淺談馬鋼財務公司信息系統安全

2013-07-10 20:36:56孫志遠

卷宗 2013年8期

孫志遠

摘要：金融機構掌管著國家的經濟動脈，是國家的重要部門。隨著以計算機與網絡技術為主體的信息技術的發展，金融機構都陸續實現了電子化，金融機構的資金的記錄從最初的簿記變為了電子記賬，各種交易由最初的柜面辦理變為了電子交易。毫不夸張的說現在的金融機構已經實現了把金庫建在計算機里，把鈔票存在數據庫里，使資金流動在計算機網絡里。因此信息系統的安全就顯得十分重要。

本文在信息系統安全理論的指導下，對馬鋼財務公司軟件系統與網絡系統安全性進行分析，提出了馬鋼財務公司軟件系統與網絡系統安全的需求和安全設計原則。

關鍵詞：金融機構；信息系統；軟件系統；網絡系統；安全性

隨著金融系統信息化改革的逐步推行，計算機與網絡系統已大規模的應用在金融領域。但是應該看到，信息系統為金融機構帶來便捷與利益的同時，也帶來了前所未有的安全問題。在這種情況下，加強對金融機構信息系統的監管及風險防范就變得十分重要。

財務公司作為非銀行業金融機構，不僅每天都有大量的資金流動，還貯存著各種極其敏感的客戶資料，甚至涉及很多高度的商務機密，所以財務公司的內部網絡安全問題非常重要，同時由于互聯網的飛速發展和黑客數量的不斷增長，這個問題也變得越來越急迫。

馬鋼財務公司網絡信息系統的結構，根據可能出現的風險，提出不同的的網絡安全需求。其中按不同功能的子系統的網絡劃分為資金系統網、賬務系統網、辦公自動化網絡和測試系統網中，以生產用資金系統網與賬務系統網作為最高級別的安全需求，采取比較高級別的安全策略。資金系統網、賬務系統網與其他網絡相隔離，其內部也要實施高等級的安全策略；測試系統網雖然與生產網是相互隔離的，但測試系統網中存放著大量從資金系統與賬務系統中拷貝過來的生產信息。所以，測試系統網也應采取中等級別的安全策略。

具體來說，財務公司的信息系統安全需求與針對需求采取有效措施主要有以下幾個方面：

1 合理的網絡結構與安全措施

合理地規劃網絡邊界和功能，合理地設置網絡接口，對各功能子網特別是生產網進行詳細的VLAN劃分，以便于隔離問題，使結構可管理，接口可控制。在網絡邊界處部署防火墻與入侵預防系統ips。見圖1-1馬鋼財務公司網絡實施方案。整個網絡組建在馬鋼集團網環境內。物理通過2個防火墻組成一個相對獨立的網絡環境。并對不同的功能區域設置不同的Vlan，形成了不同功能區域之間的網絡隔離。

2 用戶身份鑒別

在資金系統與賬務系統中通過服務器電子證書（CFCA）與用戶名、密碼雙重認證，對終端和用戶的合法性進行鑒別認證，防范非法用戶假冒合法用戶進入系統。

3 數據通信加密

所有使用公共網絡的成員單位與馬鋼財務公司間通信必須使用虛擬專用網vpn，以防止數據泄密，同時防止遭受來自通信線路上的非法截獲、分析、篡改、重放等。財務公司與銀行間通信使用專線，徹底避免了數據泄密。

4 病毒防范

建立網絡病毒防范體系，采用先進的網絡防病毒技術，通過趨勢科技殺毒軟件對全系統實施網絡防范病毒策略，在全網絡范圍內對病毒進行有效的預防、隔離，并在保證數據完整性的前提下清除病毒。對病毒庫與安全策略進行定期更新，保證殺毒軟件可以防范最新的病毒與惡意攻擊手段。

5 數據備份

當系統出現不可逆的災難性故障時數據備份就顯得極其重要。建立備份和恢復機制，對重要的網絡設備、業務系統和數據進行備份，在遭受攻擊時，能夠盡快地恢復網絡系統服務和數據環境，將損失降到最低程度。馬鋼財務公司采用了Symantec BackupExec和NetBackup產品系列作為信息系統數據集中備份解決方案。設備上使用了一臺IBM 3650M3作為備份服務器，負責整個備份系統的管理，包括備份策略的制訂、備份工作的調度、備份數據庫的保存、數據恢復等。備份服務器通過光纖連接磁帶庫，并通過備份軟件NBU進行磁帶庫中機械手和磁帶驅動器的控制。其他有備份需求的服務器上安裝備份軟件的客戶端軟件，根據備份策略中定義的備份時間，自動將數據通過網絡備份到磁盤和磁帶庫，無須人工干預。在需要時可以自己恢復或者通過備份服務器由管理員進行恢復。除了安裝備份軟件的客戶端軟件外，根據數據庫服務器需要安裝了備份軟件的數據庫（Oracle）代理軟件，可以實現在線數據庫備份。

為保障業務的持續性和信息系統數據安全，除了將數據備份存儲在本機介質中外，還建立了一套異地數據備份機制將數據備份到異地容災中心。

通過一系列的成熟的措施，馬鋼財務公司構建一個相對安全的系統環境，最大限度的保證了資金與信息的安全。但隨著信息技術的發展，計算機病毒與網絡攻擊手段也在不斷變異更新。預防措施的更新都是在系統安全受到威脅而發生的，要想做到系統長期的穩定，必須實時的關注系統防護的最新趨勢，不斷引入系統防護新措施，調整系統的安全策略。

參考文獻

[1]陳靜，中國金融系統信息化及其發展趨勢[J]，m絡世界，2000年第10期：15-1

[2]謝希仁，計算機網絡，第5版，電子工業出版社

[3]魏大新、李育龍，Cisco 網絡技術教程，第2版，電子工業出版社