| 一、金融行业网络现状& 安全问题分析 |
| 随着我国金融改革的进行,各个银行纷纷将竞争的焦点集中到服务手段上,不断加大电子化建设投入,扩大计算机网络规模和应用范围。但是,应该看到,电子化在给银行带来利益的同时,也给银行带来了新的安全问题,并且,这个问题现在显得越来越紧迫。原因主要有三:一是伴随我国经济改革、金融改革的深入、对外开放的扩大,金融风险迅速增大。防范和化解金融风险成了各级和金融部门非常关注的问题。二是当前计算机应用日益广泛、计算机日趋网络化,系统的安全性漏洞也随之增加。多年以来,银行迫于竞争的压力,不断扩大电子化网点、推出电子化新品种,忽略了计算机治理制度和安全措施的建设,使计算机安全问题日益突出。三是计算机知识日益普及,金融网络向国际化发展,计算机犯罪技术也在不断提高,利用计算机犯罪的案件呈逐年上升趋势,这也迫切要求银行信息系统具有更高的安全防范体系。 网络通信技术的发展已使银行的业务开展突破了时间和空间的(如通存通兑业务、银行卡业务、中间业务、电话银行业务和即将开展的网上银行业务等),大大推进了业务的发展,甚至在一定程度上已经改变了传统的业务模式。而所有新技术的运用、新系统的开通都可能伴随着信息安全风险的产生。随着信息技术进一步深入业务层面,信息安全与业务开展的关系也越来越紧密。简单地说,商业银行的信息安全建设必须能保证新技术运用的安全,使其能在保证安全的情况下发挥巨大的业务促进作用。 |
从网络结构上看,银行网络分为业务网络与办公自动化网络系统。同时使用两个网络的终端使用物理隔离卡将两个网络隔离;身份认证服务器、CA服务器与前置机、中间业务前置机接在业务网上;入侵检测、病毒防御中心连接在业务的主交换机上;身份认证服务器、CA服务器、入侵检测等由安全管理终端及审计终端进行管理。根CA服务器置于隔离区,不与任何网络相连,保证根CA证书的安全。业务网通过VPN、防火墙连接到一级网上。
Web服务器、网上银行服务器、邮件服务器置于停火区(DMZ),通过病毒防御网关、入侵检测及防火墙连接到Internet上,办公网也通过VPN、防火墙连接到Internet上。
| 二、金融网络安全问题对策建议 |
| 在分析金融行业网络现状和存在的问题后,我们需要一个有效可靠的解决方案来帮助我们解决金融行业网络当前所面临的这些问题。 |
金融办公网的安全防护 办公系统主要是为银行内部用户办公使用。银行系统内部办公用户通过局域网络互连成为办公自动化系统,通过网络不同部门或不同用户之间可以共享文件、打印机等公共资源,不同用户之间可以方便地进行信息交换。各部门或不同级别用户都有一些重要或涉密信息存放在内部网中。Hillstone安全网关部署在办公网络时,可提供: ∙防御网络层攻击的高性能防火墙 ∙提供链路负载均衡及策略路由 ∙P2P、IM、网络视频流等动态端口应用的带宽管理 ∙基于IP地址的带宽管理、会话数 ∙高性能的病毒检测与过滤 ∙基于Web重定向和L2TP等方式的认证功能 ∙网络访问日志记录和行为审计功能,包括URL过滤的地址分类库、论坛发帖记录、邮件发送记录,及基于关键字的访问控制等。 ∙服务器负载均衡功能及多种健康检测技术 ∙在IPv6环境下提供安全控制 外联业务网络的安全防护 银行外联业务种类繁多,主要有:证银联业务、社保IC卡、房改公积金管理系统、代收中联通话费、代收移动话费、同城清算、人行税银库企系统、人行银行信贷登记系统、金融统计数据报送、国际收支数据报送、电子口岸、代收电费、代扣社保费、代收国税、代收地税、代收固话费、财局国库集中系统、统发工资系统、代收财政罚款、物业维修基金、非税系统、重要客户系统等。保障外联业务数据安全也是网络安全的一个重点。在外联业务网络中Hillstone山石网科可以提供: ∙网络层DoS/DDoS、SYN 等攻击的防护 ∙应用层IPS入侵防御,提供超过3000种攻击检测和防御 ∙ARP攻击防护 ∙会话数及每秒新建会话功能,保护后台服务器 ∙服务器负载均衡功能及多种健康检测技术 ∙DNS代理及递归查询控制等安全防护功能 ∙网络连接日志记录与审计 ∙网络流量记录与统计 主干网络的安全防护 我国银行网络总体是一个银行内部业务系统 , 一般采取总行到省行及地市分行的三级网络结构。整体网络分为三级节点:总行网络中心为一级的节点、省行网络中心为二级的节点;各地市银行网络中心、各支行网络中心为三级节点。 营业服务器、业务服务器、中间业务服务器汇集到中心交换机。中心交换机多采用双机备份。营业服务器和业务服务器通过中心交换机与各地市行网络中心以及支行网络中心互联。中间业务服务器从中心交换机与移动、联通、证券等相连。另一方面,营业服务器和业务服务器从中心交换机通过银行前置机为各营业网点通过网络办理正常银行值储蓄存、取款等存折或储蓄卡业务。 对于主干网络、业务网,Hillstone提供高度集成和易于扩展的安全网关解决方案。 ∙安全网关性能强大,高达480G背板带宽可承载原有汇聚层交换机的负荷 ∙安全网关可提供最高达44个端口,方便交换并进行策略控制。 ∙基于IP地址的带宽管理、会话数 ∙基于Web重定向和L2TP等方式的认证功能 ∙会话数及每秒新建会话功能,保护后台服务器 ∙服务器负载均衡功能及多种健康检测技术 ∙网络连接日志记录与审计 ∙网络流量记录与统计 网上银行的安全防护 网上银行以其功能丰富、手续简单、设置灵活、快捷方便等特点吸引着越来越多的客户。然而网上银行由于一些客观因素及防护系统的脆弱和安全意识的薄弱,容易成为非法入侵和恶意攻击的对象,加上目前网络秩序较混乱,黑客攻击事件层出不穷,使开展网上银行业务的银行面临更多的风险。在开放网络中流动的大量金融交易数据,不仅涉及巨大的经济利益,而且包含大量的用户个人隐私信息,必然吸引不法分子的网络入侵、网上侦听、电子欺诈和攻击行为 对于网上银行,Hillstone提供高度集成和易于扩展的安全网关解决方案。 ∙网络层DoS/DDoS、SYN 等攻击的防护 ∙安全网关性能强大,高达480G背板带宽可承载原有汇聚层交换机的负荷 ∙安全网关设备可提供最高达44个端口,方便交换并进行策略控制。 ∙基于IP地址的带宽管理、会话数 ∙基于Web重定向和L2TP等方式的认证功能 ∙会话数及每秒新建会话功能,保护后台服务器 ∙服务器负载均衡功能及多种健康检测技术 ∙高性能的病毒检测与过滤 ∙网络连接日志记录与审计 ∙网络流量记录与统计 统一的日志审计和设备管理监控 在部署高性能安全网关后,如何监控设备、收集上网日志、统计网络运行状况、记录用户行为等则成为后期管理所需要面对的问题 Hillstone的HSM集中管理平台面对金融网络这一需求,可以提供: ∙攻击日志记录与统计 ∙网络流量记录与统计 ∙上网行为:包括打开网页的日志记录、论坛发帖内容的记录、邮件外发内容及附件的记录、基于端口IP访问的记录等 ∙网关防病毒功能查到病毒的记录与统计 ∙IPS入侵防御系统检测到攻击的记录与统计 ∙网络中占用上下行带宽、会话最多的Top N记录与统计 ∙设备运行状况记录与统计 |
