银行外联网络安全解决方案全攻略Word下载.docx
《银行外联网络安全解决方案全攻略Word下载.docx》由会员分享,可在线阅读,更多相关《银行外联网络安全解决方案全攻略Word下载.docx(21页珍藏版)》请在冰豆网上搜索。
电信公司、供水公司、政府政务网、人行金融网、银行的重客单位等等。
按线路分:
外联线路主要以专线为主,部分外联业务采用拨号方式,线路类型主要有:
、城域网、拨号等。
、DDN幀中继、SDH
、提供外联线路的运营商2
根据外联单位的不同需求,有多家运营商提供线路服务,主要有:
电信公
司、盈通公司、网通公司、视通公司等.
3、银行外联网络的安全现状及存在问题
外联接入现状示意图:
外联接入分为总行、一级分行、二级分行三个接入层次,据统计有80%的
外联单位是通过二级分行及以下层次接入的,面对如此众多的外联接入单位,
我行还没有一个统一规划的完善的外联网络安全防御体系,特别是对于有些二
级分行的外联网络只有基本的安全防护,只在外网的接入口使用防火墙进行安
全控制,整体而言,外联网络缺少一个统一规划的完善的安全防御体系,抗风
险能力低。
下面,针对外联网络中主要的安全风险点进行简单分析:
)外联接入点多且层次低,缺乏统一的规划和监管,存在接入风险1(
银行外联系统的接入五花八门,没有一个统一的接入规划和接入标准,总
%的外联接入80行、一级分行、二级分行、甚至经办网点都有接入点,据统计
都是通过二级分行及以下层次接入的,由于该层次的安全产品和安全技术资源
都非常缺乏,因此对外联接入的监管控制缺乏力度,存在着接入风险。
)缺少统一规范的安全架构和策略标准(2
在外联网络中,全行缺少统一规范的安全架构和访问控制策略标准,对众
多的外联业务没有分层分级设定不同的安全策略,在网络层没有统一的安全访
问控制标准,比如:
允许开放的端口、必须关闭的端口、需要控制访问的端口、
安全传输协议等等;
在外联业务应用程序的编写方面没有统一的安全标准;
在
防火墙策略制定上也没有统一的安全标准,因此外联网络的整体可控性不强。
)缺乏数据传送过程中的加密机制(3
目前与外联单位互相传送的数据大部分都是明码传送,没有统一规范的加
密传送机制。
)缺少统一的安全审计和安全管理标准。
4(
外联网络没有一个统一的安全审计和安全管理标准,在安全检查和安全审
计上没有一套行之有效的方法。
为解决当前外联网络所存在的安全隐患,我们必须构建一个完善的银行外
联网络安全架构,建立一套统一规划的完善的外联网络安全防御体系。
下面我们将从银行外联网络安全规划着手,进行外联平台的网络设计,并
对外联平台的安全策略进行统一规划,相应地提出外联业务平台安全审计的内
容以及如何进行外联网络的安全管理,设计一套完善的银行外联网络安全解决
方案。
二银行外联网络安全规划
、外联网络接入银行内部网的安全指导原则1
)接入内部网络,必须遵从统一规范、集中接入、)外联网(Extranet(1
逐步过渡的原则。
)总行对于外联网络接入内部网络建立统一的安全技术和安全管理规范,2(
一级分行参照规范要求对接入网路进行严格的控制,同时应建立数据交换区域,
避免直接对业务系统进行访问。
)各一级分行按照集中接入的原则,建立统一的外联网接入平台,减少3(
外联网接入我行内部网络的接入点,将第三方合作伙伴接入我行内部网的接入
点控制在一级分行,并逐步对二级行(含)以下的接入点上收至一级分行。
)如果一个二级分行的外联合作伙伴较多,从节约线路费用的角度考虑,4(
将二级分行的业务IPSec-VPN可以考虑外联接入点选择在二级分行,然后利用
外联平台通过隧道与一级分行外联平台连接。
的接入方式,与专线方式并存,接入点只设在一级分行及以VPN(5)增加
接入方式。
上的层次,新增外联业务可考虑采用VPN
)出于安全考虑,必须慎重选择是否允许第三方合作伙伴使用银行内部6(
网络系统构建其自身业务网络的运作。
)对于第三方合作伙伴通过互联网接入内部网的需求,只能通过总行互(7
联网入口进行接入。
、外联业务平台规划的策略2
与同业往来业务、重点客户业务、中间代理业务互联要求业务外联平台提
供足够的安全机制。
多数外联业务要求平台稳定、可靠。
为了满足安全和可靠
的系统需求,具体策略如下:
和多种访问控制、安全监控措施防火墙1()采用
(2)采用专线为主、拨号备份为备的双链路和主、备路由器增强可靠性
接入请求,由省行或总统一入口连接客户的VPN(3)通过省行internet
网络,统一认证和加密机制行统一规划VPN
技术保证数据传输过程的安全IPSec(4)采用
)采用双防火墙双机热备5(
、漏洞扫描工具IDS)采用(6
区,将DMZ区,所有对外提供公开服务的服务器一律设置在)设立(7DMZ
服务器再通过或其他公用服务器,然后Web服务器外部传入用户请求连到Web
内部防火墙链接到业务前置区
)设立业务前置区,外联业务平台以及外联业务前置机可放置此区域,(8
,以保证内网安全阻止内网和外网直接通信
)所有的数据交换都是通过外联前置网进行的,在未采取安全措施的情9(
况下,禁止内部网直接连接业务外联平台。
)为防止来自内网的攻击和误操作,设置内部网络防火墙(10
)来自业务外联平台的特定主机经身份认证后才可访问内部网指定主(11
机。
)具体实施时主要考虑身份认证、访问控制、数据完整性和审计等安12(
全指标。
外联业务平台设计三
架构网络1、外联业务平台的
、区、内部路由器业务外联平台包括边界区、边界防火墙区、IDS区、DMZ
业务前置区、内部防火墙。
架构如下图:
部署、外联业务平台的2安全
边界区
边界区包括三台接入路由器,全部支持IPSec功能。
一台是专线接入的主
路由器;
一台是拨号接入的备路由器,当主线路故障或客户有拨号接入需求时
客户可通过此拨号路由器接入,拨号接入要有身份认证机制;
还有一台是VPN
接入方式的路由器。
将IPSec部署在边界路由器上是保证端对端数据传输的完
整性和机密性,保护TCP/IP通信免遭窃听和篡改。
对于INTERNET的VPN接入
接入需VPNVPN隧道的划分,连接有方式,可并入分行INTERNET统一出口进行
求的外联单位。
边界防火墙区
边界防火墙区设置两台防火墙互为热备份。
在防火墙的内侧和外侧分别有
一台连接防火墙的交换机,从安全的角度出发,连接两台防火墙采用单独的交
造成的安全漏洞。
两台防火墙之间的连接根据设备的不同VLAN换机,避免采用
而不同,以能够可靠地为互相备份的防火墙提供配置同步和心跳检测为准。
IDS入侵检测
能够实时准确地捕捉到入侵,发现入侵能够及时作出响应并记录日志。
对
所有流量进行数据分析,过滤掉含有攻击指令和操作的数据包,保护网络的安
全,提供对内部攻击、外部攻击和误操作的实时保护。
区DMZ
是为不信任系统提供服务的孤立网段,它阻止内网),建立非军事区(DMZ
和外网直接通信,以保证内网安全,在非军事区上设置并安装基于网络的实时
E-WWW、DMZ,其中所有对外提供公开服务的安全监控系统,服务器一律设置在
)服务器置于非军事区(DMZmail、FTP、DNS
内部路由器区
内部路由器区设置一台用于连接业务外联平台和业务前置区的路由器。
业务前置区
设立独立的网络区域与业务外联平台的交换信息,并采取有效的安全措施
保障该信息交换区不受非授权访问。
内部防火墙
内部防火墙可以精确制定每个用户的访问权限,保证内部网络用户只能访
问必要的资源,内部防火墙可以记录网段间的访问信息,及时发现误操作和来
自内部网络其他网段的攻击行为。
病毒防范和漏洞扫描
在服务器、前置机上安装网络版防病毒软件,及时在线升级防病毒软件,
打开防病毒实时监控程序,设定定期查杀病毒任务,及时抵御和防范病毒。
定
期对网络设备进行漏洞扫描,及时打系统补丁。
路由
采用静态路由,边界的主、备路由器采用浮动静态路由,当主链路不通时,
通过备份链路建立连接。
网管
从安全的角度考虑,业务外联平台的网管采用带外网管。
网管服务器和被
使被管理设备只能通过网管专用的PVLAN管理设备的通讯通过单独的接口。
用
接口与网管服务器连接,而被管理设备之间不能互通。
为了防备网管服务器被
控制的可能性,规划独立的网管服务器为业务外联平台服务。
网管平台能够对
业务外联平台进行状态管理、性能管理、配置管理、故障管理。
带外网管平台
采用单独的交换机,以保证系统的安全。
QOS
标记,使外联平台QOS在数据包经过内层防火墙进入管理区域后立即打上
的数据包按照规定的优先级别占用网络资源。
设计策略安全四外联业务平台
外联接入线路安全设计策略1
种方式:
传统的专线方式、正在快速发展的基于公网的3外联接入线路有
方式、拨号方式。
VPN
专线方式,银行传统的外联接入方式大部分都是采用专线与外单位相联,
等等。
专线的优点是线路私有、技术、SDH、ATM专线的选择有:
帧中继、DDN
成熟、稳定,传输的安全性比较有保障,但也存在设备投入大,对技术维护人
员的技术要求较高,线路费用昂贵、接入不灵活等缺点。
并且由于对线路的信
任依赖,大多数专线中传递的信息没有考虑任何数据安全,明码传送,存在很
大的安全隐患。
来构建的私有专用网络方式,现在国际社会比较流行的利用公共网络VPN
、InternetVPNNetworkPrivate),用于构建的公共网络包括VirtualVPN(
具有线路费用低廉,易于扩展,接VPN等。
在公共网络上组建的ATM帧中继、
安全,网络设计简单,特别是易于实现集中管理,减少接入入灵活,网络通信
点,接入点可以只设在一级分行以上的层次,方便统一管理和安全控制。
.
拨号方式,有些外联单位只与银行交换简单的代收发文件,使用的间隔周
期也比较长,为节约费用只按需拨号进行连接,拨号方式的特点是费用低廉但
缺乏安全保障。
这3种方式各有优缺点,但从技术的成熟性和保护现有设备投资的方面考
虑,专线方式和拨号方式还是我们的主流方式。
但从长远考虑,随着VPN技术
的成熟和合作伙伴应用互联网的普及,VPN方式将会由于它显著的优点而逐渐
成为主流,因此,我们引入VPN接入方式,目前我们三种接入方式并存,今后
将逐渐用VPN方式取代专线方式和拨号方式,这样不仅能够统一接入层次,减
少接入点,降低线路费用,而且方便统一管理和安全控制。
对于接入专线的物理层和数据链路层安全是由运营商保障的,在边界接入
路由器上设置静态路由、采用安全访问控制实现网络层的安全控制,为保证数
技术,在接入端IPSec据传输的机密性和完整性,建议在银行外联网络中采用
功能的接入路由器。
IPSec统一安装支持
虽然构建在公用数据网上,但可以通过附加的方式的接入,VPNVPN对于
安全隧道、用户认证和访问控制等技术实现与专用网络相类似的安全性能,从
具有节省而实现对重要信息的安全传输。
与企业独立构建专用网络相比,VPN
投资、易于扩展、简化管理等特点。
认证的方式验证拨入方的身份。
AAA对于拨号接入我们采用
外联业务平台物理层安全设计策略2
物理层安全是指设备安全和线路安全,保障物理安全除了要遵守国家相关
的场地要求和设计规范外,还要做好相关设备的备份、关键线路的备份、相应
数据的备份。
定期对网络参数、应用数据、日志进行备份,定期对备份设备进行参数同
步。
外联业务平台网络层安全设计策略3
外联业务平台安全设计的重点就是如何进行网络层的安全防护,在网络层
技术、访问控制技术IPSec技术、我们采用了防火墙技术、入侵检测技术、VPN
等多种安全技术进行网络层的安全防护。
)部署边界防火墙和内部防火墙(1
在总行、一级分行、二级分行各级外联接入点的边界都应安装边界防火墙,
边界防火墙的任务有:
地址,有效地避免外部网络上与业IP通过对源地址过滤,拒绝外部非法
务无关的主机的越权访问,防火墙只保留有用的服务;
关闭其他不要的服务,可将系统受攻击的可能性降低到最小限度,使黑客
无机可乘;
制定访问策略,使只有被授权的外部主机可以访问内部网络的有限的IP
地址,保证外部网络只能访问内部网络中必要的资源,与业务无关的操作将被
拒绝;
由于外部网络对DMZ区主机的所有访问都要经过防火墙,防火墙可以全面
监视外部网络对内部网络的访问活动,并进行详细地记录,通过分析可以发现
可疑的攻击行为;
对于远程登录的用户,如telnet等,防火墙利用加强的认证功能,可以
有效地防止非法入侵;
集中管理网络的安全策略,因此黑客无法通过更改某一台主机的安全策略
来达到控制其他资源,获取访问权限的目的;
进行地址转换工作,使外部网络不能看到内部网络的结构,从而使黑客攻
击失去目标。
在内部网和业务前置区之间部署内部防火墙,内部防火墙的任务有:
精确制定每个用户的访问权限,保证内部网络用户只能访问必要的资源
记录网段间的访问信息,及时发现误操作和来自内部网络其他网段的攻击
行为。
(2)部署入侵检测系统
入侵检测是防火墙技术的重要补充,在不影响网络的情况下能对网络进行
检测分析,从而对内部攻击、外部攻击和误操作进行实时识别和响应,有效地
监视、审计、评估网络系统。
入侵检测和漏洞扫描技术结合起来是预防黑客攻
击的主要手段。
入侵检测的主要功能有:
检测并分析用户和系统的活动
核查系统配置和漏洞
评估系统关键资源和数据文件的完整性
识别已知的攻击行为
统计分析异常行为
操作系统日志管理,并识别违反安全策略的用户活动
入侵检测技术主要可以分为基于主机入侵检测和基于网络入侵检测两种。
来分析来自各个地方的数据,这些数据可以是事件日基于主机的系统通过软件
文件等;
基于网络的系统通过网络监听文件)、配置文件、PASSWORD志(LOG
的方式从网络中获取数据,并根据事先定义好的规则检查它,从而判定通讯是
。
否合法
VPN3)应用(
的实现技术是通过设备,VPNVPN接入方式,在接入端采用专用VPN对于
安全隧道来传输用户的私有网络数据,用于VPN公用网在各个路由器之间建立
机制,可以QOSIPSEC等。
结合服务商提供的构建这种VPN连接的隧道技术有
有效而且可靠的使用网络资源,保证了网络质量。
VPNAccessVPN,RemoteVPN大致包括三种典型的应用环境,即Intranet
主要是在内部专用网络上提供虚拟子网IntranetVPN和ExtranetVPN。
其中
侧重远程用户接入访问过程中对信AccessVPN和用户管理认证功能;
Remote
则需要将不同的用户子网扩展成虚拟的企业网ExtranetVPN息资源的保护;
而
络。
的外联接入VPN我们所推荐使用的是ExtranetVPN,并且建议今后逐渐用
技术取代VPNVPN方式取代专线接入方式,技术将是今后外联接入的发展方向,
专线将指日可待。
技术的优点主要包括:
VPN
技术向用户Tunnel)信息的安全性。
虚拟专用网络采用安全隧道(Secure
的和安全的端到端连接服务,确保信息资源的安全。
(Seamless)提供无缝
方便的扩充性。
用户可以利用虚拟专用网络技术方便地重构企业专用网络
,实现异地业务人员的远程接入,加强与客户、合作伙伴之(PrivateNetwork)
间的联系,以进一步适应虚拟企业的新型企业组织形式。
(ISP)将大量的网络管理工作放到互联网络服务提供者VPN方便的管理。
也提供信息一端来统一实现,从而减轻了企业内部网络管理的负担。
同时VPN
传输、路由等方面的智能特性及其与其他网络设备相独立的特性,也便于用户
进行网络管理。
显著的成本效益。
利用现有互联网络发达的网络构架组建外联网络,从而
节省了大量的投资成本及后续的运营维护成本。
IPSec)应用4(
IPSec由IETF下属的一个IPSec工作组起草设计的,在IP协议层上对数
据包进行高强度的安全处理,提供数据源验证、无连接数据完整性、数据机密
性、抗重播和有限业务流机密性等安全服务。
各种应用程序可以享用IP层提供
的安全服务和密钥管理,而不必设计和实现自己的安全机制,因此减少了密钥
协商的开销,也降低了产生安全漏洞的可用性。
IPSec弥补了由于TCP/IP协议
体系自身带来的安全漏洞,可以保护TCP/IP通信免遭窃听和篡改,保证数据的
完整性和机密性,有效抵御网络攻击,同时保持易用性。
IPSec可连续或递归
应用,在路由器、防火墙、主机和通信链路上配置,实现端到端安全、虚拟专
用网络(VPN)和安全隧道技术。
IPSec的缺点是不能兼容NAT技术,当防火墙
和路由器采用NAT技术对IP包进行地址转换时,IPSec包不能通过。
因此,需
要使用IPSec功能时必须采用NAT-T技术实现IPSec穿越NAT。
(5)网络层的访问控制策略
禁止来自业务外联平台的的访问直接进入内部网
限制能开通的服务或端口
设立与内部网隔离的指定的数据交换区,来自业务外联平台的的访问只能
到达指定的数据交换区
能对进入指定数据交换区的主体限制到主机
能经过代理实现指定客户对内部网指定主机和业务的访问
4外联业务平台系统层安全设计策略
操作系统因为设计和版本的问题,存在许多的安全漏洞,同时因为在使用
中安全设置不当,也会增加安全漏洞,带来安全隐患,因此要定期漏洞扫描,
及时升级、及时打补丁。
5外联业务平台应用层安全设计策略
根据银行专用网络的业务和服务,采用身份认证技术、防病毒技术以及对
各种应用服务的安全性增强配置服务,保障网络系统在应用层的安全。
(1)身份认证技术
公开密钥基础设施(PKI)是一种遵循标准的密钥管理平台,能够为所有
网络应用透明地提供采用加密和数字签名等密码服务所必需的密钥和证书管理。
在总行和省行网络中心建立CA中心,为应用系统的可靠运行提供支持。
进入指定数据交换区必须进行基于口令的身份认证。
以拨号方式连接业务
外联平台时,在拨号连接建立之前,必须通过基于静态口令、动态口令或拨号
回呼的身份认证。
为了配合全行的集中认证工程,认证服务器必须采用全行统
一规定的标准协议,能够支持多级认证体系结构。
在集中认证系统投入使用之前,AAA服务器能够独立完成认证、授权和审
服务器能够实现向上级认证服务计任务。
在集中认证体系投入使用之后,AAA
器的认证请求转发,实现集中认证。
)防病毒技术2(
病毒是系统中最常见、威胁最大的安全来源。
我们必须有一个全方位的外
联网病毒防御体系,目前主要采用病毒防范系统解决病毒查找、清杀问题。
审计外联业务平台安全五
对进出业务外联平台的访问必须进行审计,要求如下:
能够生成进出业务外联平台的的访问日志
日志内容包括访问时间、主体和客体地址信息、访问方式、访问业务、访
流量等通信问成败情况、持续时间、同一访问发起建立连接次数、本次访问
对所记录的日志具有格式化的审计功能,能针对不同主体、客体、时间段、
升级会员 