構建資金管理系統風險防控體系

資金管理系統作為單位核心業務的支撐系統，它集結算、核算、各項金融業務管理、資金平衡管理及資金風險管控為一體，其安全性關系到單位資金的安全，涉及到指令在存儲、傳輸等過程中不被他人非法獲得，不被篡改。另外系統還應提供對黑客和惡意攻擊的防范,保證系統業務的連續性。

鑒于系統管理安全的實際需求，參照金融行業“應用安全”等級保護的標準，對資金管理系統如何構建風險防控體系進行初步的探討，認為系統在建設時應注重以下幾個方面。

網絡架構的安全設計

網絡結構布局的合理與否，直接影響著網絡的安全性。對銀行系統業務網、辦公網、與外單位互聯的接口網絡之間必須按各自的應用范圍、安全保密程度進行合理分布，以免局部安全性較低的網絡系統造成的威脅傳播到整個網絡系統。因此在系統建設網絡架構設計時，要著重安全風險防控的規劃設計，網絡總體規劃如圖1。

圖1 網絡總體規劃

1.統一入口規劃。單位的資金管理系統基本都有上Internet公網的需求，方便遠程用戶有訪問。公網風險性極高，建議系統不直接發布于公網，在DMZ區部署VPN設備、安全網關及CA認證服務器，所有客戶端通過VPN方式接入，并通過安全網關及CA服務器對接入者進行身份認證。用戶登錄資金管理系統時，都被要求插入能唯一標識使用者身份的CA證書，系統通過比較服務器端存儲的身份識別碼和從CA證書內部讀出的身份標識數據來判斷操作者身份，非授權用戶將無法鏈接到資金管理系統，也不會彈出登錄窗口，從而有效阻止非法用戶的入侵。授權用戶再通過用戶與CA匹配驗證、CA密碼以及用戶登錄密碼三方面的驗證，才能正式登錄資金管理系統，避免單純依賴口令識別而存在的某些安全隱患。

2.安全區域規劃。根據業務及功能不同，做好區域的規劃，規劃好邊界，通過部署防火墻及IPS實現內、外網或不同信任域之間的隔離，強化端口的控制，細化安全策略，并通過IPS實時分析進出網絡數據流，對網絡違規事件跟蹤、實時報警、阻斷連接。它既可以對付內部人員的攻擊，也可對付來自外部網絡的攻擊，提高安全等級。在內網內可以通過交換機劃分VLAN功能來實現不同部門、不同級別用戶之間簡單的訪問控制。

3.業務連續性規劃。根據企業RPO、RTO、RAO的要求，做好業務連續性的規劃，制定業務中斷情況下的應對措施，包括啟用備用設備、恢復系統和數據的措施等。

4.安全監控規劃。根據等級保護要求，在網管區部署數據庫審計、日志審計、堡壘機等安全設備，加強操作安全的管理。網絡安全法的正式實施對業務系統安全審計提出了新的要求，日志留存不得少于六個月。通過收集系統的日志并對其進行分析，從而了解系統運行情況，掌握系統安全狀態，有針對性制定安全策略，才能將系統調整到“最安全”和“最低風險”的狀態。

應用系統的安全策略

任何一個信息系統的安全，在很大程度上依賴于最初設計時制定的安全策略、采取的安全措施，因此資金管理系統在開發設計時就要制定相應的安全策略，并把安全策略貫穿到整個系統開發，形成統一的安全體系。

建立“身份識別”體系

“身份識別”就是應用系統能提供一種機制，能對登錄用戶進行身份標識和鑒別，建立對用戶身份標識唯一性檢查，該機制能有效對非法登錄進行阻止，并對登當失敗進行處理。

1.全程身份識別。資金管理系統在應用層進行身份確認與綁定，在操作資金管理系統時由應用層進行CA證書校驗，在做支付簽名時，由資金管理系統獲取證書的DN信息，將該DN信息同在數據庫中登記的DN信息進行比較，確認插入的KEY與當前操作員是否一致，保證專KEY專用。對于關鍵性數據如支付指令等，增加電子簽名以防止客戶對相關交易抵賴，經簽名的指令明文及簽名后的密文信息都將在數據庫永久保存，密鑰由CA中存儲的數據產生，具備較好的保密性。

2.安全保障機制。應用系統應提供用戶身份標識唯一的鑒別信息，且具備一定的復雜度，保證身份標識在應用系統中不存在重復，且身份鑒別信息不易被復制；系統自動分配或預設的初始密碼，在用戶首次登錄時要強制修改初始密碼，密碼設置具有一定的復雜度；系統需設置閑置時間長度，在閑置時間到期后，自動鎖定客戶端的使用，再次使用時需進行身份識別、密碼確認。

建立“訪問控制”策略

“訪問控制”就是按用戶身份及其在系統中所承擔的任務，來限制用戶對某些信息項的訪問，根據任務決定某些功能的使用。

1.完善權限管理。在應用系統中，每個用戶所屬角色的權限可以單獨設置。在賦予用戶權限時，根據承擔的任務不同授予用戶所需的最小權限，有效避免用戶擁有不必要的操作權限，要注意角色的不相容性，如記帳人員不能具有審批人員的權限、系統操作人員不能具有維護人員的權限、維護人員不能具有審計人員的權限等等。做到身份不同權限不同，在業務流程上不同業務由不同角色人員通過不同流程來完成，來保證業務的發出符合安全管理的需要，一筆業務辦理需要不同的角色配合完成，從而提高安全性。

2.強化數據保護。通過標記來控制是否允許對敏感數據訪問，對敏感數據的訪問進行強制身份認證，并全程日志記錄。為避免系統操作人員獲知數據庫訪問密碼，系統將采取對數據庫訪問密碼進行加密，并存放在一個專門的數據庫訪問文件中，應用程序通過專門的程序獲與數據庫連接信息，從而建立與數據的鏈接，避免系統操作人員直接接觸數據庫系統的訪問賬號和密碼。從而保證系統操作人員除了使用特定軟件外將無法進行直接操作數據庫。

建立“通信加密”機制

通信技術的發展帶了效率，同時也數據失密的問題，信息在傳輸過程中可能被非法截取或篡改，為了防止發送的數據被盜，通過專門的通信協議或加密的方式保證傳輸數據的安全性。

1.建立加密信道。資金管理系統是基于B/S結構方式運行，客戶端通過瀏覽器對服務端進行訪問，其與服務器端的連接采用SSL連接，SSL是在TCP之上建立了一個加密通道，數據在傳輸過程中經過發送方和接收方加密、解密后接受，密鑰由Key中存儲的數據產生，電子簽名機制，使信息具有不可抵賴性。SSL保證了信息傳輸過程中不被偷聽、不被篡改及信息的偽造，通過這一層的數據經過了加密，從而達到保密的效果。

2.綁定用戶身份。資金管理系統基本實現了銀企直接，通過直聯系統實現快速交易款項的撥付，提升了資金管理的效率。效率的提升同時也帶來了傳輸安全的問題，如何確保資金管理系統到商業銀行間數據發送、接收、處理過程中的安全，各商業銀行基本采取的方法是前置機與銀行主機用專線直聯，在數據傳輸層采用商業銀行提供的數據加密機制，即傳輸層采用“服務端加密機——客戶端加密機”所提供的SSL套接層加密，通過第三方數字證書綁定用戶身份，并對指令數據采用第三方數字證書進行簽名加密，實現傳輸過程防監聽、傳輸內容防篡改、交易防抵賴，從而確保指令數據安全、準確。

系統安全實際上就是一種風險管理，本文僅從系統建設初期的規劃設計角度對系統風險管理進行初步的探討，任何一個信息系統的安全，在很大程度上依賴于最初設計時制定的安全策略、采取得安全措施。但任何技術手段都不能100%保證系統的安全，安全技術可以降低系統的風險系數，俗話說三分靠技術，七分靠管理，人員的管理策略的復雜性和難度要遠遠超于技術的管理。制訂安全相關的管理制度，嚴格規范操作規程，定期對用戶進行安全培訓，確保所有的用戶了解并嚴格執行系統安全策略，只有將有效的安全管理實踐自始至終貫徹落實于信息安全當中，系統安全的長期性和穩定性才能有所保證。