摘要：隨著信息科技高速發(fā)展，網(wǎng)絡(luò)在越來越多地為人們生活提供便利的同時，也為企業(yè)節(jié)省了大量人力和物力，但是企業(yè)在使用網(wǎng)絡(luò)與外界交流時也同樣承擔著巨大風(fēng)險。文章介紹了銀聯(lián)網(wǎng)絡(luò)中存在風(fēng)險的原因、存在風(fēng)險及其對策，為銀聯(lián)在網(wǎng)絡(luò)安全方面提供了一定的建議。

關(guān)鍵詞：企業(yè)網(wǎng)絡(luò)；銀聯(lián)；網(wǎng)絡(luò)安全；網(wǎng)絡(luò)體系；技術(shù)手段

隨著信息技術(shù)的高速發(fā)展，互聯(lián)網(wǎng)越來越被人們所重視，從農(nóng)業(yè)到工業(yè)再到高科技產(chǎn)業(yè)各行各業(yè)，都在使用互聯(lián)網(wǎng)參與行業(yè)生存與競爭。企業(yè)對網(wǎng)絡(luò)的依存度越來越高，網(wǎng)絡(luò)在企業(yè)中所處的位置也越來越重要，系統(tǒng)中存儲著維系企業(yè)生存與競爭的重要資產(chǎn)——企業(yè)信息資源。但是，諸多因素威脅著計算機系統(tǒng)的正常運轉(zhuǎn)。如自然災(zāi)害、人員的誤操作等，不僅會造成系統(tǒng)信息丟失甚至完全癱瘓，而且會給企業(yè)造成無法估量的損失。因此，企業(yè)必須有一套完整的安全管理措施，以確保整個計算機網(wǎng)絡(luò)系統(tǒng)正常、高效、安全地運行。本文就影響銀聯(lián)計算機網(wǎng)絡(luò)安全的因素、存在的安全隱患及其應(yīng)對策略3個方面進行了做了論述。

一、銀聯(lián)網(wǎng)絡(luò)安全存在的風(fēng)險及其原因

（一）自然因素

首先，攻擊之首為病毒攻擊。由于銀聯(lián)網(wǎng)絡(luò)龐大而復(fù)雜不可避免地要遭到這樣或者那樣的病毒的攻擊。這些病毒有些是普通沒有太大破壞的，而有些卻是能造成系統(tǒng)崩潰的高危險病毒。病毒一方面會感染大量的機器，造成機器“罷工”，另一方面會大量占用網(wǎng)絡(luò)帶寬，阻塞正常流量，形成拒絕服務(wù)攻擊。事實上完全避免所有終端上的病毒是不可能的，但要盡量減少病毒爆發(fā)造成的損失和恢復(fù)延時是完全可能的。但是由于一些工作人員的疏忽，使得銀聯(lián)網(wǎng)絡(luò)被病毒攻擊的頻率越來越高，所以病毒攻擊應(yīng)該引起特別關(guān)注。

其次，是軟件漏洞。任何的系統(tǒng)軟件和應(yīng)用軟件都不能是百分之百的無缺陷和無漏洞的，而這些缺陷和漏洞恰恰是非法用戶、黑客進行竊取機密信息和破壞信息的首選途徑。針對固有的安全漏洞進行攻擊，主要在以下方面：

1、協(xié)議漏洞。例如IMAP和POP3協(xié)議一定要在Unix根目錄下運行，攻擊者利用這一漏洞攻擊IMAP破壞系統(tǒng)的根目錄，從而獲得超級用戶的特權(quán)。

2、緩沖區(qū)溢出。很多系統(tǒng)在不檢查程序與緩沖區(qū)之間變化的情況下，就接受任何長度的數(shù)據(jù)輸入，把溢出部分放在堆棧內(nèi)，系統(tǒng)仍照常執(zhí)行命令。攻擊者就利用這一漏洞發(fā)送超出緩沖區(qū)所能處理的長度的指令，來造成系統(tǒng)不穩(wěn)定狀態(tài)。

3、口令攻擊。例如Unix系統(tǒng)軟件通常把加密的口令保存在一個文件中，而該文件可通過拷貝或口令破譯方法受到入侵。因此，任何不及時更新的系統(tǒng)，都是容易被攻擊的。

（二）人為因素

銀聯(lián)網(wǎng)絡(luò)安全存在的風(fēng)險的人為因素有操作失誤、惡意攻擊。

銀聯(lián)計算機網(wǎng)絡(luò)所面臨的最大的人為威脅是惡意攻擊：敵手的攻擊和計算機犯罪就屬于這一類。此類攻擊又可以分為以下兩種：主動攻擊，它以各種方式有選擇地破壞信息的有效性和完整性；被動攻擊，它是在不影響網(wǎng)絡(luò)正常工作的情況下。進行截獲、竊取、破譯以獲得重要機密信息。這兩種攻擊均可對計算機網(wǎng)絡(luò)造成極大的危害，并導(dǎo)致機密數(shù)據(jù)的泄漏。網(wǎng)絡(luò)黑客和計算機病毒對企業(yè)網(wǎng)絡(luò)（內(nèi)聯(lián)網(wǎng)）和公網(wǎng)安全構(gòu)成巨大威脅，每年銀聯(lián)和網(wǎng)絡(luò)運營商都要花費大量的人力和物力用于該方面的網(wǎng)絡(luò)安全防范，因此，防范人為的惡意攻擊將是銀聯(lián)網(wǎng)絡(luò)安全工作的重點。

銀聯(lián)計算機網(wǎng)絡(luò)所面臨的第二大人為威脅是操作失誤：操作員安全配置不當造成的安全漏洞，用戶安全意識不強。用戶口令選擇不慎。用戶將自己的賬號隨意轉(zhuǎn)借他人或與別人共享等都會對網(wǎng)絡(luò)安全帶來威脅。這種情況在銀聯(lián)計算機網(wǎng)絡(luò)使用初期較常見，隨著網(wǎng)絡(luò)管理制度的建立和對使用人員的培訓(xùn)，此種情況逐漸減少。對網(wǎng)絡(luò)安全已不構(gòu)成主要威脅。

二、構(gòu)建安全的網(wǎng)絡(luò)體系結(jié)構(gòu)

（一）設(shè)計銀聯(lián)網(wǎng)絡(luò)安全體系的原則

設(shè)計網(wǎng)絡(luò)安全體系的原則是安全性、高效性、可行性。首先是體系的安全性設(shè)計：設(shè)計網(wǎng)絡(luò)安全體系的最終目的是為保護信息與網(wǎng)絡(luò)系統(tǒng)的安全所以安全性成為首要目標。要保證體系的安全性，必須保證體系的完備性和可擴展性。其次是系統(tǒng)的高效性設(shè)計：構(gòu)建網(wǎng)絡(luò)安全體系的目的是能保證系統(tǒng)的正常運行，如果安全影響了系統(tǒng)的運行，那么就需要進行權(quán)衡了，必須在安全和性能之間選擇合適的平衡點。網(wǎng)絡(luò)系統(tǒng)的安全體系包含一些軟件和硬件，它們也會占用網(wǎng)絡(luò)系統(tǒng)的一些資源。因此，在設(shè)計網(wǎng)絡(luò)安全體系時必須考慮系統(tǒng)資源的開銷，要求安全防護系統(tǒng)本身不能妨礙網(wǎng)絡(luò)系統(tǒng)的正常運轉(zhuǎn)。最后是網(wǎng)絡(luò)安全體系的可行性設(shè)計：設(shè)計網(wǎng)絡(luò)安全體系不能純粹地從理論角度考慮，再完美的方案，如果不考慮實際因素，也只能是一些廢紙。設(shè)計網(wǎng)絡(luò)安全體系的目的是指導(dǎo)實施，如果實施的難度太大以至于無法實施，那么網(wǎng)絡(luò)安全體系本身也就沒有了實際價值。

（二）銀聯(lián)網(wǎng)絡(luò)安全體系的可承擔性

銀聯(lián)網(wǎng)絡(luò)安全體系從設(shè)計到實施以及安全系統(tǒng)的后期維護、安全培訓(xùn)等各個方面的工作都要由銀聯(lián)來支持，要為此付出一定的代價和開銷。如果銀聯(lián)付出的代價比從安全體系中獲得的利益還要多，那么就舍棄這個方案。所以，在設(shè)計網(wǎng)絡(luò)安全體系時，必須考慮銀聯(lián)企業(yè)的業(yè)務(wù)特點和實際承受能力，必需要按電信級、銀行級標準來設(shè)計這4個原則，即安全第一、保障性能、投入合理、考慮發(fā)展。

（三）銀聯(lián)網(wǎng)絡(luò)安全體系的建立

銀聯(lián)網(wǎng)絡(luò)安全體系的定義：銀聯(lián)網(wǎng)絡(luò)安全管理體系是一個在多個銀行之間建立的網(wǎng)絡(luò)系統(tǒng)內(nèi)，結(jié)合安全技術(shù)與安全管理，以實現(xiàn)系統(tǒng)多層次安全保證的應(yīng)用體系。

銀聯(lián)網(wǎng)絡(luò)系統(tǒng)完整的安全體系系統(tǒng)物理安全性主要是指從物理上保證系統(tǒng)中各種硬件設(shè)備的安全可靠，確保應(yīng)用系統(tǒng)正常運行。主要包括以下方面：防止非法用戶破壞系統(tǒng)設(shè)備，干擾系統(tǒng)的正常運行。防止內(nèi)部用戶通過物理手段接近或竊取系統(tǒng)設(shè)備，非法取得其中的數(shù)據(jù)。為系統(tǒng)關(guān)鍵設(shè)備的運行提供安全、適宜的物理空間，確保系統(tǒng)能夠長期、穩(wěn)定和高效的運行。例如中心機房配置溫控、除塵設(shè)備等。

銀聯(lián)網(wǎng)絡(luò)安全性主要包括以下方面：限制非法用戶通過網(wǎng)絡(luò)遠程訪問和破壞系統(tǒng)數(shù)據(jù)，竊取傳輸線路中的數(shù)據(jù)。確保對網(wǎng)絡(luò)設(shè)備的安全配置。對網(wǎng)絡(luò)來說，首先要確保網(wǎng)絡(luò)設(shè)備的安全配置，保證非授權(quán)用戶不能訪問任意一臺計算機、路由器和防火墻。網(wǎng)絡(luò)通訊線路安全可靠，抗干擾。屏蔽性能好，防止電磁泄露，減少信號衰減。防止那些為網(wǎng)絡(luò)通訊提供頻繁服務(wù)的設(shè)備泄露電磁信號，可以在該設(shè)備上增加信號干擾器，對泄露的電磁信號進行干擾，以防他人順利接收到泄露的電磁信號。

銀聯(lián)網(wǎng)絡(luò)應(yīng)用安全性主要是指利用通訊基礎(chǔ)設(shè)施、應(yīng)用系統(tǒng)和先進的應(yīng)用安全控制技術(shù)，對應(yīng)用系統(tǒng)中的數(shù)據(jù)進行安全保護，確保能夠在數(shù)據(jù)庫級、文檔/記錄級、段落級和字段級限制非法用戶的訪問。另外，對存放重要數(shù)據(jù)的計算機（服務(wù)器、用戶機）應(yīng)使用安全等級較高的操作系統(tǒng)，利用操作系統(tǒng)的安全特性。

三、銀聯(lián)網(wǎng)絡(luò)系統(tǒng)安全的技術(shù)實現(xiàn)

（一）防火墻技術(shù)

在外部網(wǎng)絡(luò)同內(nèi)部網(wǎng)絡(luò)之間應(yīng)設(shè)置防火墻設(shè)備。通過防火墻過濾進出網(wǎng)絡(luò)的數(shù)據(jù)，對進出網(wǎng)絡(luò)的訪問行為進行控制和阻斷，封鎖某些禁止的業(yè)務(wù)，記錄通過防火墻的信息內(nèi)容和活動。對網(wǎng)絡(luò)攻擊進行監(jiān)測和告警。防火墻可分為包過濾型、檢測型、代理型等，應(yīng)根據(jù)不同的需要安裝不同的防火墻。

（二）劃分并隔離不同安全域

根據(jù)不同的安全需求、威脅，劃分不同的安全域。采用訪問控制、權(quán)限控制的機制，控制不同的訪問者對網(wǎng)絡(luò)和設(shè)備的訪問，防止內(nèi)部訪問者對無權(quán)訪問區(qū)域的訪問和誤操作。

我們可以按照網(wǎng)絡(luò)區(qū)域安全級別把網(wǎng)絡(luò)劃分成兩大安全區(qū)域，即關(guān)鍵服務(wù)器區(qū)域和外部接入網(wǎng)絡(luò)區(qū)域，在這兩大區(qū)域之間需要進行安全隔離。在關(guān)鍵服務(wù)器區(qū)域內(nèi)部，也同樣需要按照安全級別的不同進行進一步安全隔離。

劃分并隔離不同安全域要結(jié)合網(wǎng)絡(luò)系統(tǒng)的安防與監(jiān)控需要，與實際應(yīng)用環(huán)境、工作業(yè)務(wù)流程和機構(gòu)組織形式密切結(jié)合起來。

（三）防范病毒和外部入侵

防病毒產(chǎn)品要定期更新升級，定期掃描。在不影響業(yè)務(wù)的前提下，關(guān)閉系統(tǒng)本身的弱點及漏洞并及時打上最新的安全補丁。防毒除了通常的工作站防毒外，email防毒和網(wǎng)關(guān)式防毒己經(jīng)越來越成為消除病毒源的關(guān)鍵。還應(yīng)使用掃描器軟件主動掃描，進行安全性檢查，找到漏洞并及時修補，以防黑客攻擊。

銀聯(lián)網(wǎng)管可以在CISCO路由設(shè)備中，利用CISCO IOS操作系統(tǒng)的安全保護，設(shè)置用戶口令及ENABLE口令，解決網(wǎng)絡(luò)層的安全問題，可以利用UNIX系統(tǒng)的安全機制，保證用戶身份、用戶授權(quán)和基于授權(quán)的系統(tǒng)的安全，對各服務(wù)器操作系統(tǒng)和數(shù)據(jù)庫設(shè)立訪問權(quán)限，同時利用UNIX的安全文件，例如/etc/hosts.equiv文件等，限制遠程登錄主機，以防非法用戶使用TELNET、FTP等遠程登錄工具，進行非法入侵。

（四）備份和恢復(fù)技術(shù)

備份是保證系統(tǒng)安全最基本、最常用的手段。采取數(shù)據(jù)的備份和恢復(fù)措施，有些重要數(shù)據(jù)還需要采取異地備份措施，防止災(zāi)難性事故的發(fā)生。

（五）加密和認證技術(shù)

加密可保證信息傳輸?shù)谋Ｃ苄?、完整性、抗抵賴等，是一個非常傳統(tǒng)，但又非常有效的技術(shù)。加密技術(shù)主要用于網(wǎng)絡(luò)安全傳輸、公文安全傳輸、桌面安全防護、可視化數(shù)字簽名等方面。

（六）實時監(jiān)測

采取信息偵聽的方式尋找未授權(quán)的網(wǎng)絡(luò)訪問嘗試和違規(guī)行為，包括網(wǎng)絡(luò)系統(tǒng)的掃描、預(yù)警、阻斷、記錄、跟蹤等，從而發(fā)現(xiàn)系統(tǒng)遭受的攻擊傷害。網(wǎng)絡(luò)實時監(jiān)測系統(tǒng)作為對付電腦黑客最有效的技術(shù)手段，具有實時、自適應(yīng)、主動識別和響應(yīng)等特征。

（七）PKI技術(shù)

公開密鑰基礎(chǔ)設(shè)施（PKI）是通過使用公開密鑰技術(shù)和數(shù)字證書來確保系統(tǒng)網(wǎng)絡(luò)安全并負責(zé)驗證數(shù)字證書持有者身份的一種體系。PKI可以提供的服務(wù)包括：認證服務(wù)，保密性服務(wù)（加密），完整性服務(wù)，安全通信，安全時間戳，小可否認服務(wù)（抗抵賴服務(wù)），特權(quán)管理，密鑰管理等。

四、結(jié)束語

網(wǎng)絡(luò)的安全與銀聯(lián)利益息息相關(guān)，一個安全的網(wǎng)絡(luò)系統(tǒng)的保護不僅和系統(tǒng)管理員的系統(tǒng)安全知識有關(guān)，而且和領(lǐng)導(dǎo)的決策、工作環(huán)境中每個員工的安全操作等都有關(guān)系。網(wǎng)絡(luò)安全是動態(tài)的，新的Internet黑客站點、病毒與安全技術(shù)每日劇增，銀聯(lián)網(wǎng)絡(luò)管理人員要掌握最先進的技術(shù)，把握住銀聯(lián)網(wǎng)絡(luò)安全的大門。

參考文獻：

1、李國棟，劉克勤.Internet常用的網(wǎng)絡(luò)安全技術(shù)[J].現(xiàn)代電力，2001(11).

2、肖義.PKI網(wǎng)絡(luò)安全平臺的研制與開發(fā)[J].山東電子，2002(1).

3、錢蓉.黑客行為與網(wǎng)絡(luò)安全[J].電力機車技術(shù)，2002(1).

4、張立，衛(wèi)紅勤.銀行計算機網(wǎng)絡(luò)安全建設(shè)[J].，2006(8).

5、陳小輝等.銀行信息安全問題及建議[J].華南金融電腦，2008(6).

（作者單位：中國銀聯(lián)湖北省分公司。作者為湖北工業(yè)大學(xué)計算機應(yīng)用專業(yè)在讀碩士）