行业专家:东软金融事业部副总经理 于洪勇
安全专家:东软股份信息安全产品策划部部长 王虎
主 持 人:《计算机世界》报编辑、记者 大永
见《计算机世界报》第43期 D24、D25
东副 软总 金经 融理 视 业 部 |
东产 软品 股策 份划 信部 息部 安长 全 |
大永: 网络的复杂性和行业的特殊性,带来了多样化的网络安全需求。而金融行业对网络的依赖和可靠性要求又是最高的,能否从目前金融行业的网络特点及建设情况谈起?
于洪勇: 成功加入世贸组织,给我国金融业带来机会的同时也带来严峻的挑战,其中金融信息安全问题尤其突出。当今世界经济全球化趋势日益明显,经济全球化,首先是信息全球化。随着人类社会进入信息时代,金融信息化进程加快,互联网在信息全球化中扮演着非常重要的角色,通信、计算机技术等高科技手段在银行业广泛运用,网络银行迅速发展。银行业是国民经济发展的核心与枢纽,涉及到社会生活的方方面面,它的信任临界点很高,一旦有相关安全案件发生,就会使金融业的信誉受损,引发信用危机,造成社会不稳定。
??金融业是我国IT投入最多和IT应用水平最高的行业之一,IT应用几乎包括了所有IT产品。在银行经营管理的基本理论中,安全性是三大原则(赢利性、流动性、安全性)之一,对于银行的兴衰成败有着举足轻重的意义。在信息科技高度发达的今天,信息技术已经渗透到银行经营的各个层面,已经成为了银行业务开展的基础设施和基本要求,因此金融信息安全是银行经营管理工作中的头等大事。金融是关系到国计民生的重要行业,金融系统的安全可靠运行是经济发展、社会安定的重要保证。金融系统安全可靠的一个重要方面是信息系统的安全可靠。
??WTO的加入,在给中国的金融带来机遇的同时也带来了新的挑战。随着外资金融企业进入中国以及国内新生金融企业的兴起,国内金融企业为了生存,争夺优质客户,不得不打破原来封闭的环境。从经营理念上看,以自我为中心走向以客户为中心;从具体实施上看,各家金融机构都在扩大金融产品品种、提高金融服务质量,而这一切的基础就是金融信息化建设。原来十天、半个月到账,现在只要几天。然而现代以计算机和网络技术为手段的金融运营管理系统,在为金融企业带来利益的同时,也带来了前所未有的不安全隐患。
王虎: 安全对于金融行业至关重要。金融信息系统安全的概念很广,凡是涉及到保障银行正常营业的所有问题都与金融信息安全有关。一是信息技术设备等基础设施的安全问题,二是信息系统软件的正常运行问题,三是信息系统中保存的业务、政策等商业机密的安全问题,都要有相应安全管理、风险防范措施。我们可以想象:如果一个储户觉得你的系统不安全,他怎么可能把自己的钱存到你那里?去年沸沸扬扬的股票盗卖案,就使一些营业部损失惨重。
??现在国内的商业银行的计算机网络是一个树形的拓扑结构: 总行连接到省分行、省行连接到区县一级的支行、支行与分理处及各类银行自助设备相连。同时银行网络对外连接着电信、证券、税务甚至到每个家庭水电气费等的支付。另外,银行之间大量的数据交换有赖于网络的互联,以实现高效的资金清分和清算。这些使得风险产生的机会加大,而风险导致的结果更加严重。
??如果说传统的劫匪可以抢走十几万、几十万,现在的网络犯罪则可能通过互联网在弹指之间使几千万甚至上亿的资金灰飞湮灭。而且,随着计算机知识的日益普及,黑客呈现系统化、组织化、盈利化的趋势,计算机犯罪案件逐年增加。这些都迫切要求银行要有更高的安全防护体系。
大永: 如果说金融业的容灾备份是安全的最后一道防护门的话,那么,网络的日常运营还存在有哪些问题?一旦出现问题会造成多大的危害?
于洪勇: 现在,如何具有容错、容灾和快速恢复,实现不间断服务的能力,正成为当前网络安全的主要内容。从整个安全系统来看,金融业在选购存储安全产品时面临的最大问题在于:目前的网络安全产品仍然是在以“点”发展,比如访问控制、病毒扫描、内容过滤等等。 这就要求数据存储采用的系统必须具有高度的可靠性。高可靠性方案应该考虑到应用、数据和系统各级的保护。在一个有效的高可靠性计算环境中,数据中心的任何系统硬件、软件及应用的故障不应影响到整个中心的处理工作,当数据中心由于灾难等原因无法工作时,应有一个备份数据中心能够立即接管关键应用,继续维持系统运行; 而当主数据中心恢复后,应用和数据均应迅速切换回主中心运行。容灾,是实现应用系统高可用性的一种对策。事实上,我们在为金融企业规划网络安全应用时,都必须考虑通信链路、网络接口、网络设备的冗余。但可用不等于可靠,更不等于好用、易用。试想,是在系统瘫痪后启动备用系统省劲,还是努力减少系统故障更省时省力?因此,在可控的预算内,应尽最大可能设计高可用的综合安全解决方案。
王虎:目前国内金融行业对IT系统,特别是计算机网络系统安全非常重视,也取得了很大的进步,但并非百毒不侵。
??目前金融计算机网络系统安全存在的问题主要是:(1)随着金融电子化和网络化的巨大发展,传统的封闭性的业务网络将逐渐与公开网络相融合或连接,在这种情况下,如何保障业务网络的安全性成为金融网络安全的重要问题;(2)计算机产业的发展,网络知识的普及特别是Internet的广泛应用,为计算机网络和金融犯罪创造了更先进的技术条件,因此原有的安全设计不能完全满足现有的需求,网络安全的风险增高了;(3)针对互联网的应用目前还缺乏有效的安全措施和手段,影响了银行系统通过互联网对外提供服务的范围和种类。
??同样,通过互联网的电子支付也缺乏既方便又安全的模式,影响了电子商务支付的广泛开展,具体表现在:(1)只重视单一或几个安全产品的部署,而忽视整体安全系统建设;(2)部分金融企业计算机网络的安全防范只能防范外部的非法入侵者,不能监控内部的破坏者;(3)客户只能消极地发现黑客攻击的后果,而不能主动、智能地对黑客进行反攻击;(4)客户只能采用分散的、不可集中管理的安全产品,而不能采用全面的、集中的安全管理平台。
??据统计,在美国银行业,由于网络安全而导致的计算机系统每次宕机的损失平均为1000万美元;美国证券公司或基金公司每小时的产业停机时间成本是64.5万美元;金融企业计算机网络系统在各种意外事故发生时或在严重自然灾害发生时会产生重大运营风险;更严重的是,在没有很好规划实施网络安全解决方案的公司,在遇到重大意外事故时,有80%的公司在一年内破产。
??国内的金融系统也不例外,系统意外宕机、黑客入侵、部分不法分子直接利用系统的安全漏洞实施犯罪的案例时有发生。 例如, 27岁的杨某利用其担任工商银行某储蓄所储蓄员的职务之便,利用计算机网络漏洞,非法窃取储户的取款密码,对储户的账户信息进行篡改,将储户的存款划转到匿名账户上,以此侵吞储户存款,并采取拆东墙补西墙的手段,先后贪污212万元。
大永:有效解决上述安全问题,我们有可行的解决方案吗?能否具体介绍一下?
于洪勇:密码技术、商用加密技术、身份鉴别技术、防火墙技术、攻击监测技术、病毒防御技术在保障金融网络安全的网络银行上发挥着应有的作用。东软全面安全解决方案的架构是以客户的需求为中心,根据高可用性、高可靠性、先进性、灵活性、可维护性、可伸缩性的技术原则,广泛应用东软自主版权的安全产品,如NetEye防火墙、NetEyeVPN、NetEye IDS、NetEye灵巧网关、NetEye CA认证等,由外到内、纵深、多层次地部署金融网络安全系统。同时我们还在加大安全咨询和安全服务方面的工作,努力帮助客户完善安全管理,建立起动态、高效的安全环境。
王虎:在我们给客户提供的安全解决方案中,会根据客户实际情况有效地结合各种国内国外的安全技术和安全产品。
??如通过防火墙与防毒墙的结合可以有效阻止局域网受到外部广域网人为攻击和日益严重的电脑病毒的侵扰,通过定制不同的安全策略和防毒策略,系统管理员可以容易地发现目前网络是否受到外界的威胁,这些统计可以帮助系统管理员和金融企业定制更高安全级别的保护策略。
??通过VPN技术,金融企业内部可以安全可靠地进行数据的交换和查询,它有效地保证了金融业务在广域网范围的安全性,避免数据被拦截等潜在威胁的发生。
??内部VLAN技术和ACL技术的部署可以有效地保证内外的安全性,通过不同的逻辑子网和访问控制的部署可以防止金融企业内部可能存在的恶意攻击和数据篡改。
??入侵检测系统与分布式Sniffer的部署,可以在前面安全策略的基础之上增强监控与统计的功能。入侵检测系统可以有效记录网络上的异常事件,是否有潜在的攻击以及目前网络的资源使用情况。分布式Sniffer可以有效分析网络上的协议分布是否合理,网络带宽的利用是否合理,网络中是否有异常数据包流过等。通过两者的结合,管理人员可以预见性地发现客户网络系统工作是否正常,是否有潜在的攻击和变异的新病毒发作。它们是前面网络安全策略的增强补充,可以有效地保障金融信息网络的7×24小时不间断业务服务。
??McAfee NetShield是服务器防病毒的有效解决方案,它不但可以保证服务器7×24小时不受病毒的入侵,而且还具有自动化、智能化的特点,定期进行病毒扫描、病毒码的更新、丰富翔实的数据统计功能,可以完全满足金融企业的需求,保证用户应用服务器的有效性。
??CA eTrust ePolicy Compliance能够全面审计系统与主机的安全隐患、分析现有的安全漏洞、检测现有系统安全性是否超出已设置的安全“底线”,并且能够基于Web进行安全漏洞检测库的更新。
??顺便说一下,这些技术、产品的结合不是简单的相加,它会先通过我们的安全实验室的论证和检验,以保证在客户那里的实用性。
大永:众所周知,金融业对安全的要求是最高的,所选用设备也是最苛刻的,国外的厂商占据了半壁江山。东软作为国内在安全领域的领路人,具有哪些方面的优势?能否针对金融业的整体情况,具体介绍一下?
于洪勇: 金融是东软安全产品应用最成功的行业之一,早在1997年,东软就已经意识到网络安全的重要性,开始研发系列网络安全产品。目前其主打产品NetEye已经在国内网络安全产品中确立了佼佼者的地位。随着我们核心业务的不断扩大,重要客户对全面安全解决方案的需求程度日益增加,我们研究出了世界先进的安全产品和技术,并结合东软安全产品的优势,整合基于模块化的东软全面安全解决方案。它不但能够提供基于模块的、个性化的安全解决方案来满足客户特殊安全的需求,而且还是根据客户的核心业务安全需要提供解决上述信息安全问题的全方位的、多层次的全面安全解决方案。
??在过去的三年中,东软的安全产品成功入围国内几乎全部的银行,并且成功中标中国人民银行、中国银行、中国建设银行等安全产品采购及服务项目。在与国外安全产品面对面的竞争中,东软的安全产品能够在金融行业的竞标中,击败国外厂商,连续两年位居中国网络安全产品市场份额第一,表明了东软的安全产品及整体安全解决方案已经走向成熟,东软成为与国外优秀的安全产品供应商并列的厂商。
??国外厂商在网络安全技术上具有一定的优势,但由于种种原因,国外最好的安全产品和技术不允许进口到中国,进到国内后还要经过本地化,因此在某些方面,国内企业完全可以实现产品领先。其次,安全产品最怕留有“后门”,这对一个国家的安全将会产生很大影响。因此,民族的安全产品开发厂商应该在捍卫网络系统和信息系统方面有更大的作为。
王虎:东软金融安全方案的优势主要体现在:
(1) 东软全面安全解决方案针对客户的需求,通过测试、研究和验证,采用了多种国内外最先进的、最成熟的安全技术和产品,在安全防御上具有全面性、整体性、纵深性、多层次性、主动性和智能性。
(2) 与东软解决方案体系架构有机结合。东软在十年面对用户核心业务解决方案的开发实践中,归纳出东软解决方案体系架构,即Neusoft SA。东软安全解决方案也是Neusoft SA的基础组件,充分考虑到行业应用系统对安全的完整需求,实现了与应用系统的有机结合。
(3) 东软安全产品解决方案结合了东软多年的核心业务软件实施经验,包括金融行业的银行、基金、证券和保险IT系统建设经验。充分保证了我们核心软件的正常工作,而且还保证了我们解决方案的安全性、可靠性、可用性、可扩展性、灵活性等。
大永:对金融业的特殊性,二位有何结论?
于洪勇:可以预见,信息网络安全技术的飞速发展,及其与金融全球化的高度紧密结合,将使全球金融业的发展进入到一个新的历史时期—网络金融时代,这是一个对金融服务业极富挑战性的时代。金融信息系统安全的实现是一项系统工程,不可能通过几个独立的产品来解决所有信息系统的安全问题。金融安全系统的实施不可能只是几个安全设备和软件的部署和配置,必须从金融行业的安全需求出发,在一个成熟的、已实践证明的安全解决方案的框架下,规划和实施金融安全工程。
王虎:应从Infrastructure和Application两个方面实现金融IT系统安全;从被动地防御到主动地实现金融IT系统的安全。
结题:“魔高一尺,道高一丈”,东软安全整体解决之道是金融行业捍卫计算机网络系统安全的降魔利器。东软将与金融行业用户积极合作,共同完善金融安全技术体系、安全管理体系和安全保障体系。