1、银行外联网络安全处理方案全攻略网络发展,正在引发一场人类文明根本变革。网络已成为一个国家最为关键政治、经济、军事资源,成为国家实力新象征。同时,发展网络技术也是国民经济现代化建设不可缺一个必需条件。能否把握网络给中国发展带来机遇,将会直接影响二十一世纪中国生存。其次,网络发展也在不停改变大家工作、生活方法,使信息获取、传输、处理和利用愈加高效、快速。伴随科学技术不停发展,网络已经成为大家生活一个组成部分。伴随网络快速发展,各金融企业之间竞争也日益猛烈,关键是经过提升金融机构运作效率,为用户提供方便快捷和丰富多彩服务,增强金融企业发展能力和影响力来实现。为了适应这种发展趋势,银行在改善服务手段、
2、增加服务功效、完善业务品种、提升服务效率等方面做了大量工作,以提升银行竞争力,争取更大经济效益。而实现这一目标必需经过实现金融电子化,利用高科技手段推进金融业发展和进步,银行外联网络建设为深入提升银行业服务手段,促进银企发展提供了有力保障,而且势必为银行业发展带来巨大经济效益。然而伴随网络应用不停扩大,它反面效应也伴随产生。经过网络使得黑客或工业间谍和恶意入侵者侵犯和操纵部分关键信息成为可能,所以引发出网络安全性问题。正如中国著名计算机教授沈昌祥院士指出:信息安全保障能力是二十一世纪综合国力、经济竞争实力和生存能力关键组成部份,是世纪之交世界各国在奋力攀登制高点。二十世纪未,美国部分著名网站、
3、银行、电子商务网站造受黑客攻击;黑客入侵微软窃取源代码软件等关键案件,全部证实了网络安全严重性,所以,处理银行外联网络安全问题刻不容缓。一 银行外联网络安全现实状况1、银行外联种类按业务分为:银行外联业务种类繁多,关键有:证银联业务、社保IC卡、房改公积金管理系统、代收中联通话费、代收移动话费、同城清算、人行税银库企系统、人行银行信贷登记系统、金融统计数据报送、国际收支数据报送、电子口岸、代收电费、代扣社保费、代收国税、代收地税、代收固话费、财局国库集中系统、统发工资系统、代收财政罚款、物业维修基金、非税系统、关键用户系统等等。按单位分:伴随外联业务不停扩大,外联单位也不停增加,关键有:各个证
4、券企业、社保局、房改办、联通企业、移动企业、海关、电力企业、国税局、地税局、电信企业、供水企业、政府政务网、人行金融网、银行重客单位等等。按线路分:外联线路关键以专线为主,部分外联业务采取拨号方法,线路类型关键有:幀中继、SDH、DDN、城域网、拨号等。2、提供外联线路运行商依据外联单位不一样需求,有多家运行商提供线路服务,关键有:电信企业、盈通企业、网通企业、视通企业等3、银行外联网络安全现实状况及存在问题外联接入现实状况示意图:外联接入分为总行、一级分行、二级分行三个接入层次,据统计有80外联单位是经过二级分行及以下层次接入,面对如此众多外联接入单位,我行还没有一个统一计划完善外联网络安全
5、防御体系,尤其是对于有些二级分行外联网络只有基础安全防护,只在外网接入口使用防火墙进行安全控制,整体而言,外联网络缺乏一个统一计划完善安全防御体系,抗风险能力低。下面,针对外联网络中关键安全风险点进行简单分析:(1)外联接入点多且层次低,缺乏统一计划和监管,存在接入风险银行外联络统接入五花八门,没有一个统一接入计划和接入标准,总行、一级分行、二级分行、甚至经办网点全部有接入点,据统计80外联接入全部是经过二级分行及以下层次接入,因为该层次安全产品和安全技术资源全部很缺乏,所以对外联接入监管控制缺乏力度,存在着接入风险。(2)缺乏统一规范安全架构和策略标准在外联网络中,全行缺乏统一规范安全架构和
6、访问控制策略标准,对众多外联业务没有分层分级设定不一样安全策略,在网络层没有统一安全访问控制标准,比如:许可开放端口、必需关闭端口、需要控制访问端口、安全传输协议等等;在外联业务应用程序编写方面没有统一安全标准;在防火墙策略制订上也没有统一安全标准,因另外联网络整体可控性不强。(3)缺乏数据传送过程中加密机制现在和外联单位相互传送数据大部分全部是明码传送,没有统一规范加密传送机制。(4)缺乏统一安全审计和安全管理标准。外联网络没有一个统一安全审计和安全管理标准,在安全检验和安全审计上没有一套行之有效方法。为处理目前外联网络所存在安全隐患,我们必需构建一个完善银行外联网络安全架构,建立一套统一计
7、划完善外联网络安全防御体系。下面我们将从银行外联网络安全计划着手,进行外联平台网络设计,并对外联平台安全策略进行统一计划,对应地提出外联业务平台安全审计内容和怎样进行外联网络安全管理,设计一套完善银行外联网络安全处理方案。二 银行外联网络安全计划1、外联网络接入银行内部网安全指导标准(1)外联网(Extranet)接入内部网络,必需遵从统一规范、集中接入、逐步过渡标准。(2)总行对于外联网络接入内部网络建立统一安全技术和安全管理规范,一级分行参考规范要求对接入网路进行严格控制,同时应建立数据交换区域,避免直接对业务系统进行访问。(3)各一级分行根据集中接入标准,建立统一外联网接入平台,降低外联
8、网接入我行内部网络接入点,将第三方合作伙伴接入我行内部网接入点控制在一级分行,并逐步对二级行(含)以下接入点上收至一级分行。(4)假如一个二级分行外联合作伙伴较多,从节省线路费用角度考虑,能够考虑外联接入点选择在二级分行,然后利用IPSec-VPN将二级分行业务外联平台经过隧道和一级分行外联平台连接。(5)增加VPN接入方法,和专线方法并存,接入点只设在一级分行及以上层次,新增外联业务可考虑采取VPN接入方法。(6)出于安全考虑,必需慎重选择是否许可第三方合作伙伴使用银行内部网络系统构建其本身业务网络运作。(7)对于第三方合作伙伴经过互联网接入内部网需求,只能经过总行互联网入口进行接入。2、外
9、联业务平台计划策略和同业往来业务、关键用户业务、中间代理业务互联要求业务外联平台提供足够安全机制。多数外联业务要求平台稳定、可靠。为了满足安全和可靠系统需求,具体策略以下:(1)采取防火墙和多个访问控制、安全监控方法(2)采取专线为主、拨号备份为备双链路和主、备路由器增强可靠性(3)经过省行internet统一入口连接用户VPN接入请求,由省行或总行统一计划VPN网络,统一认证和加密机制(4)采取IPSec技术确保数据传输过程安全(5)采取双防火墙双机热备(6)采取IDS、漏洞扫描工具(7)设置DMZ区,全部对外提供公开服务服务器一律设置在DMZ区,将外部传入用户请求连到Web服务器或其它公用
10、服务器,然后Web服务器再经过内部防火墙链接到业务前置区(8)设置业务前置区,外联业务平台和外联业务前置机可放置此区域,阻止内网和外网直接通信,以确保内网安全(9)全部数据交换全部是经过外联前置网进行,在未采取安全方法情况下,严禁内部网直接连接业务外联平台。(10)为预防来自内网攻击和误操作,设置内部网络防火墙(11)来自业务外联平台特定主机经身份认证后才可访问内部网指定主机。(12)具体实施时关键考虑身份认证、访问控制、数据完整性和审计等安全指标。三 外联业务平台设计1、外联业务平台网络架构业务外联平台包含边界区、边界防火墙区、IDS区、DMZ区、内部路由器、业务前置区、内部防火墙。架构以下
11、图: 2、外联业务平台安全布署边界区边界区包含三台接入路由器,全部支持IPSec功效。一台是专线接入主路由器;一台是拨号接入备路由器,当根本路故障或用户有拨号接入需求时用户可经过此拨号路由器接入,拨号接入要有身份认证机制;还有一台是VPN接入方法路由器。将IPSec布署在边界路由器上是确保端对端数据传输完整性和机密性,保护TCP/IP通信免遭窃听和篡改。对于INTERNETVPN接入方法,可并入分行INTERNET统一出口进行VPN隧道划分,连接有VPN接入需求外联单位。边界防火墙区边界防火墙区设置两台防火墙互为热备份。在防火墙内侧和外侧分别有一台连接防火墙交换机,从安全角度出发,连接两台防火
12、墙采取单独交换机,避免采取VLAN造成安全漏洞。两台防火墙之间连接依据设备不一样而不一样,以能够可靠地为相互备份防火墙提供配置同时和心跳检测为准。入侵检测IDS能够实时正确地捕捉到入侵,发觉入侵能够立即作出响应并统计日志。对全部流量进行数据分析,过滤掉含有攻击指令和操作数据包,保护网络安全,提供对内部攻击、外部攻击和误操作实时保护。DMZ区建立非军事区(DMZ), 是为不信任系统提供服务孤立网段,它阻止内网和外网直接通信,以确保内网安全,在非军事区上设置并安装基于网络实时安全监控系统,全部对外提供公开服务服务器一律设置在DMZ,其中.、E-mail、FTP、DNS服务器置于非军事区(DMZ)内
13、部路由器区内部路由器区设置一台用于连接业务外联平台和业务前置区路由器。业务前置区设置独立网络区域和业务外联平台交换信息,并采取有效安全方法保障该信息交换区不受非授权访问。内部防火墙内部防火墙能够正确制订每个用户访问权限,确保内部网络用户只能访问必需资源,内部防火墙能够统计网段间访问信息,立即发觉误操作和来自内部网络其它网段攻击行为。病毒防范和漏洞扫描在服务器、前置机上安装网络版防病毒软件,立即在线升级防病毒软件,打开防病毒实时监控程序,设定定时查杀病毒任务,立即抵御和防范病毒。定时对网络设备进行漏洞扫描,立即打系统补丁。路由采取静态路由,边界主、备路由器采取浮动静态路由,当主链路不通时,经过备
14、份链路建立连接。网管从安全角度考虑,业务外联平台网管采取带外网管。网管服务器和被管理设备通讯经过单独接口。用PVLAN使被管理设备只能经过网管专用接口和网管服务器连接,而被管理设备之间不能互通。为了防备网管服务器被控制可能性,计划独立网管服务器为业务外联平台服务。网管平台能够对业务外联平台进行状态管理、性能管理、配置管理、故障管理。带外网管平台采取单独交换机,以确保系统安全。QOS在数据包经过内层防火墙进入管理区域后立即打上QOS标识,使外联平台数据包根据要求优先等级占用网络资源。四 外联业务平台安全设计策略1 外联接入线路安全设计策略外联接入线路有3种方法:传统专线方法、正在快速发展基于公网
15、VPN方法、拨号方法。专线方法,银行传统外联接入方法大部分全部是采取专线和外单位相联,专线选择有:帧中继、DDN、SDH、ATM等等。专线优点是线路私有、技术成熟、稳定,传输安全性比较有保障,但也存在设备投入大,对技术维护人员技术要求较高,线路费用昂贵、接入不灵活等缺点。而且因为对线路信任依靠,大多数专线中传输信息没有考虑任何数据安全,明码传送,存在很大安全隐患。VPN方法,现在国际社会比较流行利用公共网络来构建私有专用网络VPN(Virtual Private Network),用于构建VPN公共网络包含Internet、帧中继、ATM等。在公共网络上组建VPN含有线路费用低廉,易于扩展,接
16、入灵活,网络通信安全,网络设计简单,尤其是易于实现集中管理,降低接入点,接入点能够只设在一级分行以上层次,方便统一管理和安全控制。拨号方法,有些外联单位只和银行交换简单代收发文件,使用间隔周期也比较长,为节省费用只按需拨号进行连接,拨号方法特点是费用低廉但缺乏安全保障。这3种方法各有优缺点,但从技术成熟性和保护现有设备投资方面考虑,专线方法和拨号方法还是我们主流方法。但从长远考虑,伴随VPN技术成熟和合作伙伴应用互联网普及,VPN方法将会因为它显著优点而逐步成为主流,所以,我们引入VPN接入方法,现在我们三种接入方法并存,以后将逐步用VPN方法替换专线方法和拨号方法,这么不仅能够统一接入层次,
17、降低接入点,降低线路费用,而且方便统一管理和安全控制。 对于接入专线物理层和数据链路层安全是由运行商保障,在边界接入路由器上设置静态路由、采取安全访问控制实现网络层安全控制,为确保数据传输机密性和完整性,提议在银行外联网络中采取IPSec技术,在接入端统一安装支持IPSec功效接入路由器。 对于VPN方法接入,VPN即使构建在公用数据网上,但能够经过附加安全隧道、用户认证和访问控制等技术实现和专用网络相类似安全性能,从而实现对关键信息安全传输。和企业独立构建专用网络相比,VPN含有节省投资、易于扩展、简化管理等特点。对于拨号接入我们采取AAA认证方法验证拨入方身份。2 外联业务平台物理层安全设
18、计策略物理层安全是指设备安全和线路安全,保障物理安全除了要遵守国家相关场地要求和设计规范外,还要做好相关设备备份、关键线路备份、对应数据备份。定时对网络参数、应用数据、日志进行备份,定时对备份设备进行参数同时。3 外联业务平台网络层安全设计策略 外联业务平台安全设计关键就是怎样进行网络层安全防护,在网络层我们采取了防火墙技术、入侵检测技术、VPN技术、IPSec技术、访问控制技术等多个安全技术进行网络层安全防护。(1)布署边界防火墙和内部防火墙在总行、一级分行、二级分行各级外联接入点边界全部应安装边界防火墙,边界防火墙任务有: 经过对源地址过滤,拒绝外部非法IP地址,有效地避免外部网络上和业务
19、无关主机越权访问,防火墙只保留有用服务;关闭其它不要服务,可将系统受攻击可能性降低到最小程度,使黑客无机可乘;制订访问策略,使只有被授权外部主机能够访问内部网络有限IP地址,确保外部网络只能访问内部网络中必需资源,和业务无关操作将被拒绝;因为外部网络对DMZ区主机全部访问全部要经过防火墙,防火墙能够全方面监视外部网络对内部网络访问活动,并进行具体地统计,经过分析能够发觉可疑攻击行为;对于远程登录用户,如telnet等,防火墙利用加强认证功效,能够有效地预防非法入侵;集中管理网络安全策略,所以黑客无法经过更改某一台主机安全策略来达成控制其它资源,获取访问权限目标;进行地址转换工作,使外部网络不能
20、看到内部网络结构,从而使黑客攻击失去目标。在内部网和业务前置区之间布署内部防火墙,内部防火墙任务有:正确制订每个用户访问权限,确保内部网络用户只能访问必需资源统计网段间访问信息,立即发觉误操作和来自内部网络其它网段攻击行为。(2)布署入侵检测系统入侵检测是防火墙技术关键补充,在不影响网络情况下能对网络进行检测分析,从而对内部攻击、外部攻击和误操作进行实时识别和响应,有效地监视、审计、评定网络系统。入侵检测和漏洞扫描技术结合起来是预防黑客攻击关键手段。入侵检测关键功效有:检测并分析用户和系统活动核查系统配置和漏洞评定系统关键资源和数据文件完整性识别已知攻击行为统计分析异常行为操作系统日志管理,并
21、识别违反安全策略用户活动入侵检测技术关键能够分为基于主机入侵检测和基于网络入侵检测两种。基于主机系统经过软件来分析来自各个地方数据,这些数据能够是事件日志(LOG文件)、配置文件、PASSWORD文件等;基于网络系统经过网络监听方法从网络中获取数据,并依据事先定义好规则检验它,从而判定通讯是否正当 。(3)应用VPN 对于VPN接入方法,在接入端采取专用VPN设备,VPN实现技术是经过公用网在各个路由器之间建立VPN安全隧道来传输用户私有网络数据,用于构建这种VPN连接隧道技术有IPSEC等。结合服务商提供QOS机制,能够有效而且可靠使用网络资源,确保了网络质量。VPN大致包含三种经典应用环境
22、,即Intranet VPN, Remote Access VPN和Extranet VPN。其中Intranet VPN关键是在内部专用网络上提供虚拟子网和用户管理认证功效;Remote Access VPN侧重远程用户接入访问过程中对信息资源保护;而Extranet VPN则需要将不一样用户子网扩展成虚拟企业网络。我们所推荐使用是Extranet VPN,而且提议以后逐步用VPN外联接入方法替换专线接入方法,VPN技术将是以后外联接入发展方向,VPN技术替换专线将指日可待。VPN技术优点关键包含:信息安全性。虚拟专用网络采取安全隧道(Secure Tunnel)技术向用户提供无缝(Seam
23、less)和安全端到端连接服务,确保信息资源安全。方便扩充性。用户能够利用虚拟专用网络技术方便地重构企业专用网络(Private Network),实现异地业务人员远程接入,加强和用户、合作伙伴之间联络,以深入适应虚拟企业新型企业组织形式。方便管理。VPN将大量网络管理工作放到互联网络服务提供者(ISP)一端来统一实现,从而减轻了企业内部网络管理负担。同时VPN也提供信息传输、路由等方面智能特征及其和其它网络设备相独立特征,也便于用户进行网络管理。显著成本效益。利用现有互联网络发达网络构架组建外联网络,从而节省了大量投资成本及后续运行维护成本。 (4)应用IPSecIPSec由IETF下属一个
24、IPSec工作组起草设计,在IP协议层上对数据包进行高强度安全处理,提供数据源验证、无连接数据完整性、数据机密性、抗重播和有限业务流机密性等安全服务。多种应用程序能够享用IP层提供安全服务和密钥管理,而无须设计和实现自己安全机制,所以降低了密钥协商开销,也降低了产生安全漏洞可用性。IPSec填补了因为TCP/IP协议体系本身带来安全漏洞,能够保护TCP/IP通信免遭窃听和篡改,确保数据完整性和机密性,有效抵御网络攻击,同时保持易用性。IPSec可连续或递归应用,在路由器、防火墙、主机和通信链路上配置,实现端到端安全、虚拟专用网络(VPN)和安全隧道技术。IPSec缺点是不能兼容NAT技术,当防
25、火墙和路由器采取NAT技术对IP包进行地址转换时,IPSec包不能经过。所以,需要使用IPSec功效时必需采取NAT-T技术实现IPSec穿越NAT。(5)网络层访问控制策略严禁来自业务外联平台访问直接进入内部网限制能开通服务或端口设置和内部网隔离指定数据交换区,来自业务外联平台访问只能抵达指定数据交换区能对进入指定数据交换区主体限制到主机能经过代理实现指定用户对内部网指定主机和业务访问4 外联业务平台系统层安全设计策略 操作系统因为设计和版本问题,存在很多安全漏洞,同时因为在使用中安全设置不妥,也会增加安全漏洞,带来安全隐患,所以要定时漏洞扫描,立即升级、立即打补丁。5 外联业务平台应用层安
26、全设计策略 依据银行专用网络业务和服务,采取身份认证技术、防病毒技术和对多种应用服务安全性增强配置服务,保障网络系统在应用层安全。 (1)身份认证技术公开密钥基础设施(PKI)是一个遵照标准密钥管理平台,能够为全部网络应用透明地提供采取加密和数字署名等密码服务所必需密钥和证书管理。在总行和省行网络中心建立CA中心,为应用系统可靠运行提供支持。进入指定数据交换区必需进行基于口令身份认证。以拨号方法连接业务外联平台时,在拨号连接建立之前,必需经过基于静态口令、动态口令或拨号回呼身份认证。为了配合全行集中认证工程,认证服务器必需采取全行统一要求标准协议,能够支持多级认证体系结构。在集中认证系统投入使
27、用之前,AAA服务器能够独立完成认证、授权和审计任务。在集中认证体系投入使用以后,AAA服务器能够实现向上级认证服务器认证请求转发,实现集中认证。(2)防病毒技术病毒是系统中最常见、威胁最大安全起源。我们必需有一个全方位外联网病毒防御体系,现在关键采取病毒防范系统处理病毒查找、清杀问题。五 外联业务平台安全审计对进出业务外联平台访问必需进行审计,要求以下:能够生成进出业务外联平台访问日志日志内容包含访问时间、主体和客体地址信息、访问方法、访问业务、访问成败情况、连续时间、同一访问提议建立连接次数、此次访问通信流量等对所统计日志含有格式化审计功效,能针对不一样主体、客体、时间段、访问成败等情况进
28、行统计并形式化输出网络审计,预防非法内连和外连数据库审计,以愈加细粒度对数据库读取行为进行跟踪应用系统审计,比如公文流转经过多个步骤,必需要有清楚统计主机审计,包含对终端系统安装了哪些不安全软件审计,并设置终端系统权限等等介质审计,包含光介质、磁介质和纸介质审计,预防机密信息经过移动U盘、非法打印或摄影等多个步骤从信息系统中泄密。对关键服务器操作要有统计;对外网(互联网)连接统计要有针对性审计;对网络内流量、网络设备工作状态进行审计;对关键数据库访问统计要进行有效审计六 外联网络安全管理要保障外联网络安全运行,光靠技术控制还远远不够,还要注意加强在安全管理方面工作。就现阶段而言,网络安全最大威
29、胁不是来自外部,而是内部安全制度、操作规范和安全监督机制。人是信息安全目标实现主体,网络安全需要全体人员共同努力,避免出现木桶效应。为此应着重处理好多个方面问题。1、组织工作人员加强网络安全学习,提升工作人员维护网络安全警惕性和自觉性,提升保密观念,提升安全意识,提升操作技能。2、加强管理,建立一套行之有效外联网络安全管理制度和操作人员守则,建立定时检验制度和有效监督体系。3、大力推进外联应用软件标准化,研究多种安全机制,发明一个含有安全设置开发环境。4、建立完善管理制度(1)建立外联网络联网要求和联网操作步骤。(2)建立责任分工制度,权限管理制度,明确岗位和职责,各司其职,各负其责。(3)安
30、全监督管理制度,是指专员对系统使用情况监控,预防非法操作,对发觉异常情况,要采取有效方法加以控制。(4)采取必需行政手段来落实各项安全责任,要在计算机系统中设置必需审核机制,要建立严格系统日志统计管理机制。(5)加强对各类人员安全教育,使公众了解提升外联网络安全必需性,自觉遵守网络安全管理制度。(6)只有不停完善和加强多种安全管理手段和安全技术防范,行政管理和技术方法相结合,才能有效确保网络化系统安全。5、建立严格制度文档(1)外联网络建设方案:网络技术体制、网络拓扑结构、设备配置、IP地址和域名分配方案等相关技术文档;(2)机房管理制度:包含对网络机房实施分域控制,保护关键网络设备和服务器物
31、理安全;(3)各类人员职责分工:依据职责分离和多人负责标准,划分部门和人员职责。包含对领导、网络管理员、安全保密员和网络用户职责进行分工;(4)安全保密要求:制订颁布本部门计算机网络安全保密管理要求;(5)网络安全方案:网络安全项目计划、分步实施方案、安全监控中心建设方案、安全等级划分等整体安全策略;(6)安全策略文档:建立防火墙、入侵检测、安全扫描和防病毒系统等安全设备安全配置和升级策略和策略修改登记;(7)口令管理制度:严格网络设备、安全设备、应用系统和个人计算机口令管理制度;(8)系统操作规程:对不一样应用系统明确操作规程,规范网络行为;(9)应急响应方案:建立外联网络数据备份策略和安全
32、应急方案,确保外联网络应急响应;(10)用户授权管理:以最小权限标准对外联网络用户划分数据库等应用系统操作权限,并做统计;(11)安全防护统计:统计重大外联网络安全事件,对外联网络设备和安全系统进行日志分析,并提出修复意见;(12)定时对系统运行、用户操作等进行安全评定,提交外联网络安全汇报。(13)其它制度还有信息公布审批、设备安装维护管理要求、人员培训和应用系统等,和全方面建立计算机外联网络各类文档,堵塞安全管理漏洞。结束语:银行外联网络安全建设不仅要有优异安全技术,还要有严谨管理制度,规范操作步骤才能保障银行外联网络安全和高效,才能根本抵御来自外部和内部攻击。本方案在充足利用多个安全技术和安全策略基础上,还重视了安全审计和安全管理建设,综合提升外联网络安全性,建设一个安全、可信、完善银行外联网络安全防御体系。
浙ICP备2021020529号-1 | 浙B2-20240490 
