网新易尚根据银行网络系统安全架构和银行安全需求分析,提出了银行整体网络安全解决方案,具体包括: 在网络层划分安全域,部署防火墙系统、入侵
检测系统、网络漏洞扫描系统、拨号监视器系统、防拒绝服务攻击系统;在系统层部署主机访问控制系统、系统漏洞扫描系统、病毒防范系统;在应用层采用一次性口令身份认证系统、CA认证中心;在管理层制订安全管理策略,部署日志分析系统,建立安全管理中心。
下面针对一个覆盖全国各省市、区县,同时还与许多单位连接的银行网络说明如何解决其网络安全问题。
1.网络访问控制系统
划分安全域 对安全系数要求高的安全域,在其边界部署防火墙,对安全系数要求较低的安全域的边界则可以使用VLAN或访问控制列表来代替。为了提高银行网络的安全性和可靠性,在总行、各省市行、区县行对不同系统划分不同安全域。
访问控制措施 根据安全域的划分,在不同安全域边界间采用不同的安全措施: 各级银行内部办公系统与公网之间安装防火墙系统,业务网与Internet公网完全物理隔离,内部办公系统中不同部门或不同安全级别的用户组利用交换机划 分虚拟子网技术划分不同子网,做到较简单的访问控制。
2.入侵检测系统
在银行网络系统中,对不同安全域的边界或其他存放涉密信息的关键网段部署入侵检测系统,实时监测进出网络的数据流。
3.风险评估系统
利用现有的网络安全扫描系统,分析网络系统结构、配置等是否存在安全漏洞。依据结果,增加安全补丁及填补安全漏洞。
4.主机访问控制系统
采用主机访问控制系统加固Unix主机、Windows NT/2000/XP、业务主机与备份主机、PC服务器,根据安全可靠性需求,增强操作系统的安全等级(部分指标可达到安全B级),并分析提出加固措施。
5.病毒防范系统
在银行网络系统可能的病毒攻击点或通道中部署一套全方位的病毒防范系统,包括银行的生产系统、OA系统、中间业务系统中的客户端计算机、应用服 务器、Internet/外网网关边界处部署防病毒设备,并配置防病毒系统管理中心,对所有防病毒软件进行集中管理、监控、统一升级、集中查杀毒。
6.一次性口令身份认证系统
提供强大的动态口令牌身份认证工具及认证服务器,确保企业用户访问企业内部资源的安全性。
7.信息传输加密系统
在每一级网络配备的防火墙系统与边界路由器之间配备网络层加密机。网上银行、网上交易业务可以在应用层采用SET或SSL协议进行应用层加密,并通过数字签名等技术来保证网上交易数据的机密性、完整性及不可抵赖性。
8.防拒绝服务攻击系统
在银行网络系统总行、省市行、区县行各级OA系统与Internet出口边界处,分别配备DoS攻击网关系统,以抵御各种网络拒绝服务攻击。
9.拨号监视器系统
在各级OA系统部署拨号监控系统控制和监视内部用户非法拨号的行为,对指定IP范围内的机器进行监测。
10.CA认证中心系统
根据网络的系统结构,构建一个与整个网络的系统结构相对应的安全认证中心(CA系统)。由根CA中心、区域CA中心、RA三级结点构成的层次结构。
11.日志分析系统
通过日志分析,各级系统管理员可以及时发现异常行为和可能漏洞,甚至在遭受恶意黑客攻击后,收集证据提起法律诉讼。
12.建立安全管理中心
“安全管理中心”是网络中心系统中全部网络安全设备的集中监控管理中心。建立该中心的目的是使银行各级网络中心所有的安全产品和安全策略可以集中部署,集中分发。包括防火墙管理中心、入侵检测控制中心、防病毒中心等。
13.安全服务
一个完整的银行安全解决方案还必须包括长期的、与项目相关的信息安全服务,网新易尚可以提供实时的、动态的安全服务。
优点 该方案对银行业的网络安全需求做了简要介绍,提出银行业网络安全应从整体的角度进行分析,必须通过网络整体的安全规划来加强网络安全集中监管的能力和水平,基于这一指导思想来建立安全体系,对于提高银行业的综合保障能力,减少国内银行的运营风险有较大的帮助。
方案设计了一个完整的安全架构模型,并根据安全模型,将银行整体网络安全划分为四个层次,设计思路比较清晰。该方案还通过一个实例,将网新易尚安全系统的各项功能,以及银行业网络安全的实现方法和过程描述得非常清楚,实用性非常强。
不足 此方案是一个集成的安全方案,可行性和实用性都很好,但是在分析性上,特别是对用户业务特点和需求特点方面描述有些空泛,看不出是针对银行业而做的。方案中没有推荐相应的安全产品,也没有对一些关键产品的选型提供技术建议,因此感觉不够充实。