金融天地

作者：王雪華

摘要：本文結合銀行機構在局域網安全係統建設上的問題為例，淺談一下基層央行內聯網安全係統建設麵對的主要問題及對策。

關鍵詞：銀行；內聯網；安全係統

中圖分類號：F832.3　文獻標識碼：A　文章編號：1001－828X（2011）01－0198－01

隨著人民銀行信息化建設步伐的不斷推進，局域網的安全問題越來越突出，人民銀行從總行到各級分支機構投入了大量的人力物力致力於人民銀行內聯網的安全係統建設，由早期的對外網訪問的簡單過濾、攔截到對外網的邊界保護和對內部網絡管理審計的全麵的網絡安全係統，網絡的實時監控、綜合分析和應急響應能力都取得了長足的進步。

一、人民銀行地市中支內聯網安全係統建設現狀

人民銀行地市中支在省級中支的統一規劃和領導下，近年來建設和推廣應用了包括非法外聯監控、入侵檢測、網絡防病毒、補丁分發、IT運維監控管理、網絡資源管理等一係列網絡安全管理係統，對網絡拓樸、客戶端資源、非法外聯、病毒等都實現了實時監控，同時利用技術手段和科技標準化管理，不斷充實安全管理內容，安全管理的效能得到了有效強化。

（一）合理規劃網絡資源規範電子設備管理

利用VLAN技術對網絡應用係統進行合理的網段劃分，設定訪問控製權限，對重要資金係統的網段與辦公網段進行隔離，從技術上阻斷非法訪問。

實行計算機內聯網準入審批製度，對入網計算機進行人網檢測；規範電子設備的選型、采購、登記、入庫、使用、變更、報廢等各個管理環節，建立入網計算機IP地址分配登記簿，詳細登記入網計算機信息；嚴禁筆記本電腦接人人民銀行內聯網；互聯網統一人口，嚴格執行內外網物理隔離，杜絕辦公用機雙網卡、Modem卡、無線網卡的安裝。

近年來地市中支加強了對移動存儲設備的統一管理，通過網絡資源管理係統注冊的功能，部署策略，將移動存儲設備按照涉密的級別，從技術上控製和規範移動存儲設備的使用，杜絕注冊移動存儲設備在涉密級別不同的計算機上交叉使用和未注冊移動存儲設備在內網計算機上使用。

（二）利用安全係統監測分析注重客戶端安全管理

一是對接人人民銀行內聯網的計算機全部安裝網絡防病毒軟件，實現在線升級病毒特征庫，實時監控和查殺病毒，並定期對病毒的源、類型和危害等級等內容進行統計分析。

二是通過入侵檢測係統實時掃描內聯網，對高危的入侵安全事件進行報警，通過報警信息準確定位安全事件的級別和地點，並做出相應的應急響應，及時排除安全隱患。

三是對內聯網計算機定期進行漏洞掃描和補丁分發，補丁分發係統具有補丁自動分發部署和控製的功能，對安裝補丁分發客戶端的內網計算機進行管理，掃描補丁的修補情況，監測係統是否存在重大漏洞，並及時進行係統的升級，以阻斷利用係統漏洞而傳播的病毒傳染和安全攻擊。

四是利用網絡資源管理係統對客戶端資源進行實時監控。對內網的計算機統一安裝網絡資源管理係統客戶端，自動采集和更新客戶端軟硬件信息，非現場監控客戶端運行情況，對安裝與工作無關的軟件、盜版軟件能夠及時發現，並通過相應策略的定義進行控製。