摘要:银行安防网络采用了Internet的组网技术和应用技术,也同样存在着当今互联网络共通的安全问题。随着各家银行安防服务器上运行的软件系统的规模越来越大,复杂度越来越高,大量的漏洞不断涌现,构建银行安防网络安全保障体系就迫在眉睫。本文结合各家银行的实际,就银行安防网络涉及到的安全问题进行深入研究,分析了目前银行安防网络已发现的一系列安全问题以及存在的安全隐患,提出了相应的解决方法。
随着整个社会的信息化发展,各家银行安防系统的日益复杂,各家银行安防系统对信息网络的依赖性越来越强,对信息网络安全的要求也越来越高。如果不能解决安全问题将直接影响到各家银行的经营管理,甚至危及各家银行的安全。
银行安防网络是实现银行各个安防子系统之间信息共享、快速反应和运行重要保证。网络安全保障体系首先保证网络的安全、可靠运行,在此基础上保证应用系统和业务的保密性、完整性和高度的可用性,同时为将来的应用提供可扩展的空间。因此,银行安防网络信息安全保障系统成为各家银行信息化建设过程中不可或缺的重要组成部分。
本文结合笔者在银行业安防工程中的多年经验和体会,研究整理了一套体系化的安全保障策略,在后面章节中逐一展开,与大家分享。
1.概述
1.1网络安全
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行。从其本质上讲,网络安全就是网络上的信息安全。从广义上来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全。
网络安全分为两大范畴,即通信安全范畴和计算机安全范畴。通信安全是对通信过程中所传输的信息施加保护,它包含操作系统安全、数据库系统安全和网络站点安全。通信安全和计算机安全措施需要与其它类型的安全措施,诸如物理安全和人员安全措施配合使用,才能更有效地发挥作用。
随着计算机网络的不断发展,网络上信息资源的丰富使得普通人很容易就能够掌握各种计算机技术,迅速找到各种软件的漏洞;此外,计算机安全知识涉及的面太广,包括网络企业都难于采取有效的措施对网络进行安全防护。这几个因素使得安全威胁飞速增长,尤其是混合威胁所带来的风险。 黑客攻击、蠕虫病毒、木马后门、间谍软件等威胁泛滥,企业的机密数据被盗窃,重要数据被篡改、破坏,遭受了严重的经济损失。所以网络与信息安全已成为各家企业函待解决的重大关键问题。对于各家银行安防网路的网上信息的安全和保密尤为重要,因此,网络的安全措施应能地针对各种不同的威胁和脆弱性,这样才能确保网络信息的保密性、完整性和可用性。
1.2计算机网络面临的威胁
计算机网络所面临的威肋、大体可分为两种:一是对网络中信息的威胁;二是对网络中设备的威胁。针对网络安全的威肋、主要有以下几种:一是人为的无意失误,如由于配置问题造成的安全漏洞,用户口令太弱等;二是人为的恶意攻击,计算机犯罪就属于这一类。主要分为主动攻击和被动攻击;三是网络软件的漏洞和“后门”这类威胁所引起的事件主要还是因为安全措施不健全的缘故。
2.银行安防系统信息化建设工作
银行的安防体系是由人防系统、技防系统、物防系统和管理系统多角度多纬度复合型的安全技术防范体系。技防系统中常见的安防子系统包括入侵报警、出入口控制、语音对讲、视频监控等。上述四个安防子系统都有一个共有的特性,即各子系统的建设都会关注到“网络化”、“可视化”、“信息化”,同时这也是现阶段银行安防行业发展的特征点。为适应社会形势的变化和银行自身发展的要求,提率,开展银行安防系统信息化的建设是刻不容缓的。
2.1银行安防系统信息化的现状
技防系统中常见的安防子系统包括入侵报警、出入口控制、语音对讲、视频监控等。下面主要对这四种安防子系统信息化建设做一个现状分析。
入侵报警
入侵报警近些年发展的一个明显特征是设备实现IP化,由前期单一的线等模拟线路传输发展成支持以太网传输、GPRS无线传输等多种网络传输技术。同时在应用上提供二次开发接口,形成产品形态趋于一体化发展态势。由单一的报警主机设备发展成提供智能报警平台相关的产品,其中部分厂家还推出了带视频功能的报警主机,并支持可视化的入侵报警系统产品。
出入口控制
出入口控制系统近些年的一个明显特征也趋向IP化发展,众多厂家不断推出支持以太网传输的相关设备,同时也引入了众多新技术,如指静脉技术、视频生物识别技术、RFID技术、智能技术、移动互联技术等,使得现在的出入口控制系统更加智能化、可视化、人性化。
语言对讲系统
语音对讲系统近些年主要的变化是IP语音对讲系统逐渐取代了传统的模拟语音系统,实现将视频融入IP对讲,形成可视化对讲系统。例如:自助银行中的语音对讲系统。
视频监控
视频监控是安防监控可视化中管理的核心,其投资占比在整个银行安防产品中约占较大份额。结合近些年的视频监控发展的分析,可以总结为:“高清化”、“网络化”、“智能化”。高清化指的是支持高清的前后端设备快速应用,网络化指的视频监控的IPC、NVR、解码设备等使用网络型的设备使用量快速上升,而智能化指的是视频设备逐渐向智能化发展,具备智能功能视频监控设备越来越多。
除了各子系统的发展都会关注到“网络化”、“可视化”、“信息化”之外,银行安防技术发展的另一个特征就是联网平台及监控中心的建设进入一个活跃期。国有银行、股份银行以及区域性银行进行联网平台的选型及全行联网不断建设。在这一过程中,有几个重要特点:视频报警联网基础应用、安防各子系统深度集成与安防与业务管理深入融合三者并重;普遍遵循了GB/T28181《安全防范视频监控联网系统信息传输、交换、控制技术要求》国家标准。
2.2银行安防系统信息化的展望
安防系统信息化在zui近几年发展极为迅速,其中一个重要的支撑点就是安防技术的快速发展,从而不断推动该行业的快速发展。那么未来几年,银行安防系统信息化发展的趋势有哪些呢?有哪些技术会推动银行安防行业的发展呢?用以下几个词语能基本概括——“网络高清”、“智能化”、“大数据”、“业务融合”、“智慧银行”,针对这些技术发展趋势下面进行简要分析:
网络高清
这一发展趋势的重点关注点在于“网络”,而不在于“高清”。随着高分辨率、更宽广的监控视野,设备经济适用性更好,高清监控已经成为金融安防一致认可的趋势,毫无争议。在安防行业进入IP大时代的今天,金融行业作为安防规模化应用zui好的行业,自然也会紧跟这一潮流,网络高清的代表就是IPC和NVR。同时随着摄像机芯片计算性能的提高,编码技术的升级换代,使得网络高清之前所面临的延时问题、传输带宽问题、存储空间问题等目前都已得到相关技术解决。
智能化
监控视频的高清化为行业的智能化奠定了良好基础,智能分析不断深入应用银行安防行业,未来的智能化技术将会集中呈现“前置化”、“体系化”等特点,即智能分析计算从后台服务分析走向前端设备自行分析,真正的智能应用将会是前端、后端、平台、传输等一体化的智能。
业务融合
随着对金融安防管理要求越来越高,不仅仅要满足安全防范的功能,同时还要满足对金融机构各个日常经营业务管理的需求。例如对各营业网点经营秩序的远程检查、对工作人员的远程督察、对客户投诉的事后认证和处理、对相关业务管理中音视频数据与业务管理系统的无缝结合等。即需要联网平台软件具有和金融业务系统进行深度融合的功能。例如支持实时事件的在线标志、支持多媒体档案库的管理、支持数字视频加密、支持专属部门和个人的监控分组、支持音视频数据片段式管理等。zui近**发文要求对理财产品交易行为要有完整的音视频采集录像,要求安防系统所提供音视频数据将作为银行业务系统的数据支撑。
以金融用户业务管理需求为导向,将安防系统与业务管理系统深度整合,视频资源作为工具提供给业务管理者,实现金融安防系统与业务系统的无缝对接。
大数据
云计算、云存储等技术在金融安防行业已经成功应用,例如在银行大楼监控项目,金库项目中“私有云平台”的项目逐渐增多,云技术不再是空中楼阁。随着全行联网的逐步实现带来的海量数据汇聚,安防系统与业务系统融合的业务需求不断凸显,安防管理水平要求的不断提高,同时视频结构化技术的逐步成熟,大数据应用会在出金融安防行业逐步出现。即该应用的出现将帮助金融行业管理决策从“经验依赖”转向“数据依据”,zui终数据的有效利用将催生出很多新的关于金融行业的智能应用。
助力智慧银行
智慧银行是传统银行、网络银行的阶段,目前国内很多银行通过提高自身的特征性、职能化和多样化等方面来打造出“智慧银行”的服务模式。主要是通过科学化的技术手段、人性化服务方式,实现良好的人机交互体验效果。在智慧银行的建设大背景下,金融安防企业可以在可视化技术、生物识别技术、语音技术、大屏显示技术、智能分析技术、RFID(无线射频)技术等方面提供支撑,助力金融行业走向智慧银行阶段。
2.3银行安防网络安全保障的重要性
银行安防网络作为银行的重要信息网之一,它在银行工作中的基础性、全局性作用日益明显,同时,网络和信息安全问题也日益凸显。随着网络上围绕信息的获取、使用和控制的斗争愈演愈烈,网络攻击、网络窃密和网上违法犯罪等问题日渐突出,银行安防网络安全问题已成为银行经济安全的重大问题。
银行安防网络一旦发生安全问题,造成系统中断、网络瘫痪、病毒爆发或者重要信息数据丢失、泄露,势必导致灾难性的后果,给银行工作的正常运转带来重大损失。加强银行安防网络安全工作,确保网络安全,已成为摆在我们面前的一项十分重要而又紧迫的任务。
3.网络安全体系模型构建
银行安防网络对安全的需求是任何一种单元安全技术都无法解决的。安全方案的设计必须建立在科学的网络安全体系结构模型之上,才能保障整个网络安全体系的完备性、合理性。
我们在信息网络网络安全体系结构方面作了长期的、大量的研究。我们提出了适合银行安防网络的网络安全体系结构模型。该模型表现为一个三维立体框架结。
3.1安全保障设计原则
从上述网络安全体系结构模型出发,银行安防网络安全设计包括以下几个方面原则:
3.1.1机密性
保证数据内容不被未授权的人窃取。阻止由于口令和文件系统的明文存储、明文传输所造成的安全漏洞。
3.1.2完整性
保证数据在存储和传输过程中不被非法篡改或丢失。利用数据动态加密和入侵警报,防止利用暴力破解口令、操作系统本身的漏洞直接进入系统内部对数据进行非法篡改,达到欺骗的目标,甚至直接对数据进行删除。
3.1.3可用性
保证系统的连续正常可用。系统可提供7*24小时的不间断服务,当出现严重问题时可快速自动修复或自动切换至备用服务器接替工作;在主从设备之间保持数据同步。
3.1.4认证性
保证只有授权用户才能获取相关的访问权限。保证帐号的*性和登陆后的*性,并且具有密码找回功能。
3.1.5不可否认性
防止用户对自身操作的抵赖。为每用户建立工作日志,该特性应当符合当地法律的要求,可以成为司法取证的手段。
3.2安全保障体系设计
结合安全模型和设计原则,银行安防网络和信息安全保障体系的具体措施分别设计如下:
3.2.1建立应用网络安全体系
建立一套用户管理、权限控制和分配机制,并在应用软件设计、应用软件开发的全过程切实贯彻这一机制,使得在任何情况下,任何人只能获取在其当时、当地允许获取的信息或操作。推行PKI/PMI认证机制,关键应用还需采用公钥/私钥保护,防止犯罪分子假冒身份登录系统。
3.2.2建立网络网络安全体系
①入侵检测系统
使用入侵检测系统监控网络内部的流量,能够快速定位攻击源头,并能够实现应急联动攻击进行阻断。
②端点准入系统
当一个系统或用户连接入网时,对其安全状态进行评估,一旦系统连接入网,对其安全状态进行连续监控,基于系统状态,执行网络访问和系统修复策略。
③防止外来接入
通过接入认证、实现计算机MAC地址与交换机端口的绑定,没有经过认证的终端接入立即就被阻断(防止陌生的IP终端接入),可有效避免图像网IP端口(尤其是外场端口)被盗用。
3.2.3建立全面的病毒防护体系
在网络上部署防病毒软件,对所有数据都进行全面的病毒防护,保护网络上的服务器和计算机,防止病毒在网络上蔓延。
3.2.4建立系统漏洞扫描服务
利用网络漏洞扫描服务定期或不定期地对受保护系统进行扫描、评估。根据扫描、评估报告对网络系统存在的高、中、低风险漏洞分别采取相应的措施进行修补,主动发现和修复各类安全隐患。
3.2.5建立主机系统网络安全体系
视频管理服务器和数据库服务器配置双机热备,保证核心管理和数据库的安全稳定。在应用成熟的时候,可对关键应用服务器升级,采用双机热备技术,实现应用运行故障自动倒换功能。
3.2.6建立数据存储网络安全体系
提供RAID、热备等磁盘冗余保护,磁盘故障时可自动进行重建,支持RAID容量在线动态扩展,提供UPS掉电保护,提供多重报警模式,为阵列数据存储提供全面保护。必要时提供数据的异地冗余备份。
3.2.7建立安全管理体制与管理制度
为保证各项安全措施的实施并真正发挥作用,除了注重技防以外,还必须注重人防,在技术网络安全体系建立的同时,制定以下各项安全管理规章制度:
①人员安全管理制度
包括安全审查制度、岗位安全考核制度、安全培训制度、安全保密契约管理、离岗人员安全管理制度等;
②文档管理制度
各种文档(包括书面的和电子等各种形式)必须有清晰的密级划分,妥善管理;
③系统运行环境安全管理制度
包括机房出入控制、环境条件保障管理、自然灾害防护、防护设施管理、电磁波与磁场防护等;
④应用系统运营安全管理制度
包括操作安全管理、操作权限管理、操作规范管理、操作责任管理、操作监督管理、操作恢复管理;系统启用安全审查管理、应用软件稽核管理、应用软件版本安全管理、应用软件更改安全管理、应用系统备份管理、应用软件维护安全管理;
⑤应急安全管理制度
制订应急案例制定和应急实施计划、应急备用管理、应急恢复管理、应急后果评估管理。
参考文献
[1] 信息系统安全保护等级定级指南.
[2] 信息系统安全等级保护测评准则.
[3] AndrewS.Tanenbuam.计算机网络(第四版)[M].北京:清华大学出版社,2002.
[4] 邓秀华.计算机网络病毒的危害与防治[J].电脑知识与技术,2005.7.
[5] VitoAmato.思科网络技术学院教程[M].北京:人民邮电出版社,2003.