浅析银行业局域网安全系统建设

摘 要：随着银行业计算机网络的不断发展，局域网为办公带来了无穷的便利，但随之而来的网络安全问题愈显重要，本文以作者从事人民银行天津分行网络安全工作的经验，重点介绍了银行业局域网安全与病毒防治的一些对策与方法。

关键词：局域网；安全威胁；对策

中图分类号：F830文献标识码：B文章编号：1007-4392（2011）01-0072-02

一、银行局域网存在的安全问题

（一）移动存储介质的交叉使用

很多员工随意在互联网和局域网之间交叉使用u盘或其他存储设备来传递数据，外部数据在未经过必要的安全检查的情况下通过存储设备直接进入了内网，接着又将内部数据带出局域网，极容易造成木马、病毒的进入和内网数据的泄露。此外，私人笔记本电脑随意连入内网，使得大量Internet互联网上的恶意程序和病毒文件直接威胁局域网。

（二）DDOS攻击

DDOS是英文Distributed Denial of Service的缩写，中文意思为“分布式拒绝服务”，即凡是能导致合法用户不能够访问正常网络服务的行为都算是拒绝服务攻击。它通过向受害主机发送大量看似合法的网络包阻止合法用户对正常网络资源的访问，从而造成网络阻塞，使得合法用户无法正常访问网络资源。现今DDOS攻击已经成为威胁银行局域网的主要手段之一。

（三）病毒的破坏

计算机病毒具有隐蔽性、传染性和潜伏性等特点，轻则影响机器运行速度，重则使机器处于瘫痪，给用户带来不可预料的损失。现实工作中，计算机病毒影响银行局域网计算机的正常运行、破坏系统软件和网络资源，甚至造成网络的瘫痪。

（四）服务器缺乏独立防护

服务器是局域网的核心，但各银行往往缺乏对其的保护。如很多银行生怕把服务器“打死了、打坏了”而不敢给服务器打补丁，造成核心服务器一直处于危险状态并从不进行任何升级。如此局域网中若一台电脑感染病毒就会感染服务器，进而很快就会传播到全网。服务器的防护是各银行普遍不被重视的环节、风险较大，各银行网络管理员应居安思危，引起足够的重视。

（五）人员管理薄弱

大量事实表明内联网系统受到的危害中，很多是由于管理不善或控制不严造成的。责权不明、管理混乱、制度匮乏等都可能引起管理安全的风险。如有的员工随意更改计算机的设置和网络的配置，利用共享窃取局域网其他用户的资料；有的员工通过“飞秋”等内网聊天工具传播大容量的影音视频文件，而管理上却没有相应的约束制度；有的人员调离岗位或角色变换以后，其操作和准入权限没有被立即修正等，人为地增加内联网的安全隐患。

二、银行网络安全防护系统建设

（一）使用防火墙和入侵检测系统

防火墙是一个由软件和硬件设备组合而成，在内部网和外部网之间构造的保护设备，它会依照特定的规则，允许或是限制数据的传输。它贯穿于受控网络通信主干线之中，具有较强的抗攻击能力，作用是强化安全策略、有效地记录Internet上的活动、限制暴露用户点和负责检查安全策略、拒绝可疑访问。入侵者必须首先穿越防火墙的安全防线，才能接触目标计算机。

入侵也叫攻击，既包括外部网络的攻击者对局域网内系统的非法访问，也包括局域网内合法用户对未授权内容进行的非法访问。入侵检测（IDS）就是对发生在局域网内的计算机系统或者内网上的事件进行监视，分析是否出现入侵攻击的行为。该系统处于防火墙之内，对网络活动进行实时监测、记录和禁止，在很大程度地弥补了防火墙“防外不防内”的缺点。随着内部攻击行为和DDOS攻击、暴力猜测密码等新的攻击方式的出现，IDS能够监测防火墙内部的非法活动，配合防火墙给内网打造了一个动态的实时防护屏障。我行现有的绿盟“冰之眼”入侵检测系统能够实现特征码的在线实时升级、出现攻击多级联动报警等功能，使科技人员能够在极短的时间内对攻击计算机进行断网、问题分析和处理。其自带的安全审计功能，能够对网络中所出现的攻击操作等进行详细的记录，对事后攻击事件的分析提供了有力的原始依据。

（二）部署局域网防病毒系统和漏洞扫描系统

人民银行天津分行现用的NAV诺顿防病毒软件是集病毒防御、扫描和清除于一体的局域网防病毒系统，采用全国大集中的方式，每级服务器负责本级客户端的管理，统一调度。它在指定时间自动更新病毒代码，配合自定义的扫描策略做到开机扫描和定时扫描，能够及时发现和处理局域网内的病毒。

而漏洞扫描是一种运行在健康的网络环境之中，积极主动的安全防护手段，它在系统受到各种危害之前能够检测出安全漏洞隐患，及时打全系统各种补丁程序。如landesk补丁分发系统就是模拟黑客攻击的技术，对不同操作系统下的计算机和网络设备进行漏洞和隐患的检测，找出存在的漏洞和系统的薄弱环节，给出安全评估报告，使网络管理员能在系统遭到攻击前就采取措施，未雨绸缪。

（三）使用非法外联检测技术

使用防火墙和IDS都是主动防御的步骤。但在人员的管理上，过去曾经出现过内网用户利用机器自带的Modem接入电话线，拨号访问互联网的“非法外联”情况，造成内外网相通，承载着、隐私和工作内容的局域网完全曝露于Internet互联网之中，随时给入侵者提供可趁之机。此现象是极度危险的行为，被各家银行严格禁止。我行现在使用的“中华箭”系列监控非法外联的软件，就能够对内外网联通情况进行实时监控，并第一时间通报给网管和总行科技部门，做到及时发现及时处理。

三、安全制度和人员培养的相关建议

（一）安全管理制度建设

各银行要建立严密的计算机管理规章制度和操作规程，使网络监控和管理有据可依。要根据总行的要求，制定一系列安全管理制度适用于不同的人员，明确责任到人；制度要有可操作性，保证其有效实施。如制定门禁卡、口令密码等严格的机房出入管理制度，制定责任到人的设备登记制度和系统维护制度，制定奖惩分明的上网行为规范制度等。

（二）行员安全意识培养

一是树立安全意识，让每个工作人员明白计算机安全是关乎大局的头等事件。二是学习安全知识，让每个局域网用户养成备份本地数据，正确使用u盘，建立开机密码等良好的使用习惯。三是学习保密法规，让行员知道哪些做法是法律不允许的约束自我，真正做到“三思而后行”。