银行系统的安全设计与网络拓扑图.docx
《银行系统的安全设计与网络拓扑图.docx》由会员分享,可在线阅读,更多相关《银行系统的安全设计与网络拓扑图.docx(11页珍藏版)》请在冰豆网上搜索。
银行系统的安全设计与网络拓扑图
一.银行系统的安全设计
银行网络作为一个金融网络系统,由于涉及信息的敏感性自然会成为内部和外部黑客攻击的目标,当前银行面临的主要风险和威胁有:
1.1非法访问:
银行网络是一个远程互连的金融网络系统。
现有网络系统利用操作系统网络设备进行访问控制,而这些访问控制强度较弱,攻击者可以在任一终端利用现有的大量攻击工具发起攻击;由于整个网络通过公用网络互连同样存在终端进行攻击的可能;另一方面银行开发的很多增值业务、代理业务,存在大量与外界互连的接口这些接口现在没有强的安全保护措施存在外部网络通过这些接口攻击银行,可能造成巨大损失。
1.2窃取PIN/密钥等敏感数据:
银行信用卡系统和柜台系统采用的是软件加密的形式保护关键数据,软件加密采用的是公开加密算法(DES),因此安全的关键是对加密密钥的保护,而软件加密最大的安全隐患是无法安全保存加密密钥,程序员可修改程序使其运行得到密钥从而得到主机中敏感数据。
1.3假冒终端/操作员:
银行网络中存在大量远程终端通过公网与银行业务前置机相连国内银行以出现多起在传输线路上搭接终端的案例。
银行网络同样存在大量类似安全隐患。
现有操作员身份识别唯一,但口令的安全性非常弱因此存在大量操作员假冒的安全风险。
1.4截获和篡改传输数据:
银行现有网络系统通过公网传输大量的数据没有加密,由于信息量大且采用的是开放的TCP/IP,现有的许多工具可以很容易的截获、分析甚至修改信息,主机系统很容易成为被攻击对象。
1.5网络系统可能面临病毒的侵袭和扩散的威胁:
(1)黑客侵扰类似于网络间谍,但前者没有政治和经济目的,利用自己精通计算机知识,利用他人编程的漏洞,侵入金融信息系统,调阅各种资料,篡改他人的资料,将机密信息在公用网上散发广播等。
(2)计算机病毒是一种依附在各种计算机程序中的一段具有破坏性、能自我繁衍的计算机程序,它通过软盘、终端或其它方式进入计算机系统或计算机网络,引起整个系统或网络紊乱,甚至造成瘫痪。
1.6其他安全风险:
主要有系统安全(主要有操作系统、数据库的安全配置)以及系统的安全备份等。
二.银行系统的网络拓扑图及说明
随着信息技术的发展,社会的信息化程度提高了,网络银行、电子银行出现了,整个银行业、金融业都依赖于信息系统。
交易网络化、系统化、快速化和货币数字经是当前金融业的特点,这对金融信息系统的安全保密性提出了严格的要求。
金融信息系统必须保证金融交易的机密性、完整性、访问控制、鉴别、审计、追踪、可用性、抗抵赖性和可靠性。
为了适应金融业的需要,各家银行都投资建网。
但是,由于各种因素的制约,网络的安全体系不完善,安全措施不完备,存在严重的安全漏洞和安全隐患。
这些安全漏洞和隐患有可能造成中国的金融风暴,给国家带来重大损失,因此必须采取强有力的措施,解决银行网络的安全问题。
银行系统在镇中共有两处营业点,其中一营业点与镇分理处相距1500米,主要有一层楼用于银行办理业务,另一营业点与分理处在一处办公,是二层楼,一层是营业点,二层是分理处,各司其职。
图2-1网络拓扑图
3.银行系统的网络安全部署图及说明
3.1敏感数据区的保护
银行系统内存在许多敏感数区域(如银行业务系统主机等),这些敏感的数据区域要求严格保密,对访问的权限有严格的限制,但所有的主机处于同一个网络系统之内,如不加以控制,这样很容易造成网内及网外的恶意攻击,所以在这些数据区域的出入口要加以严格控制,在这些地方放置防火墙,防火墙执行以下控制功能。
3.1.1对来访数据包进行过滤,只允许验证合法主机数据包通过,禁止一切非授权主机访问。
3.1.2对来访用户进行验证。
防上非法用户侵入。
3.1.3运用网络地址转换及应用代理使数据存储区域与业务前端主机隔离,业务前端主机不直接与数据存储区域建立网络连接,所有的数据访问通过防火墙的应用代理完成,以保证数据存储区域的安全。
图3-1敏感数据区保护方案
3.2通迅线路数据加密
在银行的广域网传输系统中,从总行到分行、分行到支行、支行到分理处等,广泛应用到帧中继、X.25、DDN、PSTN等等之类的通用线路,但这些线路大多数都是由通讯公司提供,与许多用户在一套系统上使用他们的业务,由于这些线路都是暴露在公共场所,这样很容易造成数据被盗。
传输数据当中如果不进行数据加密,后果可想而知。
所以对数据传输加密这是一非常重要的环节。
对网络数据加密大致分为以下几处区域:
3.2.1应用层加密
建立应用层加密,应用程序对外界交换数据时进行数据加密。
主要优点是使用方便、网络中数据从源点到终点均得到保护、加密对网络节点透明。
缺点是某些信息必须以明文形式传输,容易被分析。
此种加密已被广泛应用于各应用程序当中,并有相应的标准。
3.2.2基于网络层的数据加密
在总部到各分行,以及分行到支行建议采用VPN加密技术进行数据加密。
VPN是通过标准的加密算法,对传输数据进行加密,在公用网上建立数据传输的加密“隧道”。
加密实现是在IP层,与具体的广域网协议无关,也就是说适应不同的广域网信道(DDN、X.25、帧中继、PSTN等)。
由于VPN技术已经拥有标准,因此所有的VPN产品可以实现互通。
当然,银行可根据自身的需要,可选用专用加密设备进行数据传输加密。
图3-2利用VPN技术对数据传输进行加密
3.3防火墙自身的保护
要保护网络安全,防火墙本身要保证安全,由于系统供电、硬件故障等特殊情况的发生,使防火墙系统瘫痪,严重阻碍网络通讯,网络的安全就无法保证,所以要求防求防火墙有冗余措施及足够防攻击的能力。
图3-3防火墙双机备份方案
四.系统的网络设备选型及说明
4.1核心层交换机
型号:
H3CS5500-24P-SI
价格:
¥8800
交换机:
千兆以太网交换机
应用层级:
三层交换
传输速率:
10/100/1000
交换机接口:
10/100/1000MSFPCombo
网管功能:
支持FTP/TFTP加载升级、支持命令行接口(CLI),Telnet,Console口进行配置、支持SNMPv1/v2/v3,WEB网管、支持RMON(RemoteMonitoring)告警、事件、历史记录、支持系统日志,分级告警,调试信息输出、支持HGMPv2、支持NTP、支持电源的告警功能,风扇、温度告警、支持Ping、支持VCT、(VirtualCableTest)电缆检测功能、支持DLDP(DeviceLinkDetectionProtocol)单向链路检测协议、支持detection端口环回检测
4.2汇聚层交换机
型号:
H3CLS-3600-28P-SI
价格:
¥4900
交换机:
千兆以太网交换机
应用层级:
三层
传输速率:
10/100/1000
交换机接口:
10/100BASE-T,1000BASE-SFP
网管功能:
支持命令行接口配置,支持Telnet远程配置,支持通过Console口配置,支持SNMP,支持WEB网管,支持系统日志,支持分级告警背板带宽:
32Gbps
包转发率:
9.6Mpps
MAC地址表:
16K
VLAN功能:
支持
网管支持:
可网管型
端口结构:
固定端口
接口数量:
24个
网络标准:
IEEE802.1D,IEEE802.1w,IEEE802.1s
模块化插槽数:
4个
堆叠功能:
不可堆叠
4.3接入层交换机
型号:
H3CLS-5024P-LI-AC
价格:
¥3650
交换机:
企业级交换机
应用层级:
二层
传输速率:
10/100/1000
交换机接口:
10/100/1000Base-T,SFP
网管功能:
支持命令行接口CLI(CommandLineInterface)配置,支持通过Console口配置,支持WEB网管
背板带宽:
48Gbps
包转发率:
36Mpps
MAC地址表:
8K
VLAN功能:
支持
网管支持:
可网管型
端口结构:
固定端口
接口数量:
24个
网络标准:
IEEE802.1d,IEEE802.1x,IEEE802.3,IEEE802.3u,IEEE802.3x,IEEE802.3z,IEEE802.1Q,IEEE802.1p
模块化插槽数:
4个
堆叠功能:
不可堆叠
4.4路由器
型号:
H3CRT-MSR3020-AC-H3
价格:
¥7900
路由器类型:
企业级路由器
路由器网管:
网络管理,本地管理,用户接入管理
局域网接口:
2个千兆以太电口
传输速率:
10/100/1000Mbps
防火墙功能:
内置
端口结构:
模块化
路由器包转发率:
200KPPS
安全标准:
UL609503rdEdition,CSA22.2#9503rdEdition1995,EN60950:
2000+ZB&ZCdeviationsforEuropeanUnionLVDDirective,IEC60950:
1999+corr.Feb.2000,modified+allNationaldeviations
VPN功能:
支持VPN
扩展插槽:
11个
其他控制端口:
Console
路由器网络协议:
IP服务,非IP服务,IP应用,IP路由,MPLS,IPv6,广域网协议,局域网协议
最大Flash内存:
1024MB
4.5服务器
型号:
X3500
产品简述:
通过新的四核处理器及更快的内存技术获得更好的性能;采用集成的解决方案管理您的IT资源;通过可升级内存,I/O和存储搭建稳定服务器平台,保护您的IT投资
市场价格:
20000
详细参数:
XeonE55202.26Ghz四核最高支持1066MHz内存频率5.86GT/sQPI8MB3级缓存DDR3内存2*2GB热插拔2.5"SAS硬盘,标配146GBSAS硬盘*1ServerRAIDMR10iDVD-ROM双口千兆以太网3个PCI-ExpressGen2x8插槽,1个PCI-ExpressGen2x16插槽,1个PCI-ExpressGen1x8插槽,1个33MHzPCI插槽1个串口,1个显卡接口,6个USB2.0端口(4个背面、2个正面);3个RJ-45端口(2个以太网口,一个管理端口)IMM,可选的远程管理920W热插拔电源,可选冗余3年有限保修(3年部件,3年人工,3年现场)
5.安全配置说明
5.1防火墙技术
防火墙可以作为不同网络或网络安全域之间信息的出入口,将内部网和公众网如Internet分开,它能根据企业的安全策略控制出入网络的信息流,且本身具有较强的抗攻击能力。
在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。
防火墙技术可以有效控制的风险包括:
5.1.1利用Finger来发掘用户信息,TCP/IP指纹识别确定操作系统类型,Telnet旗标确定操作系统类型,服务的旗标信息确定服务类型,对服务器进行端口扫描,Bind、Telnet、NFS、X-windows服务漏洞,从AD上查找前置机主机网络蠕虫堵塞整个网络,影响生产网络。
5.1.2利用前置机群与生产主机之间的信任关系攻击生产网络核心,办公自动化服务器与前置机群或生产主机之间的信任关系攻击生产网络,蠕虫影响办公网内部Window平台,蠕虫影响办公网内部邮件系统,办公网应用形式较为丰富,因此对网络带宽消耗可能造成生产网的数据通信带宽不足,从而导致生产网不畅通5.1.3二级网点或支行与中心连接没有必要的访问控制和边界控制手段,因此来自二级网点或支行局域网的用户可能威胁办公自动化系统和中心生产系统,应用防火墙技术之后,有效的控制了上述风险的同时,可以简化管理。
5.2网络防病毒体系
5.2.1计算机病毒感染所造成的威胁以及破坏是目前广大计算机用户所面临的主要问题。
本方案采用网络防病毒体系,可以对Windows2000/NT/95/98/3.x,以及DOS和Macintosh,Linux和UNIX等操作系统提供保护,作为一个一体化的网络防病毒解决方案,应具备特征代码检查方式和基于规则的变态分析器病毒扫描程序,从而检测到已知病毒。
防病毒引擎可以从多个侧面和途径防止计算机病毒侵入系统,保护整个企业IT系统的安全,具有强大的功能和优秀的可管理性。
5.2.2应用网络防病毒体系结构之后,可控制网络蠕虫堵塞整个网络,影响生产网络、病毒威胁桌面PC等风险;应用了网络防病毒技术之后,可以从三个层面有效防范病毒的传播和蔓延;internet下载、软盘和光盘传播、邮件传播。
5.3网络入侵检测技术
5.3.1应用入侵检测的网络监测功能、攻击行为检查、高速流量捕获、策略响应、防火墙联动、关联事件分析等技术要素,可实现如下风险的控制:
利用LotusNotes的Web服务器漏洞、利用LotusNotes的Web服务器漏洞-LotusNotes配置信息被远程读取,利用Unix的FTP服务漏洞-SITEEXEC漏洞,利用Bind服务漏洞、利用Telnet、NFS、X-windows服务漏洞。
5.3.2WindowsRPCDCOM远程溢出-MS026和WindowsRPCDCOM远程溢出-MS039,TCP登录会话劫持-发送一个伪造的报告到telnet/login/sh。
5.3.3安装木马:
应用网络入侵检测技术之后不仅有效控制了上述风险,同时入侵检测要求如自身安全性、抗IDS逃避、抗事件风暴等技术要素,有效避免了入侵检测自身引入的新的风险,同时分级管理、多用户权限、分布式部署的要求大大降低了管理员的负担。
5.4网络安全审计技术
本方案采用网络安全审计技术,主要针对使用互联网访问非法站点,传递和发布非法信息,内部网络中的资源滥用,内部商业信息泄漏等等问题。
对被监控网络中的Internet使用情况进行监控,对各种网络违规行为实时报告,甚至对某些特定的违规主机进行封锁,以帮助网络管理员对网络信息资源进行有效的管理和维护。
应用网络安全审计技术以后可以控制的风险包括:
Internet资源被滥用,获取内部公文,帐表系统报表数据,内部通讯录和口令文件的shadow,破解系统管理员口令
5.5VPN技术
针对某市商业银行保证生产网络、办公网以及通信机密性的需求,方案规划系统采用VPN技术解决方案。
应用VPN技术以后可以控制的风险包括:
窃听以明文方式传输的用户名和密码网络窃听,获得更多广播信息TCP登录会话劫持-发送一个伪造的报告到telnet/login/sh,TCP登录会话劫持-从已存在的telnet/login/sh中窃听TCP报文序号,获取下属支行或网点的业务数据、业务数据中的敏感信息:
如卡号、口令等,网络窃听,获得更多广播信息:
如前置主机群内别的业务系统数据,在办公网通过修改IP进入生产网、在办公网内通过网络窃听可以随意窃听整个局域网内的所有数据,包括生产网与办公网的数据。
总结
在这次的设计学习中,不仅巩固了以前学校学到的很多知识,还学到了许多新的知识。
对自己所学的专业已经有了较深的认识。
在设计方案中,吸取了大量书本以及网络上的知识,在大大扩展了自己知识面的同时,还认识了自己学习的专业在社会上的应用,初次把大量的知识应用到实践中去,发现了许许多多的问题,体会到了书本上学不到的东西,从实践中成长许多。
真正认识到单单的理论学习是不够的,只有理论结合实践,遇到问题及时解决,吸取大量的实践经验,才对自己有莫大的帮助。
计算机网络是一门很有用的学科。
通过此次的设计,迫使我对网络安全方面有了更深层次的了解,设计一个全方位的安全方案是非常不容易的,涉及的方面也很多,要考虑到的东西方方面面,还需要认识到各种的配合使用与兼容性。
但由于增加了自己对这方面的知识,对网络的安全方面更感兴趣了,也坚信它未来的优势,安全无止境!
由于自己目前知识水平的有限,方案很多方面考虑的还不够周全,恳请老师多多指教!
升级会员 