论文部分内容阅读
【摘 要】网络银行的创新是与时俱进的,而网络银行的安全性也要同步进行。本文笔者根据自己多年工作经验,将在下文中阐述一些关于商业银行网络安全方面的想法,仅供业内人士参考。
【关键字】商业银行;核心银行系统;安全策略
前言
近年来,商业银行相继陆续投产开发了行内核心银行系统,实现了数据中心逻辑和物理的统一,完成了以“账户为中心”向以“客户为中心”的转变,使用安全系数更高的专用操作系统,网络安全性得到了更大的提高,而依靠核心银行系统为平台的网络银行的安全性能也实现了数据的统一和安全性质的飞跃。
一、商业银行核心银行系统设计要求
网上银行、移动银行和客户自助服务是现代银行服务发展的未来方向。为了实现从传统银行向技术领导型银行的跨越,商业银行核心系统在设计时应满足以下几个方面的要求:
(1)尽可能地简化完成每笔交易所要求提供的数据信息。为此,要求每项交易应该在五到六次浏览器显示界面切换之内完成。
(2)系统的设计提供多渠道的接入方式,通过网点、网上银行和移动互联网终端等。
(3)系统的设计力求参数化和模块化,从而为实际的投产运行提供灵活性和扩展性,以满足市场、监管和技术等不同的环境要求。
(4)系统而全面的监测系统和分析客户自助银行服务、有协助的自助银行业务,以及银行内部完成的交易等业务量的增长统计。
(5)创建客户关系管理模型以支持高端个人客户与其他特殊团体客户的在线账户的运行和业务办理。
(6)分行和呼叫中心的员工广泛参与到为客户提供建议与帮助客户解决问题上来,并给予他们尽可能多的信息和授权以提供更好的客户服务。
二、商业银行网络系统安全策略
1、完善安全结构部署
网络化的商业银行在某种程度上可称之为网络银行。网络银行业务高技术性和瞬时性的特点,决定了其经营风险要高于实体银行业务,而技术风险又是网络银行风险的核心内容,也是金融机构和广大客户最为关注的问题,这些技术风险主要包括交易主体的身份识别、交易过程的商业机密、电子通信的安全、交易和其他记录的保存和管理等。只有采用合理的安全架构,综合运营各类安全技术手段(如防火墙、入侵检测、数字证书等),才有效预防技术风险可能造成的经济损失和信用影响。各银行由于自身业务系统的差异,对网络银行系统应用架构会有不同的设计,但基本的技术构成及功能是类似的。
从业务功能上考虑,还可将这种安全架构划分成四个功能区域:互联网接入区、DMZ区(接入WEB服务器、RA服务器)、网络银行业务区(接入APP服务器、DB服务器)、数据中心内网区。各功能区域的网络安全部署要求如下:
1)互联网接入区。部署链路分担设备,提供多ISP的互联网接入,并承担网络银行域名解析;部署流量清洗,防御DDOS攻击;部署外网边界防火墙,实现互联网与DMZ区隔离。
2)DMZ区。部署网络银行WEB服务器、门户WEB服务器,RA服务器;部署IPS,为WEB服务器提供深层安全保护;部署SSL卸载&服务器负载分担设备,优化HTTPS响应速度并保证WEB业务高可用性;部署WEB-APP边界防火墙,实现DMZ与网络银行业务区的隔离。
3)网络银行业务区。部署网络银行APP服务器、网络银行DB服务器、验签服务器;APP服务器前可部署服务器负载分担设备,用于业务优化和提高可用性;APP服务器与DB服务器间可部署防火墙实现访问控制;部署内网边界防火墙,实现网络银行业务区与数据中心服务器区间的隔离。
4)数据中心内网区。部署综合业务系统主机、网络银行前置(或ESB系统)服务器、网络银行管理服务器;采用“核心——边缘”分区模块化架构,各服务器区围绕网络核心区部署,各服务器区与网络核心区之间通过防火墙作访问控制。
2、加强网络安全体系建设
应用系统的安全性提高方面,可以设置通过使用多个防火墙,增加过滤路由器,创建加密通信网关等手段,有效地实现内外网隔离和访问控制,完善识别机制和访问控制机制、管理角色系统,防止重发机制和审核机制,以确保交易的安全进行,或者采用国际先进的网络安全测试软件,实施24小时保安实时监控,并及时发现修正系统可能存在的弱点和漏洞,加强监测系统工作,并定期对常规的网络系统进行安全分析。
通过建立详细的安全审计日志,充分利用网络监控设备或者实时入侵检测设备和常见的局域网络的操作实时监控、检查、报警和阻断,用来防止攻击网络犯罪和银行可能会导致系统中断或故障的各种原因评估,以及制作好相应的灾难恢复计划。客户端在加强安全保护时,可以使用网络银行专用的用户端输入控制(如ActiveX)来取代传统的网络控制,以防止恶意程序捕捉正常键盘事件,获取用户的敏感信息。通过额外的输入随机验证代码来防止恶意程序的暴力袭击。此外,每个网络银行应该采用了先进的加密和身份验证的技术,提供安全可靠的数字证书以及相应的同类卡片或USB密钥变得更加安全数字证书存储介质。当然,如果可以将基于指纹认证、认证的虹膜生物特征身份认证技术结合数字证书,也可以更好地解决客户安全问题。
在网络通信链路方面,需要有效地防范任何系统从内部或外部交流的数据的非法拦截、篡改和peek,采用严格的数据加密技术来保证通信安全,维护在任何开放网络的安全问题上的个人金融信息,是目前公认的在线交易国际安全标准。
3、提高用户的安全防范意识
从用户角度出发,一方面应该要养成良好的操作习惯,在操作中应该尽量避免使用搜索引擎或网络的真实姓名,密码应该采用复杂的密码机制,并不定期查看自己的交易记录,警惕电子邮件链接等;另一方面,应该采取数字证书的有效安全防范措施,清楚地知道使用和维护的法律意义。从银行的角度来看,应该提供完整的安全使用手册,尽可能在该网站的醒目位置告知客户使用网络银行时要如何保护自己的隐私,确保交易安全,并加强网络银行客户的培训和教育。安全隐患是个社会问题,不仅仅是安全人员、技术人员和管理人员的问题,同时也是每个用户的问题。但是只要我们提高安全意识和责任观念,注意安全,很多网络安全问题也是可以防范的。
我们要注意养成良好的上网习惯,不登录和浏览来历不明的网站;养成到官方站点和可信站点下载程序的习惯;不轻易安装不知用途的软件;不轻易执行附件中的EXE和COM等可执行程序;使用一些带网页木马拦截功能的安全辅助工具等。
三、结束语
随着信息科技的进步,网络化、虚拟化与个性化产品与服务已经越来越受到大众的欢迎,坚持网络化的商业银行也要适应潮流的发展,以个性化的服务站立在社会发展的前面。web2.0时代要求商业银行必须加强与客户的互动性,以网络化、虚拟化、个性化思维进行创新经营,从客户自助服务变成个性化、互动服务,实现以银行为中心向客户为中心的转变。在未来,web3.0的发展也对网络银行的发展提出新的要求,要在服务上进行全方位的发展,云计算、电子邮件、短信息、SNS,以及SD卡和U盘等固态存储技术的发展,虚拟化与数字化产品和服务已经成为信息时代的基本构成要素。因此,未来的发展,是信息技术的革命,同时也为网络银行安全性的提升提出更大的挑战。
参考文献:
[1]王慧强,赖积保,朱亮,梁颖.网络态势感知系统研究综述[J].计算机科学,2006(133):5-7
[2]张俊,钟乐海.基于IPv6环境下的网络入侵检测系统研究[J].电脑知识与技术,2008(18)
【关键字】商业银行;核心银行系统;安全策略
前言
近年来,商业银行相继陆续投产开发了行内核心银行系统,实现了数据中心逻辑和物理的统一,完成了以“账户为中心”向以“客户为中心”的转变,使用安全系数更高的专用操作系统,网络安全性得到了更大的提高,而依靠核心银行系统为平台的网络银行的安全性能也实现了数据的统一和安全性质的飞跃。
一、商业银行核心银行系统设计要求
网上银行、移动银行和客户自助服务是现代银行服务发展的未来方向。为了实现从传统银行向技术领导型银行的跨越,商业银行核心系统在设计时应满足以下几个方面的要求:
(1)尽可能地简化完成每笔交易所要求提供的数据信息。为此,要求每项交易应该在五到六次浏览器显示界面切换之内完成。
(2)系统的设计提供多渠道的接入方式,通过网点、网上银行和移动互联网终端等。
(3)系统的设计力求参数化和模块化,从而为实际的投产运行提供灵活性和扩展性,以满足市场、监管和技术等不同的环境要求。
(4)系统而全面的监测系统和分析客户自助银行服务、有协助的自助银行业务,以及银行内部完成的交易等业务量的增长统计。
(5)创建客户关系管理模型以支持高端个人客户与其他特殊团体客户的在线账户的运行和业务办理。
(6)分行和呼叫中心的员工广泛参与到为客户提供建议与帮助客户解决问题上来,并给予他们尽可能多的信息和授权以提供更好的客户服务。
二、商业银行网络系统安全策略
1、完善安全结构部署
网络化的商业银行在某种程度上可称之为网络银行。网络银行业务高技术性和瞬时性的特点,决定了其经营风险要高于实体银行业务,而技术风险又是网络银行风险的核心内容,也是金融机构和广大客户最为关注的问题,这些技术风险主要包括交易主体的身份识别、交易过程的商业机密、电子通信的安全、交易和其他记录的保存和管理等。只有采用合理的安全架构,综合运营各类安全技术手段(如防火墙、入侵检测、数字证书等),才有效预防技术风险可能造成的经济损失和信用影响。各银行由于自身业务系统的差异,对网络银行系统应用架构会有不同的设计,但基本的技术构成及功能是类似的。
从业务功能上考虑,还可将这种安全架构划分成四个功能区域:互联网接入区、DMZ区(接入WEB服务器、RA服务器)、网络银行业务区(接入APP服务器、DB服务器)、数据中心内网区。各功能区域的网络安全部署要求如下:
1)互联网接入区。部署链路分担设备,提供多ISP的互联网接入,并承担网络银行域名解析;部署流量清洗,防御DDOS攻击;部署外网边界防火墙,实现互联网与DMZ区隔离。
2)DMZ区。部署网络银行WEB服务器、门户WEB服务器,RA服务器;部署IPS,为WEB服务器提供深层安全保护;部署SSL卸载&服务器负载分担设备,优化HTTPS响应速度并保证WEB业务高可用性;部署WEB-APP边界防火墙,实现DMZ与网络银行业务区的隔离。
3)网络银行业务区。部署网络银行APP服务器、网络银行DB服务器、验签服务器;APP服务器前可部署服务器负载分担设备,用于业务优化和提高可用性;APP服务器与DB服务器间可部署防火墙实现访问控制;部署内网边界防火墙,实现网络银行业务区与数据中心服务器区间的隔离。
4)数据中心内网区。部署综合业务系统主机、网络银行前置(或ESB系统)服务器、网络银行管理服务器;采用“核心——边缘”分区模块化架构,各服务器区围绕网络核心区部署,各服务器区与网络核心区之间通过防火墙作访问控制。
2、加强网络安全体系建设
应用系统的安全性提高方面,可以设置通过使用多个防火墙,增加过滤路由器,创建加密通信网关等手段,有效地实现内外网隔离和访问控制,完善识别机制和访问控制机制、管理角色系统,防止重发机制和审核机制,以确保交易的安全进行,或者采用国际先进的网络安全测试软件,实施24小时保安实时监控,并及时发现修正系统可能存在的弱点和漏洞,加强监测系统工作,并定期对常规的网络系统进行安全分析。
通过建立详细的安全审计日志,充分利用网络监控设备或者实时入侵检测设备和常见的局域网络的操作实时监控、检查、报警和阻断,用来防止攻击网络犯罪和银行可能会导致系统中断或故障的各种原因评估,以及制作好相应的灾难恢复计划。客户端在加强安全保护时,可以使用网络银行专用的用户端输入控制(如ActiveX)来取代传统的网络控制,以防止恶意程序捕捉正常键盘事件,获取用户的敏感信息。通过额外的输入随机验证代码来防止恶意程序的暴力袭击。此外,每个网络银行应该采用了先进的加密和身份验证的技术,提供安全可靠的数字证书以及相应的同类卡片或USB密钥变得更加安全数字证书存储介质。当然,如果可以将基于指纹认证、认证的虹膜生物特征身份认证技术结合数字证书,也可以更好地解决客户安全问题。
在网络通信链路方面,需要有效地防范任何系统从内部或外部交流的数据的非法拦截、篡改和peek,采用严格的数据加密技术来保证通信安全,维护在任何开放网络的安全问题上的个人金融信息,是目前公认的在线交易国际安全标准。
3、提高用户的安全防范意识
从用户角度出发,一方面应该要养成良好的操作习惯,在操作中应该尽量避免使用搜索引擎或网络的真实姓名,密码应该采用复杂的密码机制,并不定期查看自己的交易记录,警惕电子邮件链接等;另一方面,应该采取数字证书的有效安全防范措施,清楚地知道使用和维护的法律意义。从银行的角度来看,应该提供完整的安全使用手册,尽可能在该网站的醒目位置告知客户使用网络银行时要如何保护自己的隐私,确保交易安全,并加强网络银行客户的培训和教育。安全隐患是个社会问题,不仅仅是安全人员、技术人员和管理人员的问题,同时也是每个用户的问题。但是只要我们提高安全意识和责任观念,注意安全,很多网络安全问题也是可以防范的。
我们要注意养成良好的上网习惯,不登录和浏览来历不明的网站;养成到官方站点和可信站点下载程序的习惯;不轻易安装不知用途的软件;不轻易执行附件中的EXE和COM等可执行程序;使用一些带网页木马拦截功能的安全辅助工具等。
三、结束语
随着信息科技的进步,网络化、虚拟化与个性化产品与服务已经越来越受到大众的欢迎,坚持网络化的商业银行也要适应潮流的发展,以个性化的服务站立在社会发展的前面。web2.0时代要求商业银行必须加强与客户的互动性,以网络化、虚拟化、个性化思维进行创新经营,从客户自助服务变成个性化、互动服务,实现以银行为中心向客户为中心的转变。在未来,web3.0的发展也对网络银行的发展提出新的要求,要在服务上进行全方位的发展,云计算、电子邮件、短信息、SNS,以及SD卡和U盘等固态存储技术的发展,虚拟化与数字化产品和服务已经成为信息时代的基本构成要素。因此,未来的发展,是信息技术的革命,同时也为网络银行安全性的提升提出更大的挑战。
参考文献:
[1]王慧强,赖积保,朱亮,梁颖.网络态势感知系统研究综述[J].计算机科学,2006(133):5-7
[2]张俊,钟乐海.基于IPv6环境下的网络入侵检测系统研究[J].电脑知识与技术,2008(18)