论文关键词:信息系统 安全保障 金融网络
论文摘要:针对金融网络与信息系统的安全需求，构建了包括物理安全、系统安全、网络安全、应用安全和安全管理的金融网络与信息系统安全保障体系的总体架构，详细描述了安全保障系统的构成，提出了应采取的安全保障措施。
随着网络技术的发展和应用需求的牵引，网络规模和应用范围不断扩大，网络安全风险变得更加严重和复杂。凡是涉及到保障银行正常营业的所有问题，如信息技术设备和金融信息系统软件的正常运行、信息系统中业务信息及商业机密的妥善保存等，都与金融信息系统的安全有关，都要采取相应的安全风险防范措施。目前，针对互联网的应用还缺乏有效的安全措施和手段，这严重限制了银行系统通过互联网对外提供服务的范围和种类，迫切需要构建更加科学合理的金融信息系统安全保障体系。
1金融信息系统安全保障体系总体架构
金融信息系统安全保障体系包括物理安全、系统安全、网络安全、应用安全和安全管理，其总体架构见图1.

2安全保障系统构成
下面从物理安全、系统安全、网络安全、应用安全和安全管理等方面来描述金融信息系统安全保障系统的构成.
2. 1物理安全
物理安全是保障整个网络与信息系统安全的前提。物理安全主要涉及环境安全、设备安全和介质安全。loCALHOst环境安全主要是指防雷、防水、防火、防电磁辐射等内容;设备安全主要包括设备的防盗、防毁、防止线路被截获、抗电磁干扰及电源保护等;介质安全指存储数据信息的介质安全。
2. 2系统安全
1)网络结构安全主要指网络拓扑结构是否合理、线路是否有冗余。

2)操作系统安全指应采用安全性较高的网络操作系统，关闭不常用却存在安全隐患的应用，对一些保存有用户信息及其口令的关键文件的使用权限进行严格限制。
3)应用系统安全应用服务器尽量关闭不经常使用的协议及协议端口号，加强登录身份认证，严格限制登录者的操作权限，将其完成的操作限制在合法的范围内。
4)系统备份与恢复机制它是保护金融信息系统崩溃后快速恢复的重要技术措施，在系统运行时，应采取必要的技术手段对网络及主机设备配置、金融业务系统等进行备份，在故障或灾难发生时，迅速恢复系统到最新状态。
2. 3网络安全
1)隔离与访间控制机制该机制可根据不同用户安全级别或不同部门的安全需求，利用3层交换机来划分虚拟子网(vlan);在不同业务系统之间划分mpls vpn，实现受控互访、隔离和信息共享;在网络中配备防火墙，实现网络内外或网络内部不同安全域之间的隔离与访问控制。
2)通信保密通过采取数据链路层和网络层加密等措施，实现对网络中重要信息传送的保护。
3)入侵检测根据已有的、最新的攻击手段的信息代码对进出网段的所有操作行为进行实时监控、记录，并按制定的策略实行响应，从而防止针对网络的攻击与犯罪行为。
4)网络安全扫描系统通过对网络中所有部件进行扫描、分析和评估，发现并报告系统存在的弱点和漏洞，评估安全风险，提出补救措施等。

2.4应用安全
1)访问控制根据金融信息系统建设的需要，采取自主访问控制或强制访问控制机制，对用户和资源分配不同的授权级，以控制用户对资源的访问。
2)身份识别和验证涉及到收集验证数据、安全传输数据、查证当前用户是否仍是目前使用系统的用户等。
3)数据备份与恢复机制该机制是保护金融系统中数据资源的重要技术措施。在业务应用系统运行时，应采取磁盘镜像、磁盘阵列、磁带库等技术手段，对数据信息进行备份，并在故障或灾难发生时，采取适当的恢复策略，修复系统中被破坏的或不正确的数据，使之恢复到一致性状态。
4 ) pk/ca认证系统通过建立该系统，实现网络访问的身份认证和访问控制，同时还可实现网络文件传输的保密性、真实性、完整性和文件的抗抵赖性。

2. 5安全管理
金融信息系统是一个包括横向、纵向连接的多级网络，运行着多个业务系统。为实现对金融信息系统的安全管理，应设置安全管理中心，对安全事件、设备故障信息等进行集中分析和处置，并在此基础士实施统一规划、集中管理、严格规章、明确责任和动态监控，确保金融信息系统安全可靠运行。
3安全保障措施
3. 1设置安全保障策略
1)总体安全策略在金融信息系统安全保障体系构建中，应遵循以下总体安全策略圈:①未经允许的访问都要严格禁止;②允许的访问都要经过认证、授权才能进行;③重要信息在网上传输要经过加密措施。
2)网络边界安全策略和联动策略在金融信息系统网络和internet之间设置防火墙，以隐藏和保护金融信息系统网络;在网络核心节点与各业务系统局域网边界之间设置防火墙，允许授权用户访问该局域网内的特定资源;按业务和行政归属，在横向和纵向网络上通过采用mpls vpn技术进行vpn划分，实现有效隔离;网络设备如防火墙、人侵检测系统、交换机、路由器、网络防病毒系统和访问控制系统等，既可以单独运行，还可以通过联动策略，一旦发现非法人侵，人侵检测系统会通知相应的安全产品实施联动保护，有效地确保金融信息系统网络的安全。
3. 2部署安全技术和安全产品
为确保金融信息系统的安全可靠运行，遵循安全保障体系总体架构和安全保障策略，应在金融信息系统中部署相应的安全技术和安全产品。
1)划分安全域根据金融信息系统的功能及业务特征，按照等级保护

[1] [2] 下一页