孫志遠

摘要：金融機構(gòu)掌管著國家的經(jīng)濟動脈，是國家的重要部門。隨著以計算機與網(wǎng)絡(luò)技術(shù)為主體的信息技術(shù)的發(fā)展，金融機構(gòu)都陸續(xù)實現(xiàn)了電子化，金融機構(gòu)的資金的記錄從最初的簿記變?yōu)榱穗娮佑涃~，各種交易由最初的柜面辦理變?yōu)榱穗娮咏灰?。毫不夸張的說現(xiàn)在的金融機構(gòu)已經(jīng)實現(xiàn)了把金庫建在計算機里，把鈔票存在數(shù)據(jù)庫里，使資金流動在計算機網(wǎng)絡(luò)里。因此信息系統(tǒng)的安全就顯得十分重要。

本文在信息系統(tǒng)安全理論的指導(dǎo)下，對馬鋼財務(wù)公司軟件系統(tǒng)與網(wǎng)絡(luò)系統(tǒng)安全性進行分析，提出了馬鋼財務(wù)公司軟件系統(tǒng)與網(wǎng)絡(luò)系統(tǒng)安全的需求和安全設(shè)計原則。

關(guān)鍵詞：金融機構(gòu)；信息系統(tǒng)；軟件系統(tǒng)；網(wǎng)絡(luò)系統(tǒng)；安全性

隨著金融系統(tǒng)信息化改革的逐步推行，計算機與網(wǎng)絡(luò)系統(tǒng)已大規(guī)模的應(yīng)用在金融領(lǐng)域。但是應(yīng)該看到，信息系統(tǒng)為金融機構(gòu)帶來便捷與利益的同時，也帶來了前所未有的安全問題。在這種情況下，加強對金融機構(gòu)信息系統(tǒng)的監(jiān)管及風(fēng)險防范就變得十分重要。

財務(wù)公司作為非銀行業(yè)金融機構(gòu)，不僅每天都有大量的資金流動，還貯存著各種極其敏感的客戶資料，甚至涉及很多高度的商務(wù)機密，所以財務(wù)公司的內(nèi)部網(wǎng)絡(luò)安全問題非常重要，同時由于互聯(lián)網(wǎng)的飛速發(fā)展和黑客數(shù)量的不斷增長，這個問題也變得越來越急迫。

馬鋼財務(wù)公司網(wǎng)絡(luò)信息系統(tǒng)的結(jié)構(gòu)，根據(jù)可能出現(xiàn)的風(fēng)險，提出不同的的網(wǎng)絡(luò)安全需求。其中按不同功能的子系統(tǒng)的網(wǎng)絡(luò)劃分為資金系統(tǒng)網(wǎng)、賬務(wù)系統(tǒng)網(wǎng)、辦公自動化網(wǎng)絡(luò)和測試系統(tǒng)網(wǎng)中，以生產(chǎn)用資金系統(tǒng)網(wǎng)與賬務(wù)系統(tǒng)網(wǎng)作為最高級別的安全需求，采取比較高級別的安全策略。資金系統(tǒng)網(wǎng)、賬務(wù)系統(tǒng)網(wǎng)與其他網(wǎng)絡(luò)相隔離，其內(nèi)部也要實施高等級的安全策略；測試系統(tǒng)網(wǎng)雖然與生產(chǎn)網(wǎng)是相互隔離的，但測試系統(tǒng)網(wǎng)中存放著大量從資金系統(tǒng)與賬務(wù)系統(tǒng)中拷貝過來的生產(chǎn)信息。所以，測試系統(tǒng)網(wǎng)也應(yīng)采取中等級別的安全策略。

具體來說，財務(wù)公司的信息系統(tǒng)安全需求與針對需求采取有效措施主要有以下幾個方面：

1 合理的網(wǎng)絡(luò)結(jié)構(gòu)與安全措施

合理地規(guī)劃網(wǎng)絡(luò)邊界和功能，合理地設(shè)置網(wǎng)絡(luò)接口，對各功能子網(wǎng)特別是生產(chǎn)網(wǎng)進行詳細的VLAN劃分，以便于隔離問題，使結(jié)構(gòu)可管理，接口可控制。在網(wǎng)絡(luò)邊界處部署防火墻與入侵預(yù)防系統(tǒng)ips。見圖1-1馬鋼財務(wù)公司網(wǎng)絡(luò)實施方案。整個網(wǎng)絡(luò)組建在馬鋼集團網(wǎng)環(huán)境內(nèi)。物理通過2個防火墻組成一個相對獨立的網(wǎng)絡(luò)環(huán)境。并對不同的功能區(qū)域設(shè)置不同的Vlan，形成了不同功能區(qū)域之間的網(wǎng)絡(luò)隔離。

2 用戶身份鑒別

在資金系統(tǒng)與賬務(wù)系統(tǒng)中通過服務(wù)器電子證書（CFCA）與用戶名、密碼雙重認證，對終端和用戶的合法性進行鑒別認證，防范非法用戶假冒合法用戶進入系統(tǒng)。

3 數(shù)據(jù)通信加密

所有使用公共網(wǎng)絡(luò)的成員單位與馬鋼財務(wù)公司間通信必須使用虛擬專用網(wǎng)vpn，以防止數(shù)據(jù)泄密，同時防止遭受來自通信線路上的非法截獲、分析、篡改、重放等。財務(wù)公司與銀行間通信使用專線，徹底避免了數(shù)據(jù)泄密。

4 病毒防范

建立網(wǎng)絡(luò)病毒防范體系，采用先進的網(wǎng)絡(luò)防病毒技術(shù)，通過趨勢科技殺毒軟件對全系統(tǒng)實施網(wǎng)絡(luò)防范病毒策略，在全網(wǎng)絡(luò)范圍內(nèi)對病毒進行有效的預(yù)防、隔離，并在保證數(shù)據(jù)完整性的前提下清除病毒。對病毒庫與安全策略進行定期更新，保證殺毒軟件可以防范最新的病毒與惡意攻擊手段。

5 數(shù)據(jù)備份

當(dāng)系統(tǒng)出現(xiàn)不可逆的災(zāi)難性故障時數(shù)據(jù)備份就顯得極其重要。建立備份和恢復(fù)機制，對重要的網(wǎng)絡(luò)設(shè)備、業(yè)務(wù)系統(tǒng)和數(shù)據(jù)進行備份，在遭受攻擊時，能夠盡快地恢復(fù)網(wǎng)絡(luò)系統(tǒng)服務(wù)和數(shù)據(jù)環(huán)境，將損失降到最低程度。馬鋼財務(wù)公司采用了Symantec BackupExec和NetBackup產(chǎn)品系列作為信息系統(tǒng)數(shù)據(jù)集中備份解決方案。設(shè)備上使用了一臺IBM 3650M3作為備份服務(wù)器，負責(zé)整個備份系統(tǒng)的管理，包括備份策略的制訂、備份工作的調(diào)度、備份數(shù)據(jù)庫的保存、數(shù)據(jù)恢復(fù)等。備份服務(wù)器通過光纖連接磁帶庫，并通過備份軟件NBU進行磁帶庫中機械手和磁帶驅(qū)動器的控制。其他有備份需求的服務(wù)器上安裝備份軟件的客戶端軟件，根據(jù)備份策略中定義的備份時間，自動將數(shù)據(jù)通過網(wǎng)絡(luò)備份到磁盤和磁帶庫，無須人工干預(yù)。在需要時可以自己恢復(fù)或者通過備份服務(wù)器由管理員進行恢復(fù)。除了安裝備份軟件的客戶端軟件外，根據(jù)數(shù)據(jù)庫服務(wù)器需要安裝了備份軟件的數(shù)據(jù)庫（Oracle）代理軟件，可以實現(xiàn)在線數(shù)據(jù)庫備份。

為保障業(yè)務(wù)的持續(xù)性和信息系統(tǒng)數(shù)據(jù)安全，除了將數(shù)據(jù)備份存儲在本機介質(zhì)中外，還建立了一套異地數(shù)據(jù)備份機制將數(shù)據(jù)備份到異地容災(zāi)中心。

通過一系列的成熟的措施，馬鋼財務(wù)公司構(gòu)建一個相對安全的系統(tǒng)環(huán)境，最大限度的保證了資金與信息的安全。但隨著信息技術(shù)的發(fā)展，計算機病毒與網(wǎng)絡(luò)攻擊手段也在不斷變異更新。預(yù)防措施的更新都是在系統(tǒng)安全受到威脅而發(fā)生的，要想做到系統(tǒng)長期的穩(wěn)定，必須實時的關(guān)注系統(tǒng)防護的最新趨勢，不斷引入系統(tǒng)防護新措施，調(diào)整系統(tǒng)的安全策略。

參考文獻

[1]陳靜，中國金融系統(tǒng)信息化及其發(fā)展趨勢[J]，m絡(luò)世界，2000年第10期：15-1

[2]謝希仁，計算機網(wǎng)絡(luò)，第5版 ，電子工業(yè)出版社

[3]魏大新、李育龍，Cisco 網(wǎng)絡(luò)技術(shù)教程，第2版，電子工業(yè)出版社