商业银行网络安全解决方案Word格式.docx

1、2 商业银行安全需求分析32.1 商业银行的业务安全分析3 2.1.1 公共信息发布3 2.1.2 完善安全管理策略4 2.1.3 增加防火墙防护6 2.1.4 配置入侵检测模块7 2.1.5 帐户查询72.1.6 身份验证82.1.7 数据加密92.1.8 网上支付和转账102.1.9 数据完整性102.1.10 不可否认性102.1.11 网络结构安全112.1.12 加强访问控制112.1.13 安全检测122.1.14 网络安全评估122.1.15 安全认证122.1.16 病毒防护123 商业银行网络安全解决方案133.1 网络管理1 3 3.1.1 网络行为管理133.1.2 灵活

2、的IP 管理与用户管理143.1.3 统计报表143.2 终端安全防护14 3.2.1 登陆控制143.2.2 本地文件加密143.2.3 文件粉碎机143.2.4 非法外联153.2.5 移动存储设备管理153.3 桌面安全系统15 3.3.1 定向访问控制153.3.2 虚拟安全域管理153.3.3 策略优先级管理153.3.4 多元化的管理模式164 商业银行解决方案特性分析165 银行业成功典型案例176 产品技术架构介绍177 安全风险分析178 公司资质文件179 实施周期评估1710 方案总结171 概述1.1 网络安全概述Internet 的发展，正在引发一场人类文明的根本变革

3、。网络已成为一个国家最为关键的政治、经济、军事资源，成为国家实力的新象征。然而随着网络应用不断扩大，它的反面效应也随着产生。通过网络使得黑客或工业间谍以及恶意入侵者侵犯和操纵一些重要信息成为可能，因而引发出网络安全性问题。正如我国著名计算机专家沈昌祥院士指出的：信息安全保障能力是 21 世纪综合国力、经济竞争实力和生存能力的重要组成部份，是世纪之交世界各国在奋力攀登的制高点。二十世纪未，美国一些著名网站、银行、电子商务网站造受黑客攻击；黑客入侵微软窃取源代码软件等重要案件，都证明了网络安全的严重性，我们知道，仅这一两年内，国内做网络安全的公司一下就拔地而起，从最早的几家发展到上百家。因此，解决

4、网络安全问题刻不容缓。1.2 目前网络安全技术1.2.1 国内网络安全技术在我国，我们可以看到，由于我们的一些技术和国外还有差距，国内现有的或正在建设中的计算机网络，多数是通过电信公众网进行信息传输，而采用的网络设备几乎是国外厂家的产品。这些网络的集成相当一部分没有配备网络安全产品。既使有的网络用户已经使用了安全产品，但由于国内网络安全技术起步较晚， 许多用户所使用也均是国外的生产的产品，没有我们自已的版权。况且各国在安全产品出口的问题上都有自己的保留，比如加密算法，美国国家安全局只允许加密密钥为 40 位以下的算法出口。我们可以想象，对 Internet 这样的国际性的互联网络，如果我们的国

5、内全部雇用一批国外的警卫部队来把守，其后果是怎样的?因此，我们只有使用国内自主研制的信息安全产品、具有自主版权的安全产品，才能真正掌握信息战场上的主动权，才能从根本上防范来自各种非法的恶意攻击和破坏。1.2.2 网络安全的理解的误区让我们分析下以往对网络安全理解的一些误区。首先是认为是利用网络操作系统、数据库系统以及应用系统自身所具有的认证和授权及访问控制等措施对信息系统进行安全防护，现在我们都知道，这些措施是静态的，而且是极其脆弱的，许多安全漏洞都没有考滤进去，网络信息系统存在极大的风险。还有就是把网络安全几乎全部依赖于所安装的防火墙或觉得安全了防病毒 系统，网络就安全了；他们没有认识到网络

6、安全是动态的、整体的，不可能仅靠单一安全产品就能实现。所以，我们必须从网络安全可能存在的危机入手，分析并提出整体的网络安全解决方案。 1.2.3 网络安全概念从广义来讲，安全的概念可以包括数据安全，系统安全和信息安全三个方面， 数据安全是指通过采用系统备份，磁盘镜像等安全手段以防止数据丢失；系统安全是指通过系统加固，边界防御，入侵检测等手段以防止黑客攻击系统破坏数据； 而信息安全则主要是指通过加密技术防止信息和数据在公开网络传输上被窃听、篡改和顶替。信息安全包括四个功能：数据保密，身份认证，数据完整性和防止抵赖。本方案是基于北京博睿勤软件公司自主开发的以下三个安全软件产品：上网行为管理系统，终

7、端防护安全系统和桌面安全管理系统。这三个产品为解决网上银行系统中数据加密，身份认证，数据完整性和防止抵赖等信息安全问题提供了完整的解决方案。2 商业银行安全需求分析2.1 商业银行的业务安全分析随着金融系统计算机的应用和发展，计算机网络技术在金融系统得到了广泛的应用，为金融业的集约化经营和高速度发展奠定了坚实的基础。金融业的计算机网络建设，使银行内部的各专业部门通过计算机网络实现各种数据共享，各金融机构之间通过计算机网络实现跨地市、跨省市、跨银行间网络体系，使各家银行、跨地市金融机构的计算机资源和数据资源得到共享，从而使金融业得到高速的发展。在计算机网络发展的同时，摆在我们面前的最大课题就是加

8、强计算机网络的安全建设。通过安全分析可以提供有针对性解决方案，从而保护银行内部网络的计算机系统正常运转，避免恶意的攻击、破坏；防止重要数据库的数据被窃取、修改、破坏。2.1.1 公共信息发布公共信息发布用于介绍银行的业务范围流程，金融公共信息等。这类业务由于面向公众发布，不需要保证信息只能被特定团体或个人访问，需要的是保护信息不会被非法篡改。目前在 Internet 上比较多的黑客事件都是篡改公共 Web 站点的内容，制造虚假信息或涂改页面。如美国 NASA 和国防部站点被“黑”事件就是这类事件。对于银行来说，公共金融信息虽然是公开的，但是如果被篡改某些敏感数据，如银行利率等，很可能会造成不必

9、要的麻烦，对银行的名誉也会造成不利的影响。因此，对这些内容的保护也是不能够忽视的。Web 站点内容被黑客篡改，是这些黑客通过主动攻击实现的。例如，黑客通过密码字典猜测信息系统的特权口令，在获得特权口令之后，登录进入系统，篡改发布内容，制造不良影响。对于这种情况，我们可以通过改进系统配置、增加防火墙防护、配置入侵检测模块和完善安全管理策略来实现安全保护，避免站点被非法篡改。2.1.2 完善安全管理策略黑客一般是通过分析网络管理上的漏洞以达到其攻击目的。很难定义怎样的系统管理才是完善的，因为完善的系统管理是各方面的总和，例如对路由器以及其他主机定期更改密码，采用不规则密码，关闭不必要的服务，关闭防

10、火墙任何不使用的端口等。对于一个 Unix 系统，安全管理主要可分为四个方面：1. 防止未授权存取权限控制是系统安全的基本问题，即防止未被授权的用户进入系统。良好的用户意识，良好的口令管理（由系统管理员和用户双方配合），登录活动记录和报告，用户和网络活动的周期检查是防止未授权存取的关键。2. 防止泄密数据保密也是系统安全的一个重要问题。防止已授权或未授权的用户相互存取对方的重要信息，经常性的文件系统查帐， su 登录和报告以及良好的用户保密意识都是防止泄密的手段。3. 防止用户滥用系统资源一个系统不应被一个有意试图使用过多资源的用户损害，因为在高负载的情况下系统的安全性能往往会降低。例如黑客通

11、过占用整个磁盘空间来防止日志生成，不幸的是很多商业 UNIX 不能很好地限制用户对资源的使用。因此系统管理员必须通过一些系统命令如 PS 命令，记帐程序 df 和 du 周期地检查系统.查出过多占用 CUP 的进程和大量占用磁盘的文件。同时安装某些监控软件也是有效的手段之一。4. 维护系统的完整性大多数情况下，维护系统完整是系统管理员的责任，例如：周期地备份文件系统，系统崩溃后运行磁盘扫描检查，修复文件系统，检测用户是否正在使用可能导致系统崩溃的软件。良好的安全管理策略对系统的安全水平起着至关重要的作用。因此系统管理员可以将以下几个方面作为维护的重点：系统配置仔细研究最新的系统维护文档，完善系

12、统各方面的安全配置，降低安全风险。同时，周期性的维护系统，包括备份和安装补丁程序、订阅安全电子新闻。系统隔离 将内网和外网进行隔离，确保银行业务前置机、业务主机和数据库服务器只处于内网中，内网和外网通过防火墙相连。切断共享 Web 服务器上的系统配置尽可能地保证安全。关闭所有不必要的文件共享。停止所有与业务无关的服务器进程，如 Telnet、SMTP 和 FTP 等服务器守护进程。日志记录 打开日志记录功能，保存系统的访问日志记录，对其进行分析， 可以有助于发现有问题的访问情况。如有必要，使用专门的入侵检测模块。口令策略 制定完善的口令策略，限制口令的最小长度和最长有效期，检查口令的质量。专人

13、专权 由专人负责系统安全和系统维护，减少不必要的用户管理权限， 严格控制非系统管理员的权限和系统管理员的数量。以下是一个简化的虚拟商业银行网络结构图：图 1 网上银行网络结构图从图中可以看到整个网络体系分为：Internet，非军事区（DMZ），Intranet以及银行内部网四部分。其安全等级从前往后逐次递增。这些网段由两个网关连为一体。首先防火墙将 Internet 和 Intranet 以及非军事区分离。非军事区是所有用户可以访问的区域，而 Intranet 则只有特定用户才能访问，通过对防火墙的合理配置可以避免内部服务器被攻击，可以采用多级防火墙配置（如在非军事区和 Internet 之

14、间用防火墙隔离）以提供更强的网络安全保护。Intranet 与网上内部网络由前置机相连，为了保证银行业务主机的运行安全，网上银行系统不直接连接业务主机，而是由特定的前置机来代理其请求，前置机只响应特定服务请求，然后将请求转换为特定消息格式发送给业务主机，收到应答后再将数据返回给请求者。通过这种隔离进一步增强了系统的安全保证。2.1.3 增加防火墙防护在网络系统中，防火墙是一种装置，可使内部网络不受公共部分（整个Internet）的影响。它能同时连接受到保护的网络和 Internet 两端，但受到保护的网络无法直接接到 Internet，Internet 也无法直接接到受到保护的网络。如果要从受到保护的网络内部接到 Internet，首先需要连接到防火墙，然后从防火墙接入 Internet。最简单的防火墙是双主机系统（具有两个网络连接的系统）。防火墙有两种：1. IP 过滤防火墙IP 过滤防火墙在数据包一层工作。它依据起点、终点、端口号和每一数据包中所含的数据包种类信息控制数据包的流动。这种防火墙非常安全。它阻挡别人进入内部网络。过滤防火墙是绝对性的过滤系统。即使要让外界的一些人进入防火墙之内，也无法让每一个人进入服务器。2. 代理服务器代理服务器允许通过