一、前言
近几年来,随着信息技术的采用,银行电子化建设发展迅速,并日益成为提高银行竞争力的重要因素。银行建立了支持全行业务经营的内部综合业务网络和数据运行中心,实现所有门市业务的数据集中联网处理。网上银行、电子商务等新的服务方式也正在兴起,金融运行的模式正在发生着深刻的变化。伴随着银行信息化建设的高速发展,信息安全问题也日
趋严重。银行系统需要进一步加强安全防范,防御来自内部和外部的恶意攻击,实现对非法入侵的安全审计与跟踪,保证业务应用和数据的安全性,杜绝计算机犯罪事件的发生。
东方龙马公司作为国内知名的网络安全服务提供商,在自身具备的技术实力和所积累的行业经验的基础上,提出了银行系统的整体安全解决方案。
二、银行网络系统结构和安全现状
银行系统通常以总行为中心,各省级分行通过租用线路与总行进行连接。各省均建立了比较完善的多级综合网络,包含省分行、地市分行、区县支行及营业网点等,在其上运行着多种应用,主要包括:
生产业务系统:银行业务的核心部分,贯穿银行网络的各个层面--网点、支行、地市行、省行、金卡中心、人行等。
中间业务系统:银行与其他企事业单位之间的金融业务合作,通常在对方网络中设置银行前置机。
办公自动化系统:银行的日常办公工作如邮件传输、上下级间公文流转、文件传输、生产数据的查询等。
网上银行系统:在各级分行、支行网络中进行了Internet接入,实现网上银行业务。
由于银行网络系统是典型的多应用和多连接平台,因此在银行网络内外存在着较多的安全隐患。尤其是对省行的生产服务器和OA服务器主机系统而言,随时都在面临着来自各方面的安全威胁。下面先从网络、系统、应用、数据及管理等各个层面综合分析银行网络中存在着的安全隐患:
网络层面:
与银行各级网络进行互联的外部单位(包括总行)网络用户及Internet黑客对银行各级单位网络的非法入侵和攻击;
银行内部各级单位网络相互之间的安全威胁,例如某个分支单位网络中的不自律的人员对省分行网络中关键服务器的非法入侵和破坏;
在各级单位网络中,由于不同应用系统之间存在一定的连通性,对于关键的生产业务应用和办公应用系统而言,可能会受到局域网上一些无关用户的非法访问;
操作系统和数据库系统层面:
操作系统、数据库系统等都存在一定的安全缺陷、后门等,极易被攻击者利用来进行非法操作;
由于系统管理员经验不足或工作疏忽而令系统配置中出现漏洞,同样会被攻击者利用;
系统合法用户尤其是具有完全控制权的特权用户的误操作可能导致系统瘫痪,数据丢失;
网络应用层面:
网络上多数应用系统采用客户/服务器体系或衍生的方式运行,因此对应用系统访问者的控制手段是否严密将直接影响到应用自身的安全性;
由于实现了Internet接入,各级单位的计算机系统遭受病毒感染的机会也更大,且很容易通过文件共享、电子邮件等网络应用迅速蔓延到整个银行网络中;
数据层面:
数据存储和传输所依赖的软、硬件环境遭到破坏,或系统用户的误操作,都会使严重威胁数据的安全;
管理层面:
如果缺乏严格的企业安全管理,信息系统所受到的安全威胁即使是各种安全技术手段也无法抵抗。
三、银行系统安全需求分析
银行也充分意识到安全对确保核心业务和应用有效运转的重要性,并采取了一定的措施,如利用操作系统和应用系统自身的功能进行用户访问控制,建立容错和备份机制,采用数据加密等。这些措施所能提供的安全功能和安全保护范围都非常有限。为了在不断发展变化着的网络计算环境中保护银行信息系统的安全,需要采用更加全面有效的安全解决方案,具体需求包括:
1、网络互联和通信安全需求
防范外部网络用户或Internet黑客利用银行网络的任何一个对外接口侵入各级单位网络进行非法操作,尤其防范对省行生产主机和OA主机的攻击;
防范银行内部网络中的非授权用户通过局域网或企业广域网侵入本地或其他节点的生产网络或办公网络进行非法操作;
对重要的网络通信流量进行实时监视和分析,及时发现并阻止来自网络内部或外部的非法攻击行为;
2、服务器系统安全需求
对网络和主机设备提供主动的漏洞检测和安全评估,及时发现操作系统和数据库系统中存在的安全漏洞,并提供有效的解决建议;
对关键的服务器操作系统进行安全加固,通过严格的用户认证、访问控制和审计,防止黑客利用系统安全管理功能的不足进行非法访问,同时避免内部用户的滥用;
3、应用系统安全需求
采用CA认证系统加强对关键应用系统的用户认证和管理;
建立企业级网络防病毒措施,对病毒传播的所有可能的入口进行严格控制,尤其防范病毒通过Internet连接侵入内部网络;
4、安全管理需求
建立完善的安全管理制度,加强对工作人员的安全知识和安全操作培训。
四、东方龙马的银行系统整体安全解决方案
我们根据银行网络中的不同应用类型将整个网络逻辑划分成综合业务系统、网上银行系统、中间业务系统、内部办公系统等四个子部分,根据不同部分的应用需要和网络互联情况分别进行安全系统部署。
1、综合业务系统安全设计
银行综合业务系统主要面向行内所辖各分支机构提供集中的业务数据处理服务,是一个相对独立的网络。由于需要向外提供网上银行服务和中间业务服务,使得业务网段也不得不面对来自外界网络的安全威胁。我们在银行业务网络的网上银行出口和中间业务出口分别架设东方龙马防火墙系统,确保银行内部业务系统不会受到来自外界网络的非法攻击。采用冠群金辰龙渊服务器核心防护系统加强对省行生产服务器系统用户的身份鉴别、访问授权和审计管理,提升操作系统安全级别。
2、网上银行系统安全设计
网上银行主要是面向Internet公众提供银行业务服务,极易受到Internet黑客攻击。我们在通过在Internet出口架设东方龙马防火墙系统,确保银行内部网络系统不会受到外界非法访问和恶意攻击。对于危害性较大的拒绝服务攻击,我们采用东方龙马防DoS攻击终结者提供有针对性的防御。
3、中间业务系统安全设计
银行中间业务系统主要是向企业客户提供各类代理服务,需要直接与客户网络进行联接,为了防止外界人员利用中间业务通道侵入银行内部进行非法操作。我们在银行中间业务网段的对外出口处架设东方龙马防火墙系统,确保银行内部网络系统安全。
4、办公系统安全设计
银行办公网中应用较复杂,因此面临的安全威胁也较业务网更多。我们不仅在办公网的每个对外出口架设东方龙马防火墙提供网络边界安全防御,并且增加东方龙马网络入侵检测系统对来自网络内、外的非法攻击行为进行实时监视和防范。对于危害性较大的拒绝服务攻击采用东方龙马防DoS攻击终结者提供针对性防御。同时全面部署冠群金辰KILL网络防病毒系统,确保所有的服务器、客户机都免受病毒侵害。对于来自Internet的病毒威胁,采用一台冠群金辰病毒过滤网关,实时查、杀包含在电子邮件、HTTP通信和FTP通信中的病毒和恶意代码。
由于银行建立了自己的网站,对外提供WWW、EMAIL等开放服务,所面临的安全威胁远大于内部网络。因此我们把各台网站服务器从内部办公网中分离出来,构成单独的DMZ区,通过防火墙、入侵检测系统和防病毒网关提供安全防护。
此外我们还采用东方龙马网络漏洞扫描系统,对整个银行系统中的网络和主机设备进行漏洞扫描和安全评估,并提供报告和相应的修复建议。
在管理方面,我们一方面加强银行内部的制度化管理、明确部门安全职责划分、合理定义人员角色,另一方面建立网络信息安全监控中心,对各级单位网络计算机系统和安全系统的有效运行提供集中统一的管理和保障。
新浪科技
