商業銀行網絡安全風險分析

王曉姝

【摘要】當前，網上銀行發展迅速，隨之而來的是信息泄漏、數據被篡改等網絡安全問題。為消除這些漏洞和隱患，可以采取網絡分層法逐層對網絡安全風險進行分析，進而提出解決方案。

【關鍵詞】銀行網絡安全分層

一、引言

由于目前網絡的應用的自由性、廣泛性以及黑客的“流行”，銀行面臨著各種安全威脅。一旦信息泄露或者信息混亂，將給銀行自身信譽、社會穩定、國家安全帶來巨大影響。

二、物理層的安全風險分析

網絡的物理安全風險主要指網絡周邊環境和物理特性引起的網絡設備和線路不可以使用，而造成網絡的不可以使用，它是整個網絡安全的前提。如：（1）設備被盜。（2）被毀壞鏈路老化或被有意或者無意的破壞。（3）因電子輻射造成信息泄露。（4）設備意外故障、停電。（5）地震、火災、水災等自然災害。

因此，銀行專網在網絡安全考慮時，首先要考慮物理安全。除此之外，由于銀行專用網絡涉及業務網核心與管理網核心兩個不同的密級，因此在方案中我們將利用“物理隔離”技術，將兩個網絡從物理上隔斷而保證邏輯上連通實現所謂的“信息擺渡”。

三、網絡層安全風險分析

3.1數據傳輸風險分析

由于在同級局域網和上下級網絡數據傳輸線路之間存在被竊聽的威脅，同時局域網網絡內部也存在著內部攻擊行為，其中包括登錄通行字和一些敏感信息，可能被侵襲者搭線竊取和篡改，造成泄密。如果沒有專門的軟件或硬件對數據進行控制，所有的廣域網通信都將不受限制地進行傳輸，因此任何一個對通信進行監測的人都可以對通信數據進行截取。這種形式的“攻擊”是相對比較容易成功的，只要使用現在可以很容易得到的“包檢測”軟件即可。

3.2網絡邊界風險分析

（1）銀行中間業務系統安全。銀行各項中間業務的蓬勃發展，各種各樣的銀行代理業務悄然出現，如代發工資、代收電費、代收水費等等；銀行的服務手段也從傳統的柜臺發展到ATM、自助終端、電話銀行等自助式的服務方式，最后發展到完全通過網絡進行資金的結算。同時，為方便客戶和中心管理，銀行都建立了中間業務平臺系統，而中間業務網絡環境的復雜性和開放性正成為中間業務網絡潛在威脅的最大來源。（2）INTERNET出口的安全。入侵者通過Sniffer等程序來探測掃描網絡及操作系統存在的安全漏洞，如網絡IP地址、應用操作系統的類型、開放哪些TCP端口號、系統保存用戶名和口令等安全信息的關鍵文件等，并通過相應攻擊程序對內網進行攻擊。入侵者通過網絡監聽等先進手段獲得內部網用戶的用戶名、口令等信息，進而假冒內部合法身份進行非法登錄，竊取內部網的重要信息。入侵者通過發送大量PING數據包對內部網中重要服務器進行攻擊，使得服務器超負荷工作以至拒絕服務甚至系統癱瘓。（3）管理系統和業務系統之間的訪問控制需求。內部網中辦公系統與銀行業務系統之間如果沒有采用相應一些訪問控制，也可能造成內部重要信息泄漏或非法攻擊。如果銀行辦公系統與業務系統沒有采取相應安全措施，同樣是內部網用戶的個別員工可能訪問到他本不該訪問的信息。還可能通過可以訪問的條件制造一些其它不安全因素（偽造、篡改數據等）。或者在別的用戶關機后，盜用其IP進行非法操作，來隱瞞身份。

四、系統層的安全

系統級的安全風險分析主要針對銀行專用網絡采用的操作系統、數據庫、及相關商用產品的安全漏洞和病毒威脅進行分析。銀行專用網絡通常采用的操作系統（主要為UNIX）本身在安全方面有一定考慮，但服務器、數據庫的安全級別較低，存在一些安全隱患。

五、應用層安全風險分析

銀行專用網絡應用系統中主要存在以下安全風險：業務網和辦公網之間的非法訪問；中間業務的安全；用戶提交的業務信息被監聽或修改；用戶對成功提交的業務進行事后抵賴；由于銀行專用網絡對外提供網上銀行WWW服務，因此存在外部網非法用戶對服務器攻擊，包括：與INTERNET連接帶來的安全隱患、身份認證漏洞、高速局域網服務器群安全。

六、表示層安全風險分析

最安全的網絡設備離不開人的管理，再好的安全策略最終要靠人來實現。同時，必須對站點的訪問活動進行多層次的記錄，及時發現非法入侵行為。

七、結語

網絡安全建設是一個系統工程，商業銀行一級網絡安全體系建設應按照“統一規劃、統籌安排，統一標準、相互配套”的原則進行，采用先進的“平臺化”建設思想，根據風險分析的結果設計出符合具體實際的、可行的網絡安全整體解決方案。