对银行电子化建设的若干思考

[浅谈当前农电发展的若干问题]文章标题：浅谈当前农电发展的若干问题国家电网公司提出了实施“新农村、新电力、新服务”农电发展战略，“三新”服务是构建和谐社会的必然要求，是服务社会主义新农村建设的重...+阅读

对银行电子网络建设的若干思考

新的形势对银行的软硬件设施建设提出了新的挑战。其中网络的运行情况，尤其是网络安全问题尤其突出。目前，银行逐步建立了基于ip技术的业务骨干网，但银行电子网络建设存在的问题也不容忽视。

一、银行网络改造工作中存在的问题

1．来自互联网的风险

网上银行、

电子商务、网上交易系统都是通过inter公网并且都与银行发生关系，银行系统网络如果与inter公网直接或间接互联，那么由于互联网自身的广泛性、自由性等特点，银行网络系统自然会被恶意的入侵者列入其攻击目标的前列。

2．来自互联单位的风险

银行与电信局、水电部门、保险公司、证券交易所等单位网络互联。由于银行与这些单位之间不可能是完全信任的关系，因此它们之间的互联，也使得银行网络系统存在着来自外单位的安全威胁。

3．来自内部的风险

据调查统计，已发生的网络安全事件中，70%的攻击是来自内部，因此内部网的安全风险更严重。内部员工对自身企业网络结构、应用比较熟悉，自我攻击或泄露重要信息，内外勾结，都将可能成为导致系统受攻击的最致命安全威胁。

4．管理安全风险

银行内部员工的安全意识薄弱，企业的安全管理体制不健全也是网络存在安全风险的重要因素之一，健全的安全管理体制是一个企业网络安全得以保障及维系的关键因素。

5．网络系统维护费用高

原有的网络系统还存在维护费用高，技术复杂的缺点。因此网络改造要求有先进友好的网络管理软件以降低网络维护费用。

二、形成原因分析

银行计算机网络需要可靠的安全保障支持。银行网络安全的威胁主要来自内部和外部两个方面。在过去的几年中很多报告都指出，企业内部员工的破坏行为是对信息安全的最大威胁，主要包括：缺乏有效的网络防护手段，网络协议分析工具带来的威胁，执行不安全代码以及个人能力的不正当炫耀。另一方面非法的外来侵入攻击数量近几年有了惊人的增长。商业银行计算机网络系统很快地将要面对有组织有计划的黑客的更大威胁，主要包括：广为流传的黑客攻击技术，有组织的信息网络入侵活动，新的网络应用和技术的大规模涌现，硬件的高速发展使得破译加密信息成为可能。据统计，银行业基于网络的信息失窃在过去5年中以200%以上的速度递增。网络安全已经成为银行业务安全的重要组成部分，同时也是国家网络经济发展的关键。

三、对银行网络安全改造解决方案的探讨

通过审慎的调查研究和亲身产品使用，笔者建议对银行网络系统实行全面改造，以达到网络安全要求。

首先，全行的主要主干电路可采取面向网络安全端到端的safe(security architecture for e-business)解决方案，结合现有运行网络的实际情况，完成网络安全性设计。方案的模块化方法可为银行网络提供最大的灵活性。使银行能够针对特定的业务来选择特定的模块。同时方案也可提供根据业务需要逐步实现安全的cisco vid基础设施的可能。这保护了银行在现有安全设施上的投资，降低整个网络系统的费用，同时也可知道每一个模块的工作原理及在整个网络安全框架中的作用。

其次，在整个网络的安全性设计上，进行全面的规划，制定整体的安全策略。同时对局域网、广域网以及外联网与inter等公共信息网互连的安全保障规定。使用思科的安全策略管理器cspm指定整体的安全策略，并实施定期的监控和改进。原有的应用服务器与其他系统服务器以及办公及管理信息系统相连，存在一定的安全隐患。在系统改造中这一问题将得到解决，通过采用内部防火墙，两者可实现安全隔离，应用主机安全性可得到更好的保障。

为了保障基于因特网和基于web交易的保密性和完整性，可以实现虚拟专用网（vpn）。就像装甲车一样，vpn在金融资源从银行传到其他位置的途中能为它们提供保驾护航作用。在远程用户和银行之间，vpn提供安全可靠的加密式端对端"隧道"。即使是最狡猾的网络黑客，vpn的强劲安全性也能防止他们截取隧道传输的内容，使他们的阴谋不能得逞。vpn的创建宗旨就是要在每个远程访问会话期间保障其安全性，它对用户是透明的。一般而言，具有vpn功能的防火墙和客户计算机配置的许多操作系统都支持vpn。

改造后的网络可在广域网中心增设了专用的路由器。原来既作为dlsw+节点又作为广域网路由的中心路由器实现功能上的拆分，新增专门路由器作为dlsw+路由器，负责sna和tcp/ip的协议转换。所有路由器位于高性能防火墙的两侧，防止外部对应用主机的非法操作，同时网络对sna协议的处理能力也得到提高。

显然，有效的安12全文查看全性设计译技术屏蔽了内部网络地址和结构，在防止黑客攻击方面做到防患于未然。在网络安全上，防止非法的访问是一方面，而对网络活动施行实时动态的监测，是及时发现非法访问的另一有效途径。所有网络关键链路和接口可设立网络入侵检测系统，使出现的问题及时发现及时解决，而定期对网络实施静态扫描也可以发现潜在威胁。

考虑现有的银行情况，存贷业务、信用卡业务等都有更高标准的安全保证。而新的网络安全设施及技术更保证了银行进一步发展网上银行业务，扩展安全的网上金融服务种类。以使用迅猛发展的网络经济、新的经营模式。如果能进一步加强银行的网络安全建设，其带来的效益是不能简单地进行估计的。网络孕育着新的发展契机，触网的银行服务有了更高水准的安全性措施，必然对其找到新的业务增长点，进而为服务三农，促进南通分行业务发展作出应有的贡献。

12全文查看对银行电子网络建设的若干思考

一、银行网络改造工作中存在的问题

1．来自互联网的风险

网上银行、

电子商务、网上交易系统都是通过inrn公网并且都与银行发生关系，银行系统网络如果与inrn公网直接或间接互联，那么由于互联网自身的广泛性、自由性等特点，银行网络系统自然会被恶意的入侵者列入其攻击目标的前列。

2．来自互联单位的风险

3．来自内部的风险

4．管理安全风险

5．网络系统维护费用高

原有的网络系统还存在维护费用高，技术复杂的缺点。因此网络改造要求有先进友好的网络管理软件以降低网络维护费用。

二、形成原因分析

三、对银行网络安全改造解决方案的探讨

通过审慎的调查研究和亲身产品使用，笔者建议对银行网络系统实行全面改造，以达到网络安全要求。

首先，全行的主要主干电路可采取面向网络安全端到端的sf(scuriy rchicur for -businss)解决方案，结合现有运行网络的实际情况，完成网络安全性设计。方案的模块化方法可为银行网络提供最大的灵活性。使银行能够针对特定的业务来选择特定的模块。同时方案也可提供根据业务需要逐步实现安全的cisco vvid基础设施的可能。这保护了银行在现有安全设施上的投资，降低整个网络系统的费用，同时也可知道每一个模块的工作原理及在整个网络安全框架中的作用。

其次，在整个网络的安全性设计上，进行全面的规划，制定整体的安全策略。同时对局域网、广域网以及外联网与inrn等公共信息网互连的安全保障规定。使用思科的安全策略管理器cspm指定整体的安全策略，并实施定期的监控和改进。原有的应用服务器与其他系统服务器以及办公及管理信息系统相连，存在一定的安全隐患。在系统改造中这一问题将得到解决，通过采用内部防火墙，两者可实现安全隔离，应用主机安全性可得到更好的保障。

为了保障基于因特网和基于wb交易的保密性和完整性，可以实现虚拟专用网（vpn）。就像装甲车一样，vpn在金融资源从银行传到其他位置的途中能为它们提供保驾护航作用。在远程用户和银行之间，vpn提供安全可靠的加密式端对端"隧道"。即使是最狡猾的网络黑客，vpn的强劲安全性也能防止他们截取隧道传输的内容，使他们的阴谋不能得逞。vpn的创建宗旨就是要在每个远程访问会话期间保障其安全性，它对用户是透明的。一般而言，具有vpn功能的防火墙和客户计算机配置的许多操作系统都支持vpn。

改造后的网络可在广域网中心增设了专用的路由器。原来既作为dlsw+节点又作为广域网路由的中心路由器实现功能上的拆分，新增专门路由器作为dlsw+路由器，负责sn和cp/ip的协议转换。所有路由器位于高性能防火墙的两侧，防止外部对应用主机的非法操作，同时网络对sn协议的处理能力也得到提高。

显然，有效的安[]全性设计译技术屏蔽了内部网络地址和结构，在防止黑客攻击方面做到防患于未然。在网络安全上，防止非法的访问是一方面，而对网络活动施行实时动态的监测，是及时发现非法访问的另一有效途径。所有网络关键链路和接口可设立网络入侵检测系统，使出现的问题及时发现及时解决，而定期对网络实施静态扫描也可以发现潜在威胁。