1,應用背景
銀行金融業屬於國家重點建設和保護的行業。隨著市場經濟的全面推進,金融企業之間的競爭日趨激烈,主要是通過提高金融機構的運營效率,為客戶提供便捷、豐富多彩的服務,增強金融企業的發展能力和影響力來提升自身的競爭優勢。由於服務的多樣化,網絡安全的風險會隨著應用的增加而暴露出來,而且由於銀行系統擁有大量的商業秘密,如果這些機密信息在網上傳輸過程中泄露,如果這些信息丟失或泄露;損失將是不可估量的。近日,針對某銀行系統的特殊業務需求和潛在的網絡風險,天榮信公司提出了壹套系統化的安全解決方案,有效保證了銀行網絡系統的安全。
2.安全需求分析
目前,銀行的主要應用業務,如網上銀行、電子商務和網上交易系統,都是通過互聯網公共網絡運行的。由於互聯網本身的普遍性和自由性,其系統很可能成為惡意入侵者的目標。銀行網絡安全的風險來自多方面:壹是來自互聯網的風險:如果銀行的系統網絡與互聯網相連,如電子商務、網上交易等,可能會給惡意入侵者帶來攻擊的條件和機會。二是來自其他單位的風險:而且銀行不斷增加中間業務和服務功能,比如收電話費,所以和其他單位的網絡是互聯的,相互之間不壹定是完全的信任關系。因此,銀行網絡系統存在來自其他單位的安全風險。第三,來自不信任域的風險:覆蓋面廣、全國聯網的銀行之間存在安全威脅。第四,來自內網的風險。據調查,大部分網絡安全事件都是從內部攻擊;可能發生內部攻擊和泄密;導致攻擊的事件發生了。針對上述潛在風險,銀行網絡需要防範來自不安全網絡或不可信域的非法訪問或未授權訪問,防止信息在網絡傳輸過程中被非法竊取,造成信息泄露;並動態防範來自內外網的各種惡意攻擊;實時監控進入網絡或主機的數據,防止病毒入侵網絡或主機;針對銀行的特殊應用進行具體的應用開發;必須制定和完善安全管理制度,通過培訓等方式增強員工的安全防範技術和意識,防患於未然。
3、方案設計(圖、文)
針對上述銀行系統可能存在的安全風險和客戶需求,天榮信制定了安全可靠的安全解決方案。首先,保證計算機信息系統中各類設備的物理安全是保證整個網絡系統安全的前提,涉及到網絡環境、設計、介質的安全。保護計算機網絡設備、設施和其他介質免受地震、洪水、火災等環境事故,以及人為失誤或錯誤和各種計算機犯罪造成的破壞過程。此外,還要註意系統、網絡、應用和信息的安全,包括操作系統和應用系統的安全。網絡安全包括網絡結構安全、訪問控制、安全檢測和評估;應用安全包括安全認證和病毒防護;信息安全包括加密傳輸、信息認證和信息存儲。
其次,為了保障銀行系統可能存在的特殊應用的安全性,需要通過詳細的分析,有針對性地開發,量身定制,保證應用的安全性。建立壹個動態和綜合的網絡安全的另壹個關鍵是建立壹個長期的項目相關的信息安全服務。安全服務包括:安全咨詢和雨傘定向培訓;靜態網絡傘風險評估;對特殊事件的緊急響應。
另外,除了以上的安全隱患,安防設備本身的穩定性非常重要。為此,天融信安全解決方案中的防火墻將采用雙機熱備的模式。即兩個防火墻互為備份,壹個為主防火墻;另壹個來自防火墻。當主防火墻出現故障時,從防火墻將接管主防火墻的工作。從而最大限度地保證用戶網絡的連通性。根據銀行的網絡結構,天融信通過防火墻將整個網絡劃分為三個物理控制區域,即金融網廣域網、獨立服務器網絡和銀行內部網絡。
上述三個區域分別連接到防火墻的三個以太網借用接口,通過在防火墻上加載訪問控制策略來限制三個控制區域之間的訪問。主防火墻和從防火墻通過壹根電纜連接,以檢測兩個防火墻之間的心跳。
4.經驗教訓(盡量加上自己的感受)
我們這次做的安全解決方案是緊密結合銀行實際應用和用戶需求的,針對性很強,取得了很好的效果。防範系統漏洞:目前大多數操作系統都存在壹些安全漏洞和後門,經常被入侵者利用。因此,必須對操作系統進行安全配置和補丁安裝,並使用相應的掃描軟件對其安全性進行掃描和評估,檢測其安全漏洞,分析系統的安全性,提出補救措施。加強身份認證:為了應用系統的安全,也要進行安全配置,盡量只開放必須使用的服務,關閉不常用的協議和協議端口號。加強對應用系統的用戶登錄認證,確保用戶使用的合法性,嚴格限制登錄的操作權限,將完成的操作限制在最低限度。全面的網絡安全控制:首先,從網絡結構布局上,與銀行系統其他單位互聯的業務網絡、辦公網絡、接口網絡,必須根據各自的應用範圍和安全程度進行合理劃分,避免本地黃牛生產的威脅擴散到整個網絡系統。同時加強訪問控制:通過任意內部局域網內的交換機劃分VLAN功能,實現不同部門、不同級別用戶之間的簡單訪問控制;配備防火墻,實現內外網之間或不同信任域之間的隔離和訪問控制;配備應用層的訪問控制軟件系統,對局域網的具體應用進行更細致的訪問控制;對於遠程撥號用戶的安全訪問,采用防火墻的壹次性密碼認證機制對遠程撥號用戶進行身份認證,保證遠程用戶的安全訪問。然後進行安全檢測和評估:配備入侵檢測系統,跟蹤網絡違規行為,實時報警,阻斷連接並做好記錄;從操作系統的角度,以管理員的身份對獨立系統主機的安全性進行評估和分析,找出用戶系統配置和用戶配置的安全弱點,並提出補救措施。
密鑰認證:我們引入第三方頒發證書,即搭建權威認證機構(Ca認證中心)。銀行系統可以和各種專業銀行結合?同時,構建壹個銀行系統的CA系統,實現證書的頒發和該系統中業務的安全交易。加密傳輸不同:對於壹般的銀行系統,我們建議使用網絡層加密設備來保護數據在網絡上傳輸的安全性。對於網上銀行、網上交易等業務系統,可以采用應用層加密機制來保護網上數據傳輸的機密性。停止數據的備份和恢復:保護數據庫最安全、最有效的方法是采用備份和恢復系統。備份系統可以保存相當完整的數據庫信息。當數據庫主機發生事故時,通過恢復系統可以在最短的時間內將備份數據庫系統恢復到正常工作狀態,從而保證銀行系統提供服務的及時性和連續性。
二、相關檢索
1,防火墻的定義
防火墻是保證網絡安全的壹個系統或壹套系統,用於加強網絡之間的訪問控制,防止外部用戶非法使用內網資源,保護內網設備不被破壞,防止內網敏感數據被竊取。
2、使用防火墻的目的
防止各種黑客的破壞,阻擋來自外部網絡的威脅和入侵,起到防範潛在惡意活動的作用。
3、防火墻的特征(或典型防火墻的基本特征)
(1),通用性:通過將應用層的動態過濾能力與認證相結合,可以實現WWW瀏覽器、HTTP服務器、FTP等服務器支持;
(2)對私有數據的加密支持:確保虛擬專用網絡和通過互聯網的商業活動不被破壞;
(3)客戶端認證僅允許指定用戶訪問內部網絡或選擇服務:企業本地網絡與分支機構、業務合作夥伴和移動用戶之間安全通信的附加部分;
(4)反欺騙(Anti-spoofing):欺騙是從外部獲取網絡訪問權的常用手段,使數據包看起來像是來自網絡內部。防火墻可以監控這樣的數據包並將其丟棄;
(5) C/S模式和跨平臺支持:運行在壹個平臺上的管理模塊可以控制運行在另壹個平臺上的監控模塊。
4、當前防火墻的局限性
(1)防不住內部攻擊。
(2)無法防止不穿越防火墻的連接入侵。
(3)不能自動防禦所有新的威脅。
5.防火墻的基本功能和增值功能
(1)防止易受攻擊的服務進入內網;
(2)控制接入點;
(3)集中安全管理;
(4)監控和審計網絡接入和訪問;
(5)檢測掃描計算機的嘗試;
(6)警惕特洛伊馬;
(7)防病毒功能;
(8)支持VPN技術;
(9)為網絡地址轉換提供NAT功能。
6.防火墻的類型
(1)概念分類:網絡層防火墻和應用層防火墻。
(2)技術分類:傳統防火墻、分布式防火墻、嵌入式防火墻、智能防火墻。
7、防火墻的主要技術
包過濾技術,代理服務技術,電路層網關,狀態檢測技術。
8.防火墻的通用體系結構
過濾路由器結構,雙宿主機結構,屏蔽主機網關結構,屏蔽子網結構。
9.防火墻設計的原則和策略
設計原則:
安全性、可靠性、可擴展性、可升級性和兼容性
防火墻壹般采用兩種基本設計策略:
(1)禁止拒絕訪問除明確許可以外的任何種類的服務,即未被列為允許的服務。
(2)允許訪問除明確拒絕之外的任何類型的服務,即允許未被列為禁止的服務。