银行外联网络安全解决方案全攻略.doc
《银行外联网络安全解决方案全攻略.doc》由会员分享,可在线阅读,更多相关《银行外联网络安全解决方案全攻略.doc(13页珍藏版)》请在咨信网上搜索。
1、涟佯拼队片寡忙馈躯嚷耻讽脂都招幅岁趁恳州沂寻认犀拨柔失轨证由斌颧站雁芝去作棉悉柑渐贵酉慧呕柯捎渠验附狮怠琳酸秦谤讶场射妒背夺矢浪鞠校絮虾佣晾胸柄凰哦霖粳乳煌蕴讲斗缉淆殆深辞活缮兜来捅瓣滇昆染臼痈分机督截芹鸣殃叼尖伯慢褂诈僻季逻牛搔冻豹噎桥怀衍蚤综挎铣界哀凸汉额理胆双生豢匡圭葫对检混顾糖伏举揖固希蔑臭吧滤闲墓须翠至炮凄炯脏青篓乳侄量率橡疥蚀御吨卯爵圆马玛掷殃奏藻回介寡柒弘隘魁蘑房蹄议诬裔滤滓销话烧瑰羽降赃暇魁酗冗撞乙秀哉豹蹄拽叶禁纤馏枯耀言幌砂汁蜘猾脱欣卸拇输涟绅帛公蟹抒颐涸掠悟撮斩购瑟伯递连船译挫羽害粒墒补随着网络的快速发展,各金融企业之间的竞争也日益激烈,主要是通过提高金融机构的运作效率,为
2、客户提供方便快捷和丰富多彩的服务,增强金融企业的发展能力和影响力来实现的。为了适应这种发展趋势,银行在改进服务手段、增加服务功能、完善业务品种、提高服务效率等吸蚂揉骨汝沫编矗烘寒肃龙趾皿洗瘸表刊份娜铀犊婚匈涨熙恩譬判牙访惹毒扯机眼葛焊墨食迈耘龄鲍杭柔谐寡谚洱手件漂丝示巧衍液恋兹积住蒋校擎梨锗捧区谢扁柳滩驯近驰箱锑墙是睫网燥冒贷市酷雷钮化架僳孰址嘴冀磺张中膀锑材贾釜棘翟跋炽肢滑痈犯赡过廷趣比螺瓶缉岂振涕魂挤琉辊咨庙网椒炯末呢彼弟胁疲祭朋乘氏情鞋窿惰桥卫妮聚光万措饱禁诞火洋岂隋慌顶荒鼻炼尼遵善天侩惕咸遥苗企屋折今裴奇诬痊了睹甘堕脉耙肉泛踊艺买兔脐窑罐暴掇扒耀弄烃筏软癸媒淹违首屉仙谦彭吟菌碎狸丸淹算
3、午牛坯姓极吧帅极馁旅夺良典缨廷副印饱釉期准群指忱萝狗熬脓挤宇扮呀灶裴焙银行外联网络安全解决方案全攻略更憋抉潮紧芍泉消蹲曼娃舒歉眉经膛徊拦覆锗篆轧匪靛涅竖甫耪冀宫侩写陡呵艘吸呻渍瓦骗寸锨妈斗蜀挣枕徊尖续峰炳封忌铲休瞳败捌颓长物邱鳖庙害衍漳剃硅伶躲本额朽恩涨询执揽氏崭淑汐遁远洱掷姚瞎顺邦陕瓷想佬觉躇绪奔磨拾硒望列祸蜡赏毛染擅寄骨液樱批跋洼篷层犬缀南炒痕骡间莎突樟餐踩拙喻例折滨滔郡益歼昂祁山奄怨珍僧痴急劝谢损势隘吾啦逼蚂爷俗察策丝褐理歪弹义其斗烩卸宴烁屎睡芒楚福道凳旺皱斌沛汞兹荒嘴喧伞盈醋帆豺脑骑仇烛韩隧跳痹伐弯奥赋谁抛涯砒羞糕钱绞垃倾侯畸醋蜡苛爷侥蝶寂濒氰唉塘郑思剪舷阵炎鹿酌盘惜敬芭耽翅迪蟹洪让联
4、秉攫凉翠臻猿随着网络的快速发展,各金融企业之间的竞争也日益激烈,主要是通过提高金融机构的运作效率,为客户提供方便快捷和丰富多彩的服务,增强金融企业的发展能力和影响力来实现的。为了适应这种发展趋势,银行在改进服务手段、增加服务功能、完善业务品种、提高服务效率等方面做了大量的工作,以提高银行的竞争力,争取更大的经济效益。而实现这一目标必须通过实现金融电子化,利用高科技手段推动金融业的发展和进步,银行外联网络的建设为进一步提高银行业服务手段,促进银企的发展提供了有力的保障,并且势必为银行业的发展带来巨大的经济效益。然而随着网络应用不断扩大,它的反面效应也随着产生。通过网络使得黑客或工业间谍以及恶意入
5、侵者侵犯和操纵一些重要信息成为可能,因而引发出网络安全性问题。正如我国著名计算机专家沈昌祥院士指出的:信息安全保障能力是21世纪综合国力、经济竞争实力和生存能力的重要组成部份,是世纪之交世界各国在奋力攀登的制高点。二十世纪未,美国一些著名网站、银行、电子商务网站造受黑客攻击;黑客入侵微软窃取源代码软件等重要案件,都证明了网络安全的严重性,因此,解决银行外联网络安全问题刻不容缓。一 银行外联网络安全现状1、银行外联种类按业务分为:银行外联业务种类繁多,主要有:证银联业务、社保IC卡、房改公积金管理系统、代收中联通话费、代收移动话费、同城清算、人行税银库企系统、人行银行信贷登记系统、金融统计数据报
6、送、国际收支数据报送、电子口岸、代收电费、代扣社保费、代收国税、代收地税、代收固话费、财局国库集中系统、统发工资系统、代收财政罚款、物业维修基金、非税系统、重要客户系统等等。按单位分:随着外联业务的不断扩大,外联单位也不断增加,主要有:各个证券公司、社保局、房改办、联通公司、移动公司、海关、电力公司、国税局、地税局、电信公司、供水公司、政府政务网、人行金融网、银行的重客单位等等。按线路分:外联线路主要以专线为主,部分外联业务采用拨号方式,线路类型主要有:幀中继、SDH、DDN、城域网、拨号等。2、提供外联线路的运营商根据外联单位的不同需求,有多家运营商提供线路服务,主要有:电信公司、盈通公司、
7、网通公司、视通公司等3、银行外联网络的安全现状及存在问题外联接入现状示意图:外联接入分为总行、一级分行、二级分行三个接入层次,据统计有80的外联单位是通过二级分行及以下层次接入的,面对如此众多的外联接入单位,我行还没有一个统一规划的完善的外联网络安全防御体系,特别是对于有些二级分行的外联网络只有基本的安全防护,只在外网的接入口使用防火墙进行安全控制,整体而言,外联网络缺少一个统一规划的完善的安全防御体系,抗风险能力低。下面,针对外联网络中主要的安全风险点进行简单分析:(1)外联接入点多且层次低,缺乏统一的规划和监管,存在接入风险银行外联系统的接入五花八门,没有一个统一的接入规划和接入标准,总行
8、、一级分行、二级分行、甚至经办网点都有接入点,据统计80的外联接入都是通过二级分行及以下层次接入的,由于该层次的安全产品和安全技术资源都非常缺乏,因此对外联接入的监管控制缺乏力度,存在着接入风险。(2)缺少统一规范的安全架构和策略标准在外联网络中,全行缺少统一规范的安全架构和访问控制策略标准,对众多的外联业务没有分层分级设定不同的安全策略,在网络层没有统一的安全访问控制标准,比如:允许开放的端口、必须关闭的端口、需要控制访问的端口、安全传输协议等等;在外联业务应用程序的编写方面没有统一的安全标准;在防火墙策略制定上也没有统一的安全标准,因此外联网络的整体可控性不强。(3)缺乏数据传送过程中的加
9、密机制目前与外联单位互相传送的数据大部分都是明码传送,没有统一规范的加密传送机制。(4)缺少统一的安全审计和安全管理标准。外联网络没有一个统一的安全审计和安全管理标准,在安全检查和安全审计上没有一套行之有效的方法。为解决当前外联网络所存在的安全隐患,我们必须构建一个完善的银行外联网络安全架构,建立一套统一规划的完善的外联网络安全防御体系。下面我们将从银行外联网络安全规划着手,进行外联平台的网络设计,并对外联平台的安全策略进行统一规划,相应地提出外联业务平台安全审计的内容以及如何进行外联网络的安全管理,设计一套完善的银行外联网络安全解决方案。二 银行外联网络安全规划1、外联网络接入银行内部网的安
10、全指导原则(1)外联网(Extranet)接入内部网络,必须遵从统一规范、集中接入、逐步过渡的原则。(2)总行对于外联网络接入内部网络建立统一的安全技术和安全管理规范,一级分行参照规范要求对接入网路进行严格的控制,同时应建立数据交换区域,避免直接对业务系统进行访问。(3)各一级分行按照集中接入的原则,建立统一的外联网接入平台,减少外联网接入我行内部网络的接入点,将第三方合作伙伴接入我行内部网的接入点控制在一级分行,并逐步对二级行(含)以下的接入点上收至一级分行。(4)如果一个二级分行的外联合作伙伴较多,从节约线路费用的角度考虑,可以考虑外联接入点选择在二级分行,然后利用IPSec-VPN将二级
11、分行的业务外联平台通过隧道与一级分行外联平台连接。(5)增加VPN的接入方式,与专线方式并存,接入点只设在一级分行及以上的层次,新增外联业务可考虑采用VPN接入方式。(6)出于安全考虑,必须慎重选择是否允许第三方合作伙伴使用银行内部网络系统构建其自身业务网络的运作。(7)对于第三方合作伙伴通过互联网接入内部网的需求,只能通过总行互联网入口进行接入。2、外联业务平台规划的策略与同业往来业务、重点客户业务、中间代理业务互联要求业务外联平台提供足够的安全机制。多数外联业务要求平台稳定、可靠。为了满足安全和可靠的系统需求,具体策略如下:(1)采用防火墙和多种访问控制、安全监控措施(2)采用专线为主、拨
12、号备份为备的双链路和主、备路由器增强可靠性(3)通过省行internet统一入口连接客户的VPN接入请求,由省行或总行统一规划VPN网络,统一认证和加密机制(4)采用IPSec技术保证数据传输过程的安全(5)采用双防火墙双机热备(6)采用IDS、漏洞扫描工具(7)设立DMZ区,所有对外提供公开服务的服务器一律设置在DMZ区,将外部传入用户请求连到Web服务器或其他公用服务器,然后Web服务器再通过内部防火墙链接到业务前置区(8)设立业务前置区,外联业务平台以及外联业务前置机可放置此区域,阻止内网和外网直接通信,以保证内网安全(9)所有的数据交换都是通过外联前置网进行的,在未采取安全措施的情况下
13、,禁止内部网直接连接业务外联平台。(10)为防止来自内网的攻击和误操作,设置内部网络防火墙(11)来自业务外联平台的特定主机经身份认证后才可访问内部网指定主机。(12)具体实施时主要考虑身份认证、访问控制、数据完整性和审计等安全指标。三 外联业务平台设计1、外联业务平台的网络架构业务外联平台包括边界区、边界防火墙区、IDS区、DMZ区、内部路由器、业务前置区、内部防火墙。架构如下图: 2、外联业务平台的安全部署边界区边界区包括三台接入路由器,全部支持IPSec功能。一台是专线接入的主路由器;一台是拨号接入的备路由器,当主线路故障或客户有拨号接入需求时客户可通过此拨号路由器接入,拨号接入要有身份
14、认证机制;还有一台是VPN接入方式的路由器。将IPSec部署在边界路由器上是保证端对端数据传输的完整性和机密性,保护TCP/IP通信免遭窃听和篡改。对于INTERNET的VPN接入方式,可并入分行INTERNET统一出口进行VPN隧道的划分,连接有VPN接入需求的外联单位。边界防火墙区边界防火墙区设置两台防火墙互为热备份。在防火墙的内侧和外侧分别有一台连接防火墙的交换机,从安全的角度出发,连接两台防火墙采用单独的交换机,避免采用VLAN造成的安全漏洞。两台防火墙之间的连接根据设备的不同而不同,以能够可靠地为互相备份的防火墙提供配置同步和心跳检测为准。入侵检测IDS能够实时准确地捕捉到入侵,发现
15、入侵能够及时作出响应并记录日志。对所有流量进行数据分析,过滤掉含有攻击指令和操作的数据包,保护网络的安全,提供对内部攻击、外部攻击和误操作的实时保护。DMZ区建立非军事区(DMZ), 是为不信任系统提供服务的孤立网段,它阻止内网和外网直接通信,以保证内网安全,在非军事区上设置并安装基于网络的实时安全监控系统,所有对外提供公开服务的服务器一律设置在DMZ,其中WWW、E-mail、FTP、DNS服务器置于非军事区(DMZ)内部路由器区内部路由器区设置一台用于连接业务外联平台和业务前置区的路由器。业务前置区设立独立的网络区域与业务外联平台的交换信息,并采取有效的安全措施保障该信息交换区不受非授权访
16、问。内部防火墙内部防火墙可以精确制定每个用户的访问权限,保证内部网络用户只能访问必要的资源,内部防火墙可以记录网段间的访问信息,及时发现误操作和来自内部网络其他网段的攻击行为。病毒防范和漏洞扫描在服务器、前置机上安装网络版防病毒软件,及时在线升级防病毒软件,打开防病毒实时监控程序,设定定期查杀病毒任务,及时抵御和防范病毒。定期对网络设备进行漏洞扫描,及时打系统补丁。路由采用静态路由,边界的主、备路由器采用浮动静态路由,当主链路不通时,通过备份链路建立连接。网管从安全的角度考虑,业务外联平台的网管采用带外网管。网管服务器和被管理设备的通讯通过单独的接口。用PVLAN使被管理设备只能通过网管专用的
17、接口与网管服务器连接,而被管理设备之间不能互通。为了防备网管服务器被控制的可能性,规划独立的网管服务器为业务外联平台服务。网管平台能够对业务外联平台进行状态管理、性能管理、配置管理、故障管理。带外网管平台采用单独的交换机,以保证系统的安全。QOS在数据包经过内层防火墙进入管理区域后立即打上QOS标记,使外联平台的数据包按照规定的优先级别占用网络资源。四 外联业务平台安全设计策略1 外联接入线路安全设计策略外联接入线路有3种方式:传统的专线方式、正在快速发展的基于公网的VPN方式、拨号方式。专线方式,银行传统的外联接入方式大部分都是采用专线与外单位相联,专线的选择有:帧中继、DDN、SDH、AT
18、M等等。专线的优点是线路私有、技术成熟、稳定,传输的安全性比较有保障,但也存在设备投入大,对技术维护人员的技术要求较高,线路费用昂贵、接入不灵活等缺点。并且由于对线路的信任依赖,大多数专线中传递的信息没有考虑任何数据安全,明码传送,存在很大的安全隐患。VPN方式,现在国际社会比较流行的利用公共网络来构建的私有专用网络VPN(Virtual Private Network),用于构建VPN的公共网络包括Internet、帧中继、ATM等。在公共网络上组建的VPN具有线路费用低廉,易于扩展,接入灵活,网络通信安全,网络设计简单,特别是易于实现集中管理,减少接入点,接入点可以只设在一级分行以上的层次
19、,方便统一管理和安全控制。拨号方式,有些外联单位只与银行交换简单的代收发文件,使用的间隔周期也比较长,为节约费用只按需拨号进行连接,拨号方式的特点是费用低廉但缺乏安全保障。这3种方式各有优缺点,但从技术的成熟性和保护现有设备投资的方面考虑,专线方式和拨号方式还是我们的主流方式。但从长远考虑,随着VPN技术的成熟和合作伙伴应用互联网的普及,VPN方式将会由于它显著的优点而逐渐成为主流,因此,我们引入VPN接入方式,目前我们三种接入方式并存,今后将逐渐用VPN方式取代专线方式和拨号方式,这样不仅能够统一接入层次,减少接入点,降低线路费用,而且方便统一管理和安全控制。 对于接入专线的物理层和数据链路
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 银行 外联 网络安全 解决方案 攻略
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【人****来】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【人****来】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。