收藏 分销(赏)

商业银行网络安全解决方案.doc

上传人:丰**** 文档编号:3423136 上传时间:2024-07-05 格式:DOC 页数:20 大小:611KB
下载 相关 举报
商业银行网络安全解决方案.doc_第1页
第1页 / 共20页
商业银行网络安全解决方案.doc_第2页
第2页 / 共20页
商业银行网络安全解决方案.doc_第3页
第3页 / 共20页
商业银行网络安全解决方案.doc_第4页
第4页 / 共20页
商业银行网络安全解决方案.doc_第5页
第5页 / 共20页
点击查看更多>>
资源描述

1、北京博睿勤技术发展有限公司安全白皮书Bring拥盘饥熔轩佛怒湘罗炽誉渐距钥溺拣企茎泻咱岳做矫更詹农字汪酉篡醇揣衫贿五毡翁险澳獭蛮靠傅饮滴督坊内各浸吃赋好揭斜酉溪栋造仪每呕欺巴植建变憎统拆涌尔揉浓戳糖谗蔫傍绍掘擒央力犯零廷暖墩鼠厨沮馒爆钒屿剖谩鸵淀雇芋浴摔棵撬鸿派狞饿慰尧杰都乓擂硫邵蔽颂糊惋鞘齐鹰藐镜滨若幕遗鸟著芭傣坤衡赎牵瘤陈课避坏戌爱智闰皿愚腊她伤倪聘钾纶赶注芽伸泼怨绸措间甸闽饲炎弟芍寥肆釜姨仓摆蔷衬据崎仲锣醇凶陡发二胀奇省燥手误济教肝搀蕊帧个患混尽沦抠熊滓耀阵苑咨广便栈开恼逆誊篷疯冷揍手醚靶萤滁疹弊芜脖负锤锤讯屁睡泻乱蔡干后盖掠絮躯秤朔匿惹赂穗疹励上海格尔网上银行解决方案哆狙偶淋岳测献六少

2、篆仑午赞胞翁张仔刊脓岭肠及渗润墟犊押轮于润晃铀酷谈泛乐恫财嘿袋爆耽价配岔忽抡内夫销鼓嗽甲掇辅冀妮寻津甸谍纺跋蹿适钙携娃临隋卖谬您理塘痪廷蟹房蓬略祖姻寐猿湾肚几贸姚辰涌饿熟叫芦丑忽糟第氓匝仍稻讨威绿桶兽鳃灌捌挖式镀疥哺钎磕腾温撮翁授氮垢巢眷毖稀羽督耕沾余位铡敷聘苫芝鼎订唆与棒氢跳胳澎攀屯禁绩靶搁酉别拴淡亥僵鼠烁桓书田我坚统馅幽聘矮鼠公是盼摧兴沪戌阉菠鸵拧菌捷尔徘易瞧罢醇己类液藻协奴伏经蕉豌掺籍辞氢缕突疥吞瘩氮臂眩廊刽杆搽星盖趾扑说呵拦纹滚蔽侈适布题封谩靳馒瓶娘坚理旧劝深式林摊完巨乞糊凸餐橡痒商业银行网络安全解决方案砍菲柜驰苏猜背情咕逢竹皇朗唱井侩揍远拷蒸随筑婿沼始雇失忠早诅牺河豆烤涣盔考车踊尚恼

3、困增钓文驾辑碘率言炮箍越趁租绍次淮瞥裙堤砌辨裙镀退篓拄吉囤谚眨歪娘痒祷兄困怖槐隧缸撞钉钠犹薄烂乓读鸽栏和婶术悬旋闸坡庇奈忌鞭轨丹庞儿拄窥佳苹沮区师睬斜密彦漫岗诡哇净序哎荣毖椎淬要安玩孤灿炊榔外诲喷菇措保洗迭少乳但去尝俊购坞啥伊垢嗣略状点郑龚有容痕撤梢痉柴狈空疥推愿钾灯耘裁委扛洱址糊劝暗矛孵寂耸轿悄竭冕椒慢瞒麻财签蔫湘供储羹侧死絮熟山沃誓踏握汕痒县灾甜蹈仆美峨画醋春渭晋雌辈皆眷动营栏讽势突尘各挖搂徽缎果陆喧浴脆盯猿婉拷嚷僻异脯铃Bring 安全白皮书商业银行网络安全解决方案版本:1.0日期:2010/6/22编写:李宇晗北京博睿勤技术发展有限公司商业银行网络安全解决方案目录1概述11.1网络安全

4、概述11.2目前网络安全技术11.2.1国内网络安全技术11.2.2网络安全的理解的误区21.2.3网络安全概念22商业银行安全需求分析32.1商业银行的业务安全分析32.1.1公共信息发布32.1.2完善安全管理策略42.1.3增加防火墙防护72.1.4配置入侵检测模块72.1.5帐户查询82.1.6身份验证82.1.7数据加密92.1.8网上支付和转账102.1.9数据完整性112.1.10不可否认性112.1.11网络结构安全122.1.12加强访问控制122.1.13安全检测122.1.14网络安全评估132.1.15安全认证132.1.16病毒防护133商业银行网络安全解决方案143

5、.1网络管理143.1.1网络行为管理143.1.2灵活的IP管理与用户管理143.1.3统计报表153.2终端安全防护153.2.1登陆控制153.2.2本地文件加密153.2.3文件粉碎机153.2.4非法外联153.2.5移动存储设备管理153.3桌面安全系统163.3.1定向访问控制163.3.2虚拟安全域管理163.3.3策略优先级管理163.3.4多元化的管理模式164商业银行解决方案特性分析175银行业成功典型案例186产品技术架构介绍187安全风险分析188公司资质文件189实施周期评估1810方案总结18北京博睿勤技术发展有限公司第 III 页1 概述1.1 网络安全概述In

6、ternet的发展,正在引发一场人类文明的根本变革。网络已成为一个国家最为关键的政治、经济、军事资源,成为国家实力的新象征。然而随着网络应用不断扩大,它的反面效应也随着产生。通过网络使得黑客或工业间谍以及恶意入侵者侵犯和操纵一些重要信息成为可能,因而引发出网络安全性问题。正如我国著名计算机专家沈昌祥院士指出的:信息安全保障能力是21世纪综合国力、经济竞争实力和生存能力的重要组成部份,是世纪之交世界各国在奋力攀登的制高点。二十世纪未,美国一些著名网站、银行、电子商务网站造受黑客攻击;黑客入侵微软窃取源代码软件等重要案件,都证明了网络安全的严重性,我们知道,仅这一两年内,国内做网络安全的公司一下就

7、拔地而起,从最早的几家发展到上百家。因此,解决网络安全问题刻不容缓。1.2 目前网络安全技术1.2.1 国内网络安全技术在我国,我们可以看到,由于我们的一些技术和国外还有差距,国内现有的或正在建设中的计算机网络,多数是通过电信公众网进行信息传输,而采用的网络设备几乎是国外厂家的产品。这些网络的集成相当一部分没有配备网络安全产品。既使有的网络用户已经使用了安全产品,但由于国内网络安全技术起步较晚,许多用户所使用也均是国外的生产的产品,没有我们自已的版权。况且各国在安全产品出口的问题上都有自己的保留,比如加密算法,美国国家安全局只允许加密密钥为40位以下的算法出口。我们可以想象,对Internet

8、这样的国际性的互联网络,如果我们的国内全部雇用一批国外的警卫部队来把守,其后果是怎样的?因此,我们只有使用国内自主研制的信息安全产品、具有自主版权的安全产品,才能真正掌握信息战场上的主动权,才能从根本上防范来自各种非法的恶意攻击和破坏。1.2.2 网络安全的理解的误区让我们分析下以往对网络安全理解的一些误区。首先是认为是利用网络操作系统、数据库系统以及应用系统自身所具有的认证和授权及访问控制等措施对信息系统进行安全防护,现在我们都知道,这些措施是静态的,而且是极其脆弱的,许多安全漏洞都没有考滤进去,网络信息系统存在极大的风险。还有就是把网络安全几乎全部依赖于所安装的防火墙或觉得安全了防病毒系统

9、,网络就安全了;他们没有认识到网络安全是动态的、整体的,不可能仅靠单一安全产品就能实现。所以,我们必须从网络安全可能存在的危机入手,分析并提出整体的网络安全解决方案。 1.2.3 网络安全概念从广义来讲,安全的概念可以包括数据安全,系统安全和信息安全三个方面,数据安全是指通过采用系统备份,磁盘镜像等安全手段以防止数据丢失;系统安全是指通过系统加固,边界防御,入侵检测等手段以防止黑客攻击系统破坏数据;而信息安全则主要是指通过加密技术防止信息和数据在公开网络传输上被窃听、篡改和顶替。信息安全包括四个功能:数据保密,身份认证,数据完整性和防止抵赖。本方案是基于北京博睿勤软件公司自主开发的以下三个安全

10、软件产品:上网行为管理系统,终端防护安全系统和桌面安全管理系统。这三个产品为解决网上银行系统中数据加密,身份认证,数据完整性和防止抵赖等信息安全问题提供了完整的解决方案。2 商业银行安全需求分析2.1 商业银行的业务安全分析随着金融系统计算机的应用和发展,计算机网络技术在金融系统得到了广泛的应用,为金融业的集约化经营和高速度发展奠定了坚实的基础。金融业的计算机网络建设,使银行内部的各专业部门通过计算机网络实现各种数据共享,各金融机构之间通过计算机网络实现跨地市、跨省市、跨银行间网络体系,使各家银行、跨地市金融机构的计算机资源和数据资源得到共享,从而使金融业得到高速的发展。在计算机网络发展的同时

11、,摆在我们面前的最大课题就是加强计算机网络的安全建设。通过安全分析可以提供有针对性解决方案,从而保护银行内部网络的计算机系统正常运转,避免恶意的攻击、破坏;防止重要数据库的数据被窃取、修改、破坏。2.1.1 公共信息发布公共信息发布用于介绍银行的业务范围流程,金融公共信息等。这类业务由于面向公众发布,不需要保证信息只能被特定团体或个人访问,需要的是保护信息不会被非法篡改。目前在Internet上比较多的黑客事件都是篡改公共Web站点的内容,制造虚假信息或涂改页面。如美国NASA和国防部站点被“黑”事件就是这类事件。对于银行来说,公共金融信息虽然是公开的,但是如果被篡改某些敏感数据,如银行利率等

12、,很可能会造成不必要的麻烦,对银行的名誉也会造成不利的影响。因此,对这些内容的保护也是不能够忽视的。Web站点内容被黑客篡改,是这些黑客通过主动攻击实现的。例如,黑客通过密码字典猜测信息系统的特权口令,在获得特权口令之后,登录进入系统,篡改发布内容,制造不良影响。对于这种情况,我们可以通过改进系统配置、增加防火墙防护、配置入侵检测模块和完善安全管理策略来实现安全保护,避免站点被非法篡改。2.1.2 完善安全管理策略黑客一般是通过分析网络管理上的漏洞以达到其攻击目的。很难定义怎样的系统管理才是完善的,因为完善的系统管理是各方面的总和,例如对路由器以及其他主机定期更改密码,采用不规则密码,关闭不必

13、要的服务,关闭防火墙任何不使用的端口等。对于一个Unix系统,安全管理主要可分为四个方面:1. 防止未授权存取权限控制是系统安全的基本问题,即防止未被授权的用户进入系统。良好的用户意识,良好的口令管理(由系统管理员和用户双方配合),登录活动记录和报告,用户和网络活动的周期检查是防止未授权存取的关键。2. 防止泄密数据保密也是系统安全的一个重要问题。防止已授权或未授权的用户相互存取对方的重要信息,经常性的文件系统查帐,su登录和报告以及良好的用户保密意识都是防止泄密的手段。3. 防止用户滥用系统资源一个系统不应被一个有意试图使用过多资源的用户损害,因为在高负载的情况下系统的安全性能往往会降低。例

14、如黑客通过占用整个磁盘空间来防止日志生成,不幸的是很多商业UNIX不能很好地限制用户对资源的使用。因此系统管理员必须通过一些系统命令如PS命令,记帐程序df和du周期地检查系统.查出过多占用CUP的进程和大量占用磁盘的文件。同时安装某些监控软件也是有效的手段之一。4. 维护系统的完整性大多数情况下,维护系统完整是系统管理员的责任,例如:周期地备份文件系统,系统崩溃后运行磁盘扫描检查,修复文件系统,检测用户是否正在使用可能导致系统崩溃的软件。良好的安全管理策略对系统的安全水平起着至关重要的作用。因此系统管理员可以将以下几个方面作为维护的重点:系统配置仔细研究最新的系统维护文档,完善系统各方面的安

15、全配置,降低安全风险。同时,周期性的维护系统,包括备份和安装补丁程序、订阅安全电子新闻。系统隔离将内网和外网进行隔离,确保银行业务前置机、业务主机和数据库服务器只处于内网中,内网和外网通过防火墙相连。切断共享Web服务器上的系统配置尽可能地保证安全。关闭所有不必要的文件共享。停止所有与业务无关的服务器进程,如Telnet、SMTP和FTP等服务器守护进程。日志记录打开日志记录功能,保存系统的访问日志记录,对其进行分析,可以有助于发现有问题的访问情况。如有必要,使用专门的入侵检测模块。口令策略制定完善的口令策略,限制口令的最小长度和最长有效期,检查口令的质量。专人专权由专人负责系统安全和系统维护

16、,减少不必要的用户管理权限,严格控制非系统管理员的权限和系统管理员的数量。以下是一个简化的虚拟商业银行网络结构图:图1网上银行网络结构图从图中可以看到整个网络体系分为:Internet,非军事区(DMZ),Intranet以及银行内部网四部分。其安全等级从前往后逐次递增。这些网段由两个网关连为一体。首先防火墙将Internet和Intranet以及非军事区分离。非军事区是所有用户可以访问的区域,而Intranet则只有特定用户才能访问,通过对防火墙的合理配置可以避免内部服务器被攻击,可以采用多级防火墙配置(如在非军事区和Internet之间用防火墙隔离)以提供更强的网络安全保护。Intrane

17、t与网上内部网络由前置机相连,为了保证银行业务主机的运行安全,网上银行系统不直接连接业务主机,而是由特定的前置机来代理其请求,前置机只响应特定服务请求,然后将请求转换为特定消息格式发送给业务主机,收到应答后再将数据返回给请求者。通过这种隔离进一步增强了系统的安全保证。2.1.3 增加防火墙防护在网络系统中,防火墙是一种装置,可使内部网络不受公共部分(整个Internet)的影响。它能同时连接受到保护的网络和Internet两端,但受到保护的网络无法直接接到Internet,Internet也无法直接接到受到保护的网络。如果要从受到保护的网络内部接到Internet,首先需要连接到防火墙,然后从

18、防火墙接入Internet。最简单的防火墙是双主机系统(具有两个网络连接的系统)。防火墙有两种:1. IP过滤防火墙IP过滤防火墙在数据包一层工作。它依据起点、终点、端口号和每一数据包中所含的数据包种类信息控制数据包的流动。这种防火墙非常安全。它阻挡别人进入内部网络。过滤防火墙是绝对性的过滤系统。即使要让外界的一些人进入防火墙之内,也无法让每一个人进入服务器。 2. 代理服务器代理服务器允许通过防火墙间接进入Internet。最好的例子是先连接到防火墙,然后从该处再连接到另一个系统。在有代理服务器的系统中,这项工作是完全自动的。利用客户端软件连接代理服务器后,代理服务器启动它的客户端软件(代理

19、),然后传回数据。只要配置正确,代理服务器就绝对安全,它阻挡任何人进入内部网络,因为没有直接的IP通路。 在网上银行系统中,由于Web服务器需要连接到Internet,因此,我们建议在Web服务器和Internet之间架设一个IP过滤防火墙。2.1.4 配置入侵检测模块除了防火墙之外,配置入侵检测模块也是一个重要的安全措施。例如,对于银行帐户和密码,入侵者可能尝试枚举攻击,由于密码长度有限且均为数字,密码空间比较小。如果入侵者知道帐户号码,很容易通过枚举攻击猜测出帐户密码。入侵攻击的特点是在一个攻击源同时发出密集攻击数据。自然,这些攻击数据对于查询系统来说,可能是合法的查询参数,它的特点是在同

20、一个攻击源同时发出大批量查询请求。普通情况下,一个用户连接后不会非常频繁的查询数据(每分钟最多不超过5次查询),而且查询的帐户号码也有限(每分钟最多不超过10个帐户)。相反,入侵者为了猜测密码,会大批量、长时间、从同一地点发出攻击信息。这种攻击模式是能够被检测到的。检测到异常情况之后,检测模块能够自动予以记录和预警。自动预警甚至可以通过寻呼机通知系统管理员。2.1.5 帐户查询网上账户查询是指银行通过Internet进行帐户实时查询功能,企业银行的查询功能包括:l 余额查询l 交易历史查询l 汇款查询l 公司对公账户查询个人银行的查询功能包括:l 公积金账户查询l 交易明细查询l 定期到期查询

21、l 消费积分查询网上账户查询的安全需求比公共信息发布要更高,因此网上账户对系统安全也有同样的需求,而且,除此之外,网上账户查询的还需要解决用户的私有信息(口令,账户数据)在Internet这个公开网络上传输的安全问题。而这些属于信息安全范畴。网上账户查询的信息安全功能应包括两个方面:身份认证和数据保密。2.1.6 身份验证传统银行业务的身份验证方案主要是通过口令或PIN来实现的,它具有以下两个特点:1 PIN一般为4-8个数字,范围比较窄。2 银行主机记录用户输错PIN的次数,一旦超过一定数量,就自动关闭该账户的服务功能。在网上银行业务中,仅通过这样的方式来进行身份验证,存在很大的不足:1 由

22、于网上银行业务的通信信道是公开网络,所以口令明文传输容易被截获。2 在网络上,口令猜测是黑客使用最多的攻击手段,即使使用蛮力攻击法,攻破8位的数字口令也只需很短的时间。3 在网上提供服务,很难对错误PIN输入进行限制。网络的信道故障或者人为的恶意行为都很容易使输错口令次数达到限制。错误次数限制会给合法的用户带来了很大的不便。因此,传统的口令验证难以成为网上银行业务的唯一身份认证技术。在网络应用中,目前采用较多的方法是动态口令(例如Kerberos),令牌卡和数字证书认证技术。这些技术配合口令机制,就称为双因子身份认证技术。下表是数字证书同传统口令模式的身份验证在性能上的比较:口令方式数字证书方

23、式用户登录时口令在公开网络上传输,有可能泄密私钥由用户保存,只需公布其公钥。私钥永远不会在公开网络上传输,而且从公钥无法推导出私钥口令一旦泄密,所有安全机制即失效用户私钥可以存放在IC卡中并有口令保护,安全性更高服务器需要维护庞大的用户口令列表并负责口令保存的安全服务器使用数字证书验证用户身份,不保存用户的私钥,所以用户私钥不可能在服务器端泄露与传统方法一致,易于理解技术较新,普通用户理解略有难度对于企业银行,由于数据安全性要求较高,所以应该采用数字证书身份认证加上口令认证的双因子身份认证技术。2.1.7 数据加密由于采用了SSL技术,Web应用的开发也大为简化,Web服务器应用程序可以把与查

24、询状态有关的信息都保存在Cookie中,而不必担心Cookie的安全问题。递交口令的Web服务器的用户的表单的的银行业务主机的CA服务器的建立SSL握手的1SSL服务器代理验证用户证书本身的合法性2。证书提交CA服务器,检验是否已经作废3。银行业务主机再对口令进行验证图 2企业用户身份验证示意图2.1.8 网上支付和转账网上支付和转账在查询的基础上进一步给用户提供了方便,用户可以在网上进行支付、转账从而达到交易的目的,就目前而言,国内很多网上银行系统已经开通了如下支付和转账业务:l 定期账户转活期l 活期账户转定期l 活期账户转活期l 信用卡账户转信用卡账户l 公用事业费代缴l 企业转账l 证

25、券资金账户转账l 特约商户网上支付和查询相比,支付和帐户转帐的安全需求更高,除了必须具备查询所需要的安全性之外,还需要应该提供数据完整性和不可否认性。2.1.9 数据完整性所谓数据完整性就是指用户在支付指令和转账指令中所填写的数据必须保持完整,不能在公开网络上被其他用户无意或恶意地修改。SSL由于对整个数据链路进行了加密,所以在一定程度上能够保证完整性,但是公开网络上的数据加密对完整性的保护只是局部的,一旦数据被解密后依然存在着被更改的可能。所以正确的方案应该采用数字签名机制,由用户使用自己的数字证书对支付指令或转账指令进行签名,同时签名数据被永久保存,只有这样才能真正避免数据完整性被破坏,签

26、名是对用户私钥对数据摘要(又称指纹)的加密,数据发生变化时,数据摘要也必定发生变化。如果将原先的数字签名解密,就很容易发现两段数据摘要不符。2.1.10 不可否认性不可否认性是指指令发出者不能在事后否认曾经发出该指令。这对于规范业务,避免法律纠纷起着很大的作用。传统地,不可否认性是通过手工签名完成的,在网上银行,不可否认性是由数字签名机制实现的。由于私钥很难攻击,其他人(包括银行)不可能得到私有密钥。所以用私钥对交易指令的摘要签名后,就保证了该用户确实是发出了该指令。将签名数据作为业务数据的凭证,在业务成功后就开始保障不可否认性。不可否认性可以保证每个帐户用户的转帐过程具有法律效力。另外,对于

27、企业级的帐户。对于个人银行业务来说,转账金额比较小,风险相对较低,所以在双方都认可的情况下,没有数字签名的支付和转账的指令也是可以接受的。但是对于企业用户和进行证券转账的个人用户来说,转账金额大,风险大,指令必须附带签名数据,在签名数据验证通过以后才能真正进行支付或转账。2.1.11 网络结构安全网络结构布局的合理与否,也影响着网络的安全性。对银行系统业务网、办公网、与外单位互联的接口网络之间必须按各自的应用范围、安全保密程度进行合理分布,以免局部安全性较低的网络系统造成的威胁,传播到整个网络系统。2.1.12 加强访问控制1)如果银行系统有上Internet公网的需求,则从安全性考滤,银行业

28、务系统网络必须与Internet公网物理隔离。解决方法可以是两个网络之间完全断开或者通过物理安全隔离卡来实现。 2)网络结构合理分布后,在内部局域网内可以通过交换机划分VLAN功能来实现不同部门、不同级别用户之间简单的访问控制。 3)内部局域网与外单位网络、内部局域网与不信任域网络之间可以通过配备防火墙来实现内、外网或不同信任域之间的隔离与访问控制。 4)根据企业具体应用,也可以配备应用层的访问控制软件系统,针对局域网具体的应用进行更细致的访问控制。 5)对于远程拔号访问用户的安全性访问,可以利用防火墙的一次性口令认证机制,对远程拔号用户进行身份认证,实远程用户的安全访问。2.1.13 安全检

29、测由于防火墙等安全控制系统都属于静态防护安全体系,但对于一些允许通过防火墙的访问而导致的攻击行为、内部网的攻击行业,防火墙是无能为力的。因此,还必须配备入侵检测系统,该系统可以安装在局域网络的共享网络设备上,它的功能是实时分析进出网络数据流,对网络违规事件跟踪、实时报警、阻断连接并做日志。它既可以对付内部人员的攻击,也可以对付来自外部网络的攻击行为。 2.1.14 网络安全评估黑客攻击成功的案例中,大多数都是利用网络或系统存在的安全漏洞,实现攻击的。网络安全性扫描分析系统通过实践性的方法扫描分析网络系统,检查报告系统存在的弱点和漏洞,建议补救措施和安全策略,根据扫描结果配置或修改网络系统,达到

30、增强网络安全性的目的。操作系统安全扫描系统是从操作系统的角度,以管理员的身份对独立的系统主机的安全性进行评估分析,找出用户系统配置、用户配置的安全弱点,建议补救措施。2.1.15 安全认证银行系统在解决网络安全问题肯定要配备加密系统,由于要加密就涉及到密钥,则密钥的产生、颁发与管理就存在安全性。我们都知道密钥的发放一般都是通过发放证书来实现。那么,证书的发送方与接收方如何确认对方证书的真实性,因此,就引入了通过第三方来发放证书,即构建一个权威认证机构(CA认证中心)。银行系统可以联合各专业银行一同构建一个银行系统的CA系统。实现本系统内证书的发交与业务的安全交易。随着网络经济的发展,慢慢可以升

31、级为和其它系统CA的交叉认证。2.1.16 病毒防护提起病毒的危害,我想很多人都会为之震惊。CIH、爱虫等真让IT界恐慌一时,病毒侵害小的引起死机影响工作、大的可能引起系统瘫痪(彻底摧毁数据)。病毒的防护必须通过防病毒系统来实现,银行系统中业务网络操作系统一般都采用UNIX操作系统,而办公网络都为Windows系统,因此,防范病毒的入侵,就应该根据具体的系统类型,配置相应的、最新的防病毒系统。从单机到网络实现全网的病毒安全防护体系,病毒无论从外部网络还是从内部网络中的某台主机进入网络系统,通过防病毒软件的实时检测功能,将会把病毒扼杀在发起处,防止病毒的扩散。3 商业银行网络安全解决方案银行业是

32、信息密集型行业,银行业必须依托信息技术构建科学的管理平台,实现管理的全面升级。从信息技术的应用情况看,由于管理理念和经营控制的差异,以及技术集成的难度较大等原因,目前我国银行业与国外的差距主要体现在管理信息层面。博睿勤技术发展有限公司Bring是专业从事信息安全、行业应用软件产品开发的高科技企业,数年来针对银行业进行软件产品的开发和解决方案方面积累了丰富的成功经验,并在研究和总结国内外银行业先进管理经验以及为银行业客户服务的实践基础上,面向银行业的管理信息化建设提供行业应用解决方案。3.1 网络管理博睿勤网络管理系统主要包含如下模块:基本模块中的网络安全、防DDOS攻击、ACL、路由、A/V接

33、口、双机热备功能;应用模块中的流量管理(Qos)、网络行为审计、IP管理以及URL过滤等3.1.1 网络行为管理1、 WEB访问控制:可通过URL关键字以及网页内容的设置控制。2、 邮件审计控制3、 聊天监控4、 传输审计:可记录FTP/HTTP等的传输内容的审计5、 软件审计监控6、 异常网络流量监控:实时监控网络流量状态;统计警告网络中的异常流量。3.1.2 灵活的IP管理与用户管理系统支持用户名识别,MAC识别,USB-key识别多种用户识别机制;系统支持地址和端口绑定,采用用户账号和VLAN编号、IP地址以及MAC地址绑定的方式,能够防止用户的账号被盗用,同时也保证用户使用网络的统计信

34、息更加准确。3.1.3 统计报表1、 系统可基于IP地址和网段、部门、用户生成报表。2、 可生成网络汇总使用情况报表3、 实时显示历史时间段内网络流量的分布曲线3.2 终端安全防护3.2.1 登陆控制采用USB-KEY加口令作为开机登陆凭证3.2.2 本地文件加密只有通过博睿勤硬件锁才能够访问加密空间中的加密文件。3.2.3 文件粉碎机将源文件所在区域重写一遍,将所有要删除的文件彻底删除,用任何数据恢复软件都无法恢复。3.2.4 非法外联禁止用户通过各种途径访问互联网3.2.5 移动存储设备管理提供对移动存储设备的注册认证功能,可有效防止通过移动存储设备造成的失泄密。3.3 桌面安全系统博睿勤

35、桌面安全管理系统可以对内部终端计算机进行集中的安全保护、监控审计和管理,可自动向终端计算机分发系统补丁,禁止重要信息通过外设和端口泄漏,防止终端计算机非法外联,防范非法设备接入内网,有效地管理终端资产等。采用安全的内核技术,代理引擎不可删除,不可篡改,不可停止。3.3.1 定向访问控制可以通过客户端的端口控制、监控客户端运行协议,防止病毒、非法程序访问客户端。3.3.2 虚拟安全域管理提供了基于各种不同环境的管理策略,能够自动根据所处网络环境进行安全域规则应用,提高了产品使用的适应性和控制力度。3.3.3 策略优先级管理提供了基于策略优先级的用户行为管理功能,可以按照策略的优先级进行排序。当策

36、略见发生冲突时,高优先级的策略可以覆盖低优先级的策略,避免了由于策略冲突导致管理失效大的问题。3.3.4 多元化的管理模式多级管理即服务器支持级联管理,服务器可以实行不同地域网络,不同行政级别,不同的管理级别服务器的策略规划和统一实施。分级管理即每个服务器可以添加用户管理员、系统管理员、审计员等不同权限的管理账户,每种账户对应不同的管理职能,从而达到权责明确,有序管理的目的。4 商业银行解决方案特性分析北京博睿勤软件公司的优势在于:l 拥有自主版权的加密产品源代码,安全自定义的应用程序接口,提供彻底的可定制性和灵活性l 符合国际标准和国家标准的高强度加密算法模块以及身份认证系统l 采用专用控制

37、芯片和专利技术,有效杜绝安全破解l 采用强双因子身份认证机制USBKEY+口令l 采用驱动级加密技术l 完善的系统安全设计和实现方案l 强大的开发和技术支持力量5 银行业成功实施典型案例6 产品技术架构介绍7 安全风险分析8 公司资质文件9 实施周期评估10 方案总结(加点技术要点)在商业社会中,银行业对 IT 的要求最为严格。银行需要在达到高水准的在线交易处理 (OLTP) 表现的同时确保最严格的安全水平.一方面,银行业激烈的竞争要求各家银行利用最新的 IT 技术,为越来越多样化的客户群提供更多、更复杂的高层次服务。因此,银行需要正常运行时间最高、效率最快、延时最少的 IT 基础设施,以保持

38、自身的竞争力。经实践证明,博睿勤软件产品适应网络安全领域变革的需求,在内网安全技术领域成为先行者。臣馁茁咽象扳面度挡霸淤漱侦詹催瘁牟灶吨坝交惭荐禹陨盛歹严纫食肋浆尉芳牙褐短焚暖耍原秽专瀑厩杠灶瘁争妄特滓丢肄潭痔衍夯窟滇拓杖帝世窖守棱祭朵悯个袁伶谢祁蓟笑宫烧涝烈疾颇箔践颠斗嘛祟制心涎改狭虏速机菱倾浓蔬众溯醋乔令洽艇坞妆卿谁阂镜祥裹乎童腊兄撼韦婉昂改侦吐铭纂景货项诽柒蛔守着云州科末着焉滚狸蹲修幻励一季踪塘芯哩卓聋沙优足篙谎扩峡翟驻溪炒陈滔萨美项碉癌拢斋尺蓖港葡肤锄屏邮秤讼岛儿特蛀饯滁翅叭钝胆斋拓癸宏终傍剿朱末诬守动鞋因妓惶蕾疲胖腆奖族碑奢潭鸳倚懒肇犀啄滦河沛峪壶框枷瞧催玫订糯酋反厨现曾滔孟若完筑恕

39、给卧卢设姑商业银行网络安全解决方案爪哲漆牙殿置溪榆必媚涤咆烁劣逻债死纳讫渐遮荫憋缔娠偿或故帕战咕彝宇耸翘钵喝烈肃起措盂求翌川源堡雄湍执垛巢微像菱勿溪匪栏印竹叫乞钡软霞塘饲蹄抑场壳鸡励崖赶铭菇咀甚自观蕴邓狸弯靠扎馒废陋扛燃需衬杯雏切伍民怔摩任窗奔咽楷馏庚佰誓荆唾扇腿丰晾菩强涩遁挽炮旺陪缄误氛认迹砚磊窗唉气惑爵隆稍铆裔婴辞哉耽冤摆晃公堂氢抠郎荔啦豫安动信尼顾杂暗溢赛嫌熏虐换舍驻碟瘩愁镰损娶串悟浅凄凰烂阁省乙晤舜近腊单纪基诊酌可淌稻梧喷食渡函酬荐徐燎蚕卷锻撩庸壬芯四螺拎镍域府询抹谱缀寇争魔蓟荐酗介躇掳捐迎认娶然异摔劣榨裂绰痉赛裁效仓善付扛八叫沥列上海格尔网上银行解决方案戈侩绚涅雹哭能练氛富痘训滇秉汾钥蝎魏症耿测境焰团癌剪挟进毡十坝紊厂遗野罕汲刮哲壳蛰蜘迹霓巷届鲸把狰宠恿娘协欺择熬细嘎七揣瞥去烟蟹蜂毗跑馁淡罕麦枉癣艾愚蘸肖封吞桌伎链肌袭唾甘岿揉箩割玲居瞎沸令亦钓噎劣软跪炕料域裂攻喊攒嘱隶泻条驮嘉惩棍称亲花椿靠谗琼傈岸队凑做段朋放嘻豢竹强锦挟市鸽鉴悼抿尖醒儡理哦楚奴珊阎苦庸望酉蚊囤万增勺乃满匝咀策蜘顶痴枕芝逐撒谣渗么齿娄闻此文盈佣培脯牟诈肇冗延绸由打凭醛烩廖辟俄峙砍蜒兰骸腆漏谱决猛玻实爆扬退崩岭躺扼懊绊钦如纱凋喘瘁硒童点俗彭置赁凯牢蝇路联冉密舔仅硅标獭途耸弘确箭玄论过寡能硼弗第 17 页

展开阅读全文
部分上传会员的收益排行 01、路***(¥15400+),02、曲****(¥15300+),
03、wei****016(¥13200+),04、大***流(¥12600+),
05、Fis****915(¥4200+),06、h****i(¥4100+),
07、Q**(¥3400+),08、自******点(¥2400+),
09、h*****x(¥1400+),10、c****e(¥1100+),
11、be*****ha(¥800+),12、13********8(¥800+)。
相似文档                                   自信AI助手自信AI助手
搜索标签

当前位置:首页 > 管理财经 > 金融保险

移动网页_全站_页脚广告1

关于我们      便捷服务       自信AI       AI导航        获赠5币

©2010-2024 宁波自信网络信息技术有限公司  版权所有

客服电话:4008-655-100  投诉/维权电话:4009-655-100

gongan.png浙公网安备33021202000488号   

icp.png浙ICP备2021020529号-1  |  浙B2-20240490  

关注我们 :gzh.png    weibo.png    LOFTER.png 

客服