返回
从被动防范到主动防御:银行网络安全之变

从被动防范到主动防御:银行网络安全之变

ID:10863872

大小:25.50 KB

页数:7页

时间:2018-07-08

从被动防范到主动防御:银行网络安全之变_第1页
从被动防范到主动防御:银行网络安全之变_第2页
从被动防范到主动防御:银行网络安全之变_第3页
从被动防范到主动防御:银行网络安全之变_第4页
从被动防范到主动防御:银行网络安全之变_第5页
资源描述:

《从被动防范到主动防御:银行网络安全之变》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、从被动防范到主动防御:银行网络安全之变网络与安全技术2006年6月10日第6期困从被动防范到主动防御.'●●银行网络安全之变◆中国建设银行广东省分行信息技术管理部黄华摘要:银行网络安全一直是科技部门关注的重点,现有的银行网络安全体系防范比较被动,本文以此为切入点,对以被动防范为特征的安全体系的缺陷和不足进行了分析,在此基础上,提出了以整体策略为核心,以技术为根本,以管理为基础的主动防御的安全理念,并对其实施机理进行了深入剖析.关键词:被动防范;主动防御;安全信息平台;安全域银行网络安全作为金融业防范风险,强化内控的重要内容之一,一直

2、都是科技部门关注的重点,可以说是常谈常新.现有的银行网络安全架构均以被动防范为主,通过入侵检测系统(IDS),入侵防御系统(IPS),病毒防火墙(Fw)等来发现和阻挡已知的攻击行为.由于各种安全产品(系统)各自为政,难以形成合力,对未知的攻击方式难以做出反应.随着应用系统和网络环境的日益复杂,安全威胁也逐渐增多,众多攻击手段让传统上各自为政的安全产品(系统)破绽百出,使得这种以被动防范为特征的安全体系架构显得越发"被动".2005年6月18日,美国4000万信用卡资料因黑客入侵而外泄,严重影响了持卡人的用卡安全,此次事件直接导致55

3、60个中国信用卡用户需要换卡.与以前进行大规模攻击不同,黑客并没有采用大规模网络病毒攻击的方式,而是将攻击重点放在了有可能获利的目标上,并有针对性地编写特定的木马程序和间谍软件.这次黑客入侵暴露出的银行系统的网络安全缺陷对银行安全体系形成了巨大的挑战.因此,为了应付日益复杂的网络威胁,需要有针对性地将具备不同安全侧重点的安全技术有效的融合起来,形成一体化的安全整体解决方案,实现由被动防范到主动防御的转变.安全是"三分技术,七分管理".基于这一理念,网络安全框架一般可以划分为安全管理框架和安全技术框架两大部分.安全管理框架的核心是安全

4、信息管理平台(SIM),包括风险管理,策略中心,配置管理,事件管理,响应管理,控制系统,知识和情报中心,专家系统等.其中,策略中心是安全信息管理平台的关键.通过制定安全策略来确定安全工作的标准和依据.安全技术框架的核心是主动防御,安全体系中的认证与授权,加密与完整性保护以及抗击与响应都应该围绕主动防御这一核心来组织,包括入侵防护,入侵检测,事件响应和系统恢复.入侵防护主要是在安全风险评估和对安全威胁充分了解的基础上,根据对安全的期望值和目标制定相应的解决方案.入侵检测主要是通过对网络和主机中各种有关安全信息的采集和及时分析,来发现网

5、络中的入侵行为或异常行为,及时提醒管理员采取相应动作阻止入侵行为的继续.事件响应是当发生安全事件的时候所采取的处理手段,与入侵防护和入侵检测不同,事件响应主要体现为专业人员的服JUN.10,2006NO.6网络与安全技术2006年6月10日第6期华南舍骷童务和安全管理.系统恢复是指如何在数据,系统或者网络由于各种原因受到损害后,尽快恢复到损失前的状态.以积极防御为核心的安全技术框架不仅仅是针对一个具体的安全工程提出的解决方案或者是安全设备的部署,更应该是一个全面,直体,架构化的安全体系.安全体系的健康与否,关系到认证与授权是否能够做

6、到对访问的主动控制,关系到加密与完整性保护是否能够主动避免主客体间信息交换被破坏或者遗失,关系到抗击与响应是否能够主动抵御主体对客体安全性的侵犯等一系列问题.由此可见,构建一个结构合理,扩展灵活,可靠性高的IT网络结构和融合多种安全技术的安全信息管理平台是建立主动防御为特征的网络安全体系的关键.与被动防范为主的网络安全结构相比,主动防御摒弃了"头痛医头,脚痛医脚"的做法,在对现有网络进行安全评估的基础上,抛弃了各套IT系统的安全建设自成体系,分散单一的常规做法,考虑的重点不再是选购何种品牌的防火墙,IDS和在何处安装这些安全设备,而

7、是构建一个结构清晰,可靠实用,扩展灵活的IT网络,从而为各种安全产品最大限度的发挥作用提供一个坚实的基础.对此,按逻辑功能合理划分安全域提供了一个很好的思路.安全域划分的目的是实现一个结构清晰的网络结构,而不是对原有网络结构的彻底颠覆.同时,在划分安全域时,个数不应过多,否则在策略设置卜-将过于复杂,会给今后管理带来很大不便.现有的银行网络体系按功能划分,一般可以分为核心交换区,生产区,管理区,DMZ区,外联接入区和存储区等部分,如图1所示.按逻辑功能划分,可把整个网络系统划分为相对独立的安全域.通过对安全域的边界防护和安全域内的统

8、一安全管理来实现安全域内的网络安全.考虑到不同的安全域之间可能存在较大安全级差,因此需要通过防火墙实施物理隔离和高级别防护.此外,同一安全域内的资源,根据其重要性的不同以及面临的外来攻击威胁,内在运维风险的不同,可进一步划分成多个安全

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。