浅析金融信息系统安全保障体系构建研究

1、浅析金融信息系统平安保障体系构建研究论文关键词:信息系统平安保障金融网络论文摘要:针对金融网络与信息系统的平安需求，构建了包括物理平安、系统平安、网络平安、应用平安和平安管理的金融网络与信息系统平安保障体系的总体架构，详细描绘了平安保障系统的构成，提出了应采取的平安保障措施。随着网络技术的开展和应用需求的牵引，网络规模和应用范围不断扩大，网络平安风险变得更加严重和复杂。但凡涉及到保障银行正常营业的所有问题，如信息技术设备和金融信息系统软件的正常运行、信息系统中业务信息及商业机密的妥善保存等，都与金融信息系统的平安有关，都要采取相应的平安风险防范措施。目前，针对互联网的应用还缺乏有效的平安措施和

2、手段，这严重限制了银行系统通过互联网对外提供效劳的范围和种类，迫切需要构建更加科学合理的金融信息系统平安保障体系。1金融信息系统平安保障体系总体架构金融信息系统平安保障体系包括物理平安、系统平安、网络平安、应用平安和平安管理，其总体架构见图1.2平安保障系统构成下面从物理平安、系统平安、网络平安、应用平安和平安管理等方面来描绘金融信息系统平安保障系统的构成.2.1物理平安物理平安是保障整个网络与信息系统平安的前提。物理平安主要涉及环境平安、设备平安和介质平安。环境平安主要是指防雷、防水、防火、防电磁辐射等内容;设备平安主要包括设备的防盗、防毁、防止线路被截获、抗电磁干扰及电源保护等;介质平安指

3、存储数据信息的介质平安。2.2系统平安1)网络构造平安主要指网络拓扑构造是否合理、线路是否有冗余。2)操作系统平安指应采用平安性较高的网络操作系统，关闭不常用却存在平安隐患的应用，对一些保存有用户信息及其口令的关键文件的使用权限进展严格限制。3)应用系统平安应用效劳器尽量关闭不经常使用的协议及协议端口号，加强登录身份认证，严格限制登录者的操作权限，将其完成的操作限制在合法的范围内。4)系统备份与恢复机制它是保护金融信息系统崩溃后快速恢复的重要技术措施，在系统运行时，应采取必要的技术手段对网络及主机设备配置、金融业务系统等进展备份，在故障或灾难发生时，迅速恢复系统到最新状态。2.3网络平安1)隔

4、离与访间控制机制该机制可根据不同用户平安级别或不同部门的平安需求，利用3层交换机来划分虚拟子网(vlan);在不同业务系统之间划分plsvpn，实现受控互访、隔离和信息共享;在网络中装备防火墙，实现网络内外或网络内部不同平安域之间的隔离与访问控制。2)通信保密通过采取数据链路层和网络层加密等措施，实现对网络中重要信息传送的保护。3)入侵检测根据已有的、最新的攻击手段的信息代码对进出网段的所有操作行为进展实时监控、记录，并按制定的策略实行响应，从而防止针对网络的攻击与犯罪行为。4)网络平安扫描系统通过对网络中所有部件进展扫描、分析和评估，发现并报告系统存在的弱点和破绽，评估平安风险，提出补救措施

5、等。2.4应用平安1)访问控制根据金融信息系统建立的需要，采取自主访问控制或强迫访问控制机制，对用户和资源分配不同的受权级，以控制用户对资源的访问。2)身份识别和验证涉及到搜集验证数据、平安传输数据、查证当前用户是否仍是目前使用系统的用户等。3)数据备份与恢复机制该机制是保护金融系统中数据资源的重要技术措施。在业务应用系统运行时，应采取磁盘镜像、磁盘阵列、磁带库等技术手段，对数据信息进展备份，并在故障或灾难发生时，采取适当的恢复策略，修复系统中被破坏的或不正确的数据，使之恢复到一致性状态。4)pk/a认证系统通过建立该系统，实现网络访问的身份认证和访问控制，同时还可实现网络文件传输的保密性、真

6、实性、完好性和文件的抗抵赖性。2.5平安管理金融信息系统是一个包括横向、纵向连接的多级网络，运行着多个业务系统。为实现对金融信息系统的平安管理，应设置平安管理中心，对平安事件、设备故障信息等进展集中分析和处置，并在此根底士施行统一规划、集中管理、严格规章、明确责任和动态监控，确保金融信息系统平安可靠运行。3平安保障措施3.1设置平安保障策略1)总体平安策略在金融信息系统平安保障体系构建中，应遵循以下总体平安策略圈:未经允许的访问都要严格制止;允许的访问都要经过认证、受权才能进展;重要信息在网上传输要经过加密措施。2)网络边界平安策略和联动策略在金融信息系统网络和internet之间设置防火墙，

7、以隐藏和保护金融信息系统网络;在网络核心节点与各业务系统局域网边界之间设置防火墙，允许受权用户访问该局域网内的特定资源;按业务和行政归属，在横向和纵向网络上通过采用plsvpn技术进展vpn划分，实现有效隔离;网络设备如防火墙、人侵检测系统、交换机、路由器、网络防病毒系统和访问控制系统等，既可以单独运行，还可以通过联动策略，一旦发现非法人侵，人侵检测系统会通知相应的平安产品施行联动保护，有效地确保金融信息系统网络的平安。3.2部署平安技术和平安产品为确保金融信息系统的平安可靠运行，遵循平安保障体系总体架构和平安保障策略，应在金融信息系统中部署相应的平安技术和平安产品。1)划分平安域根据金融信息

8、系统的功能及业务特征，按照等级保护思想，将其划分为省网络管理中心局域网、省级城域网接入单位的接人网络等平安区域，对不同平安域施行等级保护，既方便了用户使用，又加强了平安防护。2)防火墙技术防火墙是设置在被保护网络和外部网络之间的一道屏障，以防止发生不可预测的、潜在破坏性的侵人，通过监测、限制、更改跨越防火墙的数据流，尽可能对外部屏蔽网络内部的信息、构造和运行状况，以此实现网络的平安保护。3)plsvpn技术由于金融信息系统承载多个相对独立的业务系统，各业务系统为不同的职能部门开展业务提供效劳。因此，应采用plsvpn技术，按照业务系统和业务类型进展纵向vpn和横向vpn划分，实现不同业务系统之

9、间的平安隔离及全网对不同业务系统的统一管理。4)人侵检测系统在金融信息系统中设置人侵检测系统，对系统的网络平安状态进展定期的检查，对人侵事件进展报警并记录，并通过完好的平安策略，利用人侵检测系统与防火墙的有效互动，对网络系统施行全方位保护。5)防病毒系统在网络中对所有可能造成危害的病毒源或通道配置对应的防病毒软件。该系统提供集中式的管理，将反病毒程序的安装、执行、预约扫描、更新晋级、病毒码分发和共享等日常的管理维护工作化繁为简，对病毒进展实时监控，使网络免遭病毒的人侵和危害。6)违规外联监控系统通过该系统对非法连接国际互联网行为进展监测，对网络系统内的主机拨号、双网卡、代理效劳器等多种上网行为进展集中统一管理。违规外联监控系统根据监控策略，可对非法连接进展切断或报警，同时记录、存储、查询相关信息。7)平安评估系统该系统对工作站、效劳器、交换机、数据库应用等各种对象可能存在的平安破绽进展逐项检查，根据扫描结果向系统提供平安性分析报告。平安扫描技术与防火墙、人侵检测系统互相配合与联动，可以提供平安性更高的网络。8)数据备份与恢复在金融信息系统中网络数据存储管理效劳器、带有大容量存储设备(磁带库、光盘库)的备份效劳器、其他需要进展数