第七章 銀行內聯網的安全應用

近年來，國內各國有商業銀行內聯網已全麵開通，全國地市級以上分行各網段除通過防火牆隔離的網段以外，都能互相訪問，而縣級支行網段也可通過地市的代理網關登錄全國內聯網，可以說各國有商業銀行分支機構的網上主機都聯在了一起。因此，筆者建議采用一些必要的安全措施來保障重要主機係統的網絡及物理安全。

一、操作係統的安全

目前，各國有商業銀行係統主要使用的操作係統有Unix，WindowsNT/2000等。針對這幾種係統，首先要及時安裝操作係統補丁，其次要管理好超級用戶和普通用戶的口令和權限，設置好匿名用戶的訪問權限。

1.SCOUnix5.0.5操作係統，要安裝RS505A和OSS600A以及其它最新的補丁，而WindowsNT/2000操作係統也要安裝Sp6ForNT或Sp4For2000安全包。

2.超級用戶的用戶名最好加以更改，不要使用默認的Root或Administrator，選用的口令應為8個以上字母數字串（不可單獨使用姓名、單位、地名的漢語拚音字母、字典中的單詞、生日、電話號碼等容易猜測的、簡單的組合），用戶的口令應定期更改，更改的時間間隔可視具體情況，按有關要求確定。不用的匿名用戶名應設一個特別複雜而長的口令並加以封鎖。確定用戶權限采取授予最小權限原則，如處理業務的用戶不要給予超級用戶的權力，隻須給予相應目錄讀寫及應用程序的執行權，最多再加上備份和關機權，還可根據不同的用戶按需設定。對網絡數據庫如Sybase等，要確保SA用戶以及匿名用戶擁有安全的口令。

二、應用係統的安全

銀行係統中幾個重要的業務係統，如儲蓄、核算、電聯、公文、郵件係統等都具有相應的安全策略。各業務用戶的操作過程、權限設定，要遵照相應的業務管理規定進行設置，並嚴格執行開機、日初、日間、日終、關機的操作流程。

在係統配置方麵要盡可能啟用一些安全功能，如在Notes電子郵件係統中，服務器安全設置要選擇"與保存在通訊錄中的Notes公用密鑰比較"，同時再選擇"校驗Notes標識符口令"。還可對有權在本機上創建新數據庫或數據庫複本的用戶做出限定，以及設置用戶口令強製定時修改機製等。

三、網絡安全

網絡的安全隱患表現在係統內重要信息容易通過網絡泄露和被竄改。重要的信息一般包括用戶名、口令、配置信息、存儲的係統以及業務數據等。它所麵臨的安全威脅主要來自於網絡攻擊與網絡竊聽兩個方麵。為盡可能減少安全隱患，應該采取如下措施：

1.通過路由器、防火牆對內外有關網段的訪問進行控製，對不需要對外進行訪問的主機應將它封閉在固定的網段中，對需要對外進行有限訪問的主機則設定單點路由，以確保重要的業務主機網段安全。

2.隻安裝必要的網絡協議和網絡服務。一般情況下隻須安裝TCP/IP協議就能滿足業務係統的需要，IPX/SPX/NetBIOS協議用不著安裝。同時，也不要安裝多餘的服務，如IIS、FtpService、DNS、DHCP、IndexingService等。

3.通過對網絡屬性進行配置，隻允許打開必需的網絡端口，如Sybase的相應端口，應用係統DominoServer隻須打開TCP1352端口；若安裝有網絡版NortonAntiVirus，可打開UDP2967端口；POP3和SMTP服務可打開110和25端口；對Web服務，則可打開相應的TCP端口，如80、443端口等；對於清算、核算等業務，Unix業務主機要對它的Telnet、Ftp、Tftp、Finger、POP3、SMTP等端口實施關閉。

4.為防止POP3郵件與基於網頁的用戶名及口令被竊，可使用Internet驗證服務。Windows2000及Domino5.0均提供證書頒發機構服務，每一台需要加密通訊的服務器都可申請服務器驗證字，使之與客戶端申請的驗證字一起工作，利用SSL加密來保證網絡傳輸的數據不被竊。

總之，網絡安全是由整個網絡的每一個細節來構築的，我們要針對性地采取有效措施來避免潛在的威脅與漏洞，並與嚴格的工作製度相結合，來保證銀行的計算機網絡和係統安全，使其正常地運行。