第一章 前言
以Internet为代表的全球性信息化浪潮日益深刻,信息网络技术的应用正逐渐地得到普及和广泛。随着应用层次的不断深入,应用领域开始从传统的、小型业务系统逐渐向大型、关键业务系统扩展,比较典型的如政府部门业务系统、金融业务系统、教育科研系统等。
与此同时,这股强劲的Internet旋风也以惊人的速度渗透到银行、证券等金融行业的各个方面。各金融企业之间的竞争也日益激烈,主要是通过提高金融机构的运作效率,为客户提供方便快捷和丰富多彩的服务,增强金融企业的发展能力和影响力来实现的。为了适应这种发展趋势,银行在改进服务手段、增加服务功能、完善业务品种、提高服务效率等方面做了大量的工作,以提高银行的竞争力,争取更大的经济效益。而实现这一目标必须通过实现金融电子化,利用高科技手段推动金融业的发展和进步,网络的建设为银行业的发展提供了有力的保障,并且势必为银行业的发展带来巨大的经济效益。目前银行主要应用有:储蓄、对公、信用卡、储蓄卡、IC卡、国际业务、电子汇兑、电子邮件、电子公文、网上银行、网上交易系统、新的综合对公业务、国际业务信贷系统等。但是我们应该意识到事务的两面性,随着应用的不断增加,网络安全风险也会不断暴露出来。原来由单个计算机安全事故引起的损害可能传播到其他系统和主机,引起大范围的瘫痪和损失。而且由于银行属于商业系统,都有一些各自的商业机密信息,如果这些机密信息在网上传输过程中泄密,其造成的损失将是不可估量的。所以金融业网络安全方案的解决不容忽视。
第二章 银行网络安全需求
通过以上对银行网络系统应用与安全风险分析,我们提出防范网络安全危险的安全需求:
1) 采用相关的访问控制产品及控制技术来防范来自不安全网络或不信任域的非法访问或非授权访问。
2) 采用加密设备应用加密、认证技术防范信息在网络传输过程中被非法窃取,而造成信息的泄露,并通过认证技术保证数据的完整性、真实性、可靠性。
3) 采用安全检测技术来实时检查进出网络的数据流,动态防范各种来自内外网络的恶意攻击。
4) 采用网络安全评估系统定期或不定期对网络系统或操作系统进行安全性扫描,评估网络系统及操作系统的安全等级,并分析提出补救措施。
5) 采用防病毒产品及技术实时监测进入网络或主机的数据,防范病毒对网络或主机的侵害。
6) 采用网络备份与恢复系统,实现数据库的安全存储及灾难复。
7) 构建CA认证中心,来保证加密密钥的安全分发及安全管理。
8) 应用安全平台的开发,针对银行特殊的应用进行特定的应用开发。
9) 必须制定完善安全管理制度,并通过培训等手段来增强员工的安全防范技术及防范意识。
第三章 网络安全解决方案
3.1.1网络结构安全
网络结构布局的合理与否,也影响着网络的安全性。对银行系统业务网、办公网、与外单位互联的接口网络之间必须按各自的应用范围、安全保密程度进行合理分布,以免局部安全性较低的网络系统造成的威胁,传播到整个网络系统。
3.1.2加强访问控制
1) 如果银行系统有上Internet公网的需求,则从安全性考滤,银行业务系统网络必须与Internet公网物理隔离。解决方法可以是两个网络之间完全断开或者通过物理安全隔离卡来实现。
2) 网结构合理分布后,在内部局网内可以通过交换机划分VLAN功能来实现不同部门、不同级别用户之间简单的访问控制。
3) 内部局域网与外单位网络、内部局域网与不信任域网络之间可以通过配备防火墙来实现内、外网或不同信任域之间的隔离与访问控制。
4) 根据企业具体应用,也可以配备应用层的访问控制软件系统,针对局域网具体的应用进行更细致的访问控制。
5) 对于远程拔号访问用户的安全性访问,可以利用防火墙的一次性口令认证机制,对远程拔号用户进行身份认证,实远程用户的安全访问。
3.1.3安全检测
由于防火墙等安全控制系统都属于静态防护安全体系,但对于一些允许通过防火墙的访问而导致的攻击行为、内部网的攻击行业,防火墙是无能为力的。因此,还必须配备入侵检测系统,该系统可以安装在局域网络的共享网络设备上,它的功能是实时分析进出网络数据流,对网络违规事件跟踪、实时报警、阻断连接并做日志。它既可以对付内部人员的攻击,也可以对付来自外部网络的攻击行为。
3.1.4网络安全评估
黑客攻击成功的案例中,大多数都是利用网络或系统存在的安全漏洞,实现攻击的。网络安全性扫描分析系统通过实践性的方法扫描分析网络系统,检查报告系统存在的弱点和漏洞,建议补救措施和安全策略,根据扫描结果配置或修改网络系统,达到增强网络安全性的目的。操作系统安全扫描系统是从操作系统的角度,以管理员的身份对独立的系统主机的安全性进行评估分析,找出用户系统配置、用户配置的安全弱点,建议补救措施。
3.2.1安全认证
银行系统在解决网络安全问题肯定要配备加密系统,由于要加密就涉及到密钥,则密钥的产生、颁发与管理就存在安全性。我们都知道密钥的发放一般都是通过发放证书来实现。那么,证书的发送方与接收方如何确认对方证书的真实性,因此,就引入了通过第三方来发放证书,即构建一个权威认证机构(CA认证中心)。银行系统可以联合各专业银行一同构建一个银行系统的CA系统。实现本系统内证书的发交与业务的安全交易。随着网络经济的发展,慢慢可以升级为和其它系统CA的交叉认证。
3.2.2病毒防护
提起病毒的危害,我想很多人都会为之震惊。CIH、爱虫等真让IT界恐慌一时,病毒侵害小的引起死机影响工作、大的可能引起系统瘫痪(彻底摧毁数据)。病毒的防护必须通过防病毒系统来实现,银行系统中业务网络操作系统一般都采用UNIX操作系统,而办公网络都为Windows系统,因此,防范病毒的入侵,就应该根据具体的系统类型,配置相应的、最新的防病毒系统。从单机到网络实现全网的病毒安全防护体系,病毒无论从外部网络还是从内部网络中的某台主机进入网络系统,通过防病毒软件的实时检测功能,将会把病毒扼杀在发起处,防止病毒的扩散。
3.3.1加密传输
要保护数据在传输过程中不被泄露,保证用户数据的机密性,必须对数据进行加密。加密后,数据在传输过程中便是以密文传输,既使被入侵者截获,由于是密文形式,也读不懂;即使加密后的数据存在被破译的可能性,但现行密码算法的密钥都在64位以上,解密工作并不容易,需要花费相当的资金、时间。等到破译,也许这种信息已经没有什么价值了。数据加密的方法有从链路层加密、网络层加密及应用层加密。链路层加密机主要根据企业采用链路协议(Frame Relay、 X。25、DDN、PSTN),采用相应类型的加密机;网络层加密由于是在网层上,因此它对链路层是透明的,与链路是何种协议无关;应用层加密主要适用于具有的加密需求,针对具体的应用进行开发。不同企业可以根据自身网络特点及应用需求选择合适的加密方法。对于银行系统,由于系统庞大,采用电信网络链路协议有Frame Relay、X.25、DDN、PSTN等多种链路,如果采用链路加密,采必须采用多种类型的加密机,这样对一个系统来说,就会给产品维护、升级等带来一定的困难;对于应用层加密,在网上银行应用比较广泛,网上银行针对公网用户,其数据在公网上传输不可能使用链路层或网络层加密设备,只能通过应用层加密来实现,应用层加密可以采用SET协议或者SSL协议,通过B/S 结构完成网上交易的加密及解密。因此,对银行普通业务系统,我们建议采用网络层加密设备,来保护数据在网络上传输的安全性。而对网上银行、网上交易等业务系统可以采用应用层加密机制来加密,以保护数据在网上传输的机密性。
3.3.2信息鉴别
保护数据的完整性、真实性、可靠性也是网络系统安全防护的一个重要方面。数据在传输过程中存在着被非法窃取、篡改的安全威胁,为此,为了保证数据的完整性,就必须采用信息鉴别技术。VPN设备便能实现这样的功能,其实现过程:原始数据包到达VPN设备时首先对数据进行加密并用HASH函数对数据进行HASH运算产生信息摘要与加密后的数据一同发出去,数据包到达目的方的VPN加密设备后,先对加密的密钥对对数据包进行解密,然后用HASH函数对解密后的数据进行HASH运算,也产生信息摘要,把这个信息摘要与收到的信息摘要进行对比,由于进行HASH运算后产生的信息摘要可以被认为具有唯一性,所以,如果这两个信息摘要完全相同,则说明解密的数据是完整的原始数据,否则说明数据在传输过程中已经被修改过,失去的完整性。
数据源身份认证也是信息鉴别的一种手段,它可以确认信息的来源的可靠性。数据源身份认证的实现是通过数字签名技术。数字签名基本原理是发送方利用自已的私钥对信息进行加密(签名)后发送给对方,对方收到信息后用发送方的公钥进行解密,如果通顺利解成明文这说明信息来源是可信的,否则证明信息来源是不可靠的。同时采用数字签名技术达到防抵赖目的。
对于银行系统,由于其行业的特殊性,在网上传输信息都是重要信息。因此,结合传输加密技术,我们可以选择VPN设备,实现保护数据的机密性、完整性、真实性、可靠性。
3.3.3信息存储
对银行系统主要是数据库的安全,由于各地银行系统都是采用客户/服务器模式,数据都集中存在一个大型数据库系统中,因此数据库的安全尤其重要。保护数据库最安全、最有效的方法就是采用备份与恢复系统。备份系统可以保存相当完整的数据库信息,在运行数据库主机发生意外事故时,通过恢复系统把备份的数据库系统在最短时间内恢复正常工作状态,保证银行业务系统提供服务的及时性、连续性。
3.4应用开发
银行系统由于职能的特殊性,可能会存在其特殊的应用,而要保护其应用的安全性,并不是市场上的那些通用产品都能满足,必须通过详细了解,分析,进行有针对性地开发,量体裁衣,才能切实让用户用得放心。
3.5管理安全
我们知道网络安全实现并不完全取决于技术手段,管理安全是网络安全真正得以维系的重要保证。管理安全银行系统安全制度的制定、国家法律、法规的宣传以及提高企业人员的整体网络安全意识。
3.6安全服务
网络安全是动态的、整体的,并不是简单的安全产品集成就解决问题。随着时间推移,新的安全风险又将随着产生。因此,一个完整的安全解决方案还必须包括长期的、与项目相关的信息安全服务。安全服务包括:全方位的安全咨询、培训;静态的网络安全风险评估;特别事件应急响应。
3.7安全目标
· 保护网络系统的可有性
· 保护网络资源的合法使用性
· 防范入侵者的恶意攻击与破坏
· 保护信息通过网上传输的机密性、完整性及不可抵赖性
· 防范病毒的侵害
· 实现网络的安全管理
第四章 典型应用实例
我们举一个比较典型的银行网络应用系统。如下图示:整个网络纵向覆盖全国各省市、区县;而横向也与许多单位连接。我们针对这样的网络来举例说明如何解决其网络安全问题。 
4.1访问控制
1) 银行有连接Internet公网的应用需求,出于安全,把银行系统中业务网及内部有涉密信息的办公网与有上Internet公网需求的子网完全物理隔离。使它们是两组完全互相独立的网络,防止因上公网而造成的安全问题危及到需保护的网络。
2) 对内部办公系统中不同部门或不同安全级别的用户组利用交换机划分虚拟子网技术划分不同子网,对局域网内部做到较简单的访问控制。
3) 在各级银行内部网主交换机与本系统纵向网互连的边界路器之间安装防火墙系统,防火墙可以做到隔离不同网络,并防范外部网络非法访问及恶意攻击。
4) 对远程拔号访问内部网用户可以充分利用防火墙系统的一次性口令认证机制来对访问用进行安全的身份检查,只有通过认证才可进行访问,而且由于采用一次性口令机制,所以,这样防护措施安全强度相当高。
5) 在各级银行内部网主交换机与电话局、水电局、证券、保险等外单互连的边界路器之间安装防火墙系统,防火墙做到隔离不同网络,并防范外部网络非法访问及恶意攻击。
4.2信息传输
为了保护数据信息从发起端到接收端传输过程的安全性,在每一级网络配备的防火墙系统与边界路由器之间配备网络层加密机,由于网络层加密设备可以实现网关到网关的加密与解密,因此,在每个有重要传输数据的网点只需配备一台网络层加密机。利用加密技术以及安全认证机制,保护信息在网络上传输的机密性、真实性、完整性及可靠性。
而针对银行系统网上银行、网上交易业务,可以在应用层采用SET或SSL协议进行应用层加密,并通过数字签名等技术保证网上交易数据的机密性、完整性及不可抵赖性。
4.3安全检测
防火墙的安全保护是属于静态安全防护,其功能及作用范围也是有限的,不可能做到全面的防护。入侵检测技术是防火墙的有利补充。因此,在总行、各省市、区县行中存放有业务数据库或者是存放有涉密信息的网络,配备一套入侵检测系统,通过实时监测进出网络的数据流,一旦发现不安全的访问行为,并依据策略采取相应的处理手段(阻断、报警等)。做到既防范外网的攻击,又能防范内部网发起的攻击。
4.4安全评估
为了减少因系统存在的安全漏洞而造成的受黑客的攻击,利用现有的网络安全分析系统,分析网络系统结构、配置等是否存在安全漏洞,并根据所得结果采取相应的解决办法。同时利用操作系统安全扫描系统,以管理员的身份对使用的各种操作系统进行安全性扫描,依据结果,增加安全补丁及填补安全漏洞。
4.5病毒防护
银行系统中业务网操作系统都是UNIX操作系统,而办公网都是用的WINDOWS操作系统。为了防止病毒的侵害,根据不同的操作系统类型,配备相应的防病毒系统,比如支持UNIX操作系统的防病毒软件、支持WINDOWS NT或WINDOWS 95/98的防病毒软件。通过这些软件所具有的实时检测功能,达到防范病毒侵害的目的。
4.6备份恢复
银行业务系统都采用Client/Server模式,数据库中都存放着许多网点的业务数据,为了保证银行业务的连续性和安全性,为各级有数据库的网络系统配备一套备份与灾难恢复系统,该系统能实现数据库的远程存储备份,而且一旦数据库服务器发生故障,利用灾难恢复系统可以实现快速恢复。
4.7认证中心
根据网络的系统结构,构建一个与整个网络的系统结构相对应的安全认证中心(CA系统)。由根CA中心、区域CA中心、RA三级结点构成的层次结构。
根CA中心建立在国家信息中心,区域CA中心建立在省、市节点,而RA系统则建立在地市、区县节点,面向大众服务。
在该CA体系中,RA中心作用只是接受持卡人的证书申请并进行资格审核,将审核通过的证书申请信息发送给CA,由于国家中心CA签发证书。但根据具体情况的需要,各级用户可以采用向其相应所在区域CA中心申请获得证书,但证书的生成及发放必须由国家中心CA来处理。通过CA签发的数字证书,使通过网络进行交易的各方都有合法的身份,在交易的各个环节,交易的各方都可验证对方数字证书的有效性,从而解决相互信任问题。同时保证各种交易中信息的保密性、数据的完整性、交易的不可否认性等。
4.8安全管理
安全管理必须结合企业自身的特点及需求来详细制定,本实例仅列出部分安全管理内容,仅供参考。
· 访问控制使用证件的发放与回收;
· 信息处理系统使用的媒介发放与回收;
· 处理保密信息;
· 硬件和软件的维护;
· 系统软件的设计、实现和修改;
· 重要程序和数据的删除和销毁等;
· 职务的任期期限
· 职责分离
· 建立安全管理机构
· 制定安全管理制度
· 安全事件处罚
第五章 蓝盾防火墙针对银行系统的几大功能模块
天海威公司针对银行系统的特殊性,制定了几大功能模块,如:负载均衡、双机热备份、VPN专网、远程管理端口控制、网络数据纪录分析、MAC地址绑定等,具体介绍如下:
1)负载均衡
负载均衡功能是针对于访问量高、网络数据吞吐量大的系统。它可以将某一种服务(如HTTP:80)分担由多台服务器来完成,并具备有故障自动检测功能。
使用蓝盾防火墙,可以建造具有快速响应时间和高容错的大容量服务器集群系统。蓝盾防火墙的负载均衡模块,可以智能地将用户的服务请求分布到多台服务器上面,同时,提供容错功能,可以自动隔离出问题的服务器。系统具体功能如下:
Ø 动态负载均衡
蓝盾防火墙的负载均衡模块可以根据服务器的负载情况,包括CPU 占用量等情况,自动选择负载最小的服务器,将用户的服务请求发送到该机器上。
Ø 容错处理
蓝盾防火墙的负载均衡模块可以自动检测服务器的可用性,当某一台服务器出现故障的时候,系统会自动绕开发生故障的机器,不会将用户的服务请求发送到该机器上,保证了系统的正常运作。
蓝盾防火墙负载均衡模块在设计时采用的高性能的专用散列算法,保证系统即使在处理巨大的用户量下,网络效率仍然可以达到80%以上。
2) 双机热备份
蓝盾防火墙系统拥有构造双机热备份结构的功能,从而能提高系统的稳定性、容错性。由于防火墙系统是整个网络的网关,是连接内部网络、外部网络、DMZ区的交通枢纽,具备双机热备份本领的蓝盾防火墙系统无疑是整体网络稳定性、容错性的保证。
采取双机热备份的蓝盾防火墙系统在常规动作的时候分为主服务器和备份服务器,备份服务器通过专用通信端口作主服务器设置、纪录数据的镜像。备份服务器的网络设备并不运作,防火墙工作由主服务器完成。如果因网络或某些因素使主防火墙服务器不能正常运作时,备份服务器会在十秒钟内自动启动,负责保护网络安全,并发出警告通知网络管理员。
3)VPN专网
现在的银行系统可以使用虚拟专网技术,通过专网在银行的省市分行、证券、电话局建立保密的虚拟局部网络了。
基本上VPN是通过在公共网络上建立加密的通道,连接两个或多个分开的Intranet,使它们从逻辑上成为一个虚拟Intranet。
建立虚拟专网就是要建立安全的通信通道,它需要保证数据不会丢泄漏。在公网上可能存在的安全性威胁有:
Ø 数据偷听,不法分子在数据流通的地方偷取机密数据。
Ø 进程拦截,攻击者可以拦截并修改IP流,从而影响数据传输。
Ø 虚假IP,不法分子可以通过IP仿造技术,骗取系统的信任,冒认授权主机,从而盗取数据。
Ø 数据重演,一些老练的攻击者可以结合IP Spoofing、会话拦截、数据偷听,重演数据流,使企业服务器认为正在进行正常的VPN操作。
目前国内提供虚拟专网功能的其它产品(包括Cisco、3Com、Ascent等),只能提供L2TP、GRE等协议的VPN,而事实上这些标准由于还是处于过渡阶段,在国际上更有被攻破的例子。但是由于出口安全设备在美国有法律限制,这些产品建立IPSEC需要的加密模块不可能进非美国本土市场。
蓝盾防火墙采用符合IPSEC标准的高保密性虚拟专网系统,系统支持多种加密算法,例如56 Bits DES、168Bits 3DES、MD5、RC4、 SHA1、IDEA、Blowfish、Rmd160等。在进口的同类产品中,由于美国政府对加密产品的限制,销往非美国本土的产品都没有足够长度的加密密钥来保证数据的安全。蓝盾防火墙系统通过IPSEC,可以建立真正的VPN系统。该系统具有完善的安全特性,包括:
真实性:与你通信的主机是真正的授权主机。
完整性:接收到的数据包与发送时一致。
机密性:传输过程中的数据包不可被不法分子翻译。
通过建立VPN系统,企业网络可以跨越地域,而且不必担心数据外泄。
4)远程管理端口控制
本系统自带严密的有保安特性的HTTP服务器,可以支撑WWW管理界面,管理人员还可以在远程对系统进行控制。
由于本系统拥有安全的用户登陆机制,管理员通过浏览器,以SSL连接连入保密HTTP系统,确保管理员在设置防火墙时的内容不会泄漏,要建立HTTP连线,首先还必须经过IP检查,并通过用户名/密码才连入系统后;系统管理员会得到一个随机生成的Session Key,而他在该次登陆后得所有访问都与该Session key有关,就是说,管理员登陆后的身份辨认通过Session Key完成,而同一 Session内,所有的Session Key 都是唯一的,而在系统中有相应的内存空间记录着每一个Session Key所标识的管理员登陆的IP 地址,管理员只有在该IP地址上使用该Session key发出请求,请求才会被处理,而当管理员logout 退出系统后,他该次登陆的 Session key在服务器上的相关信息会被删除,以后再用该Session Key发出的请求都不会被处理。对于使用Proxy服务器访问的管理员,他们有同样的IP地址,但是由于Session Key的唯一性,系统也可以把他们分辨开。当然,这些关 于Session Key的处理都是系统自动完成的,对于管理员则只是login/logout以及处理其控制系统的操作。
5)网络数据纪录分析
本系统可以对每一条访问进行纪录,纪录方式包括简要纪录、详细记录、发出警告(包括来源、目的地、流量、连接时间、次数等)。
系统提供的统计系统,是体现系统纪录价值的重要功能。统计功能包括记费统计、使用情况统计、URL访问统计等等。统计结果可以直接通过WWW管理界面输出,或通过网络输出到第三方纪录系统。
6)MAC地址绑定
为了防止IP欺骗、地址伪装,本系统具有MAC绑定技术。它可以将IP地址和网卡的硬件地址绑定起来,当发现某IP和绑定的硬件地址不相符时,将拒绝为该IP服务。MAC绑定技术主要用于绑定一些重要的管理员IP和特权IP。