银行内联网的安全应用
数码时尚
近年来,国内各国有商业银行内联网已全面开通,全国地市级以上分行各网段除通过防火墙隔离的网段以外,都能互相访问,而县级支行网段也可通过地市的代理网关登录全国内联网,可以说各国有商业银行分支机构的网上主机都联在了一起。因此,笔者建议采用一些必要的安全措施来保障重要主机系统的网络及物理安全。
一、操作系统的安全
目前,各国有商业银行系统主要使用的操作系统有Unix,Windows NT/2000等。针对这几种系统,首先要及时安装操作系统补丁,其次要管理好超级用户和普通用户的口令和权限,设置好匿名用户的访问权限。
1.SCO Unix 5.0.5操作系统,要安装RS505A和OSS600A以及其他最新的补丁,而Windows NT/2000操作系统也要安装Sp6 For NT或Sp4 For 2000安全包。
2.超级用户的用户名最好加以更改,不要使用默认的Root或Administrator,选用的口令应为8个以上字母数字串(不可单独使用姓名、单位、地名的汉语拼音字母、字典中的单词、生日、电话号码等容易猜测的、简单的组合),用户的口令应定期更改,更改的时间间隔可视具体情况,按有关要求确定。不用的匿名用户名应设一个特别复杂而长的口令并加以封锁。确定用户权限采取授予最小权限原则,如处理业务的用户不要给予超级用户的权力,只需给予相应目录读写及应用程序的执行权,最多再加上备份和关机权,还可根据不同的用户按需设定。对网络数据库如Sybase等,要确保SA用户以及匿名用户拥有安全的口令。
二、应用系统的安全
银行系统中几个重要的业务系统,如储蓄、核算、电联、公文、邮件系统等都具有相应的安全策略。各业务用户的操作过程、权限设定,要遵照相应的业务管理规定进行设置,并严格执行开机、日初、日间、日终、关机的操作流程。
在系统配置方面要尽可能启用一些安全功能,如在Notes电子邮件系统中,服务器安全设置要选择“与保存在通讯录中的Notes公用密钥比较”,同时再选择“校验Notes标识符口令”。还可对有权在本机上创建新数据库或数据库复本的用户做出限定,以及设置用户口令强制定时修改机制等。
三、网络安全
网络的安全隐患表现在系统内重要信息容易通过网络泄露和被窜改。重要的信息一般包括用户名、口令、配置信息、存储的系统以及业务数据等。它所面临的安全威胁主要来自于网络攻击与网络窃听两个方面。为尽可能减少安全隐患,应该采取如下措施:
1.通过路由器、防火墙对内外有关网段的访问进行控制,对不需要对外进行访问的主机应将它封闭在固定的网段中,对需要对外进行有限访问的主机则设定单点路由,以确保重要的业务主机网段安全。
2.只安装必要的网络协议和网络服务。一般情况下只需安装TCP/IP协议就能满足业务系统的需要,IPX/SPX/NetBIOS协议用不着安装。同时,也不要安装多余的服务,如IIS、Ftp Service、DNS、DHCP、Indexing Service等。
3.通过对网络属性进行配置,只允许打开必需的网络端口,如Sybase的相应端口,应用系统Domino Server只需打开TCP 1352端口;若安装有网络版Norton AntiVirus,可打开UDP 2967端口;POP3和SMTP服务可打开110和25端口;对Web服务,则可打开相应的TCP端口,如80、443端口等;对于清算、核算等业务,Unix业务主机要对它的Telnet、Ftp、Tftp、Finger、POP3、SMTP等端口实施关闭。
4.为防止POP3邮件与基于网页的用户名及口令被窃,可使用Internet验证服务。Windows 2000及Domino 5.0均提供证书颁发机构服务,每一台需要加密通讯的服务器都可申请服务器验证字,使之与客户端申请的验证字一起工作,利用SSL加密来保证网络传输的数据不被窃。
总之,网络安全是由整个网络的每一个细节来构筑的,我们要针对性地采取有效措施来避免潜在的威胁与漏洞,并与严格的工作制度相结合,来保证银行的计算机网络和系统安全,使其正常地运行。