《网上银行网络通讯安全解决方案》由会员分享,可在线阅读,更多相关《网上银行网络通讯安全解决方案(42页珍藏版)》请在金锄头文库上搜索。
1、网上银行网络通讯安全解决方案网上银行网络通讯安全解决方案 Slide: 2议程议程中联公司安全服务中联公司安全服务网上银行安全解决方案网上银行安全解决方案网上银行安全设计原则网上银行安全设计原则网上银行安全性分析网上银行安全性分析Slide: 3银行安全解析银行安全解析GGSNGGSNBank Core NetworkSP NetworkIDSIDSFirewallFirewallAnti-virusAnti-virusGGSNGGSNGGSNGGSNBusiness PartnerInternetVPN GatewayVPN GatewayFirewallFirewall5. 5. 网上银行
2、安全解决方案网上银行安全解决方案网上银行安全解决方案网上银行安全解决方案3. 3. 通讯安全解决方案通讯安全解决方案通讯安全解决方案通讯安全解决方案CACA2. 2. 银行中间业务安全解决方案银行中间业务安全解决方案银行中间业务安全解决方案银行中间业务安全解决方案4. 4. 银行客户经理系统安全解决方案银行客户经理系统安全解决方案银行客户经理系统安全解决方案银行客户经理系统安全解决方案1. 1. 系统隔离解决方案系统隔离解决方案系统隔离解决方案系统隔离解决方案Slide: 4网上银行网络基本结构网上银行网络基本结构内部网WEB服务器应用服务器互联网网上银行用户路由器 满足网上银行基本需求 没有
3、对抗入侵、攻击的能力Slide: 5入侵风险入侵风险 入侵并控制网络、主机等资源 利用扫描、后门、特洛伊木马、嗅探器等工具入侵Slide: 6拒绝服务(拒绝服务(DoSDoS)攻击风险)攻击风险 耗尽通讯线路、网络设备或服务器资源,使服务中断 ACK 拒绝服务攻击;SYN 攻击;Land 攻击;Tear Drop 攻击;会话劫持攻击; Jolt 攻击;Bloop 攻击;Cpd 攻击;Targa 攻击;Twinge 攻击;小型 PMTU 攻击;会话劫持攻击;跨多个包的,基于 TCP 的攻击;XMAS 攻击 Slide: 7假冒合法用户风险假冒合法用户风险假冒者假冒者I am JohnSend C
4、ash $合法用户合法用户JohnX X 假冒合法用户,以合法用户身份进入网上银行系统 通过窃取密码、破解密码、窃听通讯数据、篡改通讯数据等方式进行Slide: 8议程议程中联公司安全服务中联公司安全服务网上银行安全解决方案网上银行安全解决方案网上银行安全设计原则网上银行安全设计原则网上银行安全性分析网上银行安全性分析Slide: 9木桶原理木桶原理木桶原理:一个网络的安全程度取决于最薄弱的环节Slide: 10策略产品安全策略产品安全策略策略产品产品安全安全+ += =Slide: 11多厂商产品组合多厂商产品组合Slide: 12议程议程中联公司安全服务中联公司安全服务网上银行安全解决方案
5、网上银行安全解决方案网上银行安全设计原则网上银行安全设计原则网上银行安全性分析网上银行安全性分析Slide: 13安全总体规划安全总体规划Cache服务器SSL服务器负载均衡器身份认证服务器日志服务器互联网内部网WEB服务器应用服务器网上银行用户路由器防火墙入侵检测系统防DoS网关防病毒网关邮件服务器Slide: 14产品功能简介产品功能简介 防火墙 防DoS攻击系统 入侵检测系统 防病毒系统 虚拟专用网 身份认证系统 日志系统 网页备份恢复系统 SSL安全访问系统 负载均衡系统 事件报警系统 故障排除工具Slide: 15防火墙:功能防火墙:功能 访问控制访问控制QoSNAT policy1
6、0.10.17.010.10.17.0199.206.24.2199.206.24.2VPNSlide: 16防火墙:部署防火墙:部署互联网内部网WEB服务器应用服务器网上银行用户路由器防火墙Slide: 17防防DoSDoS攻击系统:部署攻击系统:部署互联网内部网WEB服务器应用服务器网上银行用户路由器防火墙防DoS网关Slide: 18入侵检测系统:功能入侵检测系统:功能 监视攻击和滥用 对Internet和内部网络有效 记录日志 发出报警Slide: 19入侵检测系统:功能演示入侵检测系统:功能演示EMAILALERT/LOGATTACKDETECTEDRECORDSESSIONRECO
7、NFIGUREFIREWALL/ROUTERINTERNALATTACKDETECTEDSESSIONLOGGEDSESSIONTERMINATEDSlide: 20入侵检测系统:部署入侵检测系统:部署互联网内部网WEB服务器应用服务器网上银行用户路由器防火墙入侵检测系统防DoS网关Slide: 21防病毒系统:病毒危害防病毒系统:病毒危害 多种拒绝服务攻击的发动者 特洛伊木马的载体 后门程序的载体 Internet是病毒的主要来源 经常从内部发起攻击Slide: 22防病毒系统:防病毒系统部署防病毒系统:防病毒系统部署互联网内部网WEB服务器应用服务器网上银行用户路由器防火墙入侵检测系统防D
8、oS网关防病毒网关Slide: 23虚拟专用网(虚拟专用网(VPNVPN)InternetInternet总部总部客户网络客户网络防火墙防火墙/ VPN/ VPN网关网关安全策略安全策略V VP PN N隧隧道道 只有通过身份认证的用户才能够进行通讯 对通讯数据进行加密和认证Slide: 24虚拟专用网:虚拟专用网:VPNVPN的部署的部署互联网内部网WEB服务器应用服务器网上银行用户路由器防火墙入侵检测系统防DoS网关防病毒网关Slide: 25身份认证系统身份认证系统TACACS+TACACS+RADIUSRADIUS客户端客户端TACACS+TACACS+RADIUSRADIUS 安全服
9、务器安全服务器防火墙防火墙远程用户远程用户内部网络内部网络InternetInternet 用户名/口令 是身份认证的最基本方式Slide: 26身份认证系统:一次性口令身份认证系统:一次性口令TACACS+TACACS+客户端客户端TACACS+TACACS+ 安全服务器安全服务器防火墙防火墙远程用户远程用户内部网络内部网络InternetInternet令牌卡服务器令牌卡服务器 使用一次性口令,避免口令失密Slide: 27身份认证系统:数字证书和签名身份认证系统:数字证书和签名TACACS+TACACS+客户端客户端TACACS+TACACS+ 安全服务器安全服务器防火墙防火墙远程用户远
10、程用户内部网络内部网络InternetInternet 数字证书和数字签名具有更高的安全性Slide: 28日志分析日志分析 记录运行状态,提前发现安全隐患 安全事件事后追查,起到震慑作用 提供安全规划的技术依据Slide: 29身份认证服务器日志服务器身份认证和日志系统:部署身份认证和日志系统:部署互联网内部网WEB服务器应用服务器网上银行用户路由器防火墙入侵检测系统防DoS网关防病毒网关Slide: 30网页备份恢复系统网页备份恢复系统身份认证服务器日志服务器互联网内部网WEB服务器应用服务器网上银行用户路由器防火墙入侵检测系统防DoS网关防病毒网关Slide: 31SSLSSL安全访问系
11、统安全访问系统SSL SSL 会话会话SSLSSL客户端客户端SSLSSL服务器服务器 加快SSL加密/解密速度 增加安全屏障,阻止对服务器的攻击 减小服务器的负担,提高服务器抗攻击能力Slide: 32负载均衡系统负载均衡系统 分配流量,缓解服务器压力 自定义策略,防止新型DoS攻击 追踪原地址,防止IP地址欺骗Slide: 33缓冲加速系统缓冲加速系统 加快了用户访问响应速度 缓解服务器压力,提高服务器抗攻击能力Slide: 34Cache服务器SSL服务器负载均衡器负载均衡、负载均衡、CacheCache、SSLSSL:部署:部署身份认证服务器日志服务器互联网内部网WEB服务器应用服务器
12、网上银行用户路由器防火墙入侵检测系统防DoS网关防病毒网关Slide: 35漏洞扫描系统漏洞扫描系统 发现网络设备、服务器上现存的已知漏洞 通过人工操作修补漏洞Slide: 36事件报警系统事件报警系统Cache服务器SSL服务器负载均衡器身份认证服务器日志服务器互联网内部网WEB服务器应用服务器网上银行用户路由器防火墙入侵检测系统防DoS网关防病毒网关邮件服务器Slide: 37故障排除工具:故障排除工具:SnifferSnifferSlide: 38安全的网上银行网络结构安全的网上银行网络结构Cache服务器SSL服务器负载均衡器身份认证服务器日志服务器互联网内部网WEB服务器应用服务器网上银行用户路由器防火墙入侵检测系统防DoS网关防病毒系统邮件服务器Slide: 39分步实施建议分步实施建议身份认证服务器日志服务器互联网内部网WEB服务器应用服务器网上银行用户路由器防火墙入侵检测系统防DoS网关网络防病毒系统Slide: 40议程议程中联公司安全服务中联公司安全服务网上银行安全解决方案网上银行安全解决方案网上银行安全设计原则网上银行安全设计原则网上银行安全性分析网上银行安全性分析Slide: 41中联公司安全服务中联公司安全服务Slide: 42创新动力创新动力 服务金融服务金融谢谢!谢谢!
