CA银行系统安全解决方案

计算机系统安全隐患

目前，计算机系统和信息的安全问题已成为IT业关注的焦点之一，据ICSA统计，来自计算机系统内部的安全威胁高达60％。为什么信息系统中存在如此之多的安全隐患呢？这与计算机系统流行的设计思路及IT系统的使用状况紧密相关。与早期的集中式应用不同的是，现在的银行业务系统大多基于客户/服务器模式和Internet/Intranet网络计算模式的分布式应用，在这样的环境中，企业的数据库服务器、电子邮件服务器、WWW服务器、文件服务器、应用服务器等都是供人出入的“门户”，只要有一个“门户”没有完全保护好，“黑客”就会通过这道门进入系统，窃取或破坏所有资源。

现代计算机系统，大多采用TCP/IP作为网络通信协议，主服务器为Unix或Windows NT操作系统。众所周知，TCP/IP和Unix都是以开放性著称的，系统之间易于互联和共享信息的设计思路贯穿于系统的方方面面，对访问控制、用户验证授权、实时和事后审计等安全内容考虑较少，只实现了基本安全控制功能，而且实现时还存在许多漏洞。

进行全面的安全保护

绝对安全与可靠的信息系统并不存在。一个所谓的安全系统实际上应该是“使入侵者花费不可接受的时间与金钱，并且承受很高的风险才能闯入”。安全是一个过程而不是目的，安全的努力依赖于许多因素，例如职员的调整、新业务应用的实施、新攻击技术与工具的导入和安全漏洞评估。

CA认为，应该把IT系统的安全分为网络安全、服务器安全、用户安全、应用程序和服务安全、数据安全几个部分。网络安全包括查明任何非法访问或偶然访问的入侵者，保证只有授权许可的通信才可以在客户机和服务器之间建立连接，而且正在传输中的数据不能被读取和改变。服务器安全包括控制访问服务器， 防止病毒和特洛伊木马的侵入，检测有意或偶然闯入系统的不速之客; 风险评估被用来检查系统安全配置的缺陷，发现安全漏洞; 政策审查则用来监视系统是否严格执行了规定的安全政策。用户安全是管理用户账户，在用户获得访问特权时设置用户功能，或在他们的访问特权不再有效时, 限制用户账户; 身份验证用来确保用户的登录身份与其真实身份相符，并对其提供单点注册，以解决多个口令的问题。应用程序和服务安全是指对应用程序和服务的口令和授权的管理，大多数应用程序和服务都是靠口令保护的，加强口令变化是安全方案中必不可少的手段， 而授权则是用来规定用户对系统的访问权限。数据安全是保持数据的保密性和完整性，保证非法或好奇者无法阅读它; 数据完整性是指防止非法或偶然的数据改动。该安全保护体系如右图所示。

现代计算机网络系统的安全隐患隐藏在系统的各个角落，所以，我们对系统安全管理应该是多层次、多方面的，要从网络、操作系统、应用各个方面提高系统的安全级别，还要把原来由使用人员维护的安全规则让计算机系统自动实现，以加强系统的总体安全性。
将工具和服务相结合

对系统安全的管理和维护需要各种层次的安全专家才能完成。因此，对系统安全的管理应该由70％的规则和方法加30％的产品和技术组成。这些规则和方法包括风险评估、安全策略、强大的审计手段等。另外，IT系统的结构变化、应用系统的变化都会导致安全策略的变化，因此，上述过程不是静态的，而是周而复始的过程，该过程在维护系统安全的活动中一直存在。
CA公司依据对安全威胁广泛而深刻的认识，从定制信息系统安全策略、设计安全管理工作流程、部署企业级防病毒、入侵检测和防御、系统访问控制、安全漏洞扫描、加密／解密产品、培训用户安全防范技能等各个方面入手，形成综合、全面的端到端安全管理解决方案。CA的安全方案被命名为eTrust，该方案是建立在一个开放的、标准的安全基础框架之上，包括：eTrust Intrusion Detection——智能型网络审计监控、入侵探测、积极主动的防护； eTrust Access Control——跨分布式企业，基于策略的授权与访问控制；eTrust Single Sign-on——针对应用程序和数据库的跨分布式企业，包括跨万维网的单次登录; eTrust Admin——跨异构平台的用户与资源管理以及eTrust Policy Compliance、eTrust OCSPro、eTrust PKI、eTrust VPN、 eTrust Firewall、 eTrust Antivirus、 eTrust Content Inspection、 eTrust Audit、eTrust Directory。

CA还设立了专业的服务部门来加强技术上的支持与服务， 为用户提供安全咨询、 培训和安装实施。