被忽略的内网安全
提到金融网络安全防范,人们会一下子想到通过网络防火墙、外部入侵控制、访问控制来解决金融外网所带来的安全威胁,实际上,银行外网是非常安全的,甚至可以说是攻不可破的。而来自银行内部的报告显示,目前由金融内部网隐患所引发的安全问题却被常常忽略。
就目前银行内部网络安全防范现状来看,主要表现出以下特点:
首先,银行对于内部网安全防范主要是采取加强管理、完善制度管理以及检查监督等方式。然而单纯依靠管理制度,不足以遏制内部案件的发生。
其二,银行有一些常见的内网安全防范手段,如采取简单的VLAN划分、ACL、NAT,这些方式仅仅实现了安全架构中的安全保护部分,不能提供对内网安全有效的保证。而在另一方面还可能因为信赖了不完善的防范措施,造成管理上的松懈,使得隐患加剧。
其三,内网安全意识有待加强。
家贼难防
首先来看银行的技术人员。在银行内部进行网络建设、维护的都是同一批人,这样,银行的网络安全屏障对于他们就形同虚设。另外,银行技术人员的频繁流动也是造成泄密的隐患之一。
第二,从柜台业务来看,每个柜员都有独立的操作号和密码或者是柜员磁卡,然而由于对自身的操作号和密码保密不严或互相借用,为内部人员盗用他人名义作案创造了机会。
第三,在行政职能部门,拥有相应部门权限的人员可以访问到相应的业务流程;同时,还可以通过在内网修改自身的IP地址访问其他业务,越权操作,形成安全隐患。
另外,一旦出现技术人员与业务人员协同作案,那么银行的内部网络等于大门敞开。技术人员可以通过地址分配、授权等方式方便业务人员进行非法操作。
隐患
目前银行常用的内网安全防范方法仍存在很多不足。(1)VLAN划分:技术屏障低,很容易被攻破;(2)通过MAC地址、端口绑定:对于内部技术人员没有任何限制屏障,形同虚设;(3)网管、身份识别:假如内部人员盗用他人IP进行操作,此时网管只知道有人在访问、操作业务系统,但是无法识别、控制,只能做基本的管理;(4)IDS事后监督:IDS系统只能在案件发生后提供相应的事后报告,没有前期预警,没有事中监督,无法防止案件的发生。
所以,真正的安全隐患存在于内部。有效的安全风险防范,应该依靠整套完善的技术方案。
解决之道
安全来自全部公开,而不是依靠人员之间的保密。要实现安全,需要做到以下几点:
首先,需要通过技术实现操作人员只能通过自己的账号、密码在规定的时间、指定的设备上,通过固定交换机端口,进行一定范围内的业务操作。
技术实现方式有:通过时间控制;通过VLAN划分,实现局域网隔离;通过对用户账号、MAC地址、用户IP地址、交换机端口、交换机IP地址、VLAN ID同时实现绑定,实现对访问用户的身份进行唯一识别,从而充分保证访问用户身份的真实性;同时,对访问用户在内部网中的操作行为进行全程跟踪;当访问用户出现非法操作时,系统会立刻进行记录,并启动安全策略。
除了在技术上要对内网安全进行全面保障外,还需建立起相应的管理制度,并严格执行。只有通过技术、管理的有效结合,才能够真正有效地防范内网安全风险。锐捷网络(原实达网络)
企业认证 | 
供应商会员服务 | 金融机构服务 | 操作帮助
资讯搜索
一周热点新闻排行