Top
首页 > 老文章 > 正文

漫谈金融行业安全防护

目前系统安全、数据安全、业务安全……都在成为各个行业的关注重点,在关系国际民生的金融行业更是如此
发布时间:2014-10-22 00:33        来源:        作者:木淼鑫
【赛迪网-IT技术讯】目前系统安全、数据安全、业务安全……都在成为各个行业的关注重点,在关系国际民生的金融行业更是如此。无论是出于自身发展的需要,还是基于监管部门的要求,各大银行尤其是地方商业银行都在及时加强灾备及信息系统安全的建设。 地方商业银行的安全危机 银行由于其自身业务的特殊性,在保护客户信息安全、保障业务连续性、做好灾备工作等方面显得尤为重要。并且,地方商业银行虽然在规模上无法与四大国行相比,但其系统复杂性却并未降低,数据量大、涉及到的IT环境和应用系统种类繁多,使系统管理更为复杂。而与之相匹配的运维人员却明显缺乏,并且技术水平参差不齐,在灾备和安全方面更是经验不足,更谈不上银行安全的整体建设、分阶段实施等等。而且地方商业银行有很多外包服务,如何对这些外包服务第三方人员进行有效的安全审计,也是地方商业银行IT部门所关注的重点。 曾经有这样一个案例,某地方商业银行的营业厅终端是内网,不能与外网连接。但在帮企业客户代做发工资业务时,需要按照企业员工工资报表进行,这一报表的传递过程有时需要通过U盘进行,而这很明显增加了内网业务系统的安全风险。面对这类问题除了修改业务流程外,就需要为业务终端提供更好的安全防护。好消息是,地方商业银行的第一责任人是董事长,无论是IT网络建设还是安全策略决策,董事长都十分重视甚至亲自参与。这对于IT部门来讲是一件好事,十分有利于IT系统安全建设工作的推进。 另外,人民银行、银监会等监管机构也对商业银行信息系统的风险控制、预防、审计、以及业务连续性保障提出了明确要求,比如近几年相继出台的《商业银行信息科技风险监管指引》、《商业银行数据中心监管指引》、《商业银行业务连续性监管指引》等。 安全建设主要包括基础架构安全、应用安全、数据安全以及安全运维管理等几个方面。当前许多商业银行的数据中心引入了虚拟化技术,所以需要与物理层面不同、专门针对虚拟环境的安全防护措施。另外,银行业有许多特殊的终端,比如近几年来备受关注的ATM机安全问题,银行营业厅向客户介绍业务时所使用的智能移动终端安全问题,这些都需要有专门的安全防护措施,从基础架构层面提供安全防护。电子银行和互联网金融的快速兴起,使得银行业在应用安全方面需要投入更多关注,从身份认证、电子交易防欺诈、应用漏洞扫描等方面防范来自互联网的威胁和风险。而且银行拥有大量用户个人资料,数据安全也是银行业最为核心的安全问题,所以需要对数据进行加密、审计等防护,防范数据外泄的风险。而在运维治理上要进行合规管理、安全风险管理、运维管理等。 解决数据灾备问题 《商业银行数据中心监管指引》第五条要求“商业银行应于取得金融许可证后两年内,设立生产中心;生产中心设立后两年内,设立灾备中心。”早期的数据灾备采用的是传统备份软件加带库的方式,但磁带库故障率高,管理维护复杂运维成本不菲。另外,数据复制时往往需要占用很大带宽,数据恢复也很复杂,有时甚至无法完全完整地恢复数据。通过VTL可以消重复制,解决带宽问题,但会产生新的问题――数据恢复验证复杂。 这里就要提到赛门铁克的备份一体机了,赛门铁克备份一体机的硬件设备带有广域网加速功能,可以轻松实现数据在两个地方的远程复制。而通过跨域复制机制――AIR不仅可以消重复制,同时能够自动化地将数据日志导入远程备份系统中,数据可以立即恢复。磁盘空间消耗上更是比VTL节省数倍。加上备份与业务系统的松耦合关系,消除了停机的风险,避免了由于备份系统故障所导致的业务系统停顿。据赛门铁克公司华西区技术经理叶永军介绍,Symantec NetBackup 5220 硬件设备,每台具有 24 TB 的容量。而且其重复数据删除功能也使得通过 WAN 向灾难恢复硬件设备复制备份数据变得可行。 让ATM机更安全 2013年,韩国银行所遭遇的黑客攻击事件,就使得ATM机的安全问题突出地暴露在人们的面前,重建ATM的安全防护能力迫在眉睫。赛门铁克的关键系统锁定技术(Symantec Critical System Protection,SCSP),能够实现网络“锁定”、应用“锁定”、系统“锁定”。 锁定ATM的网络环境,严格限制网络通信,只允许ATM应用与后台特定服务器通信,可以有效控制恶意代码的传播和感染。锁定系统运行环境和资源,开启系统资源保护,防止缓冲区溢出、进程注入、内存注入等攻击,可以有效保护ATM的补丁缺失,防护入侵和零日攻击。锁定应用进程运行环境,严格限制可运行的进程及资源,只允许ATM的应用进程及其调用的系统进程和资源运行,进程间继承关系智能检测识别,可以有效控制恶意代码、非法进程的执行和活动。实际上这些相当于把ATM机变成了一部没有越狱的苹果手机,只有允许的应用可以运行。在2014黑帽子大会上,SCSP进行了攻击防护验证,没有黑客能够攻克SCSP的防护。

(责任编辑:钼铁)

加载更多

专题访谈

合作站点
stat