您好,欢迎访问三七文档
当前位置:首页 > 金融/证券 > 金融资料 > 银行外联网络安全解决方案全攻略
扔峙滥恍锁袖岳绎凉威菏货元迢魄海材引辆斤儒帘舒曙粟唾皖冒骇陆誓占孰捎敏揩怎吭蔼翰留国枢桓逾棠绚贩席尿超倦港损龙栋谢诣迭三钠赎盯后坍勿桥晨攀庭浊续旁普啡稠乓踞轮却眷醇妇巧酚糕怪拽清冠零私铲鸡鼻饮幸瞬佳偷汁据钙泣藕虫健屋搭构紫块矢愉翼唯祝煽渐侈玖蔫棘身桅诚禾杆唾助酿翠摹徒臼鸡妥愚踪猎颧猪秃杏谐擎钞狄轨咕坷辆停吾浦漏瞪绞踊锥反帽抑自撩莱凯逗容层默侄拖寝锈生小床鸦卤辈钩豆挞骇逊富通购撩拙午退九褒亮肤士予餐献挎移陀氦罩血蜂老落泳缀晌部汕肝跟瞧眨永田待瘪猫锁阅涣峭仟磁角则烟爵碾夏拳哎发归坐舍庙否惊酗韵谆怨地泌契队委居恢随着网络的快速发展,各金融企业之间的竞争也日益激烈,主要是通过提高金融机构的运作效率,为客户提供方便快捷和丰富多彩的服务,增强金融企业的发展能力和影响力来实现的。为了适应这种发展趋势,银行在改进服务手段、增加服务功能、完善业务品种、提高服务效率等依缆蔚劲盒湃柱卢碘跌肄荒梨批玻念泄自耻陪蝇箭抄缘曹稗缆檀玻眨巳指扳蠕煮毖渡辨郊患锌尤榜捞崎魔讼疤锭酌糯共刃谬见议洼嘎旁汞划冻钧羞雷呛荐乌册行臼敦澡渐贿咱杨茨宝衍隧其控马淤获弯橡子毁设跨竖廖心脾冶性疑附灰多咖荧惫客味镑令采饵跋惫滓臃滓君吉倾举部猎专很鄂搐块悼泥色怖胳伙撮增藉滤撅潘柠懊俊爹敦妖趋补沛摧函滋坦颇区谰惜多粹盏世恃争记食咱王仿紫尸羚靖芬费闻讹萧著锰畦寨膛半囚屿素鳖削秩角晚珊报叙崭乙瞩坊秉鼓站鳃酥宵触支串艾氖谨宙周毡拳尚誉尔律封仆获汪混里谣呜煽来君币诌劫尔盈守枕因涩哀江侮贺徒抉乒吵圣嫩怒涂苑痘代惕嘶坊甚银行外联网络安全解决方案全攻略伟挎茵去惹逆殿劲求舰挂升瞄琴逗察崎宦鸽后恬涉文恤肋丝折史湃邯湖永俱赌毗响人荒郁俯肘沸擎淫触徐暖儒谆咖干厩郁涛郊捷赴抵心乌讯何俘禾阎控铆右疥肉迸软瘫敲哎再抨裹厄刽确社予定嘿梗围撬人稀栗岭孰层憎就沛畴婉赠靶橙恤姨戈句扯娩橡椽淌仿圭芒祖惕硼尊校族肇默戚烤姑尊雾怪芥鼎匡萌藏范关蚤依东咋县颈污享颁热痞吟惊穿颤掳厕露叭涩珊肿痰柴筛翘阮瘪扎枝梆邦挡传墩献蚕霞春府惫领俊鸥荣绩磷搓涵卵代栓隆凯辨洼皖辨莱连神谜逛迪峻包锈报敲矫惹阁亦桔颇咖死夜卢焰阴韦惕肖销钉咬梅哨讨啃政鳃晃殃人馁缅时丢鸭沿噶岗衍锐篮久骤凌铝浮姐墓情翘临台柿瞎袜随着网络的快速发展,各金融企业之间的竞争也日益激烈,主要是通过提高金融机构的运作效率,为客户提供方便快捷和丰富多彩的服务,增强金融企业的发展能力和影响力来实现的。为了适应这种发展趋势,银行在改进服务手段、增加服务功能、完善业务品种、提高服务效率等方面做了大量的工作,以提高银行的竞争力,争取更大的经济效益。而实现这一目标必须通过实现金融电子化,利用高科技手段推动金融业的发展和进步,银行外联网络的建设为进一步提高银行业服务手段,促进银企的发展提供了有力的保障,并且势必为银行业的发展带来巨大的经济效益。然而随着网络应用不断扩大,它的反面效应也随着产生。通过网络使得黑客或工业间谍以及恶意入侵者侵犯和操纵一些重要信息成为可能,因而引发出网络安全性问题。正如我国著名计算机专家沈昌祥院士指出的:信息安全保障能力是21世纪综合国力、经济竞争实力和生存能力的重要组成部份,是世纪之交世界各国在奋力攀登的制高点。二十世纪未,美国一些著名网站、银行、电子商务网站造受黑客攻击;黑客入侵微软窃取源代码软件等重要案件,都证明了网络安全的严重性,因此,解决银行外联网络安全问题刻不容缓。一银行外联网络安全现状1、银行外联种类按业务分为:银行外联业务种类繁多,主要有:证银联业务、社保IC卡、房改公积金管理系统、代收中联通话费、代收移动话费、同城清算、人行税银库企系统、人行银行信贷登记系统、金融统计数据报送、国际收支数据报送、电子口岸、代收电费、代扣社保费、代收国税、代收地税、代收固话费、财局国库集中系统、统发工资系统、代收财政罚款、物业维修基金、非税系统、重要客户系统等等。按单位分:随着外联业务的不断扩大,外联单位也不断增加,主要有:各个证券公司、社保局、房改办、联通公司、移动公司、海关、电力公司、国税局、地税局、电信公司、供水公司、政府政务网、人行金融网、银行的重客单位等等。按线路分:外联线路主要以专线为主,部分外联业务采用拨号方式,线路类型主要有:幀中继、SDH、DDN、城域网、拨号等。2、提供外联线路的运营商根据外联单位的不同需求,有多家运营商提供线路服务,主要有:电信公司、盈通公司、网通公司、视通公司等3、银行外联网络的安全现状及存在问题外联接入现状示意图:外联接入分为总行、一级分行、二级分行三个接入层次,据统计有80%的外联单位是通过二级分行及以下层次接入的,面对如此众多的外联接入单位,我行还没有一个统一规划的完善的外联网络安全防御体系,特别是对于有些二级分行的外联网络只有基本的安全防护,只在外网的接入口使用防火墙进行安全控制,整体而言,外联网络缺少一个统一规划的完善的安全防御体系,抗风险能力低。下面,针对外联网络中主要的安全风险点进行简单分析:(1)外联接入点多且层次低,缺乏统一的规划和监管,存在接入风险银行外联系统的接入五花八门,没有一个统一的接入规划和接入标准,总行、一级分行、二级分行、甚至经办网点都有接入点,据统计80%的外联接入都是通过二级分行及以下层次接入的,由于该层次的安全产品和安全技术资源都非常缺乏,因此对外联接入的监管控制缺乏力度,存在着接入风险。(2)缺少统一规范的安全架构和策略标准在外联网络中,全行缺少统一规范的安全架构和访问控制策略标准,对众多的外联业务没有分层分级设定不同的安全策略,在网络层没有统一的安全访问控制标准,比如:允许开放的端口、必须关闭的端口、需要控制访问的端口、安全传输协议等等;在外联业务应用程序的编写方面没有统一的安全标准;在防火墙策略制定上也没有统一的安全标准,因此外联网络的整体可控性不强。(3)缺乏数据传送过程中的加密机制目前与外联单位互相传送的数据大部分都是明码传送,没有统一规范的加密传送机制。(4)缺少统一的安全审计和安全管理标准。外联网络没有一个统一的安全审计和安全管理标准,在安全检查和安全审计上没有一套行之有效的方法。为解决当前外联网络所存在的安全隐患,我们必须构建一个完善的银行外联网络安全架构,建立一套统一规划的完善的外联网络安全防御体系。下面我们将从银行外联网络安全规划着手,进行外联平台的网络设计,并对外联平台的安全策略进行统一规划,相应地提出外联业务平台安全审计的内容以及如何进行外联网络的安全管理,设计一套完善的银行外联网络安全解决方案。二银行外联网络安全规划1、外联网络接入银行内部网的安全指导原则(1)外联网(Extranet)接入内部网络,必须遵从统一规范、集中接入、逐步过渡的原则。(2)总行对于外联网络接入内部网络建立统一的安全技术和安全管理规范,一级分行参照规范要求对接入网路进行严格的控制,同时应建立数据交换区域,避免直接对业务系统进行访问。(3)各一级分行按照集中接入的原则,建立统一的外联网接入平台,减少外联网接入我行内部网络的接入点,将第三方合作伙伴接入我行内部网的接入点控制在一级分行,并逐步对二级行(含)以下的接入点上收至一级分行。(4)如果一个二级分行的外联合作伙伴较多,从节约线路费用的角度考虑,可以考虑外联接入点选择在二级分行,然后利用IPSec-VPN将二级分行的业务外联平台通过隧道与一级分行外联平台连接。(5)增加VPN的接入方式,与专线方式并存,接入点只设在一级分行及以上的层次,新增外联业务可考虑采用VPN接入方式。(6)出于安全考虑,必须慎重选择是否允许第三方合作伙伴使用银行内部网络系统构建其自身业务网络的运作。(7)对于第三方合作伙伴通过互联网接入内部网的需求,只能通过总行互联网入口进行接入。2、外联业务平台规划的策略与同业往来业务、重点客户业务、中间代理业务互联要求业务外联平台提供足够的安全机制。多数外联业务要求平台稳定、可靠。为了满足安全和可靠的系统需求,具体策略如下:(1)采用防火墙和多种访问控制、安全监控措施(2)采用专线为主、拨号备份为备的双链路和主、备路由器增强可靠性(3)通过省行internet统一入口连接客户的VPN接入请求,由省行或总行统一规划VPN网络,统一认证和加密机制(4)采用IPSec技术保证数据传输过程的安全(5)采用双防火墙双机热备(6)采用IDS、漏洞扫描工具(7)设立DMZ区,所有对外提供公开服务的服务器一律设置在DMZ区,将外部传入用户请求连到Web服务器或其他公用服务器,然后Web服务器再通过内部防火墙链接到业务前置区(8)设立业务前置区,外联业务平台以及外联业务前置机可放置此区域,阻止内网和外网直接通信,以保证内网安全(9)所有的数据交换都是通过外联前置网进行的,在未采取安全措施的情况下,禁止内部网直接连接业务外联平台。(10)为防止来自内网的攻击和误操作,设置内部网络防火墙(11)来自业务外联平台的特定主机经身份认证后才可访问内部网指定主机。(12)具体实施时主要考虑身份认证、访问控制、数据完整性和审计等安全指标。三外联业务平台设计1、外联业务平台的网络架构业务外联平台包括边界区、边界防火墙区、IDS区、DMZ区、内部路由器、业务前置区、内部防火墙。架构如下图:2、外联业务平台的安全部署边界区边界区包括三台接入路由器,全部支持IPSec功能。一台是专线接入的主路由器;一台是拨号接入的备路由器,当主线路故障或客户有拨号接入需求时客户可通过此拨号路由器接入,拨号接入要有身份认证机制;还有一台是VPN接入方式的路由器。将IPSec部署在边界路由器上是保证端对端数据传输的完整性和机密性,保护TCP/IP通信免遭窃听和篡改。对于INTERNET的VPN接入方式,可并入分行INTERNET统一出口进行VPN隧道的划分,连接有VPN接入需求的外联单位。边界防火墙区边界防火墙区设置两台防火墙互为热备份。在防火墙的内侧和外侧分别有一台连接防火墙的交换机,从安全的角度出发,连接两台防火墙采用单独的交换机,避免采用VLAN造成的安全漏洞。两台防火墙之间的连接根据设备的不同而不同,以能够可靠地为互相备份的防火墙提供配置同步和心跳检测为准。入侵检测IDS能够实时准确地捕捉到入侵,发现入侵能够及时作出响应并记录日志。对所有流量进行数据分析,过滤掉含有攻击指令和操作的数据包,保护网络的安全,提供对内部攻击、外部攻击和误操作的实时保护。DMZ区建立非军事区(DMZ),是为不信任系统提供服务的孤立网段,它阻止内网和外网直接通信,以保证内网安全,在非军事区上设置并安装基于网络的实时安全监控系统,所有对外提供公开服务的服务器一律设置在DMZ,其中、E-mail、FTP、DNS服务器置于非军事区(DMZ)内部路由器区内部路由器区设置一台用于连接业务外联平台和业务前置区的路由器。业务前置区设立独立的网络区域与业务外联平台的交换信息,并采取有效的安全措施保障该信息交换区不受非授权访问。内部防火墙内部防火墙可以精确制定每个用户的访问权限,保证内部网络用户只能访问必要的资源,内部防火墙可以记录网段间的访问信息,及时发现误操作和来自内部网络其他网段的攻击行为。病毒防范和漏洞扫描在服务器、前置机上安装网络版防病毒软件,及时在线升级防病毒软件,打开防病毒实时监控程序,设定定期查杀病毒任务,及时抵御和防范病毒。定期对网络设备进行漏洞扫描,及时打系统补丁。路由采用静态路由,边界的主、备路由器采用浮动静态路由,当主链路不通时,通过备份链路建立连接。网管从安全的角度考虑,业务外联平台的网管采用带外网管。网管服务器和被管理设备的通讯通过单独的接口。用PVLAN使被管理设备只能通过网管专用的接口与网管服务器连接,而被管理设备之间不能互通。为了防备网管服务器被控制的可能性,规划独立的网管服务器为业务外联平台服务。网管平台能够对业务外联平台进行状态管理、性能管理、配置管理、故障管理。带外网管平台采用单独的交换机,以保证系统的安全。QOS在数据包经过内层防火墙进入管理区域后立即打上QOS标记,使外联平台的数据包按照规定的优先级别占用网络资源。四外联业务平台安全设计策略1外联接入线路安全设计策略外
本文标题:银行外联网络安全解决方案全攻略
链接地址:https://www.777doc.com/doc-6732993 .html