发布时间:2023-09-20 18:10:19
序言:写作是分享个人见解和探索未知领域的桥梁,我们为您精选了8篇的企业网络安全整改样本,期待这些样本能够为您提供丰富的参考和启发,请尽情阅读。
关键词:网络管理;ARP欺骗;ARP病毒攻击;IP地址管理;排查与防控手段
中图分类号:TP393.18 文献标识码:A 文章编号:1006-8937(2012)26-0076-04
回顾企业网络安全运行维护工作,有必要总结归纳近年来企业级网络管理系统和网络管理体系结构有效维护经验,有效利用网络管理防范与处理ARP欺骗、攻击相关经验。
从近年的网络运维,网络管理人员不断接到网络用户反映——“所在的网络在上网应用时网络时断时通,有时基本处于无法使用的状态”。而与此同时网络流量管理在对相应网段的监控中又没有异常情况发生,所以一时间很难使用常规的网络管理手段、经验加以判断与网络定位,从而给网络管理与网络维护提出了新挑战。
由于这种网络故障来的较突然,既没有可以参考的经验,又没有可用的网络协议分析仪等条件进行客观数据的实地采集,所以我们一开始采用的方法就是在网络交换机处对网段进行人为手工的“再细分”,用逐段排除法对有问题的PC机进行定位后再采取整治方法,但这种方法费时费力,排除故障时间长。通过对故障网络现场观察和体会,加上对网络TCP/IP协议的分析后,得出对ARP网络欺骗和ARP网络病毒攻击的初步感性、理性双重认识。那就是如何认识ARP欺骗与攻击的共同点和区别,采取有效的防控手段来遏制这些网络安全威胁。
1 ARP欺骗分析
ARP协议是一种将IP转化成以IP对应网卡的物理地址的协议,或者说ARP协议是将IP地址转化成MAC地址的一种协议。它靠内存中保存的一张表来使IP得以在网络上被目标机器应答。在我们企业网络架构的Vlan中,以太网的每一帧有两种方式传输。一种对外传,就是用户有一个需求,当需要透过路由将网络帧转发到别的Vlan时,需要通过本地Vlan的网关。另外一种是内传,当有用户需求就在本身这个Vlan网络中时就不需要网关了。
当遇到ARP欺骗的时候,我们就会发现原本发送给本地Vlan网关的数据帧,没有得到本地Vlan网关MAC正确的回应。从而导致用户任何应用都没有办法使用了,就感觉到反复“掉线”或者“断线”,网络好像处在“震荡”中,迫使网络用户重新启动自己的计算机以期重新获得联网的需求,此时正好中了欲进行ARP欺骗计算机的“招”,当用户在重新启动自己计算机获得IP地址和本网段网关MAC地址时,进行ARP欺骗的计算机就会以自己网卡的MAC地址代替本网段网关的MAC地址,以至于给用户一个重新获得上网的感觉,其实用户这时所有的外传以太网帧全部发给了正在行使ARP欺骗的计算机,这就是ARP欺骗在一个Vlan中的基本原理。
进行网络ARP欺骗的计算机在进行MAC欺骗的过程中,会将已知某其它主机的MAC地址用来使目标交换机向欺骗计算机转发以该主机为目的地址的数据帧。通过发送带有该主机以太网源地址的单个数据帧办法,网络欺骗计算机改写了CAM表格中的条目,使得交换机将以该主机为目的地址的数据包转发给该网络实施ARP欺骗的计算机。除非该主机重新启动PC并从网络中获取地址时CAM表中对应的条目会被再次改写,以便它能恢复到原始的端口。但是否会再次受到ARP的MAC欺骗就取决于本网段中是否存在这样的欺骗计算机了。
网络欺骗——MAC的欺骗从来不会停止于只在本网段内进行“欺骗”,它很快就演变为与网络病毒相结合的具有网络攻击特征的更具传染与杀伤力的——“地址解析协议(ARP)攻击”。
当有人在未获得授权就企图更改MAC和IP地址ARP表格中的信息时,就发生了ARP攻击。通过这种方式,黑客们可以伪造MAC或IP地址,以便实施如下的两种攻击:“服务拒绝”和“中间人攻击”。
目前以“服务拒绝”演变出来的攻击以网络上多种病毒为主,它们会发送假冒的ARP报文,比如发送网关IP地址的ARP报文,把网关的IP对应到自己的MAC上,或者一个不存在的MAC地址上去,同时把这假冒的ARP报文在网络中广播,所有的内部PC就会更新了这个IP和MAC的对应表,下次上网的时候,就会把本来发送给网关的MAC的报文,发送到一个不存在或者错误的MAC地址上去,这样就会造成网络断线了。
这就是ARP地址欺骗攻击,造成内部PC和外部网的断线,该病毒在满足一定条件的时候会表现的特别猖獗。也对企业内部分局部网段造成非物理“断网”的中断网络破坏,由于它与网络病毒相结合,所以无论在传播的速度和攻击特性都有较大的“聚变”,ARP 地址欺骗攻击的实施是通过伪造IP地址和MAC地址实现ARP欺骗的同时,能够在网络中产生大量的ARP通信量,使网络阻塞或者实现“中间人攻击”(man in the middle) ,进行ARP重定向和嗅探攻击。当攻击源大量向局域网中发送虚假的ARP信息后,就会造成局域网中机器ARP缓存的崩溃。
下面给出ARP欺骗攻击在Vlan229网络交换机上所看到的特征。
3 原因分析
从对感染ARP欺骗的欺骗攻击病毒计算机进行现场查杀和计算机系统安全基本要求方面的检查来看,这些计算机大多存在如下的共同特征:
①系统安全补丁严重缺失,有的Winxp在SP2后只有一个补丁,所以补丁缺少很多(约两年)。
②计算机开机进入系统时几乎都缺少系统应有的“口令”。有的只有弱口令。
③大部分这样的计算机系统无防病毒软件或没有及时对防病毒软件升档,特别是企业网络中使用的Symantec通知升级后不执行升级就导致防病毒策略与防病毒代码无法及时更新。
④有的网络用户违规下载并安装“网络游戏”或使用带毒的“实时通信软件”所至,如“传奇”和“QQ”等。
⑤有的部门信息联络员没有及时将计算机安全基本要求宣传到位。
⑥有的部门领导忙于生产而无法具体落实计算机系统安全的相关规章制度。
4 利用网络管理防范与处理
4.3 对主要网络应用进行必要的网络细分
从对企业总部大楼十二楼Vlan241和原基建大楼Vlan226网络的整改后的使用效果来看,网络规划在必要的网段上要从多方面考虑网络应用的实际需要,特别是要从防控类似ARP欺骗和欺骗攻击病毒上考虑对重要网段的“细分”工作。企业总部大楼十二楼和基建大楼的网络在被“细分”后,实际使用和管理上较整改以前都有较好的网络使用和网络安全的效果,充分说明了这一点。
4.4 用网络管理软件和工具软件进行预防
充分利用网络管理软件的“IP地址管理”在MAC与IP绑定上的作用,对企业网络上运行的计算机系统进行全天候不间断的监控,再利用类似于Antiarp这样的工具软件对有问题故障网段进行现场“抓获”。
5 结 语
在我们这样大型国有企业网络中,网络故障错综复杂,不借助专业网络管理软件和认真细致地对网络故障分析,很难对非物理性网络故障,类似ARP欺骗和欺骗类攻击病毒引起的网络故障进行排查带来很大的困难,同时会给网络产生巨大的安全威胁。
所以,对于企业的网络运行,需要网络管理人员充分利用网络管理工具,对网络进行长期有效的监测和分析,才能最大程度地排除可能的网络故障和网络安全威胁。然而计算机系统安全是与各个使用计算机的企业网络终端用户密切相关的,计算机安全必须及时、有效地去“实施”的观念离实际的网络安全要求还相差的甚远,仅靠企业每年要求信息中心利用“总厂例行岗检”和“计算机系统专项安全大检查”的方法来维持网络安全,那是无法适应日益变换和增长的网络安全需要的。
近年来在网络安全运维实践中在技术层面上总结出一些行之有效方法,让参加企业IT网络运维的同行们能有效地共享,充分利用网络管理系统已有的功能,深化网络与信息系统的安全运行具有重要意义。
参考文献:
关键词:电子商务;外贸企业;对策
一、电子商务对于现在外贸企业的发展引起的影响
(一)电子商务对传统外贸环境的影响
在中国加入到WTO后,对于中国中小型企业的外贸生意提供了便利条件,相关的政策和营业权限的批准均是为了企业进行“松绑”,很多中小型企业获得了相关的自营权力。但是在金融危机背景下,外贸企业面临着经营上的窘境,创新思维和技术革新缔造了这一行业的更高价值,使得中小型企业在全球市场上得到了又一光明大道。电子商务是通过网络平台拓宽了企业的发展市场,更好的促进外贸企业的全球化进程。
(二)电子商务对外贸企业在运营商的影响
电子商务为了中国外贸企业在运营渠道上开辟了更广阔的市场,也给外贸企业发展速度提供了国际化的平台。电子商务改变了传统商务交流模式上的弊端,减少中间商赚差价,降低了一定的成本,并且交易过程更加透明化、合理化,满足消费者价格心理的同时,也为各大企业的经理利益提供了一定的保障。
二、电子商务对于现在外贸企业的发展引起的一些问题
(一)需求的目标用户不明确
现有的中小型企业中对于网络贸易的认识并不透彻,构建网页的时候目标较为盲目,功能上过于简单化,网页长时间不进行维护,这对企业的整体形象影响深远。
(二)企业电子商务的普及率较低
在现有的很多企业中信息化模式使用并不完全,在企业网络更新和维护上并不上心,对客户的反馈和客户的询问并不能及时的回复。有的企业并没有自己的官方网站,就会借助第三方的平台进行进一步销售,例如阿里巴巴、中国制造网等等,但是依然秉承传统模式的观念,没有将电子商务运用到实际中来。
(三)相关的电子商务系统配套服务并不完善
制约着电子商务的主要原因在于物流服务,首先打造较大、较全、系统的仓库系统是可以完成的,但是如何将货物安全、完整、无破损的进行输送成为外贸企业应该关注的问题。
(四)现有的外贸环境需要完善
在电子商务不断发展的今天,网络安全成为大家关注的问题,网上交付、网络环境安全、有关网络安全构建的制度和条例建设等都是需要再次梳理和完善的。这些均是制约外贸企业拓展业务的关键问题。
(五)中国企业的信用问题有待改善
在国际购物网站上,每家店铺的网上信用问题成为大家选择的重要凭证,网上的购物评价也成为了大家选择的一个标准。而电子商务的平台构建成为了消费者与企业合作的重要沟通工具,这不仅会严重影响到交易成功率也会影响品牌的名誉。所以,在构建外贸企业电子商务平台过程中,相应健全的机制成为保驾护航的关键。
三、问题对策
(一)外贸企业要重新定位,用发展的眼光看问题
在传统贸易中将线下贸易改革成为线上贸易的发展新局势和新方法,知识单纯的依靠企业宣传和人工宣传已经不能满足,随意当机立断的进行有效的制度改革,通过政府的监管与扶持,将市场作为主要的实施媒介。在对外脑企业进行有效的整改过程中,积极地相应市场的新格局和社会的变化发展,建立属于自己的网站,宣传企业产品,在网上开拓市场信息。在对企业网站进行设计时要突出属于适合自己企业网站的风格,创建针对企业的、独特的服务功能和网络环境,及时找到适合企业定位的沟通方式,使得企业实体与网络经营的双模式综合体,为外贸经济创造更大的发展空间。
(二)利用全新的电子商务模式进行企业营销
首先,根据企业的特点和使用人群进行电子商务的系统优化,尽可能的减少中间繁杂的中间环节,在用户购物时,可以设定一定的优惠服务,吸引消费者眼球,博得产品关注在某种程度上说是引导消费者进行选购;可以建立会员制度,在一定时期进行会员优惠,这不仅可以稳定用户,还可以促进客户的消费心理。这样更好的构建经营、人脉、金融多层经济关系。
(三)国际贸易要加强先关的法律法规,完善网络的信用制度
在现有的相关贸易法律法规中,对于电子商务的网络交易还有一部本并没有完善。根据相关部门的调查走访进行系统分析,网络安全、网络管理、支付安全等方面的法律条文需要进行系统整改,从技术上到电子商务意识方面,均要求有所涉及。要做到企业懂法,处处合理安全。
关键词:防火墙;双机;状态检测;VRRP
中图分类号:TP393文献标识码:A文章编号:1009-3044(2009)36-10454-03
随着互联网以及现代通讯技术的发展,以及用户对服务品质的需求,高可用性网络已经越来越成为Internet组网设计的目标。因网络中断给用户带来的损失以及潜在损失已经十分巨大,有研究表明,网络停运带来的损失已经高达几百万美元/每小时,而由此带来的隐性损失则更是难以估量。
在防火墙的可靠性试验之前,先了解目前防火墙的技术以及该技术特点对防火墙可靠性的影响,目前各类型的防火墙从其实现原理上来说基于以下三大类:
1) 基于逐包转发过滤的包过滤;
2) 通过检测会话状态基于会话流的状态;
3) 基于应用方式的全。
这三种防火墙技术的优缺点不作详细讨论,对于第一种逐包转发过滤的包过滤防火墙因为其不能很好的区分和保护不同的区域,在运行内部网络访问外部网络的同时也提供了外部网络访问内部网络的安全漏洞,因此这种防火墙技术在近年来属于逐步被淘汰的技术,但是就可靠性而言,因为该技术采用逐包转发过滤,对会话流的来回路径不敏感,因此在不做Nat的时候,其冗余设备的备份可以做到平滑过渡,不过在启动了Nat功能的情况下,由于不同的设备很难做到对同一会话进行相同的地址转换,导致包过滤防火墙在Nat的应用中也出现问题。
对于基于应用方式的全防火墙,由于其隔离了与外部网络和内部网络的连接,它能给内部网络提供很好的保护,但是他的优点同时也是最大的缺点,由于采用的是应用的方式,对于应用程序而言就不透明了,需要应用程序为这种连接进行适配;并且由于采用了全方式,其处理的性能要明显低于其它两种类型的防火墙。就可靠性而言,要做到双机热备的话,不仅要求会话的来回路径一致,而且因为它是全,这要求每一个报文都需要适时地备份到备机上去,这种特性使得全方式的防火墙的双机热备实现起来很困难,在实际应用中也很少见这种防火墙的备份方案。
下面我们将通过两组实验讨论基于会话流的状态防火墙的可靠性问题,所谓状态防火墙是指用户通过防火墙访问外部网络时,会在防火墙上创建一个会话表项(该会话表项通常情况下会包含该会话的五元组信息――源/目的IP地址、源/目的端口、协议类型),这样从外面回应的报文如果能匹配该五元组就能顺利通过防火墙到达用户,而从外面主动发起的会话请求因为不能匹配任何会话表项,而被ACL规则过滤掉。这样就可以提供给用户不同级别的保护,从而有效地保护用户的内部网络。目前大部分防火墙产品都是属于这种技术的防火墙。由于这种基于会话流的防火墙要求每个会话的来回路径一致,因此在做双机热备的时候对组网有特殊的要求,以下将通过实验了解防火墙可靠性技术,以及实验过程中出现的问题并提出的解决方案。
1 防火墙双机试验组网及配置
单组防火墙双机可靠性实验中采用设备有TOPsec NGFW4000 、JUNIPER SSG 520、 H3C Secblade III、H3C 9500系列及华为Quidway 6500系列交换机, sinfor互联网安全控制产品。根据可靠性要求将网络安全设备和交换设备进行如下组网设计和部署,通过实验测试防火墙HA情况下不同安全区域的数据过滤及交换情况以及在该种模式和网络结构中存在的故障现象。
首先我们做单组防火墙双机的实验,其网络结构如图1所示。
该结构使用H3C系列高端网络及安全设备组网,适用于大中型企业核心网络安全控制区域的网络拓扑结构。通过这种网络结构的部署可以有效的防御外部网络及企业内部网络对重要服务器的安全攻击、漏洞扫描、木马入侵等等,进而有效地对企业的研发、生产、商业、财务等机密数据进行保护和可控授权访问。本实验中将主要针对这种结构下所使用设备部署完成后出现的故障进行分析和讨论。
单组防火墙双机实验采用H3C9512高端交换作为企业的核心交换,H3C9508作为企业应用服务器区域的核心交换。在4台9500系列的交换上分别配置万兆光纤交换单板,在9508上加H3C的SecBlade III防火墙业务单板,防火墙单板通过9508内置的万兆接口与9508互连。两台9500系列交换通过万兆光纤接口卡进行交叉互连,设备互连接口地址均使用30位掩码。9508交换作为二层交换使用,服务器区域的三层网关地址全部配置在SecBlade防火墙与9508互连的万兆接口的逻辑子接口上,并且这些VLAN都配置为VRRP模式,可根据需要将其中一台防火墙或者其中一部分VLAN配置为master vlan,另外一台或者另外一部分VLAN配置为slaver vlan。在防火墙和9512上都启用ospf协议,将互连及三层VLAN地址段到ospf中。因该防火墙可将不同的VLAN划分在不同的安全区域内,所以我们在防火墙上配置3个不同的安全域,并将配置好的逻辑子接口划分到不同的安全域中,这样就形成了不同的安全区域,安全区域的默认访问规则为单向,也就是高优先级区域默认可访问低优先级区域。然后在9508上增加与防火墙三层接口相同的VLAN,在将千兆物理接口添加到不同安全区域级别的VLAN中。最后启用防火墙的双机热备功能,并选择防火墙业务板上的一个接口作为心跳接口,服务器(unix系统,需要双网卡)通过EtherChannel IEEE802.3ad配置成网卡冷备的模式,为了能模拟出各种情况,我们特意将server1的主网卡放在9508-A上,将server2的主网卡放在9508-B上。为避免因静态路由带来的不能检测设备故障的情况,该组网采用了动态路由协议,在防火墙和交换上都启用ospf协议。
串联多组防火墙双机试验设备采用了Juniper及Topsec防火墙、H3c9512交换机、深信服行为控制设备、Radware的LinkProof链路负载均衡及2条不同ISP互联网线路。这些设备都是我们选用的支持双机的网络及安全设备进行串联,进行Intranet和internet互访、Intranet与DMZ、Internet与DMZ区域之间数据通讯测试。由于实验1已经介绍了单组防火墙双机的实验情形,故这里只介绍军事化区域至互联网区域数据通讯的实验情况,该实验的网络拓扑结构如图2所示。
该网络结构使用双重防火墙及上网行为控制设备对企业军事化区域和互联网区域进行了严格的数据过滤和行为控制,是企业军事化区域、半军事化区域及互联网区域之间数据互访受控的一种常用网络结构,适用于大中型企业对内外部数据交换须进行严格控制、审计、授权访问等操作,或网络运营服务商对外部用户提供高可靠和安全性互联网服务在互联网出口部分至企业核心交换层的网络部署。通过本网络可以有效对内外部上至应用层下至物理层数据的交换有效的控制、阻断、审计。
同样先简单介绍该组网拓扑结构及设备配置的基本信息。我们同样使用9512作为核心交换,双机之间通过TRUNK接口互联,上行与SSG520防火墙相连的接口配置VRRP与其互联。SSG通过厂商的NSRP协议配置HA,并将其配置为桥接路由模式。SINFOR设备通过串口心跳配置好HA,并将其配置为透明桥接模式。Topsec防火墙通过CISCO 的HSRP和浮动静态路由技术来配置冗余备份双机结构,并将其配置为NAT模式。负载设备LinkProof采用标准VRRP配置为冗余双机(由于本次实验设备限制,只做单机)。为防止动态路由的动荡引起链路路由切换,两组防火墙的路由都采用静态路由的方式进行配置。
2 防火墙双机试验故障现象
对于实验1我们做如下的数据访问测试:在9512A上和9512B上分别做一个用户VLAN并接入两台pc,两台服务器(可使用普通pc代替)分别接入到9508上的,使用同一个网段的地址。我们通过pc使用ICMP包对pc至server端的链路进行检测,从pc1和pc2分别发至server1和server2的检测包结果显示:pc1至server1和pc2至server2的包正常;而pc1至server2和pc2至server1的包则出现丢包或者不通的现象。查看路由得知pc至server 都有三条下一跳路由,跟踪路由发现pc1跟踪server2的路由到SecBlade-A后出现中断,pc2至server1的路由到SecBladeB出现中断。之后我们将交叉链路去除后再次做上面同样的测试发现故障依旧,根据路由情况得知基于会话状态的防火墙在特殊的网络结构中存在来回路径不一致而导致的中断现象发生。
对于实验2做了如下数据访问测试:首先现在没有任何设备、接口、线路故障的情况下,三组双机设备都是主机在工作的,此时PC至互联网server的访问数据会通过所有双机的主设备;我们手动的将SSG520主机的外网接口shutdown后会自动切换到备机工作,sinfor发现与其lan口相连的接口down了也会自动的切换到备机, topsec主机发现与其互联的sinfor主机故障切换了,topsec主机也会切换到备机工作,这种情况并未发生中断现象。但当我们将刚才shutdown的接口还原时,我们发现此时出现的故障情况为PC至server的数据会出现中断现象。将SSG520手动down的接口还原后的情况发现三组冗余双机设备开始在不断的进行主备的切换,无法达到一致状态。这时情况是三组双机因为切换的时间和检测的故障的。根据各种设备切故障检测和切换机制分析得知:目前大部分的冗余双机故障检测基本上为互联接口物理up/down和IP跟踪两种检测方式,由于各不同厂商设备主备切换的时间存在差异,导致其他两组设备切换却得不到一致和同步切换的效果,而在故障检测中增加IP跟踪的检测机制只能对存在接口地址的双机设备有效,而在设备互连接口不存在IP地址作为透明模式使用时依然无法进行更有效的补充,这种情况下三组设备很难达到同步切换的状态,因此导致故障现象的发生。
3 试验故障分析及解决方案
针对以上三组实验的故障情况我们分别作了简单的分析并给出了不同的解决方案。对于实验1中防火墙可靠性实验中,出现的故障情况后对PC至server的路由分别进行了跟踪和分析。本次的整个网络结构中全部使用ospf协议,并将路由都在AREA0区中。根据我国有关部门的提出的规范在默认不改变各条路由开销(cost)值的情况下,所有设备直连的路由开销值都相同,在两台防火墙上都了10.10.10.0/24的路由信息,因而在9512A和9512B上到这两个网段的路由是通过ospf分别从SecBladeA和SecBladeB上的路由表中学到的,这样从pc1至server2的路由就会从secblade-A走,而server2至pc1的路由则会从secblade-B走,这是就出现了来回的路径不一致,同理pc2与server1的互访路径也会出项这种情况。针对实验中因会话来回路由不一致所遇到的问题,就此故障现象,我们可将9512与防火墙之间的交叉链路去除,并更改各条链路的cost值,保证其来回的路径在一条路由上。这种情况下当其中一台交换或者防火墙出现故障后可通过VRRP保证master和slaver vlan之间切换,从而使PC至server的数据不会出现中断现象,这种改造的弊端在于不能做到双机负载也就是双A状态的运行模式。因此另一种解决方案将SecBlade 防火墙的会话通过心跳进行同步,保证主防火墙和备防火墙实时的去同步授权允许的会话列表,这样一来,既解决了会话流来回路径不一致的现象,同时也将该组网结构中的两台防火墙形成了双A状态,分担了负载。特别说明该实验中根据设备的特性使用心跳线来代替实验1中的防火墙的三层互联即可。
对于在第二个实验中出现的故障现象,由于现网中使用的各厂商设备的故障检测机制的不一致性,如要统一算法需要将研究制定统一的故障检测方法和切换机制。因此分析了实际情况后,我们可根据故障现象和原因对网络结构进行整改和优化后解决做实验2中一组冗余双机出现主备切换时导致网络中断的问题。我们可在该网络结构中增加一组交换,在该组交换上分别配置两个Vlan,我们这里配置Vlan100和Vlan200,然后将Sinfor的wan口和Topsec的Intratnat接口直接接在新增交换机的两个接口上,并把这两个接口配置到Vlan200中,同样将Sinfor的lan口和SSG520的Internet接口也接入到与这台交换机上的两个接口上,并将这两个接口配置到Vlan100中。另外一组设备以同样的连接和配置方式与另外一台交换机互联。两台交换机通过TRUNK口互联并允许Vlan 100和Vlan 200 通过。其实这里新增加的两台交换是用作半军事化区域的核心交换使用的,这样内网与外网同时可以接入到这两台交换上,可以节省硬件资源。我们在进行同样的实验,将三组冗余设备在任何一组设备中任何一个模拟故障现象都不会导致其它两组设备的主备切换,即使我们设备的故障检测是包含Track IP的方式也不会导致另外三组冗余设备的因存在故障切换时间的差异而造成网络中断的现象发生。即各种故障或者切换都不会导致PC至server链路的中断。具体的网络整改拓扑图如图3所示。
从实验3的网络拓扑中可以清楚的看到,无论三组设备的故障切换是否能够同步进行,PC至server的链路都会有一条通畅的路存在。这是本实验中解决故障问题的较实用的方案。对于该实验中存在的故障原因还存在另外一种解决方案,但有待于研究讨论及权威机构的统一和制定,研究和制定出一套通用的双机故障检测及切换算法或者制定一种新的双机故障同步切换通讯协议类型。使该算法或协议能够支持端口检测、会话同步、IP跟踪等多种故障检测机制和统一的切换算法,使双机设备都能通过该算法或协议在各种不同的故障情形下进行快速有效统一地故障同步切换也是解决该问题的重要方法,也是统一网络设备冗余双机故障检测及切换机制的研究方向。目前huawei研究的VGMP和HRP协议已经将huawei的防火墙进行了较好的状态一致检测和会话同步的管理。
4 总结
在整个网络结构设计和实施过程中详细分析和说明了三组双机实验的网络结构在企业不同安全区域部署的目的、作用和效果,同时对在部署过程中出现的问题进行了分析和研究,在网络结构的基础上给出问题解决方案,并对其进行网络改造和优化,用来满足用户信息安全的需求和目的。第一组实验部署在企业的核心数据受控区域,为严格控制各应用服务器之间以及用户与服务器之间的数据访问,采用可自定义多区域的防火墙能够很好的实现企业对不同敏感数据的安全控制需求。但在基于会话状态的理想全冗余交叉的网络连接中存在的来回路径不一致的故障情形,因此解决方案为将主备防火墙置于双A的工作状态,并将全部的会话状态进行较好的同步,这样不仅解决了路由不一致的问题,也使主备设备都得到了充分的利用,减轻和降低了单设备的负载和单点故障引起切换带来的业务中断。第二组实验部署在企业互联网出口的网络结构中,将军事化、半军事化及非军事化控制区域的数据进行了严格的区域控划分和数据控制,并通过行为控制审计设备严格地对军事化区域数据交换进行控制、审计及记录。安全与性能本来存在对立的一面,因此实验二虽然在给企业的信息安全带来高可靠的保障和受控手段,但同时这种高安全的网络结构势必会对企业网络性能造成一定的负面影响,企业可根据实际情况选择网络安全的程度。实验二中针对该实验中由于故障引起的双机设备主备切换不一致导致链路中断的现象进行了网络结构改造后形成了实验三的网络拓扑结构,实验三的网络结构不仅解决了实验二切换的故障问题,同时也将多组双机网络结构的故障率降为最低,设备切换带来的业务中断时间降为最少。实验三的网络拓扑方案适用于目前多数企业的互联网出口结构。本文为企业网络架构的设计及安全部署,网络故障处理提供了一定的实践依据和说明。
本文通过三组实验的网络拓扑结构的设计实现、故障测试分析及解决,对几款目前国内较流行的状态防火墙和安全设备的双机基本配置、工作模式、安全防范、故障检测切换机制都有了基本的了解和认识,并给企业用户在企业安全区域网络拓扑结构的设计方面提供了较好的理论应用和实践基础。在故障测试过程中通过对故障分析和处理,提出的解决方案和处理思想对企业安全网络的合理设计提供的实践证明,也为功能全面防火墙的设计和实现提供了重要的研究方向和思想依据。
参考文献:
[1] 蔡立军.计算机网络安全技术[M].北京:中国水利水电出版社,2002.
[2] 胡道元,阂京华.网络安全[M].北京:清华大学出版社,2004:22-26
[3] 柯宏力.Intranet信息网络技术与企业信息化[M].北京:北京邮电学院出版社,2000,24-32,71-82,150-176.
[4] 林晓东,杨义先.网络防火墙技术[J].电信科学,1997,13(3):41-43.
[5] 雷震甲,马建峰.Internet安全和防火墙技术安全体系结构[J].通信保密,1998(2).
[6] 刘晓辉.网管从业宝典――交换机路・由器・防火墙.重庆:重庆大学出版社, 2008-5-9,81-86, 117-185,270-275,371-400.
[7] 吴昕,李之棠.并行防火墙研究[J].计算机工程与科学,2000,22(2):54-57.
[8] 林晓东,杨义先.网络防火墙技术[J].电信科学,1997,13(3):41-43.
[9] 张云鹏.网络安全与防护技术的研究及应用[D].中国优秀博硕士学位论文全文数据库,2006(6).
20多年来,我国互联网发展取得的显著成就中,包括一批技术方面的成就。目前,在世界互联网企业前10强中,我们占了4席。在第二届世界互联网大会期间,我去看了“互联网之光”博览会,来自全球的250多家企业展出的1000多项新技术新成果中,我们也占了不少,这令人高兴。同时,我们也要看到,同世界先进水平相比,同建设网络强国战略目标相比,我们在很多方面还有不小差距,特别是在互联网创新能力、基础设施建设、信息资源共享、产业实力等方面还存在不小差距,其中最大的差距在核心技术上。
互联网核心技术是我们最大的“命门”,核心技术受制于人是我们最大的隐患。一个互联网企业即便规模再大、市值再高,如果核心元器件严重依赖外国,供应链的“命门”掌握在别人手里,那就好比在别人的墙基上砌房子,再大再漂亮也可能经不起风雨,甚至会不堪一击。我们要掌握我国互联网发展主动权,保障互联网安全、国家安全,就必须突破核心技术这个难题,争取在某些领域、某些方面实现“弯道超车”。
核心技术要取得突破,就要有决心、恒心、重心。有决心,就是要树立顽强拼搏、刻苦攻关的志气,坚定不移实施创新驱动发展战略,把更多人力物力财力投向核心技术研发,集合精锐力量,作出战略性安排。有恒心,就是要制定信息领域核心技术设备发展战略纲要,制定路线图、时间表、任务书,明确近期、中期、远期目标,遵循技术规律,分梯次、分门类、分阶段推进,咬定青山不放松。有重心,就是要立足我国国情,面向世界科技前沿,面向国家重大需求,面向国民经济主战场,紧紧围绕攀登战略制高点,强化重要领域和关键环节任务部署,把方向搞清楚,把重点搞清楚。否则,花了很多钱、投入了很多资源,最后南辕北辙,是难以取得成效的。
什么是核心技术?我看,可以从三个方面把握。一是基础技术、通用技术。二是非对称技术、“杀手锏”技术。三是前沿技术、颠覆性技术。在这些领域,我们同国外处在同一条起跑线上,如果能够超前部署、集中攻关,很有可能实现从跟跑并跑到并跑领跑的转变。我国网信领域广大企业家、专家学者、科技人员要树立这个雄心壮志,要争这口气,努力尽快在核心技术上取得新的重大突破。正所谓“日日行,不怕千万里;常常做,不怕千万事”。
我国信息技术产业体系相对完善、基础较好,在一些领域已经接近或达到世界先进水平,市场空间很大,有条件有能力在核心技术上取得更大进步,关键是要理清思路、脚踏实地去干。
第一,正确处理开放和自主的关系。互联网让世界变成了地球村,推动国际社会越来越成为你中有我、我中有你的命运共同体。现在,有一种观点认为,互联网很复杂、很难治理,不如一封了之、一关了之。这种说法是不正确的,也不是解决问题的办法。中国开放的大门不能关上,也不会关上。我们要鼓励和支持我国网信企业走出去,深化互联网国际交流合作,积极参与“一带一路”建设,做到“国家利益在哪里,信息化就覆盖到哪里”。外国互联网企业,只要遵守我国法律法规,我们都欢迎。
现在,在技术发展上有两种观点值得注意。一种观点认为,要关起门来,另起炉灶,彻底摆脱对外国技术的依赖,靠自主创新谋发展,否则总跟在别人后面跑,永远追不上。另一种观点认为,要开放创新,站在巨人肩膀上发展自己的技术,不然也追不上。这两种观点都有一定道理,但也都绝对了一些,没有辩证看待问题。一方面,核心技术是国之重器,最关键最核心的技术要立足自主创新、自立自强。市场换不来核心技术,有钱也买不来核心技术,必须靠自己研发、自己发展。另一方面,我们强调自主创新,不是关起门来搞研发,一定要坚持开放创新,只有跟高手过招才知道差距,不能夜郎自大。
我们不拒绝任何新技术,新技术是人类文明发展的成果,只要有利于提高我国社会生产力水平、有利于改善人民生活,我们都不拒绝。问题是要搞清楚哪些是可以引进但必须安全可控的,哪些是可以引进消化吸收再创新的,哪些是可以同别人合作开发的,哪些是必须依靠自己的力量自主创新的。核心技术的根源问题是基础研究问题,基础研究搞不好,应用技术就会成为无源之水、无本之木。
第二,在科研投入上集中力量办大事。近年来,我们在核心技术研发上投的钱不少,但效果还不是很明显。我看,主要问题是好钢没有用在刀刃上。要围绕国家亟需突破的核心技术,把拳头攥紧,坚持不懈做下去。
第三,积极推动核心技术成果转化。技术要发展,必须要使用。在全球信息领域,创新链、产业链、价值链整合能力越来越成为决定成败的关键。核心技术研发的最终结果,不应只是技术报告、科研论文、实验室样品,而应是市场产品、技术实力、产业实力。核心技术脱离了它的产业链、价值链、生态系统,上下游不衔接,就可能白忙活一场。
科研和经济不能搞成“两张皮”,要着力推进核心技术成果转化和产业化。经过一定范围论证,该用的就要用。我们自己推出的新技术新产品,在应用中出现一些问题是自然的。可以在用的过程中继续改进,不断提高质量。如果大家都不用,就是报一个课题完成报告,然后束之高阁,那永远发展不起来。
第四,推动强强联合、协同攻关。要打好核心技术研发攻坚战,不仅要把冲锋号吹起来,而且要把集合号吹起来,也就是要把最强的力量积聚起来共同干,组成攻关的突击队、特种兵。我们同国际先进水平在核心技术上差距悬殊,一个很突出的原因,是我们的骨干企业没有像微软、英特尔、谷歌、苹果那样形成协同效应。美国有个所谓的“文泰来”联盟,微软的视窗操作系统只配对英特尔的芯片。在核心技术研发上,强强联合比单打独斗效果要好,要在这方面拿出些办法来,彻底摆脱部门利益和门户之见的束缚。抱着宁为鸡头、不为凤尾的想法,抱着自己拥有一亩三分地的想法,形不成合力,是难以成事的。
一些同志关于组建产学研用联盟的建议很好。比如,可以组建“互联网+”联盟、高端芯片联盟等,加强战略、技术、标准、市场等沟通协作,协同创新攻关。可以探索搞揭榜挂帅,把需要的关键核心技术项目张出榜来,英雄不论出处,谁有本事谁就揭榜。在这方面,既要发挥国有企业作用,也要发挥民营企业作用,也可以两方面联手来干。还可以探索更加紧密的资本型协作机制,成立核心技术研发投资公司,发挥龙头企业优势,带动中小企业发展,既解决上游企业技术推广应用问题,也解决下游企业“缺芯少魂”问题。
正确处理安全和发展的关系
网络安全和信息化是相辅相成的。安全是发展的前提,发展是安全的保障,安全和发展要同步推进。我们一定要认识到,古往今来,很多技术都是“双刃剑”,一方面可以造福社会、造福人民,另一方面也可以被一些人用来损害社会公共利益和民众利益。从世界范围看,网络安全威胁和风险日益突出,并日益向政治、经济、文化、社会、生态、国防等领域传导渗透。特别是国家关键信息基础设施面临较大风险隐患,网络安全防控能力薄弱,难以有效应对国家级、有组织的高强度网络攻击。这对世界各国都是一个难题,我们当然也不例外。
面对复杂严峻的网络安全形势,我们要保持清醒头脑,各方面齐抓共管,切实维护网络安全。
第一,树立正确的网络安全观。理念决定行动。当今的网络安全,有几个主要特点。一是网络安全是整体的而不是割裂的。在信息时代,网络安全对国家安全牵一发而动全身,同许多其他方面的安全都有着密切关系。二是网络安全是动态的而不是静态的。信息技术变化越来越快,过去分散独立的网络变得高度关联、相互依赖,网络安全的威胁来源和攻击手段不断变化,那种依靠装几个安全设备和安全软件就想永保安全的想法已不合时宜,需要树立动态、综合的防护理念。三是网络安全是开放的而不是封闭的。只有立足开放环境,加强对外交流、合作、互动、博弈,吸收先进技术,网络安全水平才会不断提高。四是网络安全是相对的而不是绝对的。没有绝对安全,要立足基本国情保安全,避免不计成本追求绝对安全,那样不仅会背上沉重负担,甚至可能顾此失彼。五是网络安全是共同的而不是孤立的。网络安全为人民,网络安全靠人民,维护网络安全是全社会共同责任,需要政府、企业、社会组织、广大网民共同参与,共筑网络安全防线。这几个特点,各有关方面要好好把握。
第二,加快构建关键信息基础设施安全保障体系。金融、能源、电力、通信、交通等领域的关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重,也是可能遭到重点攻击的目标。“物理隔离”防线可被跨网入侵,电力调配指令可被恶意篡改,金融交易信息可被窃取,这些都是重大风险隐患。不出问题则已,一出就可能导致交通中断、金融紊乱、电力瘫痪等问题,具有很大的破坏性和杀伤力。我们必须深入研究,采取有效措施,切实做好国家关键信息基础设施安全防护。
第三,全天候全方位感知网络安全态势。知己知彼,才能百战不殆。没有意识到风险是最大的风险。网络安全具有很强的隐蔽性,一个技术漏洞、安全风险可能隐藏几年都发现不了,结果是“谁进来了不知道、是敌是友不知道、干了什么不知道”,长期“潜伏”在里面,一旦有事就发作了。
维护网络安全,首先要知道风险在哪里,是什么样的风险,什么时候发生风险,正所谓“聪者听于无声,明者见于未形”。感知网络安全态势是最基本最基础的工作。要全面加强网络安全检查,摸清家底,认清风险,找出漏洞,通报结果,督促整改。要建立统一高效的网络安全风险报告机制、情报共享机制、研判处置机制,准确把握网络安全风险发生的规律、动向、趋势。要建立政府和企业网络安全信息共享机制,把企业掌握的大量网络安全信息用起来,龙头企业要带头参加这个机制。
有专家反映,在数据开放、信息共享方面存在着部门利益、行业利益、本位思想。这方面,要加强论证,该统的可以统起来,发挥1+1大于2的效应,以综合运用各方面掌握的数据资源,加强大数据挖掘分析,更好感知网络安全态势,做好风险防范。这项工作做好了,对国家、对社会、对企业、对民众都是有好处的。
第四,增强网络安全防御能力和威慑能力。网络安全的本质在对抗,对抗的本质在攻防两端能力较量。要落实网络安全责任制,制定网络安全标准,明确保护对象、保护层级、保护措施。哪些方面要重兵把守、严防死守,哪些方面由地方政府保障、适度防范,哪些方面由市场力量防护,都要有本清清楚楚的账。人家用的是飞机大炮,我们这里还用大刀长矛,那是不行的,攻防力量要对等。要以技术对技术,以技术管技术,做到魔高一尺、道高一丈。
目前,大国网络安全博弈,不单是技术博弈,还是理念博弈、话语权博弈。我们提出了全球互联网发展治理的“四项原则”“五点主张”,特别是我们倡导尊重网络、构建网络空间命运共同体,赢得了世界绝大多数国家赞同。
人才是第一资源。古往今来,人才都是富国之本、兴邦大计。我说过,要把我们的事业发展好,就要聚天下英才而用之。要干一番大事业,就要有这种眼界、这种魄力、这种气度。
“得人者兴,失人者崩。”网络空间的竞争,归根结底是人才竞争。建设网络强国,没有一支优秀的人才队伍,没有人才创造力迸发、活力涌流,是难以成功的。念好了人才经,才能事半功倍。对我国来说,改革开放初期,资本比较稀缺,所以我们出台了很多鼓励引进资本的政策,比如“两免三减半”。现在,资本已经不那么稀缺了,但人才特别是高端人才依然稀缺。我们的脑子要转过弯来,既要重视资本,更要重视人才,引进人才力度要进一步加大,人才体制机制改革步子要进一步迈开。网信领域可以先行先试,抓紧调研,制定吸引人才、培养人才、留住人才的办法。
互联网是技术密集型产业,也是技术更新最快的领域之一。我国网信事业发展,必须充分调动企业家、专家学者、科技人员积极性、主动性、创造性。我早年在正定县工作时,为了向全国一流专家学者借智,专门聘请华罗庚等专家学者给我们县当顾问,有的亲自到正定指导工作。企业家、专家学者、科技人员要有国家担当、社会责任,为促进国家网信事业发展多贡献自己的智慧和力量。各级党委和政府要从心底里尊重知识、尊重人才,为人才发挥聪明才智创造良好条件,营造宽松环境,提供广阔平台。
互联网主要是年轻人的事业,要不拘一格降人才。要解放思想,慧眼识才,爱才惜才。培养网信人才,要下大功夫、下大本钱,请优秀的老师,编优秀的教材,招优秀的学生,建一流的网络空间安全学院。互联网领域的人才,不少是怪才、奇才,他们往往不走一般套路,有很多奇思妙想。对待特殊人才要有特殊政策,不要求全责备,不要论资排辈,不要都用一把尺子衡量。
结合当前工作需要,的会员“我的老千生涯3”为你整理了这篇经信局关于农村信息化建设工作总结范文,希望能给你的学习、工作带来参考借鉴作用。
【正文】
一、基本情况
根据全市推进十大扶贫重点工程的总体要求,市经信局积极推进农村信息化建设扶贫工程建设,以农村宽带网络建设和信息化普及为重点,充分发挥牵头协调作用,联系和配合市有关部门,协调市内通信运营商,扎实推进信息基础设施建设,加强贫困地区通信网络服务能力,全市农村信息网络得到快速健康发展。2016年以来,各电信企业总投入20亿元用于农村偏远地区信息基础设施建设,六安铁塔累计在农村地区新建基站411个,共享改造基站3555个,原定十三五末实现的建档立卡贫困村(442个)光纤通达率100%的目标任务,已于2017年底提前完成,目前全市所有行政村(1814个)已达到光纤到村100%和无线网络覆盖100%,为农村现代化发展和脱贫攻坚提供了坚实的基础保障。
?
六安市农村地区信息化建设情况表
?
建设类别
2016年
2020年
新建基站
204个
411个
改造基站
628个
3555个
光纤到村
5个行政村未达
2017年已100%覆盖
宽带平均速率
12MB
125MB
宽带平均费用
101.96元/月
71.50元/月
?
?
二、工作开展情况
(一)实施网络延伸工程,推动农村宽带网络深度覆盖。成立了由市经信局牵头,基础电信企业、六安铁塔为成员单位的农村信息化建设扶贫领导组,局主要领导任组长,各电信企业主要负责人任副组长,办公室设在市经信局电子和信息化科,明确工作职责,强化工作举措,出台《六安市农村信息化建设扶贫工程实施方案(2017-2020)》《关于印发2020年农村信息化扶贫工作计划的通知》,把“提升农村及偏远地区信息通信水平”作为加快我市信息基础设施建设的重点,组织电信企业持续推进电信普遍服务试点项目,开展农村网络弱覆盖区域基站新建及改造工作,2020年电信企业共谋划了182个项目,深入推进网络覆盖向自然村延伸,提升电信普遍服务的深度和广度,目前已全部完成建设任务。
(二)实施信息惠民工程,为广大农民提供用得上、用得好的网络。组织电信企业持续推广“信息入户”、“电信电视村”、“网络电视”等信息化应用,采用政府、通信企业费用共担的模式,推出为建档扶贫户提供免费的电信手机、宽带、电视业务等服务,每年为贫困户减免通信费用近2000万元;鼓励电信企业大力推进农村电商宣传,建立了贫困地区特色农产品、乡村旅游等领域的网络化运营新模式,大大拓宽了黄大茶、黄芽茶等农产品的网上销售渠道,让我市农村特色产品走向全国、全世界,为农民增收创收提供了有力支撑。
(三)实施网络维护工程,确保农村网络平稳运行。围绕基站隐患处理、日常发电维护、基站改造升级等方面,要求电信企业建立农村网络使用和维护投诉受理工作机制,畅通面向农村用户投诉渠道,建立问题清单管理机制,妥善化解用户争议纠纷。加强对运维及代维人员的培训管理,不断提升农村故障处理能力。目前,农村网络故障平均修复时长已从2019年的8.6小时下降至3.4小时。
(四)建立应急预警机制,提升农村网络保障能力。组织电信企业密切关注各类自然灾害对农村通信设施的影响,对灾害多发地区,采取多重节点、多重路由、备用配置等有效措施,强化农村地区网络安全保障。在今年的疫情防控和抗洪救灾期间,组织各电信企业积极做好应急通信保障,实现重点区域、重要场所、关键线路通信100%畅通。
三、存在问题
目前,我市所有行政村均实现光纤和4G网络覆盖,但在农村地区,特别是偏远山区,网络发展中仍存在一些困难和问题:一是宽带网络在部分边远的山区、老山背洼仍有盲区。二是农村网络使用率相对不足,平均光网端口使用率48%左右,仍有较大提升空间。
四、下步打算
(一)加大投资力度。鼓励电信企业加大对贫困地区电信基础设施建设的投资力度,重点向偏远贫困地区特别是深度贫困地区延伸,逐步提高偏远自然村的网络覆盖率。加大农村网络日常维护投入,提升通信网络运行质量水平,确保农村弱覆盖区域网络运行安全稳定。
(二)强化项目调度。持续开展电信普遍服务项目和“信息进村入户”工程,梳理全市在建农村信息化项目,制定项目开展情况表,定期召开项目调度会,督促电信企业加快重点项目建设进度,紧盯建设难点、堵点,建立问题台账,定期盘点销号,全力推动农村地区特别是偏远自然村通信网络深度覆盖。
关键词:电子银行;安全;监管;法律
1、我国电子银行发展的现状
1.1 我国电子银行使用的现状
电子银行即通过电子信息渠道,提供金融产品的,与传统银行相对应的新型银行组织形态,它反映了银行业在采用信息网络技术进行金融创新而导致银行业在经营方式、组织形态等方面的制度变迁。我国的电子银行业务产生于上世纪末期的90年代,其主要标志为招商银行和中国银行分别于1996年和1998年率先推出了电子银行网上支付业务。2007年中国工商银行成为国内首家电子银行交易额突破100万亿元大关的银行,2010年更是进一步提升到400万亿元。截至2010年底,全国个人网银客户已达2.48亿户,比年初大幅增加了52.81%。2010年中国网上银行市场交易总额达800.88万亿。截至2011年第3季度末,中国网上银行注册用户数达到2.89亿。
1.2 电子银行的优势
1.2.1 降低了业务经营成本
电子银行与传统银行相比,最大的优势就在于节约了成本。电子银行的成本优势十分明显,不仅每笔交易仅为柜面交易的十分之一,还大大节约客户的交通费用和时间成本。有调查显示,某某银行前3个月共完成各类交易1.5亿多笔,哪怕每两笔需用一张纸,全年行里光节省的大小纸张就有5000多万张。正因电子银行利国利民,今年,随着3G手机的广泛应用,行里将把“手机银行”作为推广重点,加快使银行从实体银行向“低碳银行”转变。
1.2.2 突破了地域限制
由于电子银行的虚拟运作方式,电子银行的服务范围已经突破了地域的限制。比如手机银行突破了传统银行服务时间、空间上的限制,用户可以在任何时间、任何地点处理各项业务。企业版手机银行就彻底让企业财务人员“解放”出来了,不仅可以实时查询企业账户收付款情况,查看交易明细信息,而且可以对企业财务人员提交的贸易买卖的付款信息进行授权确认。
1.2.3加快了业务创新
电子银行改变了传统银行的业务流程,资金的划拨周转在一瞬间即可完成,而电子银行良好的业务扩展性,使得银行加快了业务创新。我们知道,中小企业主由于经常出差在外,很多时候待支付的货款一直挂在网银上没法进行授权付款,耽误了发货期,只能干着急。比如深圳发展银行针对企业移动金融服务的诉求,把账务查询、移动授权等功能带入了企业手机银行。手机银行作为一种崭新的银行服务渠道,与传统网银相比,它的移动通信“随时随地、贴身、快捷、方便、 时尚”的优势特效就凸显出来了。
2、电子银行发展中存在的风险
随着电子银行的迅速发展,其安全问题也引起了社会广泛关注。不法分子制作克隆卡、通过网银盗取客户资金等金融犯罪花样不断翻新,导致一些客户对电子银行业务望而生畏。
2.1 技术风险
一般来说,电子银行的技术风险在理论上是不存在的,UKEY里有个CPU,所有数据是128位加密的,每毫秒都在变化,破解的几率比买彩票中500万的几率还要低很多。银行信息技术风险比较常见的表现形式有系统响应时间过长,系统宕机,服务中断;客户信息泄露,客户账户资料或者客户身份被冒用;银行电子渠道遭受攻击,比如黑客入侵、拒绝服务攻击;病毒入侵;数据记录不完整或不正确,自然灾害带来的设备、数据的毁损、服务中断等等。近年来,我国各大银行纷纷从原有的数据分布式处理模式,逐渐转 向了数据大集中处理模式。数据集中为银行的改革与金融创新提供了重要的技术手段和条件,为各金融机构带来巨大的收益,但同时也带来银行技术风险高度集中的 新问题。近几年,随着银行业数据大集中的不断推进,国内各银行的信息技术服务大范围中断的案例时有发生。去年,就发生了数起信息科技风险事件,个别金融机 构或服务提供商由于信息系统故障而导致全国大面积、较长时间业务中断,造成了一定程度的社会影响,引起各方面的高度关注,其教训必须引起国内金融机构的高 度重视。分析其中原因,数据大集中后灾难备份中心滞后、监控滞后、应急体系建设滞后和对集约化数据中心安全生产管理不足是造成银行业信息技术服务中断的主要原因。
2.2 管理风险
我们知道,根据巴塞尔协议对电子银行的定义,当银行介入电子银行领域开展服务时,并不会产生新的风险的类型。但是给银行经营风险带来一些新的要求,比如说技术风险和 外包风险,这都是电子银行风险管理中的一些特点。各个国家对电子银行风险监管的手段不一样。英国金融服务局认为电子银行只是银行拓展业务的一种渠道,故对 电子银行持“技术中性”的态度,不因电子银行这种新型服务渠道的产生而改变基本的银行监管,也没有专门针对电子银行制定规章,对电子银行的监管主要是维护 金融市场的有序竞争,保护消费者权益,同时防止阻碍金融的创新。
2.3 操作风险
前不久,一名从事小额股票交易的交易员使得瑞士联合银行亏损23亿美元。令人震惊的是,他的违规交易已经进行了3年之久,瑞银竟毫无察觉。在业务调整以及风险中心调整的过程中,由于商业银行缺乏监控市场风险和操作风险的经验,“魔鬼交易员”违规交易造成严重损失的事件时有发生。 1992年,巴林银行一交易员的违规操作给这家老牌银行造成14亿美元损失,并最终导致其破产。2007年,法兴银行一交易员因从事未经授权的投机交易, 最终导致71亿美元损失,创下了截至目前违规交易损失的世界纪录。出现魔鬼交易员,并不是银行体系共有的现象,更多的还是银行内部风险管理体系的缺陷所致。国际银行监管当局对商业银行市场风险及操作风险的监控要求已大幅度提高,但对监管者和银行业来说,相关风险并未消失,未来仍有很多工作要做。
2.4 市场风险
随着互联网金融服务的发展,遭到黑客和病毒的攻击,带来极大的安全 风险。金融业务与服务创新一直是近年我国银行业研究的主题,而借助网上银行、电话银行、自助银行、手机银行等多种渠道实现银行业务与服务创新,也一直是我 国各商业银行业务与创新的主要手段。目前,各商业银行正在依靠信息技术为客户提供全天候服务,向客户提供信息检索、网上支付、转账、贷款、代缴各种费用、 债券买卖、个人理财等一揽子金融服务。但随着金融网上业务的拓展,诸如信用卡号失窃、电子欺骗等金融犯罪活动逐年增加,来自互联网的各类攻击、病毒及黑客 入侵对金融信息系统的安全带来巨大威胁。我国电脑用户的网上商业行为越来越多,很多黑客的行为从纯粹的攻击兴趣转为非法牟利,通过网上攻击获取用户密码窃 取账户钱财的事情时有发生。
2.5 法律风险
当前网上银行在有关服务承担者的资格、交易规则、交易合同的有效成立与否、交易双方当事人权责明晰及消费者权益保护等方面,与传统银行相比更加复杂、难以界定。不过银监会在这几年也了一些法规,最早是人大发的电子签证法,是开展电子银行业务的一个基本法律,此后颁布了了电子银行的安全管理办法、电子银行安全 评估指引、电子银行安全评估机构业务资格认定工作规程,以及关于做好网上银行风险服务的管理通知等,在不同的阶段做了不同的管理法规。
3、当前国内外电子银行的监管现状
目前国内外银行体系已经开展了面向用户的电子银行业务。与此同时,随着直接面向用户的电子银行系统技术的推出,电子银行通道也随着时代的进步和信息技术的发展而被拓宽了,出现了以下发展趋势:在功能上,由封闭型转向社会开放型,从独立的行业性向多家的社会性转换,由一家银行向多家银行发展,由单一的帐款服务系统向综合服务发。从技术上,系统结构由集中型处理向客户机/服务器的分布式处理转化,开发手段由采用高级语言逐步发展到采用第四代语言,数据组织由传统的文件系统向数据库发展,组网方式由专用的网络向公用数据网和局域网相结合的方式过渡。
4、我国电子银行监管可持续发展的对策
4.1 建立健全法律制度
网上银行的准入要在注册制度、安全工作、地域界定方面从严,而在准入标准、业务范围等方面从宽,建立一套区别于欧美已有网络发展优势国家的准入制度,加快 相关的法律法规建设。网上银行法的发展不是孤立的,而是和一系列相关的法律规范相联系的,主要有税收征管法、合同法、国际税收法、电子商务立法、刑法、诉讼法、票据法、证券法、商业银行法、消费者权益保护法、反不正当竞争法等。
4.2 建立自律监管组织
一方面,要加强企业内控制度建设。内部控制是操作风险管理的重要工具,从已有案例来看,绝大多数操作风险都是与内控漏洞或者与不符合内控程序有关。尤其是 魔鬼交易员,都有从事后台工作的经验,这为其掩盖违规操作事实提供了便利。因此,设计合理的风险管理程序很有必要。岗位分离、双线制约等基础风险管理流程 仍需进一步强化。同时,要提高内控部门的监督作用,加强对新业务和新金融工具的监管,加强对表外业务的检查,并对操作风险隐患进行及时整改,避免同一类操 作风险蔓延或长时间得不到有效控制。另一方面,在观念上扭转和改变交易员的机会主义倾向,也是从根源上杜绝违规交易的重要内容。
4.3 加大基础安全投入
鉴于我国银行网络化水平和发达国家相比还有差距,因此,要加大对银行网络化信息系统的基础建设,只有银行的信息高速公路建好了,银行的知识资源才能充分利用,才能为适应未来网上银行的发展打下坚实基础,政府和商业银行共同协调。同时其中银行信息技术风险管理和风险防范是一个长期的过程,绝不可能一蹴 而就。通过一个阶段的风险防范,或者几个技术方案,决不可能解决未来所有的风险。随着外部环境和银行自身的变化,新的风险还会不断滋生出来。这就要求银行 必须将信息技术风险管理和防范当作一个持久、连续的工作来完成。这样才能有效地管理和防范信息技术风险,最终达到业务连续性的目标。
4.4 建立信息数据库
网络环境下收集信息非常重要,网络银行在完整的信息基础上才能提供差异化服务,设计出个性化特色强的金融产品。作为监管当局,为了更好地把握银行网上业务开展动态情况,需要建立一个适应经济金融发展变化、标准统一、检索方便的金融信息数据库。比如光大银行十分重视电子银行的安全性建设,持续加大了在科技方面的投入和创新,自主研发的核心安全防范技术、防火墙与路由器的安全策略控制、先进加密手段和 安全认证等国际先进的安全技术广泛应用,为客户打造了一个科技、稳定的安全平台。尤其是近年来推出的阳光令牌和“白名单”机制在前述安全措施外,为客户资 金安全提供了多重安全保障,在安全性与易用性上取得完美的统一。
总之,电子银行的发展提高用户网上系统操作的灵活性和安全性。拓展服务通道,扩大用户对象。在国外商务系统已经发展成为一个产业,在国内的应用还比较狭窄。通过对电子银行监管的研究能够刺激和促进国内相关行业的发展。
参考文献:
[1] 伍军,齐亚莉.网络银行与传统银行的比较研究[J].北京工业大学学报,2010,(6):22-24.
[2] 杨明辉.国际金融监管体制的比较和我们的选择[J].经济导刊,2005,(6):110-112.
[3] 解淑青,裴涛.我国网上银行监管现状及应对策略[J].哈尔滨学院学报,2005,(6):88-91.
[4] 刘海平.美国网上银行业务风险控制概要[J].国际金融研究, 2010,(8):24-26.
[5] 刘新锋.对电子银行业务可持续发展的思考[J].金融理论与实践,2005,(12):52-57.
[6] 史晓龙.防火墙技术在网络中的应用[J].公安大学学报(自然科学版),2006,(3):56.
[7] 王盈英.网络信息安全技术[J].教育信息化,2O09,(11):32.
[8] 黄贤英,龚箭.大型企业计算机网络安全实施方案[J].计算机安全,2OO8,(2):69-71.
[9] 王预.企业网络信息安全存在的问题及对策[J].台肥工业大学学报,2010,(26):788-791.
[10] Hong H S, Kim Y K, Cha S D et al.A test sequence selection method for reactive systems using statecharts[J].Software Testing Verification and Reliability,2010,10(4):203-227.
