用戶(hù)外,其余各地市分支機(jī)構(gòu)均為規(guī)模不等的局域網(wǎng)絡(luò)系統(tǒng)。其中省級(jí)局域網(wǎng)絡(luò)是整個(gè)網(wǎng)絡(luò)系統(tǒng)的核心,為金融機(jī)構(gòu)中心服務(wù)所在地,同時(shí)也是該金融企業(yè)的省級(jí)網(wǎng)絡(luò)管理中心。而各地市及合作伙伴之間的聯(lián)接方式則多種多樣,包括遠(yuǎn)程撥號(hào)、專(zhuān)線、Internet等。
從省級(jí)和地市金融機(jī)構(gòu)的互聯(lián)方式來(lái)看,可以分為以下三種模式:(1)移動(dòng)用戶(hù)和遠(yuǎn)程機(jī)構(gòu)用戶(hù)通過(guò)撥號(hào)訪問(wèn)網(wǎng)絡(luò),撥號(hào)訪問(wèn)本身又可分為通過(guò)電話網(wǎng)絡(luò)撥入管理中心訪問(wèn)服務(wù)器和撥入網(wǎng)絡(luò)服務(wù)提供商兩種方式;(2)各地市遠(yuǎn)程金融分支機(jī)構(gòu)局域網(wǎng)通過(guò)專(zhuān)線或公共網(wǎng)絡(luò)與總部局域網(wǎng)絡(luò)連接;(3)合作伙伴(客戶(hù)、供應(yīng)商)局域網(wǎng)通過(guò)專(zhuān)線或公共網(wǎng)絡(luò)與總部局域網(wǎng)連接。
由于各類(lèi)金融機(jī)構(gòu)網(wǎng)絡(luò)系統(tǒng)均有其特定的發(fā)展歷史,其網(wǎng)絡(luò)技術(shù)的運(yùn)用也是傳統(tǒng)技術(shù)和先進(jìn)技術(shù)兼收并蓄。通常在金融機(jī)構(gòu)的網(wǎng)絡(luò)系統(tǒng)建設(shè)過(guò)程中,主要側(cè)重于網(wǎng)絡(luò)信息系統(tǒng)的穩(wěn)定性并確保金融機(jī)構(gòu)的正常生產(chǎn)營(yíng)運(yùn)。
就網(wǎng)絡(luò)信息系統(tǒng)安全而言,目前金融機(jī)構(gòu)的安全防范機(jī)制仍然是脆弱的,一般金融機(jī)構(gòu)僅利用了一些常規(guī)的安全防護(hù)措施,這些措施包括利用操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)自身的安全設(shè)施;購(gòu)買(mǎi)并部署商用的防火墻和防病毒產(chǎn)品等。在應(yīng)用程序的設(shè)計(jì)中,也僅考慮到了部分信息安全問(wèn)題。應(yīng)該說(shuō)這在金融業(yè)務(wù)網(wǎng)絡(luò)建設(shè)初期的客觀環(huán)境下是可行的,也是客觀條件限制下的必然。由于業(yè)務(wù)網(wǎng)絡(luò)系統(tǒng)中大量采用不是專(zhuān)為安全系統(tǒng)設(shè)計(jì)的各種版本的商用基礎(chǔ)軟件,這些軟件通常僅具備一些基本的安全功能,而且在安裝時(shí)的缺省配置往往更多地照顧了使用的方便性而忽略了系統(tǒng)的安全性,如考慮不周很容易留下安全漏洞。此外,金融機(jī)構(gòu)在獲得公共Internet信息服務(wù)的同時(shí)并不能可靠地獲得安全保障,Internet服務(wù)提供商(ISP)采取的安全手段都是為了保護(hù)他們自身和他們核心服務(wù)的可靠性,而不是保護(hù)他們的客戶(hù)不被攻擊,他們對(duì)于你的安全問(wèn)題的反應(yīng)可能是提供建議,也可能是盡力幫助,或者只是關(guān)閉你的連接直到你恢復(fù)正常。因此,總的來(lái)說(shuō)金融系統(tǒng)中的大部分網(wǎng)絡(luò)系統(tǒng)遠(yuǎn)沒(méi)有達(dá)到與金融系統(tǒng)信息的重要性相稱(chēng)的安全級(jí)別,有的甚至對(duì)于一些常規(guī)的攻擊手段也無(wú)法抵御,這些都是金融管理信息系統(tǒng)亟待解決的安全問(wèn)題。
二、現(xiàn)代金融網(wǎng)絡(luò)面臨的威脅及安全需求
目前金融系統(tǒng)存在的網(wǎng)絡(luò)安全威脅,就其攻擊手段而言可分為針對(duì)信息的攻擊、針對(duì)系統(tǒng)的攻擊、針對(duì)使用者的攻擊以及針對(duì)系統(tǒng)資源的攻擊等四類(lèi),而實(shí)施安全攻擊的人員則可能是外部人員,也可能是機(jī)構(gòu)內(nèi)部人員。
針對(duì)信息的攻擊是最常見(jiàn)的攻擊行為,信息攻擊是針對(duì)處于傳輸和存儲(chǔ)形態(tài)的信息進(jìn)行的,其攻擊地點(diǎn)既可以在局域網(wǎng)內(nèi),也可以在廣域網(wǎng)上。針對(duì)信息的攻擊手段的可怕之處在于其隱蔽性和突然性,攻擊者可以不動(dòng)聲色地竊取并利用信息,而無(wú)慮被發(fā)現(xiàn);犯罪者也可以在積聚足夠的信息后驟起發(fā)難,進(jìn)行敲詐勒索。此類(lèi)案件見(jiàn)諸報(bào)端層出不窮,而未公開(kāi)案例與之相比更是數(shù)以倍數(shù)。
利用系統(tǒng)(包括操作系統(tǒng)、支撐軟件及應(yīng)用系統(tǒng))固有的或系統(tǒng)配置及管理過(guò)程中的安全漏洞,穿透或繞過(guò)安全設(shè)施的防護(hù)策略,達(dá)到非法訪問(wèn)直至控制系統(tǒng)的目的,并以此為跳板,繼續(xù)攻擊其他系統(tǒng)。由于我國(guó)的網(wǎng)絡(luò)信息系統(tǒng)中大量采用不是專(zhuān)為安全系統(tǒng)設(shè)計(jì)的基礎(chǔ)軟件和支撐平臺(tái),為了照顧使用的方便性而忽略了安全性,導(dǎo)致許多安全漏洞的產(chǎn)生,如果再考慮到某些軟件供應(yīng)商出于政治或經(jīng)濟(jì)的目的,可能在系統(tǒng)中預(yù)留“后門(mén)”,因此必須采用有效的技術(shù)手段加以預(yù)防。
針對(duì)使用者的攻擊是一種看似困難卻普遍存在的攻擊途徑,攻擊者多利用管理者和使用者安全意識(shí)不強(qiáng)、管理制度松弛、認(rèn)證技術(shù)不嚴(yán)密的特點(diǎn),通過(guò)種種手段竊取系統(tǒng)權(quán)限,通過(guò)合法程序來(lái)達(dá)到非法目的,并可在事后嫁禍他人或毀滅證據(jù),導(dǎo)致此類(lèi)攻擊難以取證。
針對(duì)資源的攻擊是以各種手段耗盡系統(tǒng)某一資源,使之喪失繼續(xù)提供服務(wù)的能力,因此又稱(chēng)為拒絕服務(wù)類(lèi)攻擊。拒絕服務(wù)攻擊的高級(jí)形式為分布式拒絕服務(wù)攻擊,即攻擊者利用其所控制的成百上千個(gè)系統(tǒng)同時(shí)發(fā)起攻擊,迫使攻擊對(duì)象癱瘓。由于針對(duì)資源的攻擊利用的是現(xiàn)有的網(wǎng)絡(luò)架構(gòu),尤其是Internet以及TCP/IP協(xié)議的固有缺陷,因此在網(wǎng)絡(luò)的基礎(chǔ)設(shè)施沒(méi)有得到大的改進(jìn)前,難以徹底解決。
金融的安全需求安全包括五個(gè)基本要素:機(jī)密性、完整性、可用性、可審查性和可控性。目前國(guó)內(nèi)金融機(jī)構(gòu)的網(wǎng)絡(luò)信息系統(tǒng)應(yīng)重點(diǎn)解決好網(wǎng)絡(luò)內(nèi)部的信息流動(dòng)及操作層面所面臨的安全問(wèn)題,即總部和分支機(jī)構(gòu)及合作伙伴之間在各個(gè)層次上的信息傳輸安全和網(wǎng)絡(luò)訪問(wèn)控制問(wèn)題。網(wǎng)絡(luò)系統(tǒng)需要解決的關(guān)鍵安全問(wèn)題概括起來(lái)主要有:傳輸信息的安全、節(jié)點(diǎn)身份認(rèn)證、交易的不可抵賴(lài)性和對(duì)非法攻擊事件的可追蹤性。
必須指出:網(wǎng)絡(luò)信息系統(tǒng)是由人參與的信息環(huán)境,建立良好的安全組織和管理是首要的安全需求,也是一切安全技術(shù)手段得以有效發(fā)揮的基礎(chǔ)。金融行業(yè)需要的是集組織、管理和技術(shù)為一體的完整的安全解決方案。
三、網(wǎng)絡(luò)安全基本技術(shù)與VPN技術(shù)
解決網(wǎng)絡(luò)信息系統(tǒng)安全保密問(wèn)題的兩項(xiàng)主要基礎(chǔ)技術(shù)為網(wǎng)絡(luò)訪問(wèn)控制技術(shù)和密碼技術(shù)。網(wǎng)絡(luò)訪問(wèn)控制技術(shù)用于對(duì)系統(tǒng)進(jìn)行安全保護(hù),抵抗各種外來(lái)攻擊。密碼技術(shù)用于加密隱蔽傳輸信息、認(rèn)證用戶(hù)身份、抗否認(rèn)等。
密碼技術(shù)是實(shí)現(xiàn)網(wǎng)絡(luò)安全的最有效的技術(shù)之一,實(shí)際上,數(shù)據(jù)加密作為一項(xiàng)基本技術(shù)已經(jīng)成為所有通信數(shù)據(jù)安全的基石。在多數(shù)情況下,數(shù)據(jù)加密是保證信息機(jī)密性的唯一方法。一個(gè)加密網(wǎng)絡(luò),不但可以防止非授權(quán)用戶(hù)的搭線竊聽(tīng)和入網(wǎng),而且也是對(duì)付惡意軟件的有效方法,這使得它能以較小的代價(jià)提供很強(qiáng)的安全保護(hù),在現(xiàn)代金融的網(wǎng)絡(luò)安全的應(yīng)用上起著非常關(guān)鍵的作用。
虛擬專(zhuān)用網(wǎng)絡(luò)(VPN:VirtualPrivateNetwork)技術(shù)就是在網(wǎng)絡(luò)層通過(guò)數(shù)據(jù)包封裝技術(shù)和密碼技術(shù),使數(shù)據(jù)包在公共網(wǎng)絡(luò)中通過(guò)“加密管道”傳播,從而在公共網(wǎng)絡(luò)中建立起安全的“專(zhuān)用”網(wǎng)絡(luò)。利用VPN技術(shù),金融機(jī)構(gòu)只需要租用本地的數(shù)據(jù)專(zhuān)線,連接上本地的公眾信息網(wǎng),各地的機(jī)構(gòu)就可以互相安全的傳遞信息;另外,金融機(jī)構(gòu)還可以利用公眾信息網(wǎng)的撥號(hào)接入設(shè)備,讓自己的用戶(hù)撥號(hào)到公眾信息網(wǎng)上,就可以安全的連接進(jìn)入金融機(jī)構(gòu)網(wǎng)絡(luò)中,進(jìn)行各類(lèi)網(wǎng)絡(luò)結(jié)算和匯兌。
綜合利用網(wǎng)絡(luò)互聯(lián)的隧道技術(shù)、數(shù)據(jù)加密技術(shù)、網(wǎng)絡(luò)訪問(wèn)控制技術(shù),并通過(guò)適當(dāng)?shù)拿荑€管理機(jī)制,在公共的網(wǎng)絡(luò)基礎(chǔ)設(shè)施上建立安全的虛擬專(zhuān)用網(wǎng)絡(luò)系統(tǒng),可以實(shí)現(xiàn)完整的集成化金融機(jī)構(gòu)范圍VPN安全解決方案。對(duì)于現(xiàn)行的金融行業(yè)網(wǎng)絡(luò)應(yīng)用系統(tǒng),采用VPN技術(shù)可以在不影響現(xiàn)行業(yè)務(wù)系統(tǒng)正常運(yùn)行的前提下,極大地提高系統(tǒng)的安全性能,是一種較為理想的基礎(chǔ)解決方案。
當(dāng)今VPN技術(shù)中對(duì)數(shù)據(jù)包的加解密一般應(yīng)用在網(wǎng)絡(luò)層(對(duì)于TCP/IP網(wǎng)絡(luò),發(fā)生在IP層),從而既克服了傳統(tǒng)的鏈(線)路加密技術(shù)對(duì)通訊方式、傳輸介質(zhì)、傳輸協(xié)議依賴(lài)性高,適應(yīng)性差,無(wú)統(tǒng)一標(biāo)準(zhǔn)等缺陷,又避免了應(yīng)用層端——端加密管理復(fù)雜、互通性差、安裝和系統(tǒng)遷移困難等問(wèn)題,使得VPN技術(shù)具有節(jié)省成本、適應(yīng)性好、標(biāo)準(zhǔn)化程度高、便于管理、易于與其他安全和系統(tǒng)管理技術(shù)融合等優(yōu)勢(shì),成為目前和今后金融安全網(wǎng)絡(luò)發(fā)展的一個(gè)必然趨勢(shì)。
從應(yīng)用上看虛擬專(zhuān)用網(wǎng)可以分為虛擬企業(yè)網(wǎng)和虛擬專(zhuān)用撥號(hào)網(wǎng)絡(luò)(VPDN)。虛擬企業(yè)網(wǎng)主要是使用專(zhuān)線上網(wǎng)的部分企業(yè)、合作伙伴間的虛擬專(zhuān)網(wǎng);虛擬專(zhuān)用撥號(hào)網(wǎng)絡(luò)是使用電話撥號(hào)(PPP撥號(hào))上網(wǎng)的遠(yuǎn)程用戶(hù)與企業(yè)網(wǎng)間的虛擬專(zhuān)網(wǎng)。虛擬專(zhuān)網(wǎng)的重點(diǎn)在于建立安全的數(shù)據(jù)通道,構(gòu)造這條安全通道的協(xié)議應(yīng)該具備以下條件:保證數(shù)據(jù)的真實(shí)性,通訊主機(jī)必須是經(jīng)過(guò)授權(quán)的,要有抵抗地址假冒(IPSpoofing)的能力。保證數(shù)據(jù)的完整性,接收到的數(shù)據(jù)必須與發(fā)送時(shí)的一致,要有抵抗不法分子篡改數(shù)據(jù)的能力。保證通道的機(jī)密性,提供強(qiáng)有力的加密手段,必須使竊聽(tīng)者不能破解攔截到的通道數(shù)據(jù)。提供動(dòng)態(tài)密鑰交換功能和集中安全管理服務(wù)。提供安全保護(hù)措施和訪問(wèn)控制,具有抵抗黑客通過(guò)VPN通道攻擊企業(yè)網(wǎng)絡(luò)的能力,并且可以對(duì)VPN通道進(jìn)行訪問(wèn)控制。
針對(duì)現(xiàn)行的金融機(jī)構(gòu)的網(wǎng)絡(luò)信息安全,VPN具有以下優(yōu)點(diǎn):(1)降低成本。不必租用長(zhǎng)途專(zhuān)線建設(shè)專(zhuān)網(wǎng),不必大量的網(wǎng)絡(luò)維護(hù)人員和設(shè)備投資;(2)容易擴(kuò)展。網(wǎng)絡(luò)路由設(shè)備配置簡(jiǎn)單,無(wú)需增加太多的設(shè)備,省時(shí)省錢(qián);(3)完全控制主動(dòng)權(quán)。VPN上的設(shè)施和服務(wù)完全掌握在金融機(jī)構(gòu)自己的手中。比方說(shuō),金融機(jī)構(gòu)可以把撥號(hào)訪問(wèn)交給網(wǎng)絡(luò)服務(wù)商(NSP)去做,由自己負(fù)責(zé)用戶(hù)的查驗(yàn)、訪問(wèn)權(quán)、網(wǎng)絡(luò)地址、安全性和網(wǎng)絡(luò)變化管理等重要工作。
綜上所述,VPN技術(shù)使金融行業(yè)各部門(mén)的內(nèi)部信息可以跨越公共網(wǎng)絡(luò)進(jìn)行傳輸,如同在各金融機(jī)構(gòu)各部門(mén)之間架起眾多的“虛擬專(zhuān)用”的網(wǎng)絡(luò)連接線,同時(shí),VPN為每個(gè)用戶(hù)定義出各自相應(yīng)的網(wǎng)絡(luò)空間,根據(jù)使用者的身份和權(quán)限,直接將他們引導(dǎo)到應(yīng)該接觸的信息環(huán)境中去,針對(duì)目前金融管理的信息安全存在的隱患,VPN技術(shù)可以彌補(bǔ)這些缺點(diǎn)。VPN作為廣域網(wǎng)的一種新形式,確實(shí)為金融行業(yè)在新世紀(jì)提供了一個(gè)系統(tǒng)實(shí)用的技術(shù)平臺(tái)。總之,VPN技術(shù)擁有很吸引人的優(yōu)點(diǎn),隨著VPN技術(shù)發(fā)展的不斷完善,在未來(lái)的金融管理信息安全領(lǐng)域里,將會(huì)起著至關(guān)重要的作用。
參考文獻(xiàn):
1.戴相龍,桂世鏞.中國(guó)金融改革與發(fā)展.北京:中國(guó)金融出版社,2000.
2.Anonymous.MaximunSecurityThirdEdition.北京:機(jī)械工業(yè)出版社,2003.
3.董玉格等.網(wǎng)絡(luò)安全與實(shí)用防護(hù)技術(shù).北京:人民郵電出版社,2002.
