金融保险银行网络安全设计

《金融保险银行网络安全设计》由会员分享，可在线阅读，更多相关《金融保险银行网络安全设计（10页珍藏版）》请在金锄头文库上搜索。

1、（金融保险） 银行网络安全 设计 （金融保险） 银行网络安全 设计 目录 1 银行系统的安全设计 1 1.1 非法访问 1 1.2 窃取 PIN/密钥等敏感数据 1 1.3 假冒终端/操作员 1 1.4 截获和篡改传输数据 1 1.5 网络系统可能面临病毒的侵袭和扩散的威胁 1 1.6 其他安全风险 1 2 银行系统的网络拓扑图及说明 2 3 银行系统的网络安全部署图及说明 3 3.1 敏感数据区的保护 3 3.2 通迅线路数据加密 3 3.3 防火墙自身的保护 4 4 系统的网络设备选型及说明 5 4.1 核心层交换机 5 4.2 汇聚层交换机 5 4.3 接入层交换机 6 4.4 路由器

2、6 4.5 服务器 7 5 安全配置说明 8 5.1 防火墙技术 8 5.2 网络防病毒体系 8 5.3 网络入侵检测技术 8 5.4 网络安全审计技术 9 5.5 VPN 技术 9 总结 10 一银行系统的安全设计 银行网络作为一个金融网络系统，由于涉及信息的敏感性自然会成为内部和外部 黑客攻击的目标，当前银行面临的主要风险和威胁有： 1.1 非法访问：银行网络是一个远程互连的金融网络系统。现有网络系统利用操 作系统网络设备进行访问控制，而这些访问控制强度较弱，攻击者可以在任一终 端利用现有的大量攻击工具发起攻击；由于整个网络通过公用网络互连同样存在 终端进行攻击的可能；另一方面银行开发的很

3、多增值业务、代理业务，存在大量 与外界互连的接口这些接口现在没有强的安全保护措施存在外部网络通过这些 接口攻击银行，可能造成巨大损失。 1.2 窃取 PIN/密钥等敏感数据：银行信用卡系统和柜台系统采用的是软件加密的 形式保护关键数据，软件加密采用的是公开加密算法（DES），因此安全的关键 是对加密密钥的保护，而软件加密最大的安全隐患是无法安全保存加密密钥，程 序员可修改程序使其运行得到密钥从而得到主机中敏感数据。 1.3 假冒终端/操作员：银行网络中存在大量远程终端通过公网与银行业务前置机 相连国内银行以出现多起在传输线路上搭接终端的案例。银行网络同样存在大量 类似安全隐患。现有操作员身份识

4、别唯一，但口令的安全性非常弱因此存在大量 操作员假冒的安全风险。 1.4 截获和篡改传输数据：银行现有网络系统通过公网传输大量的数据没有加密， 由于信息量大且采用的是开放的 TCP/IP，现有的许多工具可以很容易的截获、分 析甚至修改信息，主机系统很容易成为被攻击对象。 1.5 网络系统可能面临病毒的侵袭和扩散的威胁： （1）黑客侵扰类似于网络间谍，但前者没有政治和经济目的，利用自己精通计 算机知识，利用他人编程的漏洞，侵入金融信息系统，调阅各种资料，篡改他人 的资料，将机密信息在公用网上散发广播等。 （2）计算机病毒是一种依附在各种计算机程序中的一段具有破坏性、能自我繁 衍的计算机程序，它通

5、过软盘、终端或其它方式进入计算机系统或计算机网络， 引起整个系统或网络紊乱，甚至造成瘫痪。 1.6 其他安全风险：主要有系统安全（主要有操作系统、数据库的安全配置）以 及系统的安全备份等。 二银行系统的网络拓扑图及说明 随着信息技术的发展，社会的信息化程度提高了，网络银行、电子银行出现 了，整个银行业、金融业都依赖于信息系统。交易网络化、系统化、快速化和货 币数字经是当前金融业的特点，这对金融信息系统的安全保密性提出了严格的要 求。金融信息系统必须保证金融交易的机密性、完整性、访问控制、鉴别、审计、 追踪、可用性、抗抵赖性和可靠性。为了适应金融业的需要，各家银行都投资建 网。但是，由于各种因素

6、的制约，网络的安全体系不完善，安全措施不完备，存 在严重的安全漏洞和安全隐患。 这些安全漏洞和隐患有可能造成中国的金融风暴， 给国家带来重大损失，因此必须采取强有力的措施，解决银行网络的安全问题。 银行系统在镇中共有两处营业点，其中一营业点与镇分理处相距 1500 米， 主要有一层楼用于银行办理业务，另一营业点与分理处在一处办公，是二层楼， 一层是营业点，二层是分理处，各司其职。 图 2-1 网络拓扑图 三银行系统的网络安全部署图及说明 3.1 敏感数据区的保护 银行系统内存在许多敏感数区域（如银行业务系统主机等） ，这些敏感的数据区 域要求严格保密，对访问的权限有严格的限制，但所有的主机处于

7、同一个网络系 统之内，如不加以控制，这样很容易造成网内及网外的恶意攻击，所以在这些数 据区域的出入口要加以严格控制，在这些地方放置防火墙，防火墙执行以下控制 功能。 3.1.1 对来访数据包进行过滤，只允许验证合法主机数据包通过，禁止一切非授 权主机访问。 3.1.2 对来访用户进行验证。防上非法用户侵入。 3.1.3 运用网络地址转换及应用代理使数据存储区域与业务前端主机隔离，业务 前端主机不直接与数据存储区域建立网络连接，所有的数据访问通过防火墙的应 用代理完成，以保证数据存储区域的安全。 图 3-1 敏感数据区保护方案 3.2 通迅线路数据加密 在银行的广域网传输系统中，从总行到分行、分

8、行到支行、支行到分理处等，广 泛应用到帧中继、X.25、DDN、PSTN 等等之类的通用线路，但这些线路大多数都 是由通讯公司提供，与许多用户在一套系统上使用他们的业务，由于这些线路都 是暴露在公共场所，这样很容易造成数据被盗。传输数据当中如果不进行数据加 密，后果可想而知。所以对数据传输加密这是一非常重要的环节。 对网络数据加密大致分为以下几处区域： 3.2.1 应用层加密 建立应用层加密，应用程序对外界交换数据时进行数据加密。主要优点是使用方 便、网络中数据从源点到终点均得到保护、加密对网络节点透明。缺点是某些信 息必须以明文形式传输， 容易被分析。 此种加密已被广泛应用于各应用程序当中，

9、 并有相应的标准。 3.2.2 基于网络层的数据加密 在总部到各分行，以及分行到支行建议采用 VPN 加密技术进行数据加密。 VPN 是通过标准的加密算法，对传输数据进行加密，在公用网上建立数据传输的 加密“隧道” 。加密实现是在 IP 层，与具体的广域网协议无关，也就是说适应不 同的广域网信道（DDN、X.25、帧中继、PSTN 等） 。由于 VPN 技术已经拥有标准， 因此所有的 VPN 产品可以实现互通。 当然，银行可根据自身的需要，可选用专用加密设备进行数据传输加密。 图 3-2 利用 VPN 技术对数据传输进行加密 3.3 防火墙自身的保护 要保护网络安全，防火墙本身要保证安全，由于

10、系统供电、硬件故障等特殊情况 的发生，使防火墙系统瘫痪，严重阻碍网络通讯，网络的安全就无法保证，所以 要求防求防火墙有冗余措施及足够防攻击的能力。 图 3-3 防火墙双机备份方案 四.系统的网络设备选型及说明 4.1 核心层交换机 型号：H3CS5500-24P-SI 价格：￥8800 交换机：千兆以太网交换机 应用层级：三层交换 传输速率：101000 交换机接口：101000MSFPCombo 网管功能 ： 支持 FTP/TFTP 加载升级、 支持命令行接口 （CLI） ,Telnet,Console 口进行配置、支持 SNMPv1v3,WEB 网管、支持 RMON(RemoteMonit

11、oring)告警、事 件、历史记录、支持系统日志,分级告警,调试信息输出、支持 HGMPv2、支持 NTP、支持电源的告警功能，风扇、温度告警、支持 Ping、支持 VCT、 (VirtualCableTest)电缆检测功能、支持 DLDP(DeviceLinkDetectionProtocol) 单向链路检测协议、支持 detection 端口环回检测 4.2 汇聚层交换机 型号：H3CLS-3600-28P-SI 价格：￥4900 交换机：千兆以太网交换机 应用层级：三层 传输速率：101000 交换机接口：10/100BASE-T,1000BASE-SFP 网管功能：支持命令行接口配置,

12、支持 Telnet 远程配置,支持通过 Console 口配置,支持 SNMP,支持 WEB 网管,支持系统日志,支持分级告警背板带宽：32Gbps 包转发率：9.6Mpps MAC 地址表：16K VLAN 功能：支持 网管支持：可网管型 端口结构：固定端口 接口数量：24 个 网络标准：IEEE802.1D,IEEE802.1w,IEEE802.1s 模块化插槽数：4 个 堆叠功能：不可堆叠 4.3 接入层交换机 型号：H3CLS-5024P-LI-AC 价格：￥3650 交换机：企业级交换机 应用层级：二层 传输速率：101000 交换机接口：101000Base-T,SFP 网管功能：

13、支持命令行接口 CLI（CommandLineInterface）配置,支持通过 Console 口配置,支持 WEB 网管 背板带宽：48Gbps 包转发率：36Mpps MAC 地址表：8K VLAN 功能：支持 网管支持：可网管型 端口结构：固定端口 接口数量：24 个 网络标准： IEEE802.1d,IEEE802.1x,IEEE802.3,IEEE802.3u,IEEE802.3x,IEEE802.3z,IEEE 802.1Q,IEEE802.1p 模块化插槽数：4 个 堆叠功能：不可堆叠 4.4 路由器 型号：H3CRT-MSR3020-AC-H3 价格：￥7900 路由器类型：

14、企业级路由器 路由器网管：网络管理,本地管理,用户接入管理 局域网接口：2 个千兆以太电口 传输速率：101000Mbps 防火墙功能：内置 端口结构：模块化 路由器包转发率：200KPPS 安全标准： UL609503rdEdition,CSA22.2#9503rdEdition1995,EN60950:2000+ZBinternet 下载、软盘和光盘传播、邮件传播。 5.3 网络入侵检测技术 5.3.1 应用入侵检测的网络监测功能、攻击行为检查、高速流量捕获、策略响应、 防火墙联动、 关联事件分析等技术要素， 可实现如下风险的控制 ： 利用 LotusNotes 的 Web 服务器漏洞、利

15、用 LotusNotes 的 Web 服务器漏洞LotusNotes 配置信息 被远程读取，利用 Unix 的 FTP 服务漏洞SITEEXEC 漏洞，利用 Bind 服务漏洞、 利用 Telnet、NFS、X-windows 服务漏洞。 5.3.2WindowsRPCDCOM远程溢出MS026和WindowsRPCDCOM远程溢出MS039， TCP 登录会话劫持发送一个伪造的报告到 telnetsh。 5.3.3 安装木马：应用网络入侵检测技术之后不仅有效控制了上述风险，同时入 侵检测要求如自身安全性、抗 IDS 逃避、抗事件风暴等技术要素，有效避免了入 侵检测自身引入的新的风险，同时分级

16、管理、多用户权限、分布式部署的要求大 大降低了管理员的负担。 5.4 网络安全审计技术 本方案采用网络安全审计技术，主要针对使用互联网访问非法站点，传递和发布 非法信息，内部网络中的资源滥用，内部商业信息泄漏等等问题。对被监控网络 中的 Internet 使用情况进行监控，对各种网络违规行为实时报告，甚至对某些 特定的违规主机进行封锁，以帮助网络管理员对网络信息资源进行有效的管理和 维护。 应用网络安全审计技术以后可以控制的风险包括：Internet 资源被滥用，获取内 部公文，帐表系统报表数据，内部通讯录和口令文件的 shadow，破解系统管理员 口令 5.5VPN 技术 针对某市商业银行保证生产网络、办公网以及通信机密性的需求，方案规划系统 采用 VPN 技术解决方案。应用 VPN 技术以后可以控制的风险包括：窃听以明文方 式传输的用户名和密码网络窃听，获得更多广播信息 TCP 登录会话劫持发送一 个伪造的报告到 telnetsh， TCP 登录会话劫持从已存在的 telnetsh 中窃听 TCP 报文序号，获取下属支行或网点的业务数据、业务数据中的敏感信息：如卡号、