银行外联网络安全解决方案全攻略整理.docx
- 文档编号:25635051
- 上传时间:2023-06-10
- 格式:DOCX
- 页数:18
- 大小:99.07KB
银行外联网络安全解决方案全攻略整理.docx
《银行外联网络安全解决方案全攻略整理.docx》由会员分享,可在线阅读,更多相关《银行外联网络安全解决方案全攻略整理.docx(18页珍藏版)》请在冰豆网上搜索。
银行外联网络安全解决方案全攻略整理
银行外联网络平安解决方案全攻略
网络的开展,正在引发一场人类文明的根本变革。
网络已成为一个国家最为关键的政治、经济、军事资源,成为国家实力的新象征。
同时,开展网络技术也是国民经济现代化建设不可缺的一个必要条件。
能否把握网络给中国开展带来的机遇,将会直接影响21世纪中国的生存。
另一方面,网络的开展也在不断改变人们的工作、生活方式,使信息的获取、传递、处理和利用更加高效、迅速。
随着科学技术不断开展,网络已经成为人们生活的一个组成局部。
随着网络的快速开展,各金融企业之间的竞争也日益剧烈,主要是通过提高金融机构的运作效率,为客户提供方便快捷和丰富多彩的效劳,增强金融企业的开展能力和影响力来实现的。
为了适应这种开展趋势,银行在改良效劳手段、增加效劳功能、完善业务品种、提高效劳效率等方面做了大量的工作,以提高银行的竞争力,争取更大的经济效益。
而实现这一目标必须通过实现金融电子化,利用高科技手段推动金融业的开展和进步,银行外联网络的建设为进一步提高银行业效劳手段,促进银企的开展提供了有力的保障,并且势必为银行业的开展带来巨大的经济效益。
然而随着网络应用不断扩大,它的反面效应也随着产生。
通过网络使得黑客或工业间谍以及恶意入侵者侵犯和操纵一些重要信息成为可能,因而引发出网络平安性问题。
正如我国著名计算机专家沈昌祥院士指出的:
"信息平安保障能力是21世纪综合国力、经济竞争实力和生存能力的重要组成部份,是世纪之交世界各国在奋力攀登的制高点"。
二十世纪未,美国一些著名网站、银行、电子商务网站造受黑客攻击;黑客入侵微软窃取源代码软件等重要案件,都证明了网络平安的严重性,因此,解决银行外联网络平安问题刻不容缓。
一银行外联网络平安现状
1、银行外联种类
按业务分为:
银行外联业务种类繁多,主要有:
证银联业务、社保IC卡、房改公积金管理系统、代收中联通话费、代收移动话费、同城清算、人行税银库企系统、人行银行信贷登记系统、金融统计数据报送、国际收支数据报送、电子口岸、代收电费、代扣社保费、代收国税、代收地税、代收固话费、财局国库集中系统、统发工资系统、代收财政罚款、物业维修基金、非税系统、重要客户系统等等。
按单位分:
随着外联业务的不断扩大,外联单位也不断增加,主要有:
各个证券公司、社保局、房改办、联通公司、移动公司、海关、电力公司、国税局、地税局、电信公司、供水公司、政府政务网、人行金融网、银行的重客单位等等。
按线路分:
外联线路主要以专线为主,局部外联业务采用拨号方式,线路类型主要有:
幀中继、SDH、DDN、城域网、拨号等。
2、提供外联线路的运营商
根据外联单位的不同需求,有多家运营商提供线路效劳,主要有:
电信公司、盈通公司、网通公司、视通公司等
3、银行外联网络的平安现状及存在问题
外联接入现状示意图:
外联接入分为总行、一级分行、二级分行三个接入层次,据统计有80%的外联单位是通过二级分行及以下层次接入的,面对如此众多的外联接入单位,我行还没有一个统一规划的完善的外联网络平安防御体系,特别是对于有些二级分行的外联网络只有根本的平安防护,只在外网的接入口使用防火墙进行平安控制,整体而言,外联网络缺少一个统一规划的完善的平安防御体系,抗风险能力低。
下面,针对外联网络中主要的平安风险点进行简单分析:
〔1〕外联接入点多且层次低,缺乏统一的规划和监管,存在接入风险
银行外联系统的接入五花八门,没有一个统一的接入规划和接入标准,总行、一级分行、二级分行、甚至经办网点都有接入点,据统计80%的外联接入都是通过二级分行及以下层次接入的,由于该层次的平安产品和平安技术资源都非常缺乏,因此对外联接入的监管控制缺乏力度,存在着接入风险。
〔2〕缺少统一标准的平安架构和策略标准
在外联网络中,全行缺少统一标准的平安架构和访问控制策略标准,对众多的外联业务没有分层分级设定不同的平安策略,在网络层没有统一的平安访问控制标准,比方:
允许开放的端口、必须关闭的端口、需要控制访问的端口、平安传输协议等等;在外联业务应用程序的编写方面没有统一的平安标准;在防火墙策略制定上也没有统一的平安标准,因此外联网络的整体可控性不强。
〔3〕缺乏数据传送过程中的加密机制
目前与外联单位互相传送的数据大局部都是明码传送,没有统一标准的加密传送机制。
〔4〕缺少统一的平安审计和平安管理标准。
外联网络没有一个统一的平安审计和平安管理标准,在平安检查和平安审计上没有一套行之有效的方法。
为解决当前外联网络所存在的平安隐患,我们必须构建一个完善的银行外联网络平安架构,建立一套统一规划的完善的外联网络平安防御体系。
下面我们将从银行外联网络平安规划着手,进行外联平台的网络设计,并对外联平台的平安策略进行统一规划,相应地提出外联业务平台平安审计的内容以及如何进行外联网络的平安管理,设计一套完善的银行外联网络平安解决方案。
二银行外联网络平安规划
1、外联网络接入银行内部网的平安指导原那么
〔1〕外联网〔Extranet〕接入内部网络,必须遵从统一标准、集中接入、逐步过渡的原那么。
〔2〕总行对于外联网络接入内部网络建立统一的平安技术和平安管理标准,一级分行参照标准要求对接入网路进行严格的控制,同时应建立数据交换区域,防止直接对业务系统进行访问。
〔3〕各一级分行按照集中接入的原那么,建立统一的外联网接入平台,减少外联网接入我行内部网络的接入点,将第三方合作伙伴接入我行内部网的接入点控制在一级分行,并逐步对二级行〔含〕以下的接入点上收至一级分行。
〔4〕如果一个二级分行的外联合作伙伴较多,从节约线路费用的角度考虑,可以考虑外联接入点选择在二级分行,然后利用IPSec-VPN将二级分行的业务外联平台通过隧道与一级分行外联平台连接。
〔5〕增加VPN的接入方式,与专线方式并存,接入点只设在一级分行及以上的层次,新增外联业务可考虑采用VPN接入方式。
〔6〕出于平安考虑,必须慎重选择是否允许第三方合作伙伴使用银行内部网络系统构建其自身业务网络的运作。
〔7〕对于第三方合作伙伴通过互联网接入内部网的需求,只能通过总行互联网入口进行接入。
2、外联业务平台规划的策略
与同业往来业务、重点客户业务、中间代理业务互联要求业务外联平台提供足够的平安机制。
多数外联业务要求平台稳定、可靠。
为了满足平安和可靠的系统需求,具体策略如下:
〔1〕采用防火墙和多种访问控制、平安监控措施
〔2〕采用专线为主、拨号备份为备的双链路和主、备路由器增强可靠性
〔3〕通过省行internet统一入口连接客户的VPN接入请求,由省行或总行统一规划VPN网络,统一认证和加密机制
〔4〕采用IPSec技术保证数据传输过程的平安
〔5〕采用双防火墙双机热备
〔6〕采用IDS、漏洞扫描工具
〔7〕设立DMZ区,所有对外提供公开效劳的效劳器一律设置在DMZ区,将外部传入用户请求连到Web效劳器或其他公用效劳器,然后Web效劳器再通过内部防火墙链接到业务前置区
〔8〕设立业务前置区,外联业务平台以及外联业务前置机可放置此区域,阻止内网和外网直接通信,以保证内网平安
〔9〕所有的数据交换都是通过外联前置网进行的,在未采取平安措施的情况下,禁止内部网直接连接业务外联平台。
〔10〕为防止来自内网的攻击和误操作,设置内部网络防火墙
〔11〕来自业务外联平台的特定主机经身份认证后才可访问内部网指定主机。
〔12〕具体实施时主要考虑身份认证、访问控制、数据完整性和审计等平安指标。
三外联业务平台设计
1、外联业务平台的网络架构
业务外联平台包括边界区、边界防火墙区、IDS区、DMZ区、内部路由器、业务前置区、内部防火墙。
架构如下列图:
2、外联业务平台的平安部署
边界区
边界区包括三台接入路由器,全部支持IPSec功能。
一台是专线接入的主路由器;一台是拨号接入的备路由器,当主线路故障或客户有拨号接入需求时客户可通过此拨号路由器接入,拨号接入要有身份认证机制;还有一台是VPN接入方式的路由器。
将IPSec部署在边界路由器上是保证端对端数据传输的完整性和机密性,保护TCP/IP通信免遭窃听和篡改。
对于INTERNET的VPN接入方式,可并入分行INTERNET统一出口进行VPN隧道的划分,连接有VPN接入需求的外联单位。
边界防火墙区
边界防火墙区设置两台防火墙互为热备份。
在防火墙的内侧和外侧分别有一台连接防火墙的交换机,从平安的角度出发,连接两台防火墙采用单独的交换机,防止采用VLAN造成的平安漏洞。
两台防火墙之间的连接根据设备的不同而不同,以能够可靠地为互相备份的防火墙提供配置同步和心跳检测为准。
入侵检测IDS
能够实时准确地捕捉到入侵,发现入侵能够及时作出响应并记录日志。
对所有流量进行数据分析,过滤掉含有攻击指令和操作的数据包,保护网络的平安,提供对内部攻击、外部攻击和误操作的实时保护。
DMZ区
建立非军事区〔DMZ〕,是为不信任系统提供效劳的孤立网段,它阻止内网和外网直接通信,以保证内网平安,在非军事区上设置并安装基于网络的实时平安监控系统,所有对外提供公开效劳的效劳器一律设置在DMZ,其中.、E-mail、FTP、DNS效劳器置于非军事区〔DMZ〕
内部路由器区
内部路由器区设置一台用于连接业务外联平台和业务前置区的路由器。
业务前置区
设立独立的网络区域与业务外联平台的交换信息,并采取有效的平安措施保障该信息交换区不受非授权访问。
内部防火墙
内部防火墙可以精确制定每个用户的访问权限,保证内部网络用户只能访问必要的资源,内部防火墙可以记录网段间的访问信息,及时发现误操作和来自内部网络其他网段的攻击行为。
病毒防范和漏洞扫描
在效劳器、前置机上安装网络版防病毒软件,及时在线升级防病毒软件,翻开防病毒实时监控程序,设定定期查杀病毒任务,及时抵御和防范病毒。
定期对网络设备进行漏洞扫描,及时打系统补丁。
路由
采用静态路由,边界的主、备路由器采用浮动静态路由,当主链路不通时,通过备份链路建立连接。
网管
从平安的角度考虑,业务外联平台的网管采用带外网管。
网管效劳器和被管理设备的通讯通过单独的接口。
用PVLAN使被管理设备只能通过网管专用的接口与网管效劳器连接,而被管理设备之间不能互通。
为了防范网管效劳器被控制的可能性,规划独立的网管效劳器为业务外联平台效劳。
网管平台能够对业务外联平台进行状态管理、性能管理、配置管理、故障管理。
带外网管平台采用单独的交换机,以保证系统的平安。
QOS
在数据包经过内层防火墙进入管理区域后立即打上QOS标记,使外联平台的数据包按照规定的优先级别占用网络资源。
四外联业务平台平安设计谋略
1外联接入线路平安设计谋略
外联接入线路有3种方式:
传统的专线方式、正在快速开展的基于公网的VPN方式、拨号方式。
专线方式,银行传统的外联接入方式大局部都是采用专线与外单位相联,专线的选择有:
帧中继、DDN、SDH、ATM等等。
专线的优点是线路私有、技术成熟、稳定,传输的平安性比拟有保障,但也存在设备投入大,对技术维护人员的技术要求较高,线路费用昂贵、接入不灵活等缺点。
并且由于对线路的信任依赖,大多数专线中传递的信息没有考虑任何数据平安,明码传送,存在很大的平安隐患。
VPN方式,现在国际社会比拟流行的利用公共网络来构建的私有专用网络VPN〔VirtualPrivateNetwork〕,用于构建VPN的公共网络包括Internet、帧中继、ATM等。
在公共网络上组建的VPN具有线路费用低廉,易于扩展,接入灵活,网络通信平安,网络设计简单,特别是易于实现集中管理,减少接入点,接入点可以只设在一级分行以上的层次,方便统一管理和平安控制。
拨号方式,有些外联单位只与银行交换简单的代收发文件,使用的间隔周期也比拟长,为节约费用只按需拨号进行连接,拨号方式的特点是费用低廉但缺乏平安保障。
这3种方式各有优缺点,但从技术的成熟性和保护现有设备投资的方面考虑,专线方式和拨号方式还是我们的主流方式。
但从长远考虑,随着VPN技术的成熟和合作伙伴应用互联网的普及,VPN方式将会由于它显著的优点而逐渐成为主流,因此,我们引入VPN接入方式,目前我们三种接入方式并存,今后将逐渐用VPN方式取代专线方式和拨号方式,这样不仅能够统一接入层次,减少接入点,降低线路费用,而且方便统一管理和平安控制。
对于接入专线的物理层和数据链路层平安是由运营商保障的,在边界接入路由器上设置静态路由、采用平安访问控制实现网络层的平安控制,为保证数据传输的机密性和完整性,建议在银行外联网络中采用IPSec技术,在接入端统一安装支持IPSec功能的接入路由器。
对于VPN方式的接入,VPN虽然构建在公用数据网上,但可以通过附加的平安隧道、用户认证和访问控制等技术实现与专用网络相类似的平安性能,从而实现对重要信息的平安传输。
与企业独立构建专用网络相比,VPN具有节省投资、易于扩展、简化管理等特点。
对于拨号接入我们采用AAA认证的方式验证拨入方的身份。
2外联业务平台物理层平安设计谋略
物理层平安是指设备平安和线路平安,保障物理平安除了要遵守国家相关的场地要求和设计标准外,还要做好相关设备的备份、关键线路的备份、相应数据的备份。
定期对网络参数、应用数据、日志进行备份,定期对备份设备进行参数同步。
3外联业务平台网络层平安设计谋略
外联业务平台平安设计的重点就是如何进行网络层的平安防护,在网络层我们采用了防火墙技术、入侵检测技术、VPN技术、IPSec技术、访问控制技术等多种平安技术进行网络层的平安防护。
〔1〕部署边界防火墙和内部防火墙
在总行、一级分行、二级分行各级外联接入点的边界都应安装边界防火墙,边界防火墙的任务有:
通过对源地址过滤,拒绝外部非法IP地址,有效地防止外部网络上与业务无关的主机的越权访问,防火墙只保存有用的效劳;
关闭其他不要的效劳,可将系统受攻击的可能性降低到最小限度,使黑客无机可乘;
制定访问策略,使只有被授权的外部主机可以访问内部网络的有限的IP地址,保证外部网络只能访问内部网络中必要的资源,与业务无关的操作将被拒绝;
由于外部网络对DMZ区主机的所有访问都要经过防火墙,防火墙可以全面监视外部网络对内部网络的访问活动,并进行详细地记录,通过分析可以发现可疑的攻击行为;
对于远程登录的用户,如telnet等,防火墙利用加强的认证功能,可以有效地防止非法入侵;
集中管理网络的平安策略,因此黑客无法通过更改某一台主机的平安策略来到达控制其他资源,获取访问权限的目的;
进行地址转换工作,使外部网络不能看到内部网络的结构,从而使黑客攻击失去目标。
在内部网和业务前置区之间部署内部防火墙,内部防火墙的任务有:
精确制定每个用户的访问权限,保证内部网络用户只能访问必要的资源
记录网段间的访问信息,及时发现误操作和来自内部网络其他网段的攻击行为。
〔2〕部署入侵检测系统
入侵检测是防火墙技术的重要补充,在不影响网络的情况下能对网络进行检测分析,从而对内部攻击、外部攻击和误操作进行实时识别和响应,有效地监视、审计、评估网络系统。
入侵检测和漏洞扫描技术结合起来是预防黑客攻击的主要手段。
入侵检测的主要功能有:
检测并分析用户和系统的活动
核查系统配置和漏洞
评估系统关键资源和数据文件的完整性
识别的攻击行为
统计分析异常行为
操作系统日志管理,并识别违反平安策略的用户活动
入侵检测技术主要可以分为基于主机入侵检测和基于网络入侵检测两种。
基于主机的系统通过软件来分析来自各个地方的数据,这些数据可以是事件日志〔LOG文件〕、配置文件、PASSWORD文件等;基于网络的系统通过网络监听的方式从网络中获取数据,并根据事先定义好的规那么检查它,从而判定通讯是否合法。
〔3〕应用VPN
对于VPN接入方式,在接入端采用专用VPN设备,VPN的实现技术是通过公用网在各个路由器之间建立VPN平安隧道来传输用户的私有网络数据,用于构建这种VPN连接的隧道技术有IPSEC等。
结合效劳商提供的QOS机制,可以有效而且可靠的使用网络资源,保证了网络质量。
VPN大致包括三种典型的应用环境,即IntranetVPN,RemoteAccessVPN和ExtranetVPN。
其中IntranetVPN主要是在内部专用网络上提供虚拟子网和用户管理认证功能;RemoteAccessVPN侧重远程用户接入访问过程中对信息资源的保护;而ExtranetVPN那么需要将不同的用户子网扩展成虚拟的企业网络。
我们所推荐使用的是ExtranetVPN,并且建议今后逐渐用VPN的外联接入方式取代专线接入方式,VPN技术将是今后外联接入的开展方向,VPN技术取代专线将指日可待。
VPN技术的优点主要包括:
信息的平安性。
虚拟专用网络采用平安隧道(SecureTunnel)技术向用户提供无缝(Seamless)的和平安的端到端连接效劳,确保信息资源的平安。
方便的扩充性。
用户可以利用虚拟专用网络技术方便地重构企业专用网络(PrivateNetwork),实现异地业务人员的远程接入,加强与客户、合作伙伴之间的联系,以进一步适应虚拟企业的新型企业组织形式。
方便的管理。
VPN将大量的网络管理工作放到互联网络效劳提供者(ISP)一端来统一实现,从而减轻了企业内部网络管理的负担。
同时VPN也提供信息传输、路由等方面的智能特性及其与其他网络设备相独立的特性,也便于用户进行网络管理。
显著的本钱效益。
利用现有互联网络兴旺的网络构架组建外联网络,从而节省了大量的投资本钱及后续的运营维护本钱。
〔4〕应用IPSec
IPSec由IETF下属的一个IPSec工作组起草设计的,在IP协议层上对数据包进行高强度的平安处理,提供数据源验证、无连接数据完整性、数据机密性、抗重播和有限业务流机密性等平安效劳。
各种应用程序可以享用IP层提供的平安效劳和密钥管理,而不必设计和实现自己的平安机制,因此减少了密钥协商的开销,也降低了产生平安漏洞的可用性。
IPSec弥补了由于TCP/IP协议体系自身带来的平安漏洞,可以保护TCP/IP通信免遭窃听和篡改,保证数据的完整性和机密性,有效抵御网络攻击,同时保持易用性。
IPSec可连续或递归应用,在路由器、防火墙、主机和通信链路上配置,实现端到端平安、虚拟专用网络〔VPN〕和平安隧道技术。
IPSec的缺点是不能兼容NAT技术,当防火墙和路由器采用NAT技术对IP包进行地址转换时,IPSec包不能通过。
因此,需要使用IPSec功能时必须采用NAT-T技术实现IPSec穿越NAT。
〔5〕网络层的访问控制策略
禁止来自业务外联平台的的访问直接进入内部网
限制能开通的效劳或端口
设立与内部网隔离的指定的数据交换区,来自业务外联平台的的访问只能到达指定的数据交换区
能对进入指定数据交换区的主体限制到主机
能经过代理实现指定客户对内部网指定主机和业务的访问
4外联业务平台系统层平安设计谋略
操作系统因为设计和版本的问题,存在许多的平安漏洞,同时因为在使用中平安设置不当,也会增加平安漏洞,带来平安隐患,因此要定期漏洞扫描,及时升级、及时打补丁。
5外联业务平台应用层平安设计谋略
根据银行专用网络的业务和效劳,采用身份认证技术、防病毒技术以及对各种应用效劳的平安性增强配置效劳,保障网络系统在应用层的平安。
〔1〕身份认证技术
公开密钥根底设施〔PKI〕是一种遵循标准的密钥管理平台,能够为所有网络应用透明地提供采用加密和数字签名等密码效劳所必需的密钥和证书管理。
在总行和省行网络中心建立CA中心,为应用系统的可靠运行提供支持。
进入指定数据交换区必须进行基于口令的身份认证。
以拨号方式连接业务外联平台时,在拨号连接建立之前,必须通过基于静态口令、动态口令或拨号回呼的身份认证。
为了配合全行的集中认证工程,认证效劳器必须采用全行统一规定的标准协议,能够支持多级认证体系结构。
在集中认证系统投入使用之前,AAA效劳器能够独立完成认证、授权和审计任务。
在集中认证体系投入使用之后,AAA效劳器能够实现向上级认证效劳器的认证请求转发,实现集中认证。
〔2〕防病毒技术
病毒是系统中最常见、威胁最大的平安来源。
我们必须有一个全方位的外联网病毒防御体系,目前主要采用病毒防范系统解决病毒查找、清杀问题。
五外联业务平台平安审计
对进出业务外联平台的访问必须进行审计,要求如下:
能够生成进出业务外联平台的的访问日志
日志内容包括访问时间、主体和客体地址信息、访问方式、访问业务、访问成败情况、持续时间、同一访问发起建立连接次数、本次访问通信流量等
对所记录的日志具有格式化的审计功能,能针对不同主体、客体、时间段、访问成败等情况进行统计并形式化输出
网络审计,防止非法内连和外连
数据库审计,以更加细的粒度对数据库的读取行为进行跟踪
应用系统审计,例如公文流转经过几个环节,必须要有清晰的记录
主机审计,包括对终端系统安装了哪些不平安软件的审计,并设置终端系统的权限等等
介质审计,包括光介质、磁介质和纸介质的审计,防止机密信息通过移动U盘、非法打印或者照相等多个环节从信息系统中泄密。
对重要效劳器的操作要有记录;
对外网〔互联网〕连接记录要有针对性的审计;
对网络内的流量、网络设备工作状态进行审计;
对重要的数据库访问记录要进行有效的审计
六外联网络平安管理
要保障外联网络平安运行,光靠技术控制还远远不够,还要注意加强在平安管理方面的工作。
就现阶段而言,网络平安最大的威胁不是来自外部,而是内部的平安制度、操作标准和平安监督机制。
人是信息平安目标实现的主体,网络平安需要全体人员共同努力,防止出现"木桶效应"。
为此应着重解决好几个方面的问题。
1、组织工作人员加强网络平安学习,提高工作人员的维护网络平安的警惕性和自觉性,提高保密观念,提高平安意识,提高操作技能。
2、加强管理,建立一套行之有效的外联网络平安管理制度和操作人员守那么,建立定期检查制度和有效的监督体系。
3、大力推进外联应用软件的标准化,研究各种平安机制,创造一个具有平安设置的开发环境。
4、建立完善的管理制度
〔1〕建立外联网络联网规定和联网操作流程。
〔2〕建立责任分工制度,权限管理制度,明确岗位和职责,各司其职,各负其责。
〔3〕平安监督管理制度,是指专人对系统使用情况监控,防止非法操作,对发现的异常情况,要采取有效措施加以控制。
〔4〕采用必要的行政手段来落实各项平安责任,要在计算机系统中设置必要的审核机制,要建立严格的系统日志记录管理机制。
〔5〕加强对各类人员的平安教育,使公众了解提高外联网络平安的必要性,自觉遵守网络平安管理制度。
〔6〕只有不断完善和加强各种平安管理手段与平安技术防范,行政管理与技术方法相结合,才能有效保证网络化系统的平安。
5、建立严格制度的文档
〔1〕外联网络建设方案:
网络技术体制、网络拓扑结构、
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 银行 外联 网络安全 解决方案 攻略 整理