| |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
现代计算机系统功能日渐复杂,企业对计算机的依赖日渐加深,而现代计算机网络系统由于其开放性的需要,使得我们企业关键应用服务器面临着安
当前银行内部网的业务系统也已全面运行。随着下属地市分行业务范围的不断扩大,对网络与系统的要求也不断增长,随着网络规模的不断扩大,安全风险亦随之增加。与此同时,为客户提供网上服务,也成为信息系统发展的一个重点。面对这些要求,如何更好地使用网络资源、如何更好地管理系统和网络、如何全面地提高银行信息系统的安全指数、如何更好地客户提供网上服务,都是急需解决的问题。另一方面,目前金融行业竞争十分激烈,为了在众多的银行中脱颖而出,建立高效安全的信息系统成为增加银行竞争力的一个重要措施。天马行科技凭借着丰富的网络安全管理方面的经验,借助国际上成熟的先进技术,为银行系统的网络安全管理提出了一个完整的解决方案。 clearcase/" target="_blank" >cc>银行系统网络安全现状 银行各业务系统目前一般通过DDN,X.25和PSTN相互连接在一起,除了部分业务系统是通过加密传输之外,几乎没有其他安全措施,就目前的网络结构而言,银行网络系统存在的安全风险有以下几种: 一、通过备份的PSTN的网络连接给网络系统的安全带来了很大的隐患。银行内部安全认证目前的安全手段是用户的账号与密码。一旦密码被盗用,就可以轻而易举地进入公司的信息系统。 二、各证券商和大企业用户可以通过专线进入银行内部,这样有非常大的安全隐患。 三、银行内部员工的违规操作和恶意侵入。实际上在系统入侵事件中,最大的一部分来自系统内部,据西方权威机构统计,在构成损失的入侵事件中,来自系统内部的占到了70%以上。 四、一般银行的清算网和业务综合网虽然在逻辑上相互隔离,但实际物理上是连接在一起的,所以这和两个网连在一起没有太大区别,没有有效隔离,存在安全隐患。 五、很多银行已经开始或即将开始为客户提供网上信息服务和网上银行业务,电子商务的发展要求银行提供网上支付服务,这样大量的黑客会蜂拥而入。 六、银行的一般办公用电脑使用安全级别最差(D1级)的WINDOWS操作系统,对于用户和他们对储存在电脑上信息的访问权限没有身份验证。 而从银行内部网络安全来讲,虽然通过网络设备划分虚网,操作系统用户访问控制,口令控制等方法来实现有限的内部安全,但对于有经验的黑客而言,这些都根本无法阻挡他们对系统的破坏行动。 安全需求 通过对网络系统的风险分析及需要解决的安全问题 ,我们需要制定合理的安全策略及安全方案来确保网络系统的机密性、完整性、可用性、可控性与可审查性。即, · 机密性:确保信息不暴露给未授权的实体或进程。 · 完整性:只有得到允许的人才能修改数据,并且能够判别出数据是否已被篡改。 · 可用性:得到授权的实体在需要时可访问数据,即攻击者不能占用所有的资源而阻碍授权者的工作。 · 可控性:可以控制授权范围内的信息流向及行为方式。 · 可审查性:对出现的网络安全问题提供调查的依据和手段。 具体而言,包括如下几方面: · 访问控制:需要由防火墙将内部网络与外部不可信任的网络隔离,对与外部网络交换数据的内部网络及其主机、所交换的数据进行严格的访问控制。同样,对内部网络,由于不同的应用业务以及不同的安全级别,也需要使用防火墙将不同的LAN或网段进行隔离,并实现相互的访问控制。 · 数据加密:数据加密是在数据传输、存储过程中防止非法窃取、篡改信息的有效手段。 · 安全审计: 是识别与防止网络攻击行为、追查网络泄密行为的重要措施之一。具体包括两方面的内容,一是采用网络监控与入侵防范系统,识别网络各种违规操作与攻击行为,即时响应(如报警)并进行阻断;二是对信息内容的审计,可以防止内部机密或敏感信息的非法泄漏。 设计原则 针对网络系统实际情况,解决网络的安全保密问题是当务之急,考虑技术难度及经费等因素,设计时应遵循如下思想: 1. 大幅度地提高系统的安全性和保密性; 2. 保持网络原有的性能特点,即对网络的协议和传输具有很好的透明性; 3. 易于操作、维护,并便于自动化管理,而不增加或少增加附加操作; 4. 尽量不影响原网络拓扑结构,同时便于系统及系统功能的扩展; 5. 安全保密系统具有较好的性能价格比,一次性投资,可以长期使用; 6. 安全与密码产品具有合法性,及经过国家有关管理部门的认可或认证; 7. 分步实施 银行网络安全设计方案 在企业网内部部署网络和系统安全是一个非常复杂的任务,需要精心规划和部署。当前阶段,我们提供的安全集成方案能够满足银行安全生产要求。 本系统集成方案集体目标如下: (1)全辖范围内使用防火墙进行网络隔离。 (2)部署安全评估系统 (3)部署入侵监视系统 (4)部署全面的病毒防护系统 针对银行对网络安全的需求情况,我们选用主要采用Axent、Checkpoint、ISS和NAI公司产品来设计方案。 网络安全目标构架分为以下四个主要方面:服务器安全,边界安全,Internet和Extranet上的安全,安全管理,如下图所示: 其设计构架为:
在本方案中,防火墙产品选择Axent Reptor或CheckPoint Firewall-1,漏洞分析产品选择Axent NetRecon、ESM或ISS Internet Scanner、System Scanner,入侵检测产品选择Axent Intruder Alert和NetProwler,防病毒产品选择NAI Mecafee或Panda Anti-virus产品,强验证产品选择Axent Defender或RSA Ace Server,PKI产品选择Entrust或Koal PKI产品。 产品描述如下:
|