针对金融网络与信息系统的安全需求，构建了包括物理安全、系统安全、网络安全、应用安全和安全管理的金融网络与信息系统安全保障体系的总体架构，详细描述了安全保障系统的构成，提出了应采取的安全保障措施。

　　随着网络技术的发展和应用需求的牵引，网络规模和应用范围不断扩大，网络安全风险变得更加严重和复杂。凡是涉及到保障银行正常营业的所有问题，如信息技术设备和金融信息系统软件的正常运行、信息系统中业务信息及商业机密的妥善保存等，都与金融信息系统的安全有关，都要采取相应的安全风险防范措施。目前，针对互联网的应用还缺乏有效的安全措施和手段，这严重限制了银行系统通过互联网对外提供服务的范围和种类，迫切需要构建更加科学合理的金融信息系统安全保障体系。

　　1金融信息系统安全保障体系总体架构

金融信息系统安全保障体系包括物理安全、系统安全、网络安全、应用安全和安全管理，其总体架构见图1.

　2安全保障系统构成

下面从物理安全、系统安全、网络安全、应用安全和安全管理等方面来描述金融信息系统安全保障系统的构成.

　　2. 1物理安全

物理安全是保障整个网络与信息系统安全的前提。物理安全主要涉及环境安全、设备安全和介质安全。环境安全主要是指防雷、防水、防火、防电磁辐射等内容;设备安全主要包括设备的防盗、防毁、防止线路被截获、抗电磁干扰及电源保护等;介质安全指存储数据信息的介质安全。

　　2. 2系统安全

1)网络结构安全主要指网络拓扑结构是否合理、线路是否有冗余。

2)操作系统安全指应采用安全性较高的网络操作系统，关闭不常用却存在安全隐患的应用，对一些保存有用户信息及其口令的关键文件的使用权限进行严格限制。

3)应用系统安全应用服务器尽量关闭不经常使用的协议及协议端口号，加强登录身份认证，严格限制登录者的操作权限，将其完成的操作限制在合法的范围内。

4)系统备份与恢复机制它是保护金融信息系统崩溃后快速恢复的重要技术措施，在系统运行时，应采取必要的技术手段对网络及主机设备配置、金融业务系统等进行备份，在故障或灾难发生时，迅速恢复系统到最新状态。

　　2. 3网络安全

1)隔离与访间控制机制该机制可根据不同用户安全级别或不同部门的安全需求，利用3层交换机来划分虚拟子网(VLAN);在不同业务系统之间划分MPLS VPN，实现受控互访、隔离和信息共享;在网络中配备防火墙，实现网络内外或网络内部不同安全域之间的隔离与访问控制。

2)通信保密通过采取数据链路层和网络层加密等措施，实现对网络中重要信息传送的保护。

3)入侵检测根据已有的、最新的攻击手段的信息代码对进出网段的所有操作行为进行实时监控、记录，并按制定的策略实行响应，从而防止针对网络的攻击与犯罪行为。

4)网络安全扫描系统通过对网络中所有部件进行扫描、分析和评估，发现并报告系统存在的弱点和漏洞，评估安全风险，提出补救措施等。

　　2.4应用安全

1)访问控制根据金融信息系统建设的需要，采取自主访问控制或强制访问控制机制，对用户和资源分配不同的授权级，以控制用户对资源的访问。

2)身份识别和验证涉及到收集验证数据、安全传输数据、查证当前用户是否仍是目前使用系统的用户等。

3)数据备份与恢复机制该机制是保护金融系统中数据资源的重要技术措施。在业务应用系统运行时，应采取磁盘镜像、磁盘阵列、磁带库等技术手段，对数据信息进行备份，并在故障或灾难发生时，采取适当的恢复策略，修复系统中被破坏的或不正确的数据，使之恢复到一致性状态。

4 ) PK/CA认证系统通过建立该系统，实现网络访问的身份认证和访问控制，同时还可实现网络文件传输的保密性、真实性、完整性和文件的抗抵赖性。

2. 5安全管理

金融信息系统是一个包括横向、纵向连接的多级网络，运行着多个业务系统。为实现对金融信息系统的安全管理，应设置安全管理中心，对安全事件、设备故障信息等进行集中分析和处置，并在此基础士实施统一规划、集中管理、严格规章、明确责任和动态监控，确保金融信息系统安全可靠运行。

　　3安全保障措施

　　3. 1设置安全保障策略

1)总体安全策略在金融信息系统安全保障体系构建中，应遵循以下总体安全策略圈:①未经允许的访问都要严格禁止;②允许的访问都要经过认证、授权才能进行;③重要信息在网上传输要经过加密措施。

2)网络边界安全策略和联动策略在金融信息系统网络和Internet之间设置防火墙，以隐藏和保护金融信息系统网络;在网络核心节点与各业务系统局域网边界之间设置防火墙，允许授权用户访问该局域网内的特定资源;按业务和行政归属，在横向和纵向网络上通过采用MPLS VPN技术进行VPN划分，实现有效隔离;网络设备如防火墙、人侵检测系统、交换机、路由器、网络防病毒系统和访问控制系统等，既可以单独运行，还可以通过联动策略，一旦发现非法人侵，人侵检测系统会通知相应的安全产品实施联动保护，有效地确保金融信息系统网络的安全。

　　3. 2部署安全技术和安全产品

为确保金融信息系统的安全可靠运行，遵循安全保障体系总体架构和安全保障策略，应在金融信息系统中部署相应的安全技术和安全产品。

1)划分安全域根据金融信息系统的功能及业务特征，按照等级保护思想，将其划分为省网络管理中心局域网、省级城域网接入单位的接人网络等安全区域，对不同安全域实施等级保护，既方便了用户使用，又加强了安全防护。

2)防火墙技术防火墙是设置在被保护网络和外部网络之间的一道屏障，以防止发生不可预测的、潜在破坏性的侵人，通过监测、限制、更改跨越防火墙的数据流，尽可能对外部屏蔽网络内部的信息、结构和运行状况，以此实现网络的安全保护。

3)MPLS VPN技术由于金融信息系统承载多个相对独立的业务系统，各业务系统为不同的职能部门开展业务提供服务。因此，应采用MPLSVPN技术，按照业务系统和业务类型进行纵向VPN和横向VPN划分，实现不同业务系统之间的安全隔离及全网对不同业务系统的统一管理。

4)人侵检测系统在金融信息系统中设置人侵检测系统，对系统的网络安全状态进行定期的检查，对人侵事件进行报警并记录，并通过完整的安全策略，利用人侵检测系统与防火墙的有效互动，对网络系统实施全方位保护。

5)防病毒系统在网络中对所有可能造成危害的病毒源或通道配置对应的防病毒软件。该系统提供集中式的管理，将反病毒程序的安装、执行、预约扫描、更新升级、病毒码分发和共享等日常的管理维护工作化繁为简，对病毒进行实时监控，使网络免遭病毒的人侵和危害。

6)违规外联监控系统通过该系统对非法连接国际互联网行为进行监测，对网络系统内的主机拨号、双网卡、代理服务器等多种上网行为进行集中统一管理。违规外联监控系统根据监控策略，可对非法连接进行切断或报警，同时记录、存储、查询相关信息。

7)安全评估系统该系统对工作站、服务器、交换机、数据库应用等各种对象可能存在的安全漏洞进行逐项检查，根据扫描结果向系统提供安全性分析报告。安全扫描技术与防火墙、人侵检测系统互相配合与联动，能够提供安全性更高的网络。

8)数据备份与恢复在金融信息系统中网络数据存储管理服务器、带有大容量存储设备(磁带库、光盘库)的备份服务器、其他需要进行数据备份管理的服务器上，构建数据存储备份与恢复系统，以防备数据信息丢失，保证灾难恢复系统的可靠性。

　　4结语

随着金融信息化的快速发展，金融信息系统的规模逐步扩大，金融信息资产的数量急剧增加，对网络与信息系统实施安全保护已势在必行。因此，进行安全保障体系研究，构建金融信息系统安全保障系统，具有十分重要的现实意义。