刍议银行计算机安全管理策略

摘要：本文主要对计算机安全维护策略进行了探讨。首先介绍了银行对计算机安全的要求。接着从五个方面对加强计算机安全管理提出了针对性的建议。本文的研究对于银行内部计算机管理人员具有重要的借鉴意义。

关键词：计算机；安全；身份认证

中图分类号：TP309 文献标识码：A文章编号：1007-9599 (2011) 04-0000-01

Discussion on the Bank Computer Security Management Strategy

Fu Shaoqiang

(Changjiang Branch of the People's Bank of China in Hainan,Haikou572700,China)

Abstract:This paper focuses on computer security maintenance strategy discussed.First introduced the computer security requirements of Bank.Then from five points to strengthen computer security management make a specific proposal.This paper research for the bank's internal computer manager has an important reference.

Keywords:Computer;Security;Authentication

随着社会发展速度的不断加快，高新技术不断地应用于社会生活的各个层面，特别是金融业应用计算机和网络系统处理各种账务信息和交易信息的传递、交换，如目前在银行非常广泛地应用有通存通兑、电子商务、网上银行、电子汇划业务处理等。从某种程度上说，银行的计算机数据信息取代了作为一般等价物的货币，计算机网络信息的传递取代了实物票据的交换，而且这将是未来金融业的发展方向，将在很大程度上改变传统的社会生活和生产方式。但是任何东西都有两面性，计算机以及网络在给我们便利的同时，也给我们带来了一定的隐患，为此，我们有必要对银行计算机安全维护策略进行探讨。

一、身份鉴别和验证

计算机信息系统通过网络通讯层、系统层（操作系统和数据库系统）、应用系统层三级验证相结合的方式完成对用户、设备和其他实体身份的识别和对身份的证实。在网络通讯层，选用具有身份认证和接入控制功能的路由器、访问服务器等网络设备，利用基于口令验证协议（PAP或CHAP）验证机制对计算机、路由器、远程访问服务器等广域网络连接设备的身份进行验证，必须通过身份标识与口令的验证才能建立连接，这样可以防止非法的网络连接。在系统层，利用注册帐户与注册口令在本地对用户登录的合法性进行验证。在应用系统层用户主要有两类：系统用户和客户。系统用户即应用系统的使用者，后台应用程序Server以操作员编号标识，采用口令方式进行验证，口令字使用传输密钥加密后传输，在将来还应采取IC卡身份鉴别方式来确认操作员的身份和操作权限。客户即系统的服务对象，以银行帐号作为标识，通过客户密码进行身份验证，逐步采用基于公开密钥体制的数字签名方式。对于基于INTERNET技术的网上交易采用交易安全认证机制，如目前在网上银行上所使用的CA认证和数字签名。

二、防火墙技术

自2000年全国银行系统计算机安全工作会议以来，计算机安全工作列入了金融电子化建设工作的重要议事日程。仅就中国人民银行来讲，计算机安全组织建设和制度建设工作取得了很大进展，病毒防范体系和防火墙系统已经建立，为网络安全运行提供了相应的保障。防火墙通常设置在网络的边缘，是在网络和计算机对外连接的端口上实施的内外隔离、屏蔽服务、过滤数据、安全加固、隐藏内部网络地址、设置服务等安全策略的专业网络部件。进行信息化建设总体设计时就要考虑信息安全，购置安全所需的防火墙、网关等硬件，这些设备设置完成后，需要重新设置口令，不能用本身默认的口令等等，确保不将没有进网许可证的设备接入网络。同时建议对防火墙、网关、电子邮件和互联网配置进行备份，以使发生故障时能够快速获得这些参数。

三、防病毒技术

因安全问题导致的经济损失中，有 76%是病毒造成的。病毒一直是信息系统安全最直接的威胁，它很容易通过服务以软件下载、邮件方式进入网络进行攻击。黑客这也是网络面临的最大威胁：一种是网络攻击，以各种方式有选择地破坏对方信息的有效性和完整性；另一类是网络侦察，在不影响网络正常工作的情况下，进行截获、窃取、破译以获得对方重要的机密信息。流氓软件是最近出现的概念，它是指有些软件开发商为宣传自己的软件，恶意让用户安装到自己的电脑上，而且还不能删除，这类软件目前给用户造成很大麻烦和损失。目前，大部分银行在购买防病毒软件方面，投资比较少，我认为在病毒的防治上，应加大投资力度，银行可以与一些知名病毒公司合作，让病毒公司及时的提供技术支持。

四、做好漏洞评估

漏洞评估是网络安全防御中的一项重要技术，在网络安全体系的建设中，漏洞扫描工具花费低、效果好、见效快、与网络的运行相对对立、安装运行简单，可以大规模减少安全管理员的手工劳动，有利于保持全网安全策略的统一和稳定。要防止内外入侵者的入侵，首先我们要对自己系统的安全性存在的漏洞作一个全面的漏洞评估，这样才能从系统自身开始加强整体的安全性。我行应采用以时间策略定时操作的漏洞评估产品，随着网络拓扑结构和网络应用的变化，定期扫描整个系统的关键网络设备。采用模拟攻击的手段去检测网络上每一个IP隐藏的漏洞，其扫描对网络不会做任何修改和造成任何危害。对于网络中的重要服务器，也要配备基于系统的漏洞评估产品。

五、访问控制

访问控制是系统安全防范和保护的主要安全机制，它的主要任务是保证计算机系统资源不被非法使用和非常访问。它也是维护系统安全、保护系统资源的重要手段。各种安全机制必须相互配合才能真正起到保护作用，但访问控制可以说是保证系统安全最重要的核心机制之一。访问控制的基础是主体和客体的安全属性。每个主、客体都应有一组安全属性，以此可以鉴别主、客体并确定客体允许的访问权。我们可用安全等级、标识符和用作鉴别主体的唯一ID等等。有些系统对主体（用户）设置相应的能力表，以确定主体访问客体的能力。

总之，由于银行业的特殊性，银行对计算机以及其网络安全要求很高，这就迫切的需要我们技术人员，采取多种措施，加强日常的维护，综合运用多种策略，做好计算机安全工作。