管理技术角度处理金融业务隐患论文

时间:2022-05-29 10:01:00

导语:管理技术角度处理金融业务隐患论文一文来源于网友上传,不代表本站观点,若需要原创文章可咨询客服老师,欢迎参考。

管理技术角度处理金融业务隐患论文

编者按:本文主要从互联网环境下金融业务面临的风险;金融网络安全风险根源及共性分析;提高金融信息服务安全的对策进行论述。其中,主要包括:计算机和互联网的出现,给金融业务的推广提供了极大的便利、非授权访问、求金融业务部门能够提供多样化的对外互联接口、非法窃取账户等机密信息、仍然有可能利用其掌握的知识篡改系统数据、泄露信息、互联网环境的改变、国内软件平台环境较为单一、加强金融企业网络相关的研发及其管理工作、采用专用协议和专用软件服务是一种有效的方法、加强网上信息系统管理、科学规划业务网络功能和区域、合理使用并开发网络安全技术等,具体请详见。

计算机和互联网的出现,给金融业务的推广提供了极大的便利,金融机构对网络的重视程度越来越高。网络化信息技术的发展进一步提升了银行等金融企业的计算机应用水平和信息处理能力,但同时也给金融信息的安全带来了更大和更多的风险。由于金融业务的特殊性,要求金融网络必须是“健壮”的,甚至在“带病”的情况下依然能够具有足够的性能以维持业务的正常运行,金融信息网络相关的软硬件支撑必须能保证24小时×365天可靠运转;金融信息网络必须是安全的,要有严格的用户验证和完善的管理体系。本文主要分析了现行金融业务中存在的安全隐患,并从管理和技术的角度提出了一些解决方案。

一、互联网环境下金融业务面临的风险

在黑客行为商业化日趋明显的今天,金融行业由于其信息内容的敏感性,自然而然地成为黑客的攻击目标。从目前来看,金融信息网络受到的攻击主要来自以下途径:

1,非授权访问。目前。大量基于网络的金融业务产品(如增值业务、业务、网上支付等)的推广,需要广泛的网络支持才能实现,这必然要求金融业务部门能够提供多样化的对外互联接口。因此金融企业信息对外开放的程度会加深,受到攻击的途径也就更加多样和复杂。很多黑客利用系统漏洞或者网络安全策略的缺陷非法侵入金融企业网络内部,窃取大量的敏感信息、篡改系统数据或用户资料、泄露敏感信息,给金融企业造成经济损失和信誉损失。

2,非法窃取账户等机密信息。用户账户密码信息的失窃事件时有发生,盗窃用户账户也是大多数普通攻击者的目的。攻击者往往采用搭线、嗅探工具等方式窃取用户的数据,并在需要的情况下解密用户的敏感信息,或者通过木马之类的手段对用户的信息进行截取并发送给攻击者。

3,内部破坏。据统计,在所有网络攻击事件中,来自网络内部的攻击占总量的80%。对于金融业务网络来说,尽管由于其承担任务的特殊性,从管理上会尽最大可能避免此类事件的发生,但对于熟悉金融业务和计算机技术的人而言,仍然有可能利用其掌握的知识篡改系统数据、泄露信息。

4,病毒侵扰。日趋扩大的网络环境为病毒的大量传播提供了条件,网络病毒已经给人类生活带来了广泛的影响。随着国内多种操作系统的普及,除了Windows平台的病毒外,针对其他操作系统平台的病毒也逐渐增多,对于广泛使用UNIX的银行等金融部门来说,更是越来越容易受到病毒的侵扰。更何况很多金融部门的计算机本身就是使用Windows,一旦中毒会影响到通讯子网的运行,甚至会导致网络及其承担业务的瘫痪。

5,拒绝服务。拒绝服务简称DOS(DENIALOFSERVICE)攻击,目前常用的是分布式拒绝服务DDOS。由于这种攻击并不是利用系统漏洞,而是直接使用SYNFLOODING方式,是一种简单而有效的攻击方式,故非常难以防范。拒绝服务攻击发生时会导致被攻击主机无法提供正常的服务,比如网上银行、电子支付等,由于其服务器是在互联网条件下访问,其受到拒绝服务攻击的可能性相当大。一旦受到攻击或由于安全策略等其他问题而出现无法提供正常服务的情况,不但会造成经济损失,更会给企业带来信誉上的损害。

二、金融网络安全风险根源及共性分析

如前所述,虽然金融网络信息安全风险既有可能来自网络外部也有可能来自网络内部。但究其原因,导致安全风险的根源不外乎两种:技术漏洞和管理漏洞。金融信息安全面临风险的原因主要有以下几个方面:

1,互联网环境的改变。利用互联网开展金融业务极大推动了金融业的发展,也给普通用户办理金融业务带来了便利,但由于金融网络和普通用户接入互联网使用了相同的TCP/IP协议,在此基础之上建立起来的金融服务和用户的关系与实现网络化之前有很大的不同。由于服务商和客户的网络基于相同的TCP/IP协议,从网络技术角度上看,用户获得了以往任何形式下都不具备的和服务商几乎相同的“话语权”。因此,不法分子假冒银行实施诈骗的可能性大大增加,很多对网络不熟悉或者粗心大意的用户为此遭受了经济损失。另外,用户连人互联网的成本降低使得使用网上金融业务的用户数不断增加,黑客利用技术手段窃取用户银行账号、密码的可能性随之提高,木马、间谍软件都是比较常见的方式。网络环境的改善和上网用户的增多,也为某些针对服务器的攻击提供了便利条件。若黑客计划针对某金融服务器展开DDOs攻击,黑客找到能够长时间开机且拥有良好带宽条件“受控电脑”的难度也在迅速下降,这就为其攻击提供了极为便利的条件。并且,黑客在实施攻击行为时往往会采用多级“跳板”的方式,即不直接使用自己的计算机攻击目标主机,而是先攻陷几台中间计算机并以它们为跳板进行攻击,这极大地增加了网上取证和追查的难度。也使很多网上金融犯罪人员存有侥幸心理。

2,国内软件平台环境较为单一。目前很多新的金融产品是基于互联网支持的,采用最多的方式就是WEB方式,从用户使用的便利性角度来看,采用WEB方式由于不需要特定的软件环境,只要拥有一台能上网的计算机即可实现对金融网站的访问。但这种模式在信息安全上存在很大的隐患。以最常见的网上银行为例,目前各个银行的网上银行系统对非IE浏览器的支持大都做得不好,用户只有在Windows平台下使用IE系列浏览器对网上银行进行访问。造成这种情况的原因主要是由于国内的计算机用户普遍采用微软的windows操作系统,网上银行的开发必然需要考虑到这种实际情况。一些用户尝试使用其他平台如LINUX访问网络银行,但发现由于网络银行大多采用了微软的ACTIVEX技术,导致非IE浏览器无法正常访问,即使能够访问也需要很复杂的操作,这种操作甚至是代码级别的,普通用户只能望而却步,从而退回到windows平台,这就使得网络银行应用客户端的单一Windows平台状况更加明显。由于Windows操作系统平台在国内拥有最广泛的用户群,因此目前绝大多数黑客软件和病毒等对安全构成威胁的程序都是针对它的,这就使用户个人信息由于木马或间谍软件的原因而泄露的可能性大大增加,进而增加了用户资金损失的可能性。

三、提高金融信息服务安全的对策

(一)加强金融企业网络相关的研发及其管理工作

这里所指的研发并不仅仅指业务产品的开发,更重要的开发内容是承载金融业务专有通讯协议的开发。由于TCP/LP协议是目前互联网的事实标准,网络化的金融业务也必然要基于此协议,但这并不意味着网络化金融产品开发工作只能围绕着业务需求。以网上银行为例,目前采用的软件运行模式主要是B/S模式,即采用WEB技术服务,用户通过IE浏览器访问服务器上的相关服务。这样做的好处是用户只要能够上网就能够访问网上金融业务,并且操作也非常简单。由于此种模式从根本上是基于开放HTTP协议的,在安全方面必须通过插件等技术形式的支持才能实现。目前尽管很多网上金融服务提供了安全插件,但大都仅仅针对IE浏览器提供支持,采用其他核心技术的浏览器访问时会由于插件问题导致业务不能正常操作。因此,加强对非IE浏览器的支持是提高网络金融业务安全性的一种快速有效的手段。可以让用户在客户端上有更多的选择余地,尽量降低由于操作系统平台单一所带来的病毒、木马等问题。

从笔者的经验来看,采用专用协议和专用软件服务是一种有效的方法,专用协议由于其不具备开放性,因而更安全。

(二)加强网上信息系统管理

目前我国已经制定出很多相关的法律法规,各个金融企业也有相关的管理制度。这些制度能否严格执行对于企业的信息安全关系重大。我国在信息安全技术方面和发达国家仍然有不小的差距,从很多金融信息安全案件来看,安全制度实施不严密占案件总体数量的很大比例。

(三)科学规划业务网络功能和区域

信息安全区域规划是近几年来网络安全领域出现的一个新名词,目前尚没有业内公认的严格定义。笔者认为,信息安全区域规划就是根据网络的业务功能、数据流动状况以及企业对不同类别数据不同的安全需求,规划网络的拓扑结构并对关键数据转发节点采用的安全技术进行选择。网络规划方面的缺陷在此称为结构性缺陷。结构性缺陷会导致信息安全实现的难度和成本增加,在某些情况下甚至会造成不可弥补的损失。比如,需要相互保密的数据流出现在相同的TRUNK链路上,这种情况就是由于网络拓扑结构不合理导致的。尽管从IEEE802,1Q协议规定上看,两种数据流在逻辑上是隔绝的,但它们通过了公用的链路,因此这种网络结构对于数据的安全性和传输效率都是非常不利的。

在金融企业中,目前比较适用的规划方法就是根据业务类型及数据保密分级进行数据区域规划。网络安全区域得以规划并实施后,不同等级的数据可以在很大程度上被隔离,并且不同区域之间可以设置网闸对访问进行限制和认证,不但能够增强抵御外部攻击的能力,还能够在很大程度上增强内部攻击的难度,极大地提高系统的整体安全性。

(四)合理使用并开发网络安全技术

1,合理使用加密技术和VPN技术,探索除WEB以外的其他形式的网络金融业务途径,特别是采用专用客户端并开发专用通讯协议和安全用户界面也是提高系统安全性能的可行途径。

2,引AQOS服务质景,改善关键服务的响应速度,在关键节点不论是数据转发节点还是服务器节点都采用双机热备份。使用状态检测技术,监视关键节点的数据状态,及时发现并抵御拒绝服务(DOS)等异常数据流。在划分了安全区域的情况下,可以采用防火墙和入侵检测系统(IDS)加强信息系统抵御和发现黑客攻击的能力。

使用这些技术手段的最终目标是增强信息系统的“健壮性”,其中一些与信息安全目标的实现直接相关,也有一些和信息安全没有直接关系,如QOS。合理使用网络安全技术对提高系统的可靠性是非常必要的,也是实现信息安全的基础。需要注意的是,并不是安全技术越多就一定越好,安全技术的应用往往都是在信息转发结点上实现的,不可避免地会降低该节点的转发效率,严重时甚至会引起网络中断;另外,有些不必要的限制会给信息系统数据传输带来障碍,造成工作效率的下降,有时反而会导致安全性的下降。

金融企业的信息安全建设必须管理、技术两手抓,这两方面缺一不可。防范网络环境下的金融业务风险,并不是单纯依靠技术手段就可以完全解决的,必须依托有力的管理制度才能得以有效实施。另外,随着互联网技术的不断发展,金融业务不断推陈出新,必将出现更多新的安全需求,金融企业的信息安全建设将是一项长期持续的工作。