| “e”时代的安全防范——人行株洲中支多管齐下确保网络安全 |
|
| http://www.cnfp.net 时间:2004-2-25来源:金融时报
|
|
目前,在中央银行基础业务的开展中,计算机处理系统已全面取代手工操作,在支付结算、国库核算和货币发行等发挥着日益重要的作用。而与此同时,利用计算机及网络进行作案的事件也时有发生,或篡改数据、或窃取机密,构成潜在威胁。为构筑起网络屏障,人行湖南株洲中支除完善安全防范组织体系、制度体系以外,还针对业务应用系统的特点,采取有效的技术手段进行防范,确保金融网络安全。
人民银行面向金融机构提供支付清算服务,同城清算系统通过金融城域网与其他金融机构相联,因此必须严格限制外部网络的访问。为此,人行株洲中支构筑了网络防火墙,利用地址转换技术,实现内部网络和金融机构网络之间的隔离,所有外部访问全部通过一个入口,实现了有效控制。为实现内部网络与国际互联网的隔离,防范从互联网上发起的攻击,该行使用了两套网络设备,严格控制办公室信息接入端口分配,防止内部用户非法连接互联网,并对各部门每月电话费单进行审查,安装运行网络非法外联监测系统,自动记录内部用户通过电话拨号等方式上互联网的行为,真正实现物理隔离。
经过三期建设,人民银行内联网四通八达,主干速度提高到2M,为人行各项业务开展提供了有力保障,同时也为内联网上一些人进行非法操作提供了便利。据统计,一个单位70%以上的攻击来自系统内部。因此,人行株洲中支采用一系列手段防范来自内联网的攻击:一是划分虚拟网络,对重要业务系统进行隔离,将资金清算和国库核算等系统分别单独放在一个虚网加以保护,只有同一个虚网内的计算机能够互相访问它,虚网之外的用户均不能访问,减少了它们受攻击的可能;二是对重要数据实行加密传输。该行在重要业务计算机上安装了密押卡,对数据进行加密再传输,接收方收到后先解密再处理,即使这些数据在传输过程中被监听到,窃听者也会因为没有密钥不能解码;三是提高安全级别,强化抗攻击能力。通过加固系统,可以消除网络后门,抵抗非法攻击。该行及时安装各种安全补丁,堵塞漏洞;提高口令的强度,尤其是系统管理员的口令,采用字符混合作为密码,有效抵抗口令猜测和暴力破解;关闭一些不必要的服务,不给入侵者以可乘之机;进行合理的参数设置,防止合法用户利用漏洞进行越权操作。
及时发现网络上的恶意攻击行为,有利于采取相对应的措施,避免受到进一步的损失。该行建成了专用的网络入侵检测系统,监控网络上传输的数据包,实现网络访问留痕,将不可见的数据流变成了可见的代码,为进一步的分析和防范打下了良好的基础。红色代码、尼姆达等病毒一直是内联网上的危害,该行通过分析病毒数据包,弄清了病毒的传播机制,再于路由器上设置访问控制列表,实现数据包过滤,彻底阻止了病毒进入局域网的通道。去年8月,冲击波病毒爆发,该行通过捕获病毒包发现,所有的攻击都是针对一个端口进行的,随后就在路由器上设置了控制列表,从而减少了病毒的危害。利用网络协议分析工具,对截获的数据包特别是针对关键服务器的数据包进行深入分析,可以了解发送者企图,对网络上发生的一些非正常现象认真研究,有助于找出攻击者的规律,从而有针对性地制定可行的对策。为此,该行经常组织有关部门定期进行分析,做到防范在先,确保了系统安全。
|
|
|
|
|
企业认证 | 
供应商会员服务 | 金融机构服务 | 操作帮助
资讯搜索
一周热点新闻排行