银行网络系统是一个比较复杂庞大的内部互联网络,同时也涉及了网上银行和银行代收业务,因此既要保障内部网络的通畅和安全,还要保障非法用户不能通过外网(互联网)进入内部网络。整体的网络安全不仅包括了防火墙的访问控制功能,还需要有远程集中管理、远程审计和自动备份日志等功能。因此需要有一个立体的网络安全整体解决方案。
二、银行的网络结构和应用
xx 银行网络系统是非涉密的内部业务工作处理网络,传输、处理、查询xx银行网络工作中非涉密的信息。该网由省行网络中心、地市行网络中心和支行网络中心的网络节点互连构成,控制中心在省行网络中心。在所有外连线路出入口安装防火墙。这些防火墙系统需要集中在省行网络中心进行管理和审计,关键部位需要使用双机热备功能。
三、网络风险分析
结合xx银行网络自身的特点,主要的网络安全风险主要体现在如下几个方面:来自互联网络的风险、来自分支网络的风险、来自内部员工的风险、来自外来单位(企业)的风险和来自网络安全管理的风险。
下面图示化网络中存在的安全风险:
xx银行网络中存在的安全隐患
来自互联网络的风险:随着信息网络的迅速发展,xx银行也不断的开展一些网上业务。比如开展了大量的网上银行业务,虽然通过互联网方便了个人用户,同时还应该看到的是黑客可以通过互联网络进入银行的网上银行网络,从而为进入银行内部网络创造了条件。
此外如果有数据在公网上面进行传输,那么还存在数据被黑客窃取和修改的风险。
来自分支网络的风险:xx银行网络在省行和地市行之间的网络虽然都属于银行的互联网络,但是如何有效的保障地市行的银行员工不会窃取省行内部数据,成为我们不可疏忽的问题之一。
来自内部员工的风险:据调查统计,已发生的网络安全事件中,70%的攻击是来自内部。因此内部网的安全风险更严重。内部员工对自身网络结构、应用比较熟悉,自已攻击或泄露重要信息内外勾结,都将可能成为导致系统受攻击的最致命安全威胁。而且xx银行内部员工数目比较多,因此如何有效的防治内部员工不对自己的网络进行攻击也是一个好的网络安全方案重要的组成部分。防火墙最大的问题就在于“易防外,不易防内” ,因此还必须就内部互联网络进行审计和控制,在这种情况下,防火墙系统和入侵检测系统结合使用将是最好的选择。
来自外来单位(企业)的风险:这种风险和来自分支结构的风险不尽相同,这种风险主要是指来自那些和银行有业务往来的其他单位(企业)。xx银行网络不仅仅是银行自己之间的互联,还需要和电信、证券、保险部门和水电局等单位(企业)进行互相连接,因为银行有代收电话费、保险费和水电费等业务。在这种情况下,我们必须考虑到来自这些外来单位(企业)的安全风险,也就是说需要在这些接口出布置网络安全产品和设备。
来自网络安全管理的风险:网络安全是一个立体的结构,任何一个小的安全漏洞都可能造成整个网络的安全性的大幅度下降,因此xx银行网络必须要有一个完善的管理体制。如果缺乏完善健全的管理体制,那么即使是非常安全的网络也不能算是一个完整的安全网络。
四、网络方案设计
了解了攻击手段和安全隐患之后,国恒联合科技结合现有的网络技术,设计了如下图所示的动态安全防护体系。通过这样的设计可以尽可能地阻止来着外部的攻击、监控和管理内部的访问,尽量杜绝现存的安全隐患。
由于xx银行的网络的主要风险来自于证券和电信这些外来单位,因此需要在这里地方放置防火墙系统。
xx 银行主要防护的对象是其内部的业务主机,因此有必要在这些业务主机前在加上一道安全防护。xx银行现在的内部网络结构主要是核心交换机接到前置机,然后连接一台业务主机,因此我们推荐xx银行使用上图网络结构,所有的前置机建立一个平台,然后连接到一台交换机上面,交换机连接入侵检测设备,防火墙设备后面连接一台交换机,然后接入所有业务主机。
这样的网络结构改变可以使网络的安全性提高一个层次,同时为了保障网络的可靠性,我们推荐xx银行使用防火墙的双机热备模式,两台防火墙工作的时候,有一台防火墙处于冗余状态,一旦一台防火墙出现故障,另外一台防火墙会在很短的时间内接替工作。
速通防火墙在这里起到以下几个作用:
1、在各网络出口处安装速通防火墙。速通防火墙在这里首先起到网络隔离、划分不同安全域,进行访问控制的功能。通过防火墙的多网口结构设计,控制授权合法用户可以访问到授权服务,而限制非授权的访问。同时速通防火墙自带的认证功能,可以实现内部用户认证,同时可以结合用户原有的域用户认证或者radius认证,实现用户级的访问控制。
2、速通防火墙自带的入侵检测功能采用了基于模式匹配的入侵检测系统,超越了传统防火墙中的基于统计异常的入侵检测功能,实现了可扩展的攻击检测库,真正实现了抵御目前已知的各种攻击方法,并通过升级入侵检测库的方法,不断抵御新的攻击方法。速通防火墙的入侵检测模块,可以自动检测网络数据流中潜在的入侵、攻击和滥用方式,并防火墙模块实现联动,自动调整控制规则,为整个网络提供动态的网络保护。速通防火墙入侵检测模块中包含了对网络上传输病毒和蠕虫的检测,可以在计算机病毒和蠕虫传输到宿主机之前检测出来,在网关上防止网络病毒的传播,防患于未然。真正实现了少花钱多办事的效果。
3、利用速通防火墙自带的VPN功能,实现多级VPN系统。虚拟专用网技术(VPN,Virtual Private Network)是指在公共网络中建立专用网络,数据通过安全的“加密通道”在公共网络中传播。企业只需要租用本地的数据专线,连接上本地的公众信息网,那么各地的机构就可以互相传递信息。使用VPN有节约成本、扩展性强、便于管理和实现全面控制等好处。在虚拟专用网中,任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的,是通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。所谓虚拟,是指用户不再需要拥有实际的长途数据线路,而是使用Internet公众数据网络的长途数据线路。所谓专用网络,是指用户可以为自己制定一个最符合自己需求的网络。根据国家有关规定,政府网络可以通过现有公有平台搭建自己的内部网络,但必须通过认证和加密技术,保证数据传输的安全性。速通防火墙VPN模块支持两种用户模式:远程访问虚拟网(AccessVPN)和企业内部虚拟网(IntranetVPN)。
本方案的特点在于:根据银行的实际需要,充分利用了速通防火墙的各功能模块,实现了各功能模块(防火墙模块、入侵检测模块、用户认证模块、VPN模块)的协同工作,构建了一个动态安全门户,以比较经济实惠的方式,实现了对银行网络的整体安全防护。