• 快捷搜索
  • 全站搜索

银行业服务器安全漏洞管理探索

2016-03-31 16:39:26作者:中国工商银行数据中心(北京) 雷鼎编辑:金融咨询网
随着银行业务快速发展,集群规模也在不断扩大。如何保障服务器的系统安全性和银行的交易安全、可控是目前信息安全工作面临的主要问题。本文简要分析了服务器系统漏洞现状,介绍了几种服务器系统漏洞防护手段,并对服务器安全防护提出了相关建议。

随着网络技术的飞速发展,商业银行不再局限于传统的网点的营业,而更多地推出面向互联网的服务,如网上银行、手机银行、短信银行、电子商务等。支撑这些服务的是庞大的计算机集群,而且随着银行业务快速发展,集群规模也在不断扩大。如何保障服务器的系统安全性和银行的交易安全、可控是目前信息安全工作面临的主要问题。
  
一、服务器系统漏洞现状

  作为从事货币信用活动的金融机构,商业银行系统的等级保护级别较高。金融监管部门对银行的系统安全提出了更高的要求,人民银行发布的《网上银行系统信息安全通用规范》(JR/T0068—2012)中要求“应至少每半年进行一次漏洞扫描,对发现的系统安全漏洞及时进行修补”。

  在银行部署的服务器通常有服务器,大型机、数据库服务器、应用服务器三类。在服务器硬件上,第一层软件就是操作系统。它是管理和控制计算机硬件与软件资源的计算机程序,是直接运行在“裸机”上的最基本的系统软件,任何其他软件都必须依托于它才能运行,之后便是在操作系统上部署应用软件,满足机构的业务需要。服务器的系统漏洞不仅包括操作系统自身的漏洞,也包括所部署的应用软件带来的缺陷。

  大型机的操作系统通常为定制、封闭的系统,且多为商业用途,因此关于此类系统的漏洞并不常见,防护也相对容易。其他数据库、应用服务器大多是Unix、Windows服务器,这两类服务器漏洞易被黑客挖掘,因此这两类系统的漏洞管理起来更加复杂。近几年每年爆出的关于此类系统的若干漏洞,并且这个数字随着时间变化呈不断增长趋势。不久前爆出的“Linux Bash远程代码执行”漏洞对系统的安全性敲上警钟,此漏洞影响绝大部分Linux操作系统,当下各个机构均或多或少地使用了此类系统。国家互联网应急中心也会及时发布应急响应预警,提醒各机构及时修复漏洞。应用软件分为外购和自主研发两类,它的漏洞皆与版本有关系,大多数漏洞的修复均需要升级版本,给管理和运维都带来不便。
  
二、服务器系统漏洞防护手段

  1.网络边界防护手段

  为抵御系统漏洞可能带来的入侵,在网络区域上,根据数据敏感区域界定安全域,以此进行逻辑划分,隔离网络区域,避免非法入侵(如图1所示)。银行内部核心处理的大机通过网络隔离的方式部署在系统内部,且由于其封闭等特点,导致外部无法利用其漏洞。从网络边界防御上,从外到内部署了抗DDOS设备、防火墙、入侵检测系统(Intrusion Detection System,IDS)、应用防火墙(Web Application Firewall,WAF)、防病毒服务器等。通过部署这些安全设备,能有效防范漏洞被利用。

银行业服务器安全漏洞管理探索-图1.jpg

  2.内部控制防护手段

  在内部防护上,有网络准入技术、日志安全审计、网络监控、内部漏洞检测等。从风险角度分析非法的入侵大都是从外部而来,因此各个商业银行往往更加重视外部的防御,而对内部的防护关注较少。近些年因内部安全防护不足引发的风险事件不在少数,爆出的大多数金融机构的漏洞皆是由于边缘系统或内部办公系统防护不足导致黑客渗透,入侵到内网。进入内网后,黑客通常发现内部系统重要风险漏洞。因而内部系统的安全防护也不容忽视,应该加大重视。虽直接从外部入侵成功的可能性较低,但利用社会工程学等手段从内部发起攻击也成为可能。

  (1)漏洞发现

  银行使用的系统都是业界通用的系统,这些系统会不断被黑客挖掘出新的漏洞。只有不断更新系统,及时安装系统的补丁才能保障系统的安全性。由于对系统运行的实时性和有效性要求较高,必须保障生产系统的稳定运行,未经审核批准不能对系统进行任意操作。如此在内部系统安全上,大多数的金融机构采用系统漏洞检测技术去主动发现系统中的漏洞,根据发现漏洞的风险级别决定是否实施系统变更,修复系统漏洞。

 1 2 下一页 尾页

扫码即可手机
阅读转发此文

本文评论

相关文章