目前银行主要应用有:储蓄、对公、信用卡、储蓄卡、IC卡、国际业务、电子汇兑、电子邮件、电子公文、网上银行、网上交易系统、新的综合对公业务、国际业务信贷系统等。但是,随着应用的不断增加,网络安全风险也会不断暴露出来。而且由于银行属于商业系统,都有一些各自的商业机密信息,如果这些机密信息在网上传输过程中泄密,其造成的损失将是不可估量的。所以金融业网络安全方案的解决不容忽视。
通过以上对银行网络系统应用与安全风险分析,银行网络安全包括很多方面,如:访问控制、身份认证、数据加密、入侵检测、防止病毒、数据备份和双机热备份等。科先达S&T8341安全网关基于银行内联网防火墙系统建设的目标是通过在银行同其他商业银行、金融机构连接处采用防火墙技术,防止外部网络对银行内联网数据的非法使用和访问,监控整个网络数据过程。有效防止来自外部的攻击行为。限制对内部资源和系统的访问范围。通过在银行内联网系统中设置防火墙的安全措施将达到以下目标:
Ø 保证银行的重要信息在可控的范围内传播,防止重要信息泄露给银行外部的组织或人员。
Ø 解决网络的边界安全问题
Ø 网络内部的安全防护
Ø 实现系统安全及数据安全
Ø 在用户和资源之间进行严格的访问控制
Ø 数据审计、记录的安全管理
Ø 双机热备份保护基于银行内联网的业务不间断的正常运作。
信息系统的安全是一个复杂的系统工程,涉及到技术和管理等多个层面。为达成以上目标,广东千赢国际娱乐游戏在充分调研和分析比较的基础上采用合理的技术手段和产品以构建一个完整的安全技术体系,同时通过与银行的共同工作,协助银行建立完善的安全管理体系。
防火墙选型
防火墙是网络安全领域首要的、基础的设施,它对维护内部网络的安全起着重要的作用。利用防火墙可以有效地划分网络不同安全级别区域间的边界,并在边界上对不同区域间的访问实施访问控制、身份鉴别、和安全审计等功能。
科先达S&T8341安全网关是一个专用的、方便管理的安全设备,包括了一系列的兼容性:
Ø 应用层服务,如防病毒和内容过滤;
Ø 网络层服务,如防火墙、入侵检测、VPN和流量控制
综合考虑银行网络安全实际情况,在方案中采用科先达复合型防火墙,放置在银行与各个联网的商业银行以及其它金融机构连接的各个叶节点。在银行与各联网商业银行以及其他金融机构有连接的点采用防火墙技术。
Ø 防火墙提供三个接口:内网、外网、DMZ;
Ø 防火墙工作在NAT/路由模式,对外采用NAT技术,隐藏内部真实地址;
Ø 将对外服务的各种服务设备放置在DMZ区域,和内部网络严格区分开,保证内部系统安全。
考虑到安全问题,系统中的结构需要调整,将原来各联网商业银行对主银行内部网络的访问调整到对DMZ的访问。不轻易允许各联网商业银行对主银行内部网络进行访问。
防火墙功能设置及安全策略
下面是银行方案中防火墙一些主要的功能和策略的设置:
配置访问控制:
Ø 外部网络(商业银行和其他金融机构)对DMZ内服务访问控制。将外部对内部、DMZ内服务访问明确限制,防止非法对内部重要系统,特别是业务系统的访问。利用DMZ的隔离效果,尽量将对外服务的部分服务器放置在DMZ区域,通过NAT模式,保护内部网络免受攻击。关闭操作系统提供的除需要以外的所有服务和应用,防止因为这些服务和应用自身的漏洞给系统带来的风险。对内部E-mail、 FTP、 WWW、数据库的访问做严格的规划和限制,防止恶意攻击行为发生。
Ø 内部网络:内部网络对外部网络(商业银行和其他金融机构)的访问也要进行严格的限制。防止内部员工对外网资源的非法访问。对内部员工对外访问采用NAT方式访问。同时内部员工对DMZ区域服务器访问也必须做限制。内部员工对外网WWW访问采用代理服务方式。
Ø DMZ网络:通常情况下DMZ对外部和内部都不能主动进行访问,除非特殊的应用需要到内部网络采集数据,可以有限地开放部分服务。
NAT/路由模式实行地址转换:
将银行内部网络和DMZ区域网络地址通过NAT方式转换,隐藏真实IP地址,防止内部网络受到攻击。具体转换方式就是将内部网络和DMZ区域机器的地址全部转换成防火墙外网卡地址,对外银行只有一个地址。而借助防火墙的映射功能,可以将对外的同一地址映射为内部网络和DMZ区域不同服务的不同端口。
IP/MAC地址捆绑:
科先达S&T8341安全网关提供灵活而方式多种的内部网络、DMZ区域、外部网络IP/MAC地址捆绑功能。
IP/MAC地址绑定提高了防止IP欺骗攻击的安全性。IP欺骗攻击尝试在另一台计算机上使用可信主机的IP来访问科先达S&T8341安全网关。一台计算机的IP地址可以很容易修改成可信主机的地址,但MAC地址是在生产中烧录到网卡上的,很难修改。
将每台机器的IP地址和它自身的物理地址捆绑,有效防止内部网络、DMZ区域、外部网络的IP地址盗用。当一个数据包从一个可信主机IP地址发送到安全网关时,安全网关会检查数据包中的MAC地址是否与数据库中的MAC地址相符。所有到达科先达S&T8341安全网关的数据包都要经过检查,看他们是直接访问防火墙还是要求通过。内部系统应该尽量采用固定IP分配方案。通过IPMAC地址捆绑,也可以对后期数据日志和报告带来一定的方便性。
URL屏蔽:
在银行内联网上存在各种需要对外保密的信息。科先达S&T8341实现了透明的URL屏蔽功能,对通过防火墙的应用层URL进行严格的控制和管理,按照用户的要求进行地址屏蔽。外部对DMZ、内部URL访问进行控制,同时也可以限制内部网络对外部网络URL非法访问。在方案中我们将对内部网络和外部网络情况具体了解,对URL 屏蔽达到页面级别。有效保护www应用的安全。
VPN设置:
保护银行网络系统和代理业务系统的机密数据在传输过程中的安全。
入侵系统检测(NIDS):
科先达S&T8341能够实时获得最新系统入侵病毒库和攻击库,动态地将这些攻击技术的解决方案加入到科先达S&T8341中,科先达S&T8341安全网关目前能够支持1500种以上的入侵检测并能够成功阻断这样的攻击行为,比如最近的红色代码。针对各种攻击行为,比如TCP序列号攻击、劫持、碎片攻击、端口扫描能够识别阻断。而这个数据库可以实时更新、升级。升级在科先达S&T8341的管理界面即可完成。
Ø 拒绝服务攻击:科先达8341安全网关NIDS功能可以抵御下列常见的拒绝服务攻击:
1. 数据包洪水,包括Smurf 洪水, TCP SYN 洪水,UDP 洪水和ICMP洪水。
2. 畸形数据包,包括Ping of Death,Chargen,Tear drop,land和WinNuke。
Ø 电子欺骗:防火墙能够自动识别各种电子欺骗行为并进行阻断。同时防火墙能够对伪装IP地址进行识别。
病毒检查:
科先达S&T8341安全网关解决方案在传统防火墙和虚拟专用网技术中增加了防病毒和蠕虫的功能。为以下类型目标文件在web流量 (HTTP协议) 和电子邮件流量(SMTP、POP3和IMAP协议)中进行病毒和蠕虫检查过滤.在科先达8341网络中,以IPSEC VPN通过的数据包的在网络中是允许通过的。
日志和报告:
科先达S&T8341提供强大的日志和报告系统,将通过防火墙的数据、防火墙管理数据、流量、各种攻击行为统计集成到一起。
Ø 针对通过防火墙数据,可以按照数据类型、地址进行统计分析。
Ø 针对各种管理数据,防火墙进行详细记录,网管人员可以方便的查看对防火墙管理情况。如果有内部人员对防火墙访问,可以通过管理数据进行查询.
Ø 流量统计:防火墙提供流量统计功能,可以按照用户名称、地址等多种方式进行统计。
Ø 报警邮件:当有人非法对内部网络或者外部网络进行访问的时候,系统的实时报警会通过E-mai进行报警。同时对各种非法的访问和攻击行为进行记录。
通过强大的日志系统和实时报警、报警邮件等多种方式保证银行内部网络出现安全问题时可以有资料分析;同时也可以通过对日志系统的分析完善系统安全策略。
流量管理:
银行内联网上运行着部分重要的业务数据,这些业务数据实时性要求高,必须保证这样的数据具有优先权限,防止因为带宽问题影响银行的应用。科先达防火墙可以针对银行实际情况,对部分特殊应用提供带宽管理。给特殊应用分配相对高的带宽。保障最大带宽和优先级。同时科先达防火墙提供流量管理功能,对内部网络用户对外网的访问可以提供流量限制。
远程备份:
为了防止银行系统突然崩溃以至数据掉失,科先达S&T8341安全网关还可以把银行每天的处理数据做一个远程备份。
双机热备份:
网络安全、长期稳定运行是银行最终目标,但是网络硬件可能因为一些特殊原因发生故障。为了保障银行的不间断运行,科先达S&T8341安全网关提供了双机热备份功能,当系统检测到故障,或主机不能工作的时候,辅机就立刻接替主机工作,而且这个切换不中断银行网络的运行,不影响银行的业务。两台防火墙工作在互备模式中。
系统升级:
网络安全技术随着网络技术发展不断变化,而网络安全策略和软件也不能一成不变,需要不断升级。科先达S&T8341安全网关管理界面提供方便的系统升级和NIDS升级功能。科先达S&T8341除了可以手工升级还可以配置自动升级病毒库和攻击库。保证银行防火墙产品实时和网络安全领域技术同步,防止因为新的安全问题给系统带来的安全风险。
银行方案的网络结构图:
科先达S&T8341安全网关可以灵活地满足不同的安全需要,为用户提供了一个多层次和全方位的安全保障系统,广东千赢国际娱乐游戏凭借优秀的安全产品和完善的服务体系能够有效保证系统运行的稳定性、灵活性和持久性,为银行的网络信息安全保驾护航。
|
版权所有:广东千赢国际娱乐游戏信息技术有限公司 联系地址:广州市越秀区先烈中路81号之三1007. 12-15层1401-1408自编C房 联系电话:020-83578269,83599273 传真:020-83579754 粤ICP05042451号
|