| 出版日期:2002-11-04 总期号:1165 本年期号:82 |
|
 |
加强银行网的安全
用漏洞评估和入侵监控技术 姜文凯 自2000年全国银行系统计算机安全工作会议以来,计算机安全工作列入了金融电子化建设工作的重要议事日程。仅就人民银行来讲,计算机安全组织建设和制度建设工作取得了很大进展,病毒防范体系和防火墙系统已经建立,为网络安全运行提供了相应的保障。在此,就我行的实际经验,谈谈如何采用漏洞评估加固技术和入侵监控技术加强网络安全。 漏洞评估是网络安全防御中的一项重要技术,在网络安全体系的建设中,漏洞扫描工具花费低、效果好、见效快、与网络的运行相对对立、安装运行简单,可以大规模减少安全管理员的手工劳动,有利于保持全网安全策略的统一和稳定。 要防止内外入侵者的入侵,首先我们要对自己系统的安全性存在的漏洞作一个全面的漏洞评估,这样才能从系统自身开始加强整体的安全性。我行应用的漏洞评估产品的时间策略是定时操作,随着网络拓扑结构和网络应用的变化,定期扫描整个系统的关键网络设备。它采用模拟攻击的手段去检测网络上每一个IP隐藏的漏洞,其扫描对网络不会做任何修改和造成任何危害。对于网络中的重要服务器,也配备了基于系统的漏洞评估产品。 实时入侵监控器(即入侵监测)是一个网络上实时的入侵检测、报警、响应和防范系统。它可分为两种:基于网络的实时入侵监控器和基于系统的实时入侵监控器。基于网络的实时入侵监控器可以监控传输的网络数据,并对可疑的行为进行自动监测和安全响应,使系统在受到危害之前即可截取并终止非法入侵的行为和内部网络的误用,从而最大程度地降低安全风险,保护银行网络的系统安全;基于系统的实时入侵监控器能够监控一台单独主机的活动,主要通过操作系统日志文件,来确定入侵者是否已经获得主机的访问权,并识别系统上的未授权活动。它能够和基于网络监控器协同作战,网络监控能够监控从机器外部进入的活动,而系统监控能够监控机器本身的活动。 在实际应用中,我行首先考虑了科技处网络的安全,因为几乎所有的外联出口和重要的服务器都在这个网段内;其次是清算中心网络的安全,因为资金的清算是人民银行核心业务之一,必须要重点加以保护。这两个网段配备了基于网络的实时入侵监控器。 此外,考虑基于主机的系统探测器的配置,也就是确定重点需要保护的、在重要网段中的重要服务器。这其中有信贷登记系统、公文传输系统、同城清算和天地对接系统、国库业务应用系统及NT Server。 |
||||||||||||||||||||||
