您好,欢迎访问三七文档
启明星辰金融事业部网银安全解决方案Ver1.0北京启明星辰信息技术股份有限公司VenusInformationtechnology安全源自未雨绸缪,诚信贵在风雨同舟北京启明星辰信息技术股份有限公司防拒绝服务(DOS)攻击....................................................................................................164.4入侵检测与保护...................................................................................................................164.5网络行为审计.......................................................................................................................184.6网页防篡改...........................................................................................................................20安全源自未雨绸缪,诚信贵在风雨同舟北京启明星辰信息技术股份有限公司无所不在,客户只要拥有帐号和密码便能在世界各地与Internet联网,处理个人交易。这不仅方便客户,银行本身也可因此加强与客户的亲和性。随着金融环境竞争加剧,银行不得不重新审视自身的服务方式。在我国,已经有许多商业银行纷纷推出了网上银行服务。网上银行系统在蕴藏着无限商机的同时,也带来了风险,对于开设网上银行服务的提供者来说,当务之急就是要解决安全问题。在方案中所指的网上银行,包括了个人银行和企业银行两个概念,个人银行是指通过网络为个人银行业务提供服务,企业银行则是指通过网络为企业用户提供服务。两者相比,个人银行业务应该具有较简便的操作界面,而企业银行更注重整个环节的安全性。从广义来讲,安全的概念可以包括数据安全,系统安全和信息安全三个方面,数据安全是指通过采用系统备份,磁盘镜像等安全手段以防止数据丢失;系统安全是指通过系统加固,边界防御,入侵检测等手段以防止黑客攻击系统破坏数据;而信息安全则主要是指通过加密技术防止信息和数据在公开网络传输上被窃听、篡改和顶替。信息安全包括四个功能:数据保密,身份认证,数据完整性和防止抵赖。本文并没有涉及到有关数据安全方面的概念,对网络及系统安全作了一定的介绍,而对信息安全技术的实施则作了比较详细的方案设计。第2章网上银行安全需求分析从功能划分,网上银行的业务可分为三类:2.1公共信息发布公共信息发布用于介绍网上银行的业务范围流程,金融公共信息等。这类业务由于面向公众发布,不需要保证信息只能被特定团体或个人访问,需要的是保护信息不会被非法篡改。目前在Internet上比较多的黑客事件都是篡改公共Web站点的内容,制造虚假信息或涂改页面。如美国NASA和国防部站点被“黑”事件就是这类事件。对于银行来说,公共金融信息虽然是公开的,但是如果被篡改某些敏感数据,如银行利率等,很可能会造成不必要的麻烦,对银行的名誉也安全源自未雨绸缪,诚信贵在风雨同舟北京启明星辰信息技术股份有限公司会造成不利的影响。因此,对这些内容的保护也是不能够忽视的。Web站点内容被黑客篡改,是这些黑客通过主动攻击实现的。例如,黑客通过密码字典猜测信息系统的特权口令,在获得特权口令之后,登录进入系统,篡改发布内容,制造不良影响。对于这种情况,我们可以通过改进系统配置、增加防火墙防护、配置入侵检测模块和完善安全管理策略来实现安全保护,避免站点被非法篡改。2.1.1完善安全管理策略黑客一般是通过分析网络管理上的漏洞以达到其攻击目的。很难定义怎样的系统管理才是完善的,因为完善的系统管理是各方面的总和,例如对路由器以及其他主机定期更改密码,采用不规则密码,关闭不必要的服务,关闭防火墙任何不使用的端口等。对于一个Unix系统,安全管理主要可分为四个方面:1.防止未授权存取权限控制是系统安全的基本问题,即防止未被授权的用户进入系统。良好的用户意识,良好的口令管理(由系统管理员和用户双方配合),登录活动记录和报告,用户和网络活动的周期检查是防止未授权存取的关键。2.防止泄密数据保密也是系统安全的一个重要问题。防止已授权或未授权的用户相互存取对方的重要信息,经常性的文件系统查帐,su登录和报告以及良好的用户保密意识都是防止泄密的手段。3.防止用户滥用系统资源一个系统不应被一个有意试图使用过多资源的用户损害,因为在高负载的情况下系统的安全性能往往会降低。例如黑客通过占用整个磁盘空间来防止日志生成,不幸的是很多商业UNIX不能很好地限制用户对资源的使用。因此系统管理员必须通过一些系统命令如PS命令,记帐程序df和du周期地检查系统.查出过多占用CPU的进程和大量占用磁盘的文件。同时安装某些监控软件也是有效的手段之一。4.维护系统的完整性大多数情况下,维护系统完整是系统管理员的责任,例如:周期地备份文件安全源自未雨绸缪,诚信贵在风雨同舟北京启明星辰信息技术股份有限公司系统,系统崩溃后运行磁盘扫描检查,修复文件系统,检测用户是否正在使用可能导致系统崩溃的软件。良好的安全管理策略对系统的安全水平起着至关重要的作用。因此系统管理员可以将以下几个方面作为维护的重点:系统配置仔细研究最新的系统维护文档,完善系统各方面的安全配置,降低安全风险。同时,周期性的维护系统,包括备份和安装补丁程序、订阅安全电子新闻。系统隔离将内网和外网进行隔离,确保银行业务前置机、业务主机和数据库服务器只处于内网中,内网和外网通过防火墙相连。切断共享Web服务器上的系统配置尽可能地保证安全。关闭所有不必要的文件共享。停止所有与业务无关的服务器进程,如Telnet、SMTP和FTP等服务器守护进程。日志记录打开日志记录功能,保存系统的访问日志记录,对其进行分析,可以有助于发现有问题的访问情况。如有必要,使用专门的入侵检测模块。口令策略制定完善的口令策略,限制口令的最小长度和最长有效期,检查口令的质量。专人专权由专人负责系统安全和系统维护,减少不必要的用户管理权限,严格控制非系统管理员的权限和系统管理员的数量。以下是一个简化的虚拟网上银行网络结构图:安全源自未雨绸缪,诚信贵在风雨同舟北京启明星
本文标题:网银安全解决方案
链接地址:https://www.777doc.com/doc-4553893 .html