1应用系统层
数据库管理系统、操作系统等软件是应用系统的基础构架,它能够让具有不同需求的客户在应用需求方面获得满意的软件程序的帮助。要开发应用系统,必须先有效地分析、规划访问控制措施。访问控制措施必须运用到银行信息系统里的关键综合业务系统以及别的应用系统中。各级柜员、管理者、自助设备等是综合业务系统的主体,而相关的交易、操作则是客体。针对综合业务系统里的安全管理环节,应该定义访问控制措施的规则。不管是交易还是操作,只有根据规则来进行,主体才有权进行合理的访问与执行。
2网络层
路由器和三层交换机中会大量运用到访问控制列表,主客体分别为源地址、端口号与目的地址,对控制列表的访问则是按照相关的保护规则来进行,如果数据包满足保护规则要求,则允许通过,反之则被阻止。在MAC地址过滤中,待访问目标是客体,而MAC地址则是主体。保护规则都是根据定义MAC地址过滤列表来进行的,只有符合该规则的MAC地址数据包才能得以通过。另外,还有一种常见的访问控制技术,那就是防火墙技术。网络有内网和外网之分,源端口号、源IP地址是主体,而目的端口号与IP地址是客体,以保护规则定义的方式让遵循规则的数据包得以通过。
3数据库管理系统层
银行金融网络系统中,操作系统固然头等重要,然而数据库管理系统的重要性也是不言而喻的,它是应用系统不可或缺的组成部分。在数据库管理系统中,十分重要的一个安全措施就是访问控制。用户安全管理是数据库管理的集中体现。系统对通过身份认证的登录信息会将之当做主体,而数据库管理系统中的文件、字段、数据库、表以及系统操作则是客体,而字段与表会存在一些增删、查询、和修改方面的操作,而数据库则存在恢复、备份等方面的操作。用户的存取、访问规则是用户对数据库存取控制的执行依据。存取矩阵也能够表示访问控制规则。列在该矩阵中代表着系统客体是数据库、字段以及表等等,而阵列各单元代表主体对客体或者不同主体的存取方法是增删、查询、修改等操作。从操作系统的访问控制安全角度讲,访问控制措施在数据库管理系统中作用重大。数据库管理系统成为了不少应用系统的的设计依据,系统的关键部分是数据,其权限被用户掌握以后,就能够不经过应用系统,直接通过操作数据库的记录,实现犯罪目的。所以,科技部门必须细致地分析设计数据库系统的访问控制措施,严格分析数据库管理系统中主体的最小权限,然后据此对存取矩阵进行设定。通常数据库管理系统权限是应用系统最终用户无法获得的,这样一来也不能直接操作数据库管理系统,要最大限度地不让内部和外包开发用户对数据库管理系统进行直接登录操作。以严格的管控措施减少直接操作授权。假如必须直接登录操作,那么要针对部分表的部分字段来操作,不能授予内部或者外包开发用户全部权限。同时,针对查询权限的授予,可以一定程度上降低要求,但要控制好增删与修改操作。例如,一个用户需要进行客户存款信息查询,那么他被授权查询姓名Name、住址Address、存款余额Deposit3个字段的信息表User,不过只允许修改Address字段,但是严禁执行插入或者删除操作。在不少情形下,个人征信系统、反洗钱系统等应用系统都是主体。要创建对应的用户,则需参照应用系统对数据库管理系统的最小授权来进行。在个人征信系统中,外包开发用户要规划系统,那么需要同科技部门沟通,对应用系统的最小授权集合进行制订。客户贷款信息数据表中的一些字段或许或会出现在个人征信系统中,那么存款信息之类的数据库表就不应该被访问,可以允许查询。分析访问控制措施,可以极大地减少因为内部和外包开发员的过渡授权而产生的金融安全风险。
4操作系统层
有着访问控制措施的常用操作系统主要注重对用户进行安全管理。用户的身份认证关系到访问控制权限,也是访问控制执行的依据。身份认证的方法有很多种,比如口令与指纹、身份卡与口令以及USB钥匙等等。系统会禁止缺乏正确身份认证的用户,如果认证成功,那么登录身份信息将被系统当做主体。而系统设备、文件、操作、进程则是客体,一般会出现读写、运行和删除及修改等行为。对于用户的识别和存取访问规则是由用户对信息存取控制的来确定。系统对不同的用户会授予不一样的存取权限,比如写入或者读取被允许。存取矩阵模型一般被用来表示访问控制规则,大型矩阵阵列则可以用来表示系统的安全情况。行在这种矩阵中代表系统主体,系统的客体则用列表示。主体对客体或者不同主体的存取是以阵列单元的填入数值来描述。数据库管理系统以及操作系统都能够使用这种模型。要想对内部与外包开发人员进行有效限制,就需要合理配置访问控制措施,这样才能让他们不会故意越权操作系统。如果配置不佳,就会让内部和外包开发员有过多的权限,不利于银行金融网络的安全。科技部门必须细致地分析设计操作系统的访问控制措施,严格分析文件系统中用户的最小权限,然后据此对存取矩阵进行设定。
5防火墙
访问控制技术在银行金融网络防火墙中也有广泛的运用。从网络防火墙技术上来讲,网络具有内外网之分,该项技术可用于对所有的内外和外网通信应用协议的分析,由此查找出主机的IP地址和IP上联端口号,并对业务流进行有效的规划,进而合理控制对应的业务流。源IP地址、目的IP地址、源上联端口号、目的上联端口号中的访问权限都可以利用防火墙技术来进行最大化的限制,能够对业务流的通断进行限制,以保证银行的金融业务安全。
6结语
总的来说,访问控制措施必须符合相关的要求,即制定严格、遵循最小特权、职责分离与多人负责,这样才能让金融网络变得更加安全,对非法用户的阻止是很有效的。特别是当前银行经常出现的内部与外包开发人员越权操作系统的案件,所以银行必须科学而合理地使用访问控制技术,以保证银行金融网络的安全。
作者:杨建立
