1 物理层安全解决方案
保障物理安全除了要遵守国家相关的场地要求和设计规范外,为了将不同密级的网络隔离开,需要采用物理隔离技术将业务网和办公网两个网络在物理上隔离。
2 网络层安全解决方案
防火墙安全技术:银行网络系统是一个由总行、省行、各地市行网络组成的三级网络体系结构。从网络安全角度上讲,它们属于不同的网络安全域,因此在各中心的网络边界,以及Internet边界都应安装防火墙,并需要实施相应的安全策略控制。
入侵检测安全技术:入侵检测系统提供实时的入侵检测及采取相应的防护手段,如发现违规访问、阻断网络连接、内部越权访问等,发现更为隐蔽的攻击。
VPN安全技术:为保证数据传输的机密性和完整性,建议在银行专用网络中采用VPN系统,在远程前置机和防火墙之间统一安装VPN设备。
3 系统层安全解决方案
操作系统因为设计和版本的问题,存在许多的安全漏洞。同时因为在使用中安全设置不当,也会增加安全漏洞,带来安全隐患。
为了加强操作系统的安全管理,要从物理安全、登录安全、用户安全、文件系统和打印机安全、注册表安全、远程访问服务(RAS)安全、数据安全、各应用系统安全等方面制定强化安全的措施。
4 应用层安全解决方案
根据银行专用网络的业务和服务,采用身份认证技术、防病毒技术以及对各种应用服务的安全性增强配置服务,保障网络系统在应用层的安全。
身份认证技术:公开密钥基础设施(PKI)是一种遵循标准的密钥管理平台,能够为所有网络应用透明地提供采用加密和数字签名等密码服务所必需的密钥和证书管理。在总行和省行网络中心建立CA中心,为应用系统的可靠运行提供支持。
防病毒技术:病毒是系统中最常见、威胁最大的安全来源。建立一个全方位的病毒防范系统是金融系统办公网建设的重要任务。目前主要采用病毒防范系统解决病毒查找、清杀问题。
5 安全管理方案建议
实施安全应管理先行,安全组织体系的建设势在必行。应在省中心和各地市建立网络安全建设领导委员会,该委员会应由主管领导、网络管理员、安全操作员等人员组成。省中心的安全委员会负责安全系统的总体实施,另外在省中心应建立安全专家小组,负责安全问题的重大决策。
6 解决方案体系结构
网络安全系统是整体的、动态的,网络安全系统要求符合MPDRR模型(M-management,P-protection,D- detection,R-response,R-recovery)。中兴通讯网络安全体系基于MPDRR模型,符合网络安全系统整体性和动态性的特点, 以PKI/CA体系为安全支撑和保障,与各类网络安全技术和优秀网络安全产品在技术上有机集成,实现安全产品之间的互通与联动,是一个统一的、可扩展的安 全体系平台,从底层的技术上实现了不同安全产品之间的互联和协同工作。
中兴通讯网络安全体系结构如下图所示:
7 解决方案系统构成
我国银行金融网网络拓扑结构如下图所示:
我国银行网络分为三级节点:总行网络中心为一级节点;省行网络中心为二级节点;各地市银行网络中心、各支行网络中心为三级节点。以省行网络中心为例,我们将采用必要的安全技术,构成如下安全的银行网络系统。
从网络结构上看,整体分为业务网络与办公自动化网络系统。同时使用两个网络的终端使用物理隔离卡将两个网络隔离;身份认证服务器、CA 服务器与前置机、中间业务前置机接在业务网上;入侵检测、病毒防御中心连接在业务的主交换机上;身份认证服务器、CA服务器、入侵检测等由安全管理终端及 审计终端进行管理。根CA服务器置于隔离区,不与任何网络相连,保证根CA证书的安全。业务网通过VPN、防火墙连接到一级网上。
Web服务器、网上银行服务器、邮件服务器置于停火区(DMZ),通过病毒防御网关、入侵检测及防火墙连接到Internet上,办公网也通过VPN、防火墙连接到Internet上。