金融系统安全体系解决方案

2004-6-13　发布方：天网安　网友评论 0 条　点击进入论坛

    前言
    随着网络的快速发展，各金融企业之间的竟争也日益激烈，通过提高金融机构的运作效率，为客户提供方便快捷和丰富多彩的服务，增强金融企业的发展能力和影响力来实现的；为了适应这种发展趋势，银行在改进服务手段、增加服务功能、完善业务品种、提高服务效率等方面做了大量的工作，以提高银行的竞争力，争取更大的经济效益。而实现这一目标必须通过实现金融电子化，利用高科技手段推动金融业的发展和进步，网络的建设为银行业的发展提供了有力的保障，并且势必为银行业的发展带来具大的经济效益。
    随着银行网络规模逐渐扩大，网上银行、代理缴款等新业务的开通，大批信息管理系统正在陆续投入运行，计算机系统在银行工作中的应用将日益广泛；目前银行主要应用有：储蓄、对公、信用卡、储蓄卡、IC卡、国际业务、电子汇兑、电子邮件、电子公文、网上银行、网上交易系统、新的综合对公业务、国际业务信贷系统等。但是我们应该意识到事务的两面性，随着应用的不断增加，网络安全风险也会不断暴露出来。原来由单个计算机安全事故引起的损害可能传播到其他系统和主机，引起大范围的瘫痪和损失。而且由于银行属于商业系统，都有一些各自的商业机密信息，如果这些机密信息在网上传输过程中泄密，其造成的损失将是不可估量的。所以金融业网络安全方案的解决不容忽视。

    银行网络安全风险分析
    校校通工程的实施，一方面是国家教育发展的必然趋势，同时也是教育行业自身依据当前教育形势发展而提出的需求。校校通工程的实施将会极大的推动学校信息化建设的步伐，使学校的教育方式和教学效果迈上一个新的台阶。
    为了进一步完善网络，并对原有的网络进行完全改造，根据教育网络安全建设的要求，总结其安全需求如下：
    网络安全方案要求：
    来自互联网风险
    银行这样的金融系统自然会被恶意的入侵者列入其攻击目标的前列。
    来自外单位风险
    由于银行与这些单位之间不可能是完全任信关系，因此，它们之间的互联，也使得银行网络系统存在着来自外单位的安全威胁。
    来自内部网风险
    据调查统计，已发生的网络安全事件中，70%的攻击是来自内部。因此内部网的安全风险更严重。
    管理安全风险
    企业员工的安全意识薄弱，企业的安全管理体制不健全也是网络存在安全风险的重要因素之一。
    安全威胁可能引发的结果有非法使用资源、恶意破坏数据、数据窃取、数据篡改、假冒、伪造、欺骗、敲诈勒索等。种种结果对银行这样特殊性的行业来说，其损失都是不可估量的。必须将风险防患于未然。解决方案
    典型银行网络一般大致可以分为外部网络，银行oa网和业务网络三部分。拓扑图如下：

    对于网络安全主要有以下几点内容：
    · 银行OA网与业务网的分隔及开通管理
    · 银行局域网拨号入人民银行及外汇管理
    · 银行局域网接入互联网的管理
    · 拨号服务器的管理
    · 证券前置机等外部业务管理
    配置方案如下
    防火墙1区据银行的要求，银行业务网与OA网进行隔离、即业务网与OA网不能进行通讯，然后依据对方提供的一些服务器需要让对方互访，即打开某一台机器的某一端口。
    防火墙2区位于位于下面各支行的与分行的通行，禁止各分行与支行的一些访问，然后再开放对应的一些访问。
    防火墙的规则配置
    防火墙的规则配置通过统一的管理员界面设定，所有防火墙的审计信息汇总到设置在企业内部网内的安全审计主机。
    防火墙1区的配置
    允许OA网访问业务网的应用服务（如数据库等）
    允许业务网访问OA网的应用服务（如数据库等）
    允许OA网和业务网的用户访问或通过代理访问INTERNET公网
    禁止INETRNET公网非法用户入侵OA网和业务网
    限制OA网和业务网的某些用户禁止访问互联网
    禁止INTERNET公网用户对内部网络http、ftp、telnet、traceroute、rlogin等端口访问
    开放一次性口令认证用户和ＡＤＩＵＳ认证用户，并设置其访问权限
    设置防黑客或入侵检测的范围，实行实时入侵检测
    防火墙2区的配置
    禁止分行对支行的所有访问，只允许一些授权的访问
    允许合法的内部企业网用户访问特定的中间业务服务器
    设置防黑客或入侵监测的范围，实行实时入侵监测
    允许分行的用户可以访问支行的部分机器的端口
    访问控制
    银行有连接Internet公网的应用需求，出于安全，把银行系统中的业务网及OA网与上Internet公网物理隔离；使它们是两组完全互相独立的网络，防止因上公网而造成的安全问题危及到需保护的网络。
    对防火墙里面的两个网（业务网和OA网）它们之间也不是完全互相访问，只允许一些授权访问。 在各级银行内部网主交换机与本系统纵向网互连的边界路器之间安装天网防火墙系统，可以做到隔离不同网络，并防范外部网络非法访问及恶意攻击。
    天网防火墙的建立也并非就一劳永逸，所以在建立硬件设备防火墙之时，也要在内部人员心目中建立起一道坚固的"防火墙"。

相关案例

• ·晓风彩票合买代购软件
• ·教育行业安全体系解决方案[图]
• ·制造企业信息系统建设解决方案
• ·中小型企业综合业务平台
• ·农村用电收费系统[组图]

• ·鼎诚Cable Phone解决方案
• ·桑地智能网吧管理系统
• ·HollyC6用于顺丰速运呼叫中心[组图]
• ·互联网时代的信息安全解决方案
• ·北京东方龙马系统集成有限公司东方龙马防火墙

推荐解决方案

领军企业实施案例

电子杂志订阅

赞助商链接