银行信息安全(精选十篇)
银行信息安全 篇1
1 网络银行的内涵与分类
1.1 网络隐含的内涵
网络银行, 又被称为网络银行, 简称为“网银”。它是随着我国网络事业的快速发展而发展起来的, 商业银行主要是在上个世纪九十年代, 进军网络市场的, 逐渐形成了一个网络支付与购物统一的服务进程。世界上第一家网络银行于一九九五年十月在美国成功的建立起来, 这一成立主要标志着世界上第一个用网络银行冠名的组织。
我国的网络银行研究者们, 对网络银行的定义是, 利用银行自身内部的计算机网络或者其他的公共网络, 运用到每个运用网络银行的民众的电脑中, 为使用它的民众们提供相关的金融服务。例如, 对网上购物的支付等行为。
1.2 网络银行的分类
网络银行主要有两种分类方法, 具体列举如下。
1.2.1 广义的网络银行
广义的网络银行, 主要包括远程银行以及纯网络银行两种。在我国当前网络银行发展的这种情况下, 各个网络银行都是在实体银行发展的前提下, 负责发展网络银行这方面事业的。
1.2.2 狭义的网络银行
狭义的网络银行, 有一个别称, 那就是“纯网络银行”。这种银行只是简单的利用网络作为交易的媒介体, 并没有任何自身的自动柜员机, 也没有任何自身的分支银行。当年美国的第一家“安全网络银行”便是世界上第一个网络银行, 与此同时, 它也是世界上的第一个纯网络银行。之所以这样说, 是因为它单单由一个网址构成的, 并没有任何实际性的建筑物, 也没有任何营业的实体地点。
2 阻碍网络银行快速发展的主要问题
1.1网络银行应用者的安全意识较为薄弱
多数的网络银行用户, 都没有树立起一个正确的安全意识。很多民众对于自己的网络银行安全问题表现出了很大的忽略, 简单的相信安全保护这些事情都是由银行单方面能够完成的, 这显然是十分不正确的想法与态度。大多数民众对网络知识掌握的十分匮乏, 而且在对密码的设置方面都过于简单, 给了一些犯罪分子可乘之机, 在一定程度上增加了犯罪的次数。另外, 还有很多的用户经常使用公共场所的wifi或者其他的公共网络, 十分容易引发一些不安全因素。
1.2网络银行的木马病毒容易降低安全系数
网络银行的木马病毒对银行的安全问题, 会产生很严重的消极影响。这些病毒多数都是由人为破坏造成的, 目的十分简单, 就是为了窃取到广大网络银行用户们的账号与密码, 从而靠非法手段获取非法的利益。
经过之前研究者的记录, 我们可以知道的是, 最早出现在我国的一个网络银行的木马病毒就是“网络银行大盗”, 这次木马事件发生在二零零四年的四月份。自此以后, 这种网络银行的木马病毒事件出现的越来越频繁, 这种木马病毒给我国民众带来了很大的损失与很消极的影响。
3 网络银行木马病毒的攻击方法
3.1 盗录键盘
通过对键盘的盗录, 来获取一些非法信息, 是出现在我国早期比较频繁、常见的方式。与此同时, 也正是这种方式, 使得众多非法分子获取了最大数量上的网络银行使用者的真实信息。这种木马, 是通过后和进程的方法对用户的浏览器窗口进行监控, 一旦发现用户在访问进行支付的页面的时候, 就会在后台对用户所输入的信息进行非法记录, 然后后台会以电子邮件的方法, 将用户的详细用户名、密码甚至是合格证书都发至木马发起人的地址上。
3.2 屏幕录像
屏幕录像, 指的是窃取合法用户的信息额的一种非法方式。一旦木马发现用户在访问网络银行的时候, 就会自动采取录像或者是截屏的技术手段, 将这一段时间中产生的文件复制下来。这种方式一般是木马使用者采取的一种, 减少网络传输的方式。
3.3 窃取数字证书
当前我国在网络银行的安全问题方面已经采取了较为先进的技术, 然而, 这种情况下, 犯罪分子们仍然不断的开发着新型的盗窃技术。犯罪分子们通常会借助于当前的API接口, 对木马侵袭的计算机进行控制, 并且导出其中的数字证书, 从而获得网络银行用户的详细信息与数据。
4 总结
综上所述, 网络银行之所以能够快速、健康的发展, 主要是受我国近些年来经济的快速发展, 加之当前信息化时代的快速发展的影响。网络银行以其带给广大民众们独特的方便与快捷的支付方式, 获得了我国、甚至世界上越来越多民众们的应用与追捧。经过我国相关研究者们的调查与实践, 发现了阻碍网络银行继续快速发展的最主要的问题就是, 网络银行的安全性问题。因此, 为了更加方便我国网络银行的前进与进步, 应当在完善的过程中, 采取一些强有力的措施与方法。
摘要:当前我国已经步入信息化时代, 网络银行的发展也已经势如破竹般的走进了人们的日常生活中。与此同时, 也有一些因素正阻碍着网络银行的快速发展, 其中, 网络银行的安全问题是其中比较主要的一个问题。本文主要论述的是当前我国网络银行发展的现状与发展情况, 并且对当前的发展状况进行详细的分析和总结, 制定出了与之相适应的解决措施与方法, 以期能为日后网络银行的健康发展做出一定的贡献。
关键词:网络银行,信息安全,现状,措施
参考文献
[1]杨紫华.网络银行信息安全问题研究[D].杭州:浙江大学, 2013 (12) .
[2]张蓓蓓.网络银行业务监管法律制度研究[D].郑州:郑州大学, 2013 (24) .
银行信息安全检查报告 篇2
一、公司业务排查情况
(一)公司业务账户排查
我行公司业务部共开立对公账户户,其中基本存款账户户,专用账户户,临时存款账户验资需要开立的户。不存在同一营业机构为同一存款人开立多个基本账户和一般账户及同一证明文件为存款人开立多个专用存款账户;单位开立账户使用的名称符合规定;不存在开户资料未经有权人审查并签署意见而开户的问题。坚持记账与对账分离原则,会计主管按月检查往来对账、银企对账情况,对未达账进行跟踪核对。
在公司业务银行结算账户的使用过程中不存在一般存款账户办理现金支取业务问题。基本户等其他专用存款账户的现金支取符合规定。临时存款账户不存在超过有效使用期限仍办理资金收付业务的问题。注册验资账户在验资期间不存在办理对外支付业务问题,注册验资的资金汇缴人与出资人名称一致。
银行结算账户的变更与撤销。存款人变更账户名称、法定代表人等开户信息资料出具申请及有关部门的证明文件;及时修改客户信息;存款人的印鉴做相应变更。存款人撤销银行结算账户申请经会计主管或主管审批,检查销户前存款人贷款、应收利息、结算费用等应收款项结清。存款人撤销银行结算账户时缴回未用重要空白凭证、结算凭证和开户登记证;柜员审核无误并将重要票据作作废处理。在办理单位银行账户撤销手续时,在其基本存款账户开户登记证上注明销户日期并签章;于账户撤销之日起2个工作日内向人民银行报告。无频繁开、销户,通过虚假交易进行洗钱活动。对已转入“久悬未取专户”的款项,存款人要求支取原账户款项时,提供了合法拥有账户支配权的证明文件,并经过有关负责人审核后列支。
银行结算账户重要资料的管理。建立了银行结算账户管理档案,并按会计档案进行管理。预留签章为该单位的公章或财务专用章加其法定代表人(单位负责人)
或其授权的代理人的签名或者盖章。单位结算账户印鉴卡片的管理安全、完整,不存在有账户无印鉴卡片、有印鉴卡片无账户问题。对印鉴卡丢失的账户,要求客户提供印鉴卡丢失证明,防范账户风险。
(二)大额资金支付管理情况排查
大额资金支付管理。设立了相应的岗位,分工明确,职责清晰;对于大额资金支付交易的报告范围符合文件规定,不存在随意扩大或缩小范围的现象;大额资金的支付交易的报告程序符合有关规定要求,不存在漏报等现象;对开户单位建立客户身份登记制度;办理大额资金支付,有合法的支付凭证;对开户单位大额支付资金的特点、来源与其经营规模、经营范围等进行分析监测。
大额现金支取管理。对开户单位基本存款账户、专用存款账户及临时存款账户,或个人结算账户的大额现金支付建立分级审批制度;建立了大额现金支付台账制度和月度统计分析制度;针对现金活期存款存入超过20万元及现金活期存款支取超过5万元的用户,以月报的形式在人民银行账户管理系统备案。由于反洗钱还是一项较为陌生的工作,基层从业人员对反洗钱缺乏系统的理论知识和足够的实践经验,有待进一步提高辨别可疑支付交易的判断能力。
(三)重要空白凭证管理情况排查
重要空白凭证入库管理。重要空白凭证按种类分类管理;从上级行领用的重要空白凭证入库填制记账凭证及时入账,重要空白凭证入库数与入库的重要空白凭证实物一致;指定专人管理库房重要空白凭证;柜员领用的重要空白凭证因故未用交回的,凭证管库员作入库处理。
重要空白凭证出库管理。重要空白凭证出库时,出库手续符合制度规定;出库的重要空白凭证实物与出库单数相符;柜员领用重要空白凭证,填制记账凭证经有权人审批后,交凭证管库员办理出库手续;
重要空白凭证出售管理。客户购买重要空白凭证时,填制“领用凭证”,并加盖单位预留银行印鉴;预留印鉴核对一致;柜员及时选择相关交易,录入领用单位账号、凭证种类和凭证号码;出售给客户的重要空白凭证加盖领用单位账号、开户银行名称戳记。
二、公司业务排查活动的收效
(一)帐户管理方面。
账户的管理,对公存款账户的开立、使用、变更与撤销、资料的管理以及基本制度的落实情况、企业和银行的对账,重点是对账和开户制度执行情况。一是基本存款账户是存款人因办理日常转账结算和现金收付需要开立的银行结算账户,开户资料要素是否齐全,是否有开户许可证;存款人日常经营活动的资金收付及其工资、奖金和现金的支取,是否通过该账户办理。二是一般存款账户用于办理存款人借款转存、借款归还和其他结算的资金收付,该账户是否只办理现金缴存,不办理现金支取。三是专用存款账户用于办理各项专用资金的收付。单位银行卡账户的资金是否由其基本存款账户转账存入。该账户是否不办理现金收付业务。财政预算外资金专用存款账户是否不能支取现金。四是临时存款账户用于办理临时机构以及存款人临时经营活动发生的资金收付。临时存款账户的有效期最长是否未超过2年。注册验资的临时存款账户在验资期间是否只收不付,注册验资资金的汇缴人应与出资人的名称是否一致。五是存款人撤销银行结算账户,是否与开户银行核对银行结算账户存款余额,是否交回各种重要空白票据及结算凭证和开户登记证,银行是否核对无误后才可办理销户手续。存款人不能按规定交回各种重要空白票据及结算凭证的,是否出具相关证明,是否按规定对开户资料进行审查,致使单位开立虚假银行结算账户的;是否按规定建立存款人信息数据档案或收集的存款人信息数据;是否做到账务核对换人复核,对发生额明细和余额是否进行逐项核对。
(二)大额交易支付交易方面。
大额资金支付管理等各环节是否实行换人换岗复核制度,大额资金支付管理是否得到有效控制,短期内资金是否分散转入、集中转出或集中转入、分散转出,资金收付频率及金额与企业经营规模是否明显不符;资金收付流向与企业经营范围是否明显不符,企业日常收付与企业经营特点是否明显不符;周期性发生大量资金收付与企业性质、业务特点是否明显不符;相同收付款人之间在短期内是否频繁发生资金收付,长期闲置的账户是否原因不明地突然启用,且短期内出现大量资金收付;短期内是否频繁地收取来自与其经营业务明显无关的个人汇款;是否频繁开户、销户,且销户前发生大量资金收付;是否有意化整为零,逃避大额支付交易监测。
(三)重要空白凭证的管理方面
银行信息安全亟待提升标准 篇3
电脑与互联网应用在我国普及虽然很快,但这只限于会用,真正懂的还只有少数专业人士。近期的“棱镜”事件,让网络与信息安全成为了世界焦点,同时也推波助澜地唤起了人们对银行信息安全的担心。2012年,美国一份保安报告显示,全球60家银行连遭网络攻击,至少损失8000万美元。在最近发生的一系列典型网络犯罪事件中,90%以上集中在银行和保险领域,这不能不引起人们的恐慌,以致于在全球范围内,逐渐蔓延出一种“网络银行不安全”的悲观情绪。
我国银行信息有些不安全
“目前我国网络安全状况继续保持平稳状态,未发生造成大范围影响的重大网络安全事件,包括银行等金融机构。” 国家计算机网络应急技术处理协调中心的研究员告诉记者。同时,他也提醒企业与网民们,黑客活动日趋频繁,网站后门、网络钓鱼、移动网络恶意程序、拒绝服务攻击事件呈大幅增长态势,阻碍行业健康发展;针对特定目标的有组织高级可持续攻击(APT攻击)日渐增多,国家、企业的网络信息系统安全面临严峻挑战,特别是金融机构,容易成为谋求发财黑客们的目标。
近期,据国家计算机网络应急技术处理协调中心发布的2012年网络安全报告显示, 2012年,我国境内(我国海关关境以内)被篡改网站数量为16388个,发现针对我国境内网站的钓鱼页面22308个,涉及IP地址2576 个。从钓鱼站点使用域名的顶级域分布来看,以.COM最多,占36.5%,其次是.TK 和.CC,分别占20.6%和9.5%;接收到网络钓鱼类事件举报9463起,较2011年大幅增长73.3%,约占总接收事件数量的一半(49.5%)。这些钓鱼网站中,仿冒中国工商银行等网上银行的约占54.8%。国家计算机网络应急技术处理协调中心的研究人员告诉记者,“从报告显示来看,现在与以往通过明显篡改网页内容以表达诉求或炫耀技术不同的是,黑客更倾向于通过隐蔽的、危害更大的后门程序,获得经济利益和窃取网站内存储的信息。目前,网站被植入后门等隐蔽性攻击事件呈增长态势,网站用户信息成为黑客窃取的重点。”他还告诉记者,“钓鱼网站的主要目的是骗取用户的银行账号、密码等网上交易所需信息。2012年,仅CNCERT/CC监测发现被黑客骗取的用户银行卡信息就达1.8万条,这些信息失窃很可能会给用户带来巨额财产安全。”
而在2012年年底,明朝万达根据事件的影响性评选出的“2012年十大信息泄密事件”中,电商银行也是最多的。
对于记者质疑银行网络信息安全的问题,民生银行一位金融总监王先生(化名)直截了当地说:“我一直都认为银行网络不安全,将来会出大问题的,”但同时他还强调,“目前,银行是安全的,中国黑客整体技术水平不高,暂时还未能对银行造成威胁。可是,他们会对不懂网络的普通民众下手,请市民与企业在使用网银转账汇款时小心,因为这些例子已经很多了。”
使用网银需小心
随着网络应用的发展,很多人都喜欢在网上办事。网上银行因其不受时间、空间限制,能够在任何时间、任何地点以多种方式给客户提供金融服务,受到越来越多人的青睐。但网银是一把“双刃剑”,在给用户带来巨大方便的同时,也不可避免地潜藏着一定的风险。
据媒体报道,今年2月,在北京工作的锒先生因为蹭“免费WiFi”登录网银,导致银行卡被分17次转账或取现,共损失3.4万元。锒先生的钱是怎么被取走的呢?记者采访了工商银行的网络技术人员,他告诉记者,“蹭网有风险的,有时候免费WiFi是个陷阱,也就是大家所说的钓鱼陷阱。其实钓鱼WiFi信号都含有病毒软件,可以记录下用户的操作记录并破解。当你连接上这个WiFi之后,病毒软件就开始监控你的操作。举个例子,你用浏览器登录邮箱,你的邮箱名和密码就都被软件记录,并传给黑客。”
锒先生真是因小失大呀。在采访过程中,工商银行的客服人员提醒用户,用网银时,一定要看清网站来源及付款信息,还特别强调,一定要直接登录银行的官网,不要在百度或360等搜索引擎里搜。建设银行的工作人员提醒用手机银行的用户,平时最好闭关WiFi自动连接。如长期保持打开状态,手机在进入有WiFi的区域后会自动扫描,并连接没有密码的网络,大大增加误连钓鱼WiFi的几率。
5月28日,360互联网安全中心发布重大安全警报称,“超级网银”跨行账户管理功能已经成为黑客恶意利用的目标,近期全国连续出现多起各大银行客户被骗案例。这也是因为用户安全意识薄弱引起的。
据悉,陈女士在网购衣服时,被骗子诱导进行了“超级网银”授权支付操作,短短24秒内,银行账户中10万元就被洗劫一空。工商银行的网络技术人员讲,“超级网银”是标准化跨银行网上金融服务产品,能够方便用户实时跨行管理不同的银行账户。通俗地说,就是可以用一个网银账户,实现多张银行卡的跨行查询和转账,国内绝大多数银行均默认支持该项功能。然而不法分子恶意利用“超级网银”,通过欺诈手段获取他人银行账户的授权,就可以将对方账户余额全部偷走。
这种事情很多,据卡巴斯基中国区技术总监陈羽兴介绍:“今年上半年的时候卡巴斯基就协助公安调查了一起资金被盗案件,对方自称是检察院,要求受害者上网验证信息而被引导到钓鱼网站上,最后机器被远程控制导致账户里的资金全部被转走。”
对于对网络都不甚了解的网民来说,黑客真是防不胜防呀!陈羽兴建议个人用户,首先要做到的是,不要在网吧、共用的机器上登录银行帐号;在自己的机器里装专业的防恶意程序软件;把经常使用的银行网址记在浏览器里,避免由于记错网址或者打错网址或者用搜索引擎搜索的时候不小心点到钓鱼网站而导致泄露或者损失。另外在任何人或者机构给你打电话自称是银行、公安、检察院等要求你登录网上银行或者政府部门的网站查看或者转帐的都不要理会而且要及时报案。
nlc202309020538
提高标准很重要
金融机构的专业人员相对于普通网民来说要专业得多,在防黑客方面做得怎样?工商银行客服经理介绍说,因网上银行、支付宝等金融类网站和手机客户端信息经过了层层加密,破解的难度大,只要使用银行发布的官方网站或者银行官方手机客户端,不管是WiFi、2G还是3G网络,都不可能被人盗走账户信息。
陈羽兴说,银行经过多年的网络建设,已经形成一套防护体系。但是,有两个方面容易成为整个防护体系的短木板。第一是新兴系统的加入,比如虚拟化系统/云计算系统,这些系统的防护解决方案整体还比较薄弱。另一方面是不同网络间的数据交换,比如生产网络和办公网络是物理隔离的;银行需要定期跟其他银行比如人民银行之间交换数据;有部分合作伙伴或者业务单位需要上传一些文档等,这些在线和离线数据如何交换、如何实时检测以防止病毒交叉感染、数据丢失和防篡改等都面临一些问题。
“如果国家信息安全委员会不提高验收标准,银行不加大技术投入力度,将来的事情不敢预想,会很可怕的。”民生银行的王先生说,“目前银行验收标准太低,应该提高标准。但提高标准是要投很多钱的,如果国家不要求,银行在感觉自己信息安全方面还可以的情况下,是不愿意多花很多钱去做技术升级改造。因为目前银行在中国的信息安全技术算高的,黑客技术水平相对较低,攻不破银行系统的密码,所以中国在银行偷钱的事还没有。建议相关政府部门未雨绸缪不要亡羊补牢。”
中国人民银行消费者保护局局长焦瑾璞表示,网络金融作为新兴的金融模式,现有的金融监管体系尚无法完全覆盖,存在一定的监管缺位,因此必须尽快明确相应的监管部门和监管职责,既能充分包容创新又能确保监管到位。
中国科学院信息安全国家重点实验室教授、北京知识安全工程中心主任吕述望建议金融行业不要接入因特网,要建立中国金融行业的专业网。还有一部分网络安全专家呼吁有关方面,进一步加大自主研发的网址卫士等国产服务器证书产品的扶持和推广力度,加强中国网络安全保障的自主权,构筑中国网络金融业务防火墙。
采访手记:
时下,斯诺登不仅是国家层面的新闻事件,也是时下最热门的谈资,因此,在不记名采访中,大家谈得淋漓尽致。
通过采访总结出专家们的观点,他们认为加强银行的网络安全:一是从银行防范。建立严密的安全体系,保证网络银行的安全运行。为防止交易服务器受攻击,银行应采取隔离相关网络、高安全级的Web应用服务及实施全天候的安全监控等技术措施;二是从客户防范。客户的安全意识是影响网络银行安全性的重要因素。客户要防止自己网络银行账号及密码流失,上网时应设置好电脑安全措施,不随便点击恶意网站;三是建立全国统一的认证中心,充分发挥第三方认证机构中立、权威的作用;四是加快电子化应用环境风险防范,如加大对计算机物理安全设施的投入和严格中心机房的管理制度等。
也有一位非业界专家提出的观点,记者认为很具特别性。他认为,对于银行信息安全,不能采用头痛医头脚痛医脚的诊断办法,应该从根拔起。他建议,应推行电子货币,逐步取代纸币。他说:“电子货币是一种可以追踪的货币,犯罪分子盗窃银行或者银行用户,最终都是以纸币的形式消化掉,如果取消纸币,他们没办法把盗来的钱花出去,那还偷盗银行与银行用户的消息做什么。”对于如何取消或限制纸币发行,他也有建议,“建议政府层非自然地推行电子货币,应该从国家财政部或者中央银行控制-减少纸币发行,这样做有别于西方国家由银行和用户自然减少纸币使用的现象,我国应直接跳过这个过程,由中央银行及政府部门直接主导施行。”如何实施?“相关部门出台纸币税,存纸币有存纸币税,取时有取纸币税,如果是大额纸币存取银行可问纸币来源,也可直接报警,”他略带兴奋地回答。
这种观点记者也不知是否可行,但博采众长,有些观点记者有必要记录下来与读者分享。
银行业信息安全中存在的问题 篇4
一、银行业信息安全的现状
信息安全是指保护信息网络中的硬件、软件及系统中的数据不受偶然或者是恶意的原因而遭到外界的破坏、更改及篡改, 确保信息的保密、完整和可用。信息安全涉及计算机、信息安全技术、网络技术、应用数学、密码技术、通信技术等众多技术领域。
目前, 美国每年由于信息网络安全问题而遭受的经济损失已经超过170亿美元, 德国、英国也都达到数十亿美元, 法国达到100亿法郎, 日本、新加坡的损失同样很严重。我国每年因信息安全造成的经济损失达数百亿人民币。国际刑法界列举的现代社会新型犯罪排行榜上, 信息网络犯罪已经名列榜首。
信息网络环境的复杂性、隐蔽性和多变性, 以及信息系统的脆弱性, 时刻威胁着银行数据安全、服务质量、经济效益等多个方面。因此, 规范银行业信息安全管理, 加强漏洞防范、风险评估和等级保护等方面建设是银行亟须解决的问题。
二、信息安全监管中存在的问题
(一) 行业法规标准模糊, 操作难度大
美国、日本和印度早在1995年就出台国家信息安全法, 通过出台基本法对计算机的硬件与软件、网上信息、用户数据进行保护、对利用网络传播有害信息的处罚作出相应规定, 规范人们的网络行为, 保证信息网络的安全运行和网络信息的合理利用。目前, 银行业信息安全管理法规主要有国务院发布《国家信息化领导小组关于加强信息安全保障工作的意见》、中国人民银行和中国银监会下发的《关于进一步加强银行业金融机构信息安全保障工作的指导意见》和《银行业金融机构信息系统风险管理指引》, 但这些法规制度中对信息安全的边界界定不明确, 行业标准不清晰, 不具有实际的可操作性, 给银行信息安全管理带来一定的风险隐患。
(二) 管理者更注重信息系统建设维护, 轻视信息安全管理
一是对信息安全重视程度不够, 部分银行业机构仅忙于系统建设与日常维护, 对信息安全管理无暇顾及。二是管理制度落实不到位, 难以对计算机安全的实施进行全面管理。部分机构信息安全部门对信息安全制度落实不到位, 只有在遇到总行的信息安全检查时, 才会对网络冗余线的有效性进行检验, 对交换机、路由器中的ACL策略进行完善, 对信息系统中的审计日志进行检查, 并没有形成信息安全管理长效机制。业务部门在信息安全方面有章不循, 造成计算机的漏洞事件发生。据统计, 大约63.1%安全事件是源于没有严格执行规章制度, 规章制度不落实、检查监督不严格造成的系统漏洞。三是信息管理疏忽, 从已发生的计算机违规事例来看, 主要问题是疏于检查、放松管理。具体表现在, 有不少人员在未经系统管理员许可情况下擅自使用盗版软件, 导致计算机感染病毒, 重要数据丢失, 严重者造成业务系统瘫痪, 影响日常工作的顺利进行。计算机操作口令、密钥、机密数据资料没有按保密规定存放, 大量的违章操作、越权滥用没有进行严格处罚, 计算机设备的保管使用无专人负责, 应用系统的操作未有交接的系统日志, 系统的维护不能详实的记录。虽然有制度明确规定操作规程, 但执行不严格使本来可以避免的问题频频发生。
(三) 管理手段落后, 影响管理效能
银行业的各项业务与系统管理越来越依赖网络和计算机应用软件, 因此对网络安全、系统安全和数据安全监管至关重要。目前, 管理单位仍然通过现场检查、听取汇报、材料上报等方式来获取银行的相关情况, 缺乏直接、有效的管理手段, 管理方式效率低, 无法快速、真实反应银行业的信息安全状况, 导致银行业务自身存在的信息安全问题不能被及时发现, 易造成银行业信息安全事件的发生。
三、问题解决的建议
(一) 完善制度标准, 做到有法可依
规范信息安全管理, 首先要完善信息安全的制度建设。一是加快行业信息安全标准统一的进程。管理部门应制定符合当地信息安全标准, 组织建立银行业信息技术发展规划, 保证银行业信息安全工作的健康发展。部分地区便曾出台信息安全法规, 例如《北京市信息化促进条例》、《辽宁省计算机信息系统安全管理条例》、《北京市公共服务网络与信息系统安全管理规定》、《上海市公共信息系统安全测评管理办法》, 这种做法值得借鉴。二是设立硬件设备的准入标准。将银行业信息安全问题作为新硬件产品销售及市场准入的重要参考, 对进入银行的PC台式机、网络设备、系统服务器都必须经过国家保密部门的安全检查, 只有经过筛选的特定型号的引硬件设备才能进入银行系统和网络, 从根源上杜绝信息安全漏洞设备的进入。
(二) 明确责任制, 加大信息安全管理力度
一是健全信息安全检查机制。定期对银行业开展信息安全检查工作, 对基本的安全设备的防护形成统一模板下发给银行, 例如关闭不必要的服务端口号、核心服务器建立堡垒主机、核心网络地址必须配置一对一的双向映射等。二是依据现有法规、技术标准, 开展信息安全检查, 确保安全检查深度与广度。在开展检查的同时, 可让有资质的第三方安全评测公司, 对整体信息系统进行全面的攻防测试, 对测试结果出具权威的报告, 明确安全问题, 针对性地进行弱点的加强, 保证信息安全工作的实用性和可靠性。三是建立责任通报制度。对检查中发现的违规事件, 按规定处罚相关责任人, 对检查中发现的安全问题和风险隐患, 明确责任部门和责任人并限期纠改, 对检查中发现的问题可进行问题归纳梳理汇编成册, 下发给银行提供参考。
(三) 建立全方位监管手段, 防范安全隐患
银行信息系统安全管理方案 篇5
随着金融界向电子化、数字化、网络化的发展,各金融机构对计算机的重视程度越来越高,全球高新技术尤其是信息技术的发展,进一步提高了银行计算机的应用水平。
1银行业务的发展和信息安全范畴的变迁
随着金融界向电子化、数字化、网络化的发展,各金融机构对计算机的重视程度越来越高,全球高新技术尤其是信息技术的发展,进一步提高了银行计算机的应用水平。人们可以通过国际互联网随时随地进行信息交流、电子商务活动,银行既要保障有强固的银行内部业务网络,又要扩展业务,利用互联网、无线网等尽可能多的通讯途径对全国甚至全球个人实行24小时金融电子服务,许多银行也顺应形势相继推出了网上银行、自助银行、客户服务中心、手机银行等。同时,经营的集约化和数据的集中化趋势一方面顺应了银行业务发展的要求,避免了业务分散导致的业务风险,但是另一方面不可避免的导致了信息安全风险的集中。
随着银行业务系统顺应趋势的开放和互连,其信息安全范畴已经突破了以业务系统物理隔离和协议隔离为基础的传统银行信息安全。我们必须在一个日趋开放的系统平台上重新审视银行的信息安全问题。金融系统(银行、保险、证券)是国家政策要求实施安全等级保护的11大类关键信息基础设施的重点系统。因此,如何建立一个高效的现代信息安全体系,日益成为突出的问题。冠群金辰公司的主动防御安全策略
冠群金辰公司具有多年的信息安全产品研发、工程实施和安全服务经验,在金融行业具有丰富的行业应用经验,并且对国外和国内的金融行业业务应用、信息安全策略、相关法律法规等有深刻的理解,具有独到的见解。
根据对客户需求的详细调查分析,推出了以客户价值为中心,以3S为代表的安全理念,即Security Solution(安全方案),Security Application(安全应用),Security Service(安全服务)。安全方案是基于符合用户需求的自有产品和合作伙伴的优秀产品搭建的整体解决方案;安全应用则是基于用户的实际应用系统和业务系统的安全需要,将我们的安全方案进行定制和二次开发,以满足用户对业务系统和安全系统更高程度的整合需求;安全服务则是参照国际和国内信息安全管理和工程标准,并结合冠群金辰公司的服务经验积累提供的评估、设计、实施、管理、教育等一系列服务项目,以帮助用户在日趋严峻的安全环境中保持业务的顺利运行。
经过对信息安全趋势的分析,我们认为在当前新的安全漏洞发现频率日益加快、安全攻击事件大幅度增加的状况下,局限于传统的被动(Reactive)防范策略是非常危险的。我们按照风险管理的思路,提出了主动(Proactive)防御策略,强调利用先进的技术、产品,配合以有效的管理方法和运维模式,避免入侵行为造成损害,并且有效防御新的安全漏洞造成的风险。脆弱性三维图可以帮助客户识别风险状况,选择采用适当有效的风险控制方法,达到成本和效益之间的平衡。
冠群金辰公司倡导采用以主动防御为基础的纵深防御体系来进行银行安全保障体系的建立。
第一:在整个受保护网络环境中的每一个环节上减少可能会被入侵者利用的突出的脆弱点;
第二:对于关键的资源,使用多重防御策略来管理风险,以便在一层防御不够时,在理想情况下,另一层防御将会削弱对被保护资源的破坏。
3.银行信息安全风险管理思路和技术建议
银行信息安全问题不仅仅是技术上的问题,同样重要的是管理问题。2003年4月底正式挂牌的中国银监会5月份以第二号公告的形式,就巴塞尔新资本协议公开征求中国银行业界意见。新巴塞尔协议的实施势必大大提升银行业的整体业务风险管理水平。同样,在银行的信息安全领域也需要一种成熟的风险管理思路。这种风险管理的思想要贯穿在银行的每一个业务系统的生命周期阶段。对于每一个银行业务系统,比如柜台业务、资金清算等随着时间的发展都可以分为不同的阶段。按照NIST风险管理指南,这些阶段可以划分为系统规划阶段、系统开发阶段、系统实施阶段、系统运行阶段和系统废止阶段。根据银行业务系统各自的特点,其各阶段的具体内容会有所不同,但基本周期保持不变。所以与之相对应就产生了所谓系统安全的生命周期,即是将安全生命周期模型整合到系统生命周期模型上,一方面在系统生命周期各阶段提取安全需求,另一方面将安全生命周期的过程应用在系统生命周期各阶段,即在系统各阶段遵循安全的过程性开
展相应安全工作。不同系统,各阶段的安全需求不同,安全工作展开的顺序也会有所不同。但是,它们的共同点就是需要同时从技术和管理两个方面着手进行风险管理,同时这两个方面不是孤立实施的,而是有机结合的。
冠群金辰公司的银行业信息安全风险管理方案主要分为下面几个部分:
第一,参照相关法律法规、金融行业相关规定、国内外信息安全标准等,为用户建立一套信息安全管理系统和业务持续性策略;
第二,根据业务系统的需要,进行安全技术层面的实施,其中包括对银行现有设备和系统的加固、自有安全产品配置和实施、第三方安全产品配置和实施以及根据实际需求进行的专有安全系统开发和实施等。
第三,提供需求分析、风险评估、安全审计、紧急响应等覆盖全系统生命周期的安全服务。冠群金辰公司拥有一支持有CCIE、CISSP、BS7799 LA、CISP、SCSA等国际国内认证的专业安全服务队伍和专职的银行业务顾问小组,提供基于整体和业务的安全服务。
由于银行系统业务种类众多,信息系统也千差万别,不同银行业务信息系统对机密性、完整性、可用性、可控性与可审查性也具有不同的要求,所以不可能采用一个相同的模式进行所有银行系统安全体系的设计。这里仅仅根据中国人民银行2001年发布的《银行信息系统安全技术规范》和中国人民银行2002年发布的关于加强银行数据集中安全工作的指导意见的260号文件,对于构成银行信息
系统的几个关键层次进行示例分析,主要从技术角度对冠群金辰的解决方案进行简单介绍。
3.1 物理安全
主要是按照国家标准GB50173-93、GB2887-89、GB9316-88等加强场地设防。计算机设备实体安全类中,首先要求场地环境条件的控制,对计算机网络的中心机房及其延伸点,要坚决搞好基本环境建设,要有完整的防雷电设施,且有严格的防电磁干扰设施,机房内要搞好防水防火的预防工作,对主机房电源要有完整的双回路备份机制。尤其是银行主机机房的物理安全保障措施一定要到位。同城异地备份甚至不同城市之间的灾备中心都是需要考虑的。另外,信息处理设备安全、媒体介质存放安全也是需要重点考虑的内容。
3.2 网络互连的隔离和网关病毒过滤
随着银行业务的发展,业务主机不可避免地需要和外部系统互联。比如为了实现跨系统银行间资金汇划的电子联行系统采用的天地对接基本上建立在电信局的公共通信网上,开放的网络环境和网络协议为系统互联提供了方便,但同时也降低了系统的安全性。正在蓬勃兴起的银行中间业务的发展更是促进了不同行业之间的网络连通。有网络的连接是造成安全风险的重要源头,一定需要对不同安全级别的网络之间进行安全隔离。除了物理隔离外,逻辑隔离按照通讯方式有几种级别:双方网络互有通讯、单向通讯、按需通讯等。按照安全级别的要求可分为简单包过滤、状态包过滤、应用层代理、专有协议隔离等。冠群金辰公司的
轩辕防火墙是集防火墙、VPN、流量管理等功能于一体的网络安全设备。它能通过Web浏览器或CLI及中央管理台集中管理,并且支持透明模式。轩辕防火墙产品能够满足银行系统中大部分的网络逻辑隔离要求。
冠群金辰公司的赤霄KILL过滤网关是一个专用硬件设备,用于在银行网络之间过滤病毒。它能够高效率地过滤包含在HTTP、FTP以及SMTP 协议中的计算机病毒,实现病毒的网络隔离,避免病毒在网络之间的扩散。该产品具有丰富和功能和优异的性能,在2002年一举获得了中国大IT媒体:《中国计算机报》和《计算机世界报》的编辑选择奖和产品奖,并在另一大专业媒体《网络世界》2003年5月12日发布的产品购买指南中得到高度评价,被称为 “防病毒网关的佼佼者”,更于今年7月份又获得“网管员最信赖的防病毒产品”奖项。通过在银行内部、银行和第三方网络等网关处部署该产品,可以杜绝病毒最主要的传播途径,给被保护网络营造一个安全的计算环境。
3.3 数据传输加密
当需要在非银行控制的公网上传输机密信息时,必须采用有效的措施对网络上传输的数据进行加密处理。冠群金辰公司的轩辕防火墙内置了基于 IPSEC协议的VPN功能,能够方便地在网络边界处实现数据的加密传输,方便了银行不同分支部门之间的安全通信和远程办公。对于已经设置没有VPN功能的防火墙的网络,冠群金辰公司的软件VPN产品能够方便地部署在网络中的任意一台计算机上,实现网络内部的加密通信和远程安全访问。
3.4 网络入侵行为和蠕虫病毒的传播监控
网络攻击的表现形式主要有两种:第一,人为入侵(包括内部和外部);第二,蠕虫和病毒的网络渗透和传播。而且,目前这两种形式有逐渐趋于统一的趋势。对于这两种行为我们都要进行严格监控,并且需要统一在一个平台下进行关联监控,以更好的起到安全检测的目的。
冠群金辰提供的干将/莫邪系列入侵检测系统能够在从百兆到千兆的网络中提供实时的入侵检测和病毒传播统一监控,也是唯一能够实现在同一个平台下进行入侵行为和蠕虫病毒传播的监控的安全系统。这样在银行网络中发生入侵行为或蠕虫传播时,管理员能够很快定位网络和系统问题所在,减少故障时间,降低损失。尤其是在结构复杂的网络中,利用干将/莫邪系列入侵检测系统提供的监控功能,管理员可以迅速定位被感染的服务器,控制传染源。
3.5 安全级别提升和分散授权原则在操作系统级的实施
操作系统的安全是银行信息系统安全的重要方面。为了更加有效地避免金融犯罪,杜绝银行内部人员作案,银行要求采用的操作系统具有相当高的抗攻击能力,有必要时需要采用B1级别的安全操作系统,比如网上银行主机和关键业务主机系统。在人民银行发布的《银行计算机信息系统安全技术规范》中也明确了这一点。但是目前基本上所有的商用操作系统都是C2级的,不能满足银行的要求。如果采用专用的安全操作系统,势必需要对原有的应用程序进行改造,造成大量人力物力和财力的资源浪费。冠群金辰公司提供的龙渊服务器核心防护产品
可以很好地解决这一问题,既能克服通用操作系统(包括Windows,Unix,Linux)的安全弊病,又能够和所有应用程序兼容,并且容易管理。它能够将大部分商用操作系统的安全等级提升到TCSEC B1级,支持强制访问控制,在大幅度提升安全性的同时保护了用户原有投资。比如通过在银行业务主机上部署龙渊服务器核心防护,可以在一台主机上将管理员权限分成系统管理员、安全管理员、安全审计员以及其它一般性质的业务操作人员,并且同时取消操作系统的超级用户特权。这样,所有人员的动作都能够被互相监督,大大降低了内部人员作案的可能性。
通过在关键的银行业务服务器上部署冠群金辰公司的龙渊服务器核心防护,安全管理员能够严格限定所有用户在该服务器上的任何操作,从时间、地点、访问方式等多个方面进行极细粒度的访问控制;并且其动态安全扩展(DSX)技术使得服务器能够高强度抵御未知的攻击类型,尤其是缓冲区溢出类型的攻击,从而避免了损失,为安全管理员赢得了宝贵的时间。这种防范措施对于Windows平台和UNIX、Linux平台都适用,并且不依赖特征库的升级即可完成防范功能。另外,通过该系统在本机上限定该计算机允许的网络通信类型,即使该计算机感染了蠕虫或被放置了木马程序,也无法对外发出违反预定安全策略的数据包,避免了可能导致的蠕虫传播和网络拥塞现象,降低了攻击后的影响。在最坏的情况下,即使入侵者已经获得了被攻击服务器的管理员账户和密码,龙渊服务器核心防护仍然能够保证该入侵者仅仅具有一个该系统上普通用户的权限,不能为所欲为,造成更大的损失和影响。这是传统的由防病毒、防火墙和入侵检测系统构成的安全防御体系所不能够实现的重要特点。该方案已经在全球著名银行,如花旗银行的系统中广泛采用。
3.6 其它安全设施
网上银行的兴起决定了在整个银行的安全体系的建设中,确立一个稳固的身份认证机制是根本的前提条件。通过建立PKI/CA认证系统,可以确保各种人员、资源的身份,防止网络欺诈行为和交易抵赖行为。
一个统一的网络防病毒体系是银行信息安全中的重要组成部分。冠群金辰公司作为国内防病毒软件厂商的先驱,其KILL防病毒系统已经在全国各行业广泛应用,尤其是网络防病毒系统更是国内厂商的佼佼者。KILL防病毒系统的技术已经非常成熟,在一个软件中集成了两个完全不同的防病毒引擎,能够对 Windows 95/98/NT/2000/XP、Linux、UNIX、Netware等多种平台进行病毒防护,并且可以通过集中的中央控制台完成软件安装、完全免费的特征码自动升级、病毒报警集中管理等工作,得到了广泛的用户认可。
冠群金辰的承影漏洞扫描系统可以扫描各个计算机、网络设备,及时发现存在的安全漏洞,并且事先做出预防措施,是主动防御体系中不可或缺的一部分。
银行信息安全 篇6
本文着重介绍了上海嘉定民生村镇银行代付业务的流程及信息安全隐患,我行目前没有对客户的代付信息做任何保密措施,客户送来的代付文件内容为明文,在柜面终端上可以随时查看和篡改,然后发到后台前置机指定目录,极不安全,泄密可能性极高,可靠性极差,根据信息安全的需要,拟在我行建立一个的较安全的体系,从以下几个方面考虑:对方企业相关用户层面、我行前端设备系统安全层面、我行前置机的系统安全层面。经过本次科研工作对系统的改进后,对方企业相关用户需要在做好代付文件后进行加密,然后送到我行专门对外的前端设备进行病毒查杀,确认没有问题后再通过该前端设备将文件传到我行的前置机上解密,达到了客户信息在我行前端及前置机上的保密目的,解决了我行在代付业务上的信息安全问题。
本人依赖其它大银行的流程,根据现有的算法,针对我行系统存在的特殊信息安全问题,进行了本次的研究及处理,最终解决了该问题,完善了我行系统的不足,自己也复习和巩固了椭圆曲线的相关数学知识。
【关键词】信息安全;银行代付业务;文件加密解密
近年来,以地方政府及银行为股东,建立地方性村镇银行的风潮在最近一段时间迅速席卷了全国,各地的村镇银行如雨后春笋股的不断涌现,带着各个地方的特色,改变着全国各地的银行格局。特别是上海,现在以政府及民生银行控股的村镇银行就已经成立了两家,一家是上海松江民生村镇银行,另一家是上海嘉定民生村镇银行。本人目前就职于上海嘉定民生村镇银行,工作岗位是信息科技岗,发现民生村镇银行目前使用的是中国民生银行被淘汰的老系统,这套系统中存在着不少信息安全隐患,信息安全方面的风险无法避免。
在全国各地,都有带着地方特色的企业及个人需要做大量的代理业务,需求量最大的是帮客户单位代发员工的工资,我们单位里使用的是民生银行淘汰下来的老系统,在工作中我深深感觉到老系统有很多地方存在着不足之处,特别是在代付业务方面。根据我的这一感受,本文着重针对代付业务的系统信息安全问题进行了研究与探讨,顺便也对我行的网络结构进行了优化和改造,做到了内部网络和互联网彻底的物理隔离。因为我行代收业务以签订协议的方式对信息安全进行了控制,民生银行母行按协议条款针对代收业务的信息安全,在北京村镇中心的后台核心主机系统中做好了相应的技术解决方案,所以本文未涉及到代收业务的信息安全问题。我行的代付业务目前仍然按老系统的流程及要求,使用10年前的操作方式执行业务流程,对我行带来了信息安全方面的深刻危机及严重挑战,我行客户的信息安全问题显得越来越重要。我行客户信息安全在代付业务方面的威胁主要表现在:客户送来的代付文件为明文,未进行加密,柜员可以对文件进行查看、篡改,再交给我行科技人员上传,最后执行批处理的操作,对客户信息来说即存在泄密的风险,又存在篡改的风险,极不安全。我行客户的信息安全问题不仅仅涉及到金融安全,而且涉及到文化安全及客户对银行的信任危机。
最近两年,全国各地民生村镇银行不断涌现,业务方面的需要促使北京民生村镇中心的后台计算机系统日趋成熟和复杂,既给各地民生村镇银行带来了巨大商机,同时也对信息安全工作提出了更高的标准。
民生银行老系统的信息安全保障手段的重点是访问控制,即谨慎而有限度的开放后台信息系统,由北京村镇中心的后台系统人员按营业网点提出的需求,严格分配不同等级及角色的访问权限,在网点开业前开通网点机构管理员的账号,由后台核心系统自行生成网点必须使用的内部账号,由地方村镇银行总行运营管理部开通网点柜员的账号,手工开通地方特色业务的内部账号;使用指纹登录方式对访问后台信息系统的来源者进行身份和权限的有效认证;防止信息泄漏。
综合起来,信息安全的保障手段归结为以下两点:访问控制、身份认证。上述两种手段是构成民生村镇银行信息系统安全的基础。
但随着代理业务的出现和发展,特别是代付业务的兴起,信息安全问题成为目前上海嘉定民生村镇银行最迫切的要求,如何在不影响老系统运行,不对老系统的源程序进行变更的条件下,加入代付业务的信息安全外挂系统,提高后台信息系统安全的保密性,完整性和可用性,成为对老系统信息安全保护手段的挑战。
在民生村镇银行的系统环境下,信息安全的现状为:想要完全避免信息系统安全风险是不可能的,只要通过采取一定的措施,能够将我行前台终端及前置机信息系统的安全风险降低到可以接受的程度,那么就可以认为系统是安全的。
我行是民生银行与嘉定区政府合资开办的银行,代付类业务需求量很大,嘉定区政府各机关单位辖下的企业很多,这些当地政府机关支持和管理的企业都要求来我行办理业务,因此在我行老系统代付业务改造成功后,这些企业都会将代付业务交给我行办理。按这个趋势走下去,我行的代付类业务量将在两年内迅速增长,并在五年内保障持续增长的势头。目前我行此类业务刚刚在银行内部推出就已经发生很多笔代付交易了,一般每个批处理文件都包含20至50笔交易,营业部每月发生三次到五次代付业务,等到该功能正式对外开放时,两年内将会增长到一个网点每个月发生二十到三十次代付业务,每次代付業务的批处理文件中将包含20至500笔交易,大的批处理文件甚至一次代付业务会包含800笔左右的交易,即全行五个网点每月发生代付业务5000笔左右的交易。在两年后的未来,我行的代付业务也会继续保持增长,五年后将会增长到一个网点每个月发生五十至六十次代付业务,按五年后我行增加到六个网点计算,全行每月会发生12000笔左右的代付交易,所以老系统改造的项目对我行来说十分有必要,以此来吸引客户资源的发展前景对我行来说也极为有利。
银行信息安全 篇7
2012年5月8日,中国人民银行正式发布了《网上银行系统信息安全通用规范》(以下简称“《规范》”)金融行业标准,标准编号为JR/T 0068-2012。这次发布的《规范》是在2010年1月19日中国人民银行向银行业金融机构发布的《网上银行系统信息安全规范(试行)》的基础上进一步完善形成的。
由于互联网的开放性,网上银行系统的安全性问题令人担忧。犯罪分子利用网上银行系统安全风险和用户安全教育盲点,通过木马、钓鱼网站、社交工程等手段威胁客户资金安全,甚至对网银系统进行恶意渗透破坏和拒绝服务攻击。网上银行趋利性犯罪的高发态势不仅威胁国家金融安全,损害用户经济利益,也成为网上银行业务进一步发展亟需解决的“短板”。《规范》填补了我国网上银行系统安全方面标准的空白,从技术标准层面引导网银业务健康安全发展。
该标准在收集、分析评估检查发现的网上银行系统信息安全问题和已发生过的网上银行案件的基础上,通过对商业银行网上银行安全检查进行深入分析和总结,从正面提出安全规范性要求,具有较强的针对性和可操作性;针对网上银行信息系统所暴露的现实安全问题和潜在的风险点均提出了安全应对措施,具有前瞻性;《规范》涵盖了网上银行信息系统各个部分、交易的全过程,具有全面性。《规范》内容涉及网上银行系统的技术、管理和业务运作三个方面。新标准分为基本要求和增强要求两个层次,基本要求为最低安全要求,增强要求为本标准下发之日起的三年内应达到的安全要求。可以预见,如果此项标准能够在各金融机构得到贯彻落实,将有效增强现有网上银行系统的安全防范能力,促进网上银行规范、健康发展。
《规范》确立了适用新标准的信息安全技术和网上银行系统术语和定义。《规范》分为安全技术规范、安全管理规范和业务运作安全规范三个部分,安全技术规范包括客户端安全、专用安全设备安全、网络通信安全和网上银行服务器端安全等四个方面的技术安全要求;安全管理规范包括安全管理机构、安全策略、管理制度、人员安全管理、系统建设管理、系统运维管理等六个方面的管理安全要求;业务运作安全规范则包括业务申请及开通、业务安全交易机制、客户教育及权益保护等三个方面的业务运维安全要求。另外,《规范》还包含了与网上银行相关的网上支付部分安全要求。
《规范》强调了金融机构在保证网银客户端程序真实性、完整性和敏感信息交互过程的机密性等方面的责任,制定了USB Key、文件证书、OTP令牌、动态密码卡等专用安全设备的安全标准。《规范》明确了金融机构在维护网络通信安全、服务器端安全、系统运维安全等方面的应达到的技术安全标准和安全管理规范;要求金融机构保证业务交易流程安全,对交易实施审慎性监控和风险处置。
基层人民银行信息安全管理工作现状 篇8
目前, 基层行运行的重要信息系统主要分两类:一类是业务处理系统, 主要包括会计集中核算、国库会计核算、国库收支统计、货币发行信息管理、金融统计、信贷登记咨询等系统;另一类是管理信息系统, 主要有固定资产管理、人事劳资管理、财务会计报表、账户管理、办公自动化等系统。近几年, 围绕各信息系统安全稳定运行目标, 我们的信息安全管理工作也取得了一定成效, 各级行从组织管理、制度建设、技术防范、监督检查等多个方面入手, 采取切实有效的安全管理和风险防范措施。一是组织管理体系进一步健全。经过不断的实践探索和完善, 全行上下初步建立健全了以“计算机安全管理工作领导小组”为领导机构, 以科技部门为安全管理主体, 以各部门计算机安全员为骨干“三位一体”的组织管理体系。二是规章制度建设进一步完善。针对计算机信息系统安全管理各环节, 各级行结合自身实际, 不断完善和更新各项安全管理办法, 细化各项安全管理措施, 逐步建立健全了计算机网络安全管理、机房管理、网络防病毒管理等规章制度, 制度管理体系建设逐步完善, 计算机信息安全管理基本做到了有章可循。三是技术防范能力进一步提升。在总行的统一部署下, 人民银行系统内先后建成了Symantec防病毒体系、入侵检测、漏洞扫描等安全监控系统, 基层行的技术防范能力和水平得到了进一步提升。
二、目前基层行信息安全工作中的突出问题
(一) 信息安全意识不强, 基础管理工作参差不齐
目前各行虽然基本建立了信息安全组织机构, 但其作用未得到真正发挥, 究其原因, 一是行领导计算机知识相对薄弱, 对计算机信息系统安全的内涵、标准存在模糊认识, 对信息安全工作重视力度不够。二是基层行科技管理部门整体技术力量较为薄弱, 对信息安全工作研究的不深不细, 难以对本单位信息安全情况做出全面客观的分析和有针对性地组织安全检查, 不能及时发现并解决信息系统运行中的风险隐患。三是大部分基层行对信息安全教育和安全保障等基础管理工作重视程度不够, 计算机信息安全管理水平整体较弱, 还不能完全适应金融信息技术快速发展的要求。
(二) 规章制度建设相对滞后, 内控管理措施执行不到位
一是制度建设相对滞后。随着各类应用系统不断建设推广, 对信息的安全性要求也越来越高, 但相应的安全措施与管理制度未能及时调整和完善, 不能满足业务快速发展的需要。二是规章制度学习不到位。基层行普遍存在重应用、轻管理的现象, 对信息安全管理的重要性认识不足, 在信息安全方面的学习培训力度不够, 科技人员自觉学习的积极性不高, 制度的约束力无法得到充分发挥。三是规章制度执行不力。由于安全意识不强, 虽然计算机信息系统管理员、部门主管、操作员之间的责任权限有明确的划分, 但是在实际操作中混岗和违章操作现象还是时有发生, 潜在操作风险和安全隐患较大。
(三) 基层行科技力量薄弱, 人力资源开发相对滞后
一是基层行科技队伍素质与不断提高的信息安全新要求还不相适应, 近年来基层行工作人员更新很慢, 科技人员配备青黄不接, 大多数县支行信息安全管理人员既是技术支持人员, 又身兼办公室其他工作, 一定程度上削弱了信息安全管理的力度, 更谈不上配备A、B角。二是受时间以及缺乏系统性技术培训等因素限制, 支行科技人员无法及时吸纳新知识, 难以适应信息化快速发展和越来越高的安全要求。三是基层行科技人才管理机制还不够健全, 多数基层行对科技人员的重视程度较低, 薪酬激励措施落实不到位, 技术人员成长进步的渠道相对较为狭窄。
三、加强基层央行信息安全保障工作的对策
(一) 建立健全安全组织机构, 提高全员信息安全意识
当前, 计算机信息技术已渗透到人民银行系统各项业务工作当中, 信息系统安全保障与央行各项业务稳健运行已密不可分。一是强化对信息安全工作的组织领导, 将计算机安全管理工作纳入目标责任制管理, 层层签订“计算机安全责任状”, 使计算机安全管理工作能够真正的常抓不懈、常抓常新。二是确保机构和人员配备到位, 建立健全计算机安全管理体系, 设立专 (兼) 职计算机安全管理员, 赋予相应的职责和权限, 进一步明确各级计算机操作人员安全职责, 并将其纳入个人岗位责任制, 促使其安全、保密、规范地操作计算机, 形成一个强有力的计算机信息系统安全组织保障体系。三是牢固树立计算机信息安全意识, 坚持定期检查计算机安全工作, 定期召开科技管理和计算机安全形势分析会, 加强对员工信息安全教育, 使计算机信息安全管理理念深入人心, 切实提高全员信息风险防范意识。
(二) 建立健全信息安全规章制度, 加大安全检查监督力度
确保计算机信息系统安全是一项经常性、长期性的工作, 必须建立健全一套完整的可操作性强的制度体系, 对基层央行信息化应用体系的所有环节都能够实施有效的规范和约束。一是紧密结合基层工作实际, 针对计算机应用的不断延伸, 以现有内部管理制度为基础, 修订完善内控管理办法, 细化各项操作流程和安全管理措施。二是建立健全人员管理、应用软件、运行维护、网络安全、计算机病毒防范、数据与资料、运行环境、应急预案和保障体系等方面的安全管理办法和措施。三是在执行各项制度办法上狠下功夫, 加大计算机信息安全保障检查力度, 切实强化规章制度在日常工作中的自我约束力。
(三) 坚持以人为本, 加强科技队伍建设
一是建立和完善科技激励考核机制, 对基层行科技管理和信息安全工作做得好的单位或个人应予以奖励或晋职, 同时提供必要的条件, 鼓励进行科技创新, 进一步激发科技人员工作的积极性、创造性, 促进金融信息化工作全面协调发展。二是提高对计算机信息安全保障工作重要性的认识, 应尽量设立专职科技人员, 避免科技人员既从事技术工作又从事业务工作的情况, 从而使科技人员能够集中精力投入到科技工作中, 加大计算机信息系统安全管理力度。三是深入开展培训, 提高基层科技应用水平, 定期或不定期地对基层科技人员进行“升级”培训, 特别是加强与重要业务系统相关的数据库管理、网络安全和病毒防治等知识的培训, 提高维护水平和业务技能。同时, 要针对目前计算机应用实际情况, 开展全员培训, 全面提高广大员工计算机应用能力和安全意识。四是加强计算机操作人员法制教育, 对计算机操作人员和管理人员要进行上岗前的安全培训和考试, 择优上岗。
(四) 技术与管理并重, 切实加强基层网络基础管理工作
网上银行信息安全的常用解决方案 篇9
网上银行又称网络银行、在线银行,是指银行利用Internet技术,通过Internet向客户提供开户、销户、查询、对帐、行内转帐、跨行转账、信贷、网上证券、投资理财等传统服务项目,使客户可以足不出户就能够安全便捷地管理活期和定期存款、支票、信用卡及个人投资等。可以说,网上银行是在Internet上的虚拟银行柜台。网上银行又被称为“3A银行”,因为它不受时间、空间限制,能够在任何时间(Anytime)、任何地点(Anywhere)、以任何方式(Anyway)为客户提供金融服务。
信息技术的飞速发展带来网上银行需求日益增加,同时也使网上银行面临种种风险,安全性是网上银行赖以生存和得以发展的核心及基础。本文主要结合2009年江西省农村信用社网上银行系统一期项目实施部署的经验,介绍基于J2EE平台的网上银行信息系统的安全技术选型并分析其优劣。
网上银行银安全体系主要解决以下四部分内容:银行内部交易系统的安全性、网上银行系统业务流程安全性、网上银行用户数据安全性及网上银行安全恢复需求。
1 银行内部交易系统的安全性
网上银行系统设备不同于其他银行内部交易系统服务器相对独立及对外隔离的安全地位,在整个银行中心机房中处于外联内通的一个特色地位,对外需连接Internet广域网,对内需与银行核心系统、现代支付系统、银行卡系统、资金业务系统、中间业务系统等发生报文交互。因此在设计银行中心机房网络拓补时遵循安全隔离规则,需在广域互联网与网上银行web服务层之间、网上银行web服务层与网上银行应用服务层之间、网上银行应用服务层与银行外围总线系统之间设立多层防火墙,杜绝黑客威胁银行核心系统的风险。除建立多层防火墙模式抵御病毒及黑客攻击外,还可以从网上银行系统服务器的软硬件配置上提升安全性能,如使用高安全级别的服务器设备,正版授权并可信任的专业操作系统,配合专业的网络动态监控产品,实现多方面立体式的防攻击保护的安全网络体系架构。图一为银行普遍采用的较科学的一整套网上银行安全系统网络拓扑图。
2 网上银行系统业务流程安全性
2.1 安全的身份认证
在双方进行交易前,首先要能确认对方的身份要求交易双方的身份不能被假冒或伪装。网上银行应用系统中的安全防护的第一道防线是身份认证。身份认证的技术有很多,普遍应用在网上银行中的按安全级别高低划分主要包括:组合动态口令随机动态口令、手机短信口令、USBkey数字证书。绝大部分银行主要根据不同客户群不同的安全需求提供以上的1种或者多种组合的方式进行网上银行系统的身份认证。针对一般查询为主配合小额支付汇款类的大众版客户群选择采用相对较低安全级别却免费的口令卡形式,针对安全级别需求较高的专业版网上银行用户采用USBkey数字证书或它与其他口令的组合认证策略。
2.2 业务操作控制
业务操作控制主要通过制度流程规避银行内部管理人员的道德风险,包括管理柜员证书申请、下载、绑定、解绑、注销、更新、发放等网上银行安全认证介质的流转管理。应配备专业人员,分级分工,换人复核授权等操作规程,安全介质USBKey应纳入银行重要空白凭证管理,防范银行内部高科技犯案。
2.3 交易风险控制
除技术上防钓鱼、防挂马等网页安全防御外,也可预留客户定制信息防假网站、敏感信息屏蔽及软键盘防拍照,多层控制交易限额降低事故损失,会话超时控制非法恶意操作,交易重复提交控制操作风险保证系统性能、短信对账及大额短信确认保证事故的预警及实时反馈。
3 网上银行数据安全性
3.1 敏感数据保密性
数据加密是指对金融交易中的敏感重要的商业信息进行加密,即使别人截获或窃取了数据,也无法识别信息的真实内容,这样就可以使商业机密信息难以被泄露。从目前国内网上银行应用的安全案例统计数据来看,数据保密性需求主要体现在:客户端与网上银行系统交互时输入的各类密码:包括系统登录密码、转账密码、凭证查询密码等必须加密传输及存放,这些密码在网上银行系统中只能以密文的方式存在,其明文形式能且只能由其合法主体能够识别。网上银行系统与其它系统进行数据交换时必须进行端对端的加解密处理。即密码在服务器间密文传输且不输出日志,这里的数据加解密最好是在专业金融加密机设备内部完成,主要是为了防止交易数据被银行内部人士截取利用。同时,金额加密机的本地主密钥及核心系统的业务主密钥应采用多人分段封存的方式保存。
3.2 传输数据完整性
数据完整性要求防止非授权实体对数据进行非法修改。交易各方能够验证收到的信息是否完整,即信息是否被人篡改过,或者在数据传输过程中是否出现信息丢失、信息重复等差错。通常网上银行系统中有两个地方需要对数据进行完整性检查:一是在网上银行用户提交交易数据签名时,由于互联网是一个开放的网络,客户在网上传输的敏感信息(如密码、交易指令等)在通讯过程中存在被截获、被破译、被篡改的可能。为了防止此种情况发生,网上银行系统一般都采用加密传输交易信息的措施,使用最广泛的是SSL数据加密协议;另一种是网上银行系统与该行其它系统进行通讯时,需要检查报文的完整性,同样采用非对称密钥算法的数字根证书进行数字签名。
3.3 数据可用性
数据可用性要求数据对于授权实体是有效、可用的,保证授权实体对数据的合法存取权利。对数据可用性最典型的攻击就是拒绝式攻击和分布式拒绝攻击,两者都是通过大量并发的恶意请求来占用系统资源,致使合法用户无法正常访问目标系统。网上银行系统可用性需求即是网上银行系统7×24小时稳定运行需求,体现在以下几个方面:并发用户/并发连接;同时在线人数;允许的界面最长响应时间;中断允许的最大时间;对系统的长连接访问时间的要求。
3.4 数据不可抵赖性
在电子交易通信过程的各个环节中都必须是不可否认的,即交易一旦达成,发送方不能否认他发送的信息,接收方则不能否认他所收到的信息。
4 网上银行安全备份与恢复
网上银行系统的用户量大,访问和数据的流量也相应增加,网上银行系统的安全备份及恢复是系统稳定运行的前提,所以目前的网上银行系统多会在硬件上采用双机热备,集群服务器的部署方式,软件上采用负载均衡策略提高系统稳定性及运行高效性。负载均衡的算法有多种,包括依序、比重、流量比例、自动分配等。江西农信的部署方案是:网络采用自动最优匹配方式,应用服务器、加密机、数据库采用双机热备方式,安全网关及数字签名服务器采用依序负载均衡方式。
安全性作为网上银行赖以生存和得以发展的核心及基础,从一开始就受到各家银行的极大重视,普遍采取了基于以上四部分安全需求的解决方案,运用多层、复杂、有效的技术手段和业务流程来确保网上银行安全。到目前为止,国内网上银行交易额已达数千亿元,所有银行方还未出现过安全问题,只有个别客户由于保密意识不强而造成资金损失,这也主要得益于国内网上银行的一整套成熟的信息安全解决方案。
5 结束语
安全性作为网上银行赖以生存和得以发展的核心及基础,从一开始就受到各家银行的极大重视,普遍采取了基于以上四部分安全需求的解决方案,运用多层、复杂、有效的技术手段和业务流程来确保网上银行安全。到目前为止,国内网上银行交易额已达数千亿元,所有银行方还未出现过安全问题,只有个别客户由于保密意识不强而造成资金损失,这也主要得益于国内网上银行的一整套成熟的信息安全解决方案。
网上银行的安全性和方便性是互相矛盾的,越安全就意味着申请手续越烦琐,使用操作越复杂,影响了方便性,使客户使用起来感到困难。因此,建设安全同时便捷的网银安全系统,是未来网银安全体系中的重要课题,在确保银行利益的同时,我们应该为客户提供更加优质便利的金融电子服务,网银安全体系需要在安全性与方便性的权衡上继续寻求最佳契合点。
参考文献
[1]中国人民银行.网上银行系统信息安全通用规范[M].2009,12.
网络时代的银行信息安全与防范研究 篇10
一、影响网络时代银行信息安全的主要因素及解决措施
(一) 系统漏洞
计算机漏洞又可以称为陷阱, 通常情况下, 这是由计算机系统研发人员有意设置, 主要是为了能够在用户失去系统访问权的时候再次进入系统。同时, 正是因为这种系统漏洞, 银行信息的安全遭到了威胁, 主要表现在了以下的几个方面:第一方面就是乘虚而入。这种情况是发生在的用户终止了系统通信, 但是由于某种特殊的原因导致系统的端口仍然处在激活的状态当中, 这个时候其他用户就能够顺利利用该端口进行系统通信, 而且无需通过安全认证。第二方面就是不安全服务。主要指的就是有一些十分个别的程序能够直接绕过计算机的安全系统, 进行一些操作, 进而威胁到计算机的信息安全。第三方面就是配置。系统的配置直接决定了整个系统的信息安全防范性能。
(二) 手机银行存在的漏洞
手机银行是电子银行的新兴渠道, 将各种银行业务集中到手机上进行操作。手机银行的特点是只要有一个手机终端, 可以在任何时间、任何地点为客户提供方便快捷的金融服务, 是个移动银行。那么如何确保用户的资金、账户安全是系统需要解决的重要问题。在这个问题上, 光大银行做出了很好的对策。光大银行在发展手机银行业务时, 高度重视手机银行的安全性和可靠性, 采用了国际上先进的网络安全软硬件技术, 及业界领先的安全策略来保障手机银行系统的安全性。
(三) 计算机病毒
计算机病毒是最为常见的安全威胁因素。它本身属于一种恶意的代码, 最经典的是逻辑炸弹, 危害性十分强大, 虽然逻辑炸弹不会到处传播, 但是它却是科技含量最高的一种诈骗手段, 具备了寄生性、破坏性、危害性、隐蔽性和触发性, 我们必须要时刻提防计算机病毒的入侵。一旦计算机病毒入侵了银行的信息系统, 将会对银行的信息安全造成严重的破坏, 并且难以清除。当前的银行系统还包括了网络银行系统, 网络银行因为同网络的连接, 更容易受到病毒的入侵和干扰, 所以, 对于网络环境下的银行系统, 更应该设置相关的环节进行计算机病毒的抵御。
(四) 黑客攻击
计算机病毒是指一些具备特殊计算机才能的黑客, 通过正常人无法察觉的方式, 利用一些简单的设备侵入他人系统, 并且获取他人信息或者破坏他人系统的现象。多数黑客都是利用计算机系统自带的漏洞对计算机进行入侵, 并且攻击手段十分多样, 更新速度十分迅速, 使得计算机安全防范系统无法保持同步应对, 导致计算机系统经常被入侵, 一旦黑客成功入侵银行的计算机信息系统, 造成的损失是我们无法估量的。
二、网络时代银行信息安全防范的基本措施
(一) 解决系统漏洞
为了解决系统漏洞, 光大银行设置了操作超时保护, 登录手机银行后, 如果15分钟内没有任何操作, 系统会对登录状态进行自动控制, 此时不允许进行任何交易, 需退出并重新登录后才能继续使用。同时, 还可以设置阳光令牌动态密码。如果您经常使用转账、缴费等业务或需通过手机进行大额转账, 可以到光大银行柜台免费申领阳光令牌。阳光令牌动态密码每分钟自动刷新一次, 一次一密, 登录时使用阳光令牌动态密码更加安全可靠。
(二) 解决手机银行漏洞
通常采用的方法就是将客户信息与手机号绑定。您在使用手机银行时, 必须使用开通时绑定的手机号登录, 登录时还需使用登录密码。为了防止恶意试探密码, 光大手机银行采用密码输错累计次数限制, 当累计密码输入错误次数超过3次时, 手机银行系统将处于锁定状态。还设置了签约机制, 通过手机、网站渠道开通的手机银行服务不能进行对外转账、缴费、支付等高风险业务。如果您需要使用此类业务, 必须通过柜台或专业版网银开通手机银行对外转账功能。
(三) 双密码措施
为了避免黑客的攻击, 很多银行都设置了双密码功能。建设银行采取登录密码和交易密码两种控制, 并对密码错误次数进行了限制, 超出限制次数, 使用者当日即无法进行登录。在您首次登录网上银行时, 系统将引导您设置交易密码, 并对密码强度进行了检测, 拒绝使用简单密码, 有利于提高您使用账户的安全性。在系统登录时, 银行为您提供了附加码和密码小键盘等服务, 避免泄露您的信息。双密码措施是保证银行系统安全的重要措施, 对于利用网络进行银行交易的用户来说尤为重要。
(四) 抵御计算机病毒
计算机病毒对于银行安全系统的威胁是十分严峻的, 很多银行通过设置客户端密码安全检测来抵御计算机病毒的干扰。目前网上银行十分热门, 网购为网上银行交易带来了春天, 同时很多网上业务在下载相关资料的过程中很容易受到病毒的干扰。在银行网上也要为银行系统提供了对您的客户端密码安全检测, 能自动评估您设置的网上银行密码安全程度, 并给予您必要的风险警告, 有助于提高您在使用网上银行时的安全性。先进技术的保障, 网上银行系统还采用了严格的安全性设计, 通过密码校验、CA证书、SSL (加密套接字层协议) 加密和服务器方的反黑客软件等多种方式来保证客户信息安全。
结束语
网络时代的银行信息安全与防范是十分必要和重要的, 银行本身就涉及到各种重要的信息, 一旦泄露后果都是十分严重的。本次论文我们分析了网络时代的银行信息威胁因素, 并且针对相关因素制订了相应的安全防范措施, 各类银行应该以“承认漏洞、适度防护、正视威胁、建立威慑”为指导思想, 有效提高银行计算机系统的自我防范能力, 实现银行的计算机信息安全。
参考文献
[1]张春艳.浅析网络时代的银行信息安全与防范[J].黑龙江科技信息, 2012, 07:117.
[2]徐明.银行信息技术风险管理及若干对策研究[D].国防科学技术大学, 2007.
