金融咨询网近期会进行系统维护,短暂的等待是为了更稳定的服务,感谢您的支持。
  • 快捷搜索
  • 全站搜索
位置:首页 > 科技 > 金融安全

商业银行信息安全防护体系构建

2016-08-28 21:23:54作者:东北财经大学金融学院博士、中国建设银行北京数据中心 信怀义编辑:金融咨询网
信息安全、 商业银行、 身份认证、 访问控制技术
根据美国国家标准与技术研究所特别报告《信息技术安全基础技术模型》、ISO2700l信息安全管理体系要求,从用户或进程对信息系统安全对象的访问路径出发,可建立信息安全保护模型。本文根据信息安全保护体系模型,分别就各个功能模块进行了介绍。

二、访问控制技术

        访问控制是指系统对用户在信息系统中可访问的资源进行预先授权限制,防止对任何资源进行未授权的访问操作,并对越权访问操作进行监控,从而使计算机系统在合法的范围内使用。访问控制是确保系统保密性、完整性、可用性和合法使用的重要手段。访问控制的主要目的是对抗计算机或通信系统非授权操作所造成的威胁,防止信息系统的数据被泄露、修改、破坏和被拒绝服务攻击。访问控制安全策略主要包括以下三个原则。

        1.最小特权原则

        在用户执行访问操作时,按照用户所需权利的最小化原则授权,用户只能做被允许的操作。优点是最大限度地限制了越权访问,避免突发事件、操作错误和未授权操作等不确定性风险。

        2.最小泄露原则

        在用户执行任务时,按其所需最小信息分配权限,避免滥用、泄密、扩散等不确定性风险。

        3.多级安全策略

        用户和信息系统之间的数据流向、权限控制按照安全级别的绝密、秘密、机密、限制和无级别五级划分,具有安全级别的信息资源,只有高于安全级别的主体才能访问,避免敏感信息扩散、滥用等不确定性风险。

        访问的基于角色的访问控制、MAC地址过滤、防火墙技术、网络隔离技术、ACL技术、VLAN技术等,在模型设计时可以根据需要选择一种或多种技术使用。

三、加密技术

        密码加密是指通过加密算法和加密密钥将明文转变为密文,而数据解密则是通过解密算法和解密密钥将密文转变为明文,其核心基于密码学,利用密码技术对信息进行加密、解密,防止信息泄露,实现信息隐蔽,从而起到保护信息安全的作用。

        密码技术是信息安全保障的基础技术,基于基础密码技术、不同密码技术的组合(数字签名、消息验证)以及相关协议,实现信息安全的三个目标:机密性,信息通过密码技术进行加密,只有授权用户才能解密;完整性,信息通过密码技术进行加密确保信息在存储和传输过程中没有被非法访问;不可抗抵赖,信息通过密码技术确保发送者不能否认发送行为,接受者不能否认接受行为。

        当今,商业银行运用比较广泛的数据加密技术有对称加密技术、非对称加密技术、散列技术三种。

        1.对称加密技术

        对称加密技术是一种采用了对称密钥进行编码的技术,也就是说在对文件加密和解密时使用相同的密钥,这种方法在密码学中叫做对称加密算法。对称加密算法的优点是算法公开、计算量小、加密速度快、加密效果好,缺点是双方同一个密钥、安全性差。这种技术使用起来简单快捷,一般情况密钥较短,破译较难,如图2所示。目前通用的加密标准主要有DES(美国IBM公司制定的数据加密标准Data Encryption Standard)和IDEA(瑞士James Massey,Xuejia Lai等人提出的加密算法International Data Encryption A1gorithm)两种。

 

图片2.jpg

        2.非对称加密技术

        非对称加密技术指在对数据进行加密、解密时使用两个不同的密钥(公开密钥Public Key和私有密钥Private Key)的新型密钥交换协议,优点是双方密钥不同、安全性更好,缺点是加密和解密花费时间长、速度慢,只适用于少量数据加密。如果用公开密钥对数据进行加密,只能用对应的私有密钥解密;相反,如果用私有密钥对数据进行加密,也只有用对应的公开密钥解密。由于加密、解密过程使用的是两个不同的密钥,所有这种算法被称为非对称加密算法,如图3所示。

 

图片3.jpg

        3.散列技术

        散列技术是将一种任意长度的输入变换为固定长度输出的不可逆的单项密码体制。在信息系统发送方通过散列算法产生信息的摘要,然后将摘要和信息一起发送到信息系统接收方,接收方接到消息之后用相同的散列算法计算出收到信息的摘要,然后将自己计算的摘要与收到的摘要作对比,两者相同,则原信息没有改变。散列技术具有压缩性、单向性、抗碰撞性、雪崩效应。

四、泄密保护技术

        泄密保护技术是通过信息安全技术的综合运用,保护商业银行信息的机密性、可核查性和抗抵赖性,防范商业银行信息泄露,降低风险发生的可能性。

         当今,商业银行运用比较广泛的泄密保护技术有数据防泄漏技术、数据脱敏技术、数据销毁技术。

        1.数据防泄漏技术

        数据防泄漏技术指通过识别、阻止、记录数据控制其存储、传输,保护数据未经授权不可访问。该技术主要应用于数据生命周期中的产生、使用、传输和存储环节。

        2.数据脱敏技术

        数据脱敏技术指对源数据进行处理,使用人员不能从处理后的数据中发现真实的源数据,同时处理后的数据仍然保持某些性质不变,并且能够满足数据使用的需要。该技术主要应用于数据生命周期的数据使用环节。

        3.数据销毁技术

        数据销毁技术指将数据存储介质进行破坏,破坏后的介质无法恢复原数据。该技术主要应用于数据生命周期结束的销毁环节。

        此外,泄密保护技术还包括数据覆盖技术、消磁技术、物理毁坏等,其中,数据覆盖技术是指使用软件或硬件工具将非敏感数据覆盖写在存储介质上,原数据不能再恢复。消磁技术是指利用消磁设备破坏存储介质的磁性结构,使其丧失存储能力。物理毁坏是指将存储介质进行物理性破坏,使其无法再使用。

首页 上一页 1 2 3 下一页 尾页

扫码即可手机
阅读转发此文

本文评论

相关文章

频道最近更新

频道热门文章