银行外联网络安全解决方案.docx
《银行外联网络安全解决方案.docx》由会员分享,可在线阅读,更多相关《银行外联网络安全解决方案.docx(11页珍藏版)》请在冰豆网上搜索。
银行外联网络安全解决方案
银行外联网络安全解决方案
随着网络的快速发展,各金融企业之间的竞争也日益激烈,主要是通过提高金融机构的运作效率,为客户提供方便快捷和丰富多彩的服务,增强金融企业的发展能力和影响力来实现的。
为了适应这种发展趋势,银行在改进服务手段、增加服务功能、完善业务品种、提高服务效率等方面做了大量的工作,以提高银行的竞争力,争取更大的经济效益。
而实现这一目标必须通过实现金融电子化,利用高科技手段推动金融业的发展和进步,银行外联网络的建设为进一步提高银行业服务手段,促进银企的发展提供了有力的保障,并且势必为银行业的发展带来巨大的经济效益。
然而随着网络应用不断扩大,它的反面效应也随着产生。
通过网络使得黑客或工业间谍以及恶意入侵者侵犯和操纵一些重要信息成为可能,因而引发出网络安全性问题。
正如我国著名计算机专家沈昌祥院士指出的:
"信息安全保障能力是21世纪综合国力、经济竞争实力和生存能力的重要组成部份,是世纪之交世界各国在奋力攀登的制高点"。
二十世纪未,美国一些著名网站、银行、电子商务网站造受黑客攻击;黑客入侵微软窃取源代码软件等重要案件,都证明了网络安全的严重性,因此,解决银行外联网络安全问题刻不容缓。
一银行外联网络安全现状
1、银行外联种类
按业务分为:
银行外联业务种类繁多,主要有:
证银联业务、社保IC卡、房改公积金管理系统、代收中联通话费、代收移动话费、同城清算、人行税银库企系统、人行银行信贷登记系统、金融统计数据报送、国际收支数据报送、电子口岸、代收电费、代扣社保费、代收国税、代收地税、代收固话费、财局国库集中系统、统发工资系统、代收财政罚款、物业维修基金、非税系统、重要客户系统等等。
按单位分:
随着外联业务的不断扩大,外联单位也不断增加,主要有:
各个证券公司、社保局、房改办、联通公司、移动公司、海关、电力公司、国税局、地税局、电信公司、供水公司、政府政务网、人行金融网、银行的重客单位等等。
按线路分:
外联线路主要以专线为主,部分外联业务采用拨号方式,线路类型主要有:
幀中继、SDH、DDN、城域网、拨号等。
2、提供外联线路的运营商
根据外联单位的不同需求,有多家运营商提供线路服务,主要有:
电信公司、盈通公司、网通公司、视通公司等
3、银行外联网络的安全现状及存在问题
外联接入现状示意图:
外联接入分为总行、一级分行、二级分行三个接入层次,据统计有80%的外联单位是通过二级分行及以下层次接入的,面对如此众多的外联接入单位,我行还没有一个统一规划的完善的外联网络安全防御体系,特别是对于有些二级分行的外联网络只有基本的安全防护,只在外网的接入口使用防火墙进行安全控制,整体而言,外联网络缺少一个统一规划的完善的安全防御体系,抗风险能力低。
下面,针对外联网络中主要的安全风险点进行简单分析:
(1)外联接入点多且层次低,缺乏统一的规划和监管,存在接入风险
银行外联系统的接入五花八门,没有一个统一的接入规划和接入标准,总行、一级分行、二级分行、甚至经办网点都有接入点,据统计80%的外联接入都是通过二级分行及以下层次接入的,由于该层次的安全产品和安全技术资源都非常缺乏,因此对外联接入的监管控制缺乏力度,存在着接入风险。
(2)缺少统一规范的安全架构和策略标准
在外联网络中,全行缺少统一规范的安全架构和访问控制策略标准,对众多的外联业务没有分层分级设定不同的安全策略,在网络层没有统一的安全访问控制标准,比如:
允许开放的端口、必须关闭的端口、需要控制访问的端口、安全传输协议等等;在外联业务应用程序的编写方面没有统一的安全标准;在防火墙策略制定上也没有统一的安全标准,因此外联网络的整体可控性不强。
(3)缺乏数据传送过程中的加密机制
目前与外联单位互相传送的数据大部分都是明码传送,没有统一规范的加密传送机制。
(4)缺少统一的安全审计和安全管理标准。
外联网络没有一个统一的安全审计和安全管理标准,在安全检查和安全审计上没有一套行之有效的方法。
为解决当前外联网络所存在的安全隐患,我们必须构建一个完善的银行外联网络安全架构,建立一套统一规划的完善的外联网络安全防御体系。
下面我们将从银行外联网络安全规划着手,进行外联平台的网络设计,并对外联平台的安全策略进行统一规划,相应地提出外联业务平台安全审计的内容以及如何进行外联网络的安全管理,设计一套完善的银行外联网络安全解决方案。
二银行外联网络安全规划
1、外联网络接入银行内部网的安全指导原则
(1)外联网(Extranet)接入内部网络,必须遵从统一规范、集中接入、逐步过渡的原则。
(2)总行对于外联网络接入内部网络建立统一的安全技术和安全管理规范,一级分行参照规范要求对接入网路进行严格的控制,同时应建立数据交换区域,避免直接对业务系统进行访问。
(3)各一级分行按照集中接入的原则,建立统一的外联网接入平台,减少外联网接入我行内部网络的接入点,将第三方合作伙伴接入我行内部网的接入点控制在一级分行,并逐步对二级行(含)以下的接入点上收至一级分行。
(4)如果一个二级分行的外联合作伙伴较多,从节约线路费用的角度考虑,可以考虑外联接入点选择在二级分行,然后利用IPSec-VPN将二级分行的业务外联平台通过隧道与一级分行外联平台连接。
(5)增加VPN的接入方式,与专线方式并存,接入点只设在一级分行及以上的层次,新增外联业务可考虑采用VPN接入方式。
(6)出于安全考虑,必须慎重选择是否允许第三方合作伙伴使用银行内部网络系统构建其自身业务网络的运作。
(7)对于第三方合作伙伴通过互联网接入内部网的需求,只能通过总行互联网入口进行接入。
2、外联业务平台规划的策略
与同业往来业务、重点客户业务、中间代理业务互联要求业务外联平台提供足够的安全机制。
多数外联业务要求平台稳定、可靠。
为了满足安全和可靠的系统需求,具体策略如下:
(1)采用防火墙和多种访问控制、安全监控措施
(2)采用专线为主、拨号备份为备的双链路和主、备路由器增强可靠性
(3)通过省行internet统一入口连接客户的VPN接入请求,由省行或总行统一规划VPN网络,统一认证和加密机制
(4)采用IPSec技术保证数据传输过程的安全
(5)采用双防火墙双机热备
(6)采用IDS、漏洞扫描工具
(7)设立DMZ区,所有对外提供公开服务的服务器一律设置在DMZ区,将外部传入用户请求连到Web服务器或其他公用服务器,然后Web服务器再通过内部防火墙链接到业务前置区
(8)设立业务前置区,外联业务平台以及外联业务前置机可放置此区域,阻止内网和外网直接通信,以保证内网安全
(9)所有的数据交换都是通过外联前置网进行的,在未采取安全措施的情况下,禁止内部网直接连接业务外联平台。
(10)为防止来自内网的攻击和误操作,设置内部网络防火墙
(11)来自业务外联平台的特定主机经身份认证后才可访问内部网指定主机。
(12)具体实施时主要考虑身份认证、访问控制、数据完整性和审计等安全指标。
三外联业务平台设计
1、外联业务平台的网络架构
业务外联平台包括边界区、边界防火墙区、IDS区、DMZ区、内部路由器、业务前置区、内部防火墙。
架构如下图:
2、外联业务平台的安全部署
边界区
边界区包括三台接入路由器,全部支持IPSec功能。
一台是专线接入的主路由器;一台是拨号接入的备路由器,当主线路故障或客户有拨号接入需求时客户可通过此拨号路由器接入,拨号接入要有身份认证机制;还有一台是VPN接入方式的路由器。
将IPSec部署在边界路由器上是保证端对端数据传输的完整性和机密性,保护TCP/IP通信免遭窃听和篡改。
对于INTERNET的VPN接入方式,可并入分行INTERNET统一出口进行VPN隧道的划分,连接有VPN接入需求的外联单位。
边界防火墙区
边界防火墙区设置两台防火墙互为热备份。
在防火墙的内侧和外侧分别有一台连接防火墙的交换机,从安全的角度出发,连接两台防火墙采用单独的交换机,避免采用VLAN造成的安全漏洞。
两台防火墙之间的连接根据设备的不同而不同,以能够可靠地为互相备份的防火墙提供配置同步和心跳检测为准。
入侵检测IDS
能够实时准确地捕捉到入侵,发现入侵能够及时作出响应并记录日志。
对所有流量进行数据分析,过滤掉含有攻击指令和操作的数据包,保护网络的安全,提供对内部攻击、外部攻击和误操作的实时保护。
DMZ区
建立非军事区(DMZ),是为不信任系统提供服务的孤立网段,它阻止内网和外网直接通信,以保证内网安全,在非军事区上设置并安装基于网络的实时安全监控系统,所有对外提供公开服务的服务器一律设置在DMZ,其中WWW、E-mail、FTP、DNS服务器置于非军事区(DMZ)
内部路由器区
内部路由器区设置一台用于连接业务外联平台和业务前置区的路由器。
业务前置区
设立独立的网络区域与业务外联平台的交换信息,并采取有效的安全措施保障该信息交换区不受非授权访问。
内部防火墙
内部防火墙可以精确制定每个用户的访问权限,保证内部网络用户只能访问必要的资源,内部防火墙可以记录网段间的访问信息,及时发现误操作和来自内部网络其他网段的攻击行为。
病毒防范和漏洞扫描
在服务器、前置机上安装网络版防病毒软件,及时在线升级防病毒软件,打开防病毒实时监控程序,设定定期查杀病毒任务,及时抵御和防范病毒。
定期对网络设备进行漏洞扫描,及时打系统补丁。
路由
采用静态路由,边界的主、备路由器采用浮动静态路由,当主链路不通时,通过备份链路建立连接。
网管
从安全的角度考虑,业务外联平台的网管采用带外网管。
网管服务器和被管理设备的通讯通过单独的接口。
用PVLAN使被管理设备只能通过网管专用的接口与网管服务器连接,而被管理设备之间不能互通。
为了防备网管服务器被控制的可能性,规划独立的网管服务器为业务外联平台服务。
网管平台能够对业务外联平台进行状态管理、性能管理、配置管理、故障管理。
带外网管平台采用单独的交换机,以保证系统的安全。
QOS
在数据包经过内层防火墙进入管理区域后立即打上QOS标记,使外联平台的数据包按照规定的优先级别占用网络资源。
四外联业务平台安全设计策略
1外联接入线路安全设计策略
外联接入线路有3种方式:
传统的专线方式、正在快速发展的基于公网的VPN方式、拨号方式。
专线方式,银行传统的外联接入方式大部分都是采用专线与外单位相联,专线的选择有:
帧中继、DDN、SDH、ATM等等。
专线的优点是线路私有、技术成熟、稳定,传输的安全性比较有保障,但也存在设备投入大,对技术维护人员的技术要求较高,线路费用昂贵、接入不灵活等缺点。
并且由于对线路的信任依赖,大多数专线中传递的信息没有考虑任何数据安全,明码传送,存在很大的安全隐患。
VPN方式,现在国际社会比较流行的利用公共网络来构建的私有专用网络VPN(VirtualPrivateNetwork),用于构建VPN的公共网络包括Internet、帧中继、ATM等。
在公共网络上组建的VPN具有线路费用低廉,易于扩展,接入灵活,网络通信安全,网络设计简单,特别是易于实现集中管理,减少接入点,接入点可以只设在一级分行以上的层次,方便统一管理和安全控制。
拨号方式,有些外联单位只与银行交换简单的代收发文件,使用的间隔周期也比较长,为节约费用只按需拨号进行连接,拨号方式的特点是费用低廉但缺乏安全保障。
这3种方式各有优缺点,但从技术的成熟性和保护现有设备投资的方面考虑,专线方式和拨号方式还是我们的主流方
升级会员 