商业银行网络根据业务可划分为网上银行、生产网、办公网,其中办公网内的后督业务、征信审批业务、财务系统、OA系统等众多子系统。由于业务需要,办公网通常与互联网进行直接连接,这就使得办公网存在很多的外部安全威胁,如DDoS攻击、病毒传播,黑客入侵等多种安全威胁。因此,建设牢固的安全内网至关重要。
商业银行办公网具有业务大集中后对广域网实时性要求高、业务差异化要求、网络终端接入来源广泛、业务管理系统实时性要求、网络安全风险高等特点。因此,银行办公网需要在防范互联网访问、保护移动办公业务、保障数据安全传输、实现生产网与办公网的安全隔离、实现有效的安全管理等多个方面实现安全控制,保障办公网的整体安全。
对此,RSA全球副总裁Ann Johnson 女士坦言,我们注意到目前银行业里来自内部的安全威胁日趋严重,来自内网的犯罪活动也越来越多了。
RSA全球副总裁Ann Johnson
究其原因,Ann Johnson 女士认为,中国和国际上的银行业在针对外部攻击方面的防御已经做的足够好了,但黑客和犯罪者并不会就此罢手,一方面他们总会想办法获得更多的利益,于是他们发现利用社会工程学,植入恶意代码等从内部攻击的方式和手段更加容易获得利益,于是针对银行内部办公网的攻击在2011年显得躲起来,而这一去趋势在2012年还将持续下去。另一方面来自银行内部员工的疏忽和无意识泄密也是造成也银行内部安全威胁不断升级的重要原因。
对于解决办法,Ann Johnson 女士认为最好的解决方案就是部署于分层的解决方案,在内部需要有足够的身份认证和加密,以及日志、合规、治理。
除此之外,RSA的NetWitness的解决方案,也很好的能够监测到网络上所发生的一切行为的变化。有了这些防范措施之后,就能很好地保护银行内网的安全。
Ann坦言,总的来说,最关键是需要在银行内部环境里创建清洁、干净的环境,在防御内部安全威胁方面没有一刀切的解决方案。
事实上,银行业的信息安全建设一直是各行业的领先者,但银行业在安全威胁防护方面依然面临严峻的挑战,2011年易观国际对中国银行业网络安全应用市场的研究发现,银行对网络安全的需求,包括以下几个方面:
● 防灾需求:在发生概率较小的严重灾难面前,对网络系统的保护和恢复措施。
● 防泄密需求:访问控制需求、无线网络的接入和网络数据获取控制。
● 业务连续性需求:网络数据的备份与快速恢复需求。
● 数据完整性需求:密钥管理。
对于银行、证券、保险等金融行业而言,网络安全问题,应该像每家每户的防火防盗问题一样,做到防范于未然。甚至不会想到你自己也会成为目标的时候,威胁就已经出现了,一旦发生,常常措手不及,造成极大的损失。
我们可以很容易的看到,安全威胁在我们的身边无处不在,无时不在,甚至越来越多。面对日益严峻的信息安全威胁,如何建立有效、可信的信息安全环境,提升信息安全临界点,已成为信息系统领域内参与各方关注的焦点。各政府机构、企事业单位甚至个人对信息安全的重视程度应该尽快提高。
