作者:曹斌 东软股份网络安全事业部总经理 兼 东软股份网络安全产品营销中心副总经理
摘自:《计算机世界》—2003-7-7金融专刊
黑客攻击行为从目的性上看可以分为两类:一类纯粹是为了好玩或出名;另一类则有很强的趋利性,为了经济或政治的目的。这两年的发展,后者的比重在加大。而在以经济上获利为目标的对信息系统的攻击事件中,金融系统无疑是首要目标。有一些这样的事件是我们能够在公众范围内觉察到的,而大量的此类事件往往不会公开,而且这类事件中有一定数量是来自于内部系统。
这里面所讲的金融系统也不仅仅是银行业,还包括很多与金融相关的业务领域,只要涉及交易行为,都需要一个周密的安全系统的保护。此类安全防护系统必须要与交易行为相结合,从网络的层面、系统的层面、到交易的层面,都需要有相应的可靠的技术手段。而且在选择技术手段时,还必须考虑到系统所服务人群的使用方便性,不能对业务的经营活动产生明显的制约,或者说客户要参与的安全操作应该在可接受的范围。这个也是安全系统设计的难点。很多技术公司会单纯从技术角度考虑,采取技术上看来最安全的手段,但是如果严重破坏了客户使用的方便程度,那么它对系统在经营上的损害就是不可忽视的了。很多银行机构在推行网络银行业务,但是应用的效果有很大不同,成功的业务的显著特征是安全机制是合理的、能够有效的消除客户对安全的担心,同时又具备很好的方便性,能在安全与方便之间达成一个较好的平衡。
对于金融安全来说,尤其是内部安全,除了技术手段之外,安全的管理体制也会起到重要的作用。并且安全管理要有技术手段来支持。如果在内部系统中建立了完善的身份鉴别、严格的授权、严密的审计等系统,对于内部系统的安全事件来说可以起到有效的防范作用。 以上这些考虑对于安全系统公司来说也是一种挑战,这要求我们不仅是安全技术的专家,而且还能够理解用户的业务系统的特点,通过反复的调研分析,才能够帮助用户建立一个合理的、可操作、可管理的安全保障体系,包括技术的和服务等方面。东软一直在不断加强这方面的资源的储备,包括人员方面和知识方面。希望通过我们的扎实的工作能够成为客户在安全体系上可以依托和信赖的伙伴。
东软网络安全 微信号:Neusoft_NetEye
