用了第三代、第四代加密技术。业务系统、网络和通信采用不同商家的安全保密产品。目前,银行网络系统只在远程通信采用了加密措施,设有专用的硬件和软件加密技术和设备。
6)没有配备反病毒的安全措施:
由于网上病毒的增加,破坏性日益增大,金融机构都强化了反病毒的安全措施,包括过滤通信中的信息病毒、电子邮件中的病毒、WWW中的病毒,对网络及网络上的设备系统进行反病毒的扫描。银行网络系统没有配备网络反病毒的监管系统。
7)在交换机上没有设置足够的安全措施:
ATM和帧中继交换机是网络和通信的要害设备。外国金融机构极为重视交换机的安全措施,用安全防预中心的设备对交换机进行三A控制,即鉴别、授权、审计。我国银行网络没有在所有交换机上设置完整的三A安全控制。
1.4现象分析
浦发银行系统在镇中共有两处营业点,其中一营业点与镇分理处相距1500米,所以两银行之间用光纤连接;该银行共有14个部门,每个部门都在不同的vlan中,通过对交换机的设置,不同vlan间不能相互访问,保证银行网络的数据信息安全;该银行人力资源部门设有指纹检测系统,银行内部的人员每天都要在指纹检测器上按指纹。
其中个人业务部、资金营运部、风险管理部、计财部、会计总结部和人力资源部在营业点的一楼,公司业务部、国际业务部、信贷审批部、合规部、出纳保卫部、科技部和内审部在分理处的二楼,总共有19个房间,每个房间四个数据点和四个语音点,共76个数据点和76个语音点,需要两个核心交换机,两个汇聚交换机,四个接入交换机,一台路由器,一个防火墙,一个FTP服务器,一个WEB服务器,供银行内部人员上传和下载资料,个人业务部内个人储蓄的信息所有计算机都可以共享。
二.银行系统的网络拓扑图及说明
在本方案中我们从浦发银行各种业务和各个部门的连接进行网络安全方面
5
的设计。在网络的对外出口处以及内部各部门的连接都设置防火墙将是最理想的选择,因此我们在本方案中建议浦发银行在所有与外部网出口都配置NetScreen系列防火墙,以及在总行与分行的业务网的连接处也配置防火墙,对外防止黑客入侵,对内以防止内部人员的恶意攻击或由于内部人员造成的网络安全问题。 本方案中主要用到NetScreen-10和NetScreen-100,在总部与各部门连接点采用NetScreen-100作为防火墙,同时在重要的业务连接点采用NetScreen独特的多机备份技术用两台作为热备份,保证整个系统的网络安全。在各部门采用NetScreen-10防火墙,为连接各银行网点提供安全防护。
另银行通过INTERNET网上进行业务时,由于分行与INTERNE都有出口,也带来了一定的风险,我们建议在连接INTERNET的出口上也配置NetScreen-10防火墙。
防火墙 H3C RT-MSR3020-AC-H3 服务器 H3c s5500-24P-SI H3c s5500-24P-SI H3c LS-3600-28P-SI H3c LS-3600-28P-SI H3C LS-5024P-LI-AC
图2-1网络拓扑图
三.银行系统的网络安全部署图及说明
3.1敏感数据区的保护
6
银行系统内存在许多敏感数区域(如银行业务系统主机等),这些敏感的数据区域要求严格保密,对访问的权限有严格的限制,但所有的主机处于同一个网络系统之内,如不加以控制,这样很容易造成网内及网外的恶意攻击,所以在这些数据区域的出入口要加以严格控制,在这些地方放置防火墙,防火墙执行以下控制功能。
3.1.1对来访数据包进行过滤,只允许验证合法主机数据包通过,禁止一切非授权主机访问。
3.1.2对来访用户进行验证。防上非法用户侵入。
3.1.3运用网络地址转换及应用代理使数据存储区域与业务前端主机隔离,业务前端主机不直接与数据存储区域建立网络连接,所有的数据访问通过防火墙的应用代理完成,以保证数据存储区域的安全。
主机 交换机 NetScreen-100 前端业务系统及业务处理系
主机 图3-1敏感数据区保护方案
3.2通迅线路数据加密
在银行的广域网传输系统中,从总行到分行、分行到支行、支行到分理处等,广泛应用到帧中继、X.25、DDN、PSTN等等之类的通用线路,但这些线路大多数都是由通讯公司提供,与许多用户在一套系统上使用他们的业务,由于这些线路都是暴露在公共场所,这样很容易造成数据被盗。传输数据当中如果不进行数据加密,后果可想而知。所以对数据传输加密这是一非常重要的环节。 对网络数据加密大致分为以下几处区域: 3.2.1应用层加密
建立应用层加密,应用程序对外界交换数据时进行数据加密。主要优点是使用方便、网络中数据从源点到终点均得到保护、加密对网络节点透明。缺点是某些信息必须以明文形式传输,容易被分析。此种加密已被广泛应用于各应用程序当中,并有相应的标准。
7
3.2.2基于网络层的数据加密
在总部到各分行,以及分行到支行建议采用VPN加密技术进行数据加密。 VPN是通过标准的加密算法,对传输数据进行加密,在公用网上建立数据传输的加密“隧道”。加密实现是在IP层,与具体的广域网协议无关,也就是说适应不同的广域网信道(DDN、X.25、帧中继、PSTN等)。由于VPN技术已经拥有标准,因此所有的VPN产品可以实现互通。
当然,银行可根据自身的需要,可选用专用加密设备进行数据传输加密。 总业务系统 NetScreen-100 DDN/FR NetScreen-100 分行业务系统 数据加密通道
图3-2利用VPN技术对数据传输进行加密
3.3防火墙自身的保护
要保护网络安全,防火墙本身要保证安全,由于系统供电、硬件故障等特殊情况的发生,使防火墙系统瘫痪,严重阻碍网络通讯,网络的安全就无法保证,所以要求防求防火墙有冗余措施及足够防攻击的能力。
DMZ区 交换机 NetScreen-100 交换机 内网 交换机 NetScreen-100 外网 图3-3防火墙双机备份方案
四.系统的网络设备选型及说明
8
4.1核心层交换机
型号:H3C S5500-24P-SI 价格:¥8800
交换机:千兆以太网交换机 应用层级:三层交换 传输速率:10/100/1000
交换机接口:10/100/1000M SFP Combo
网管功能:支持XModem/FTP/TFTP加载升级、支持命令行接口(CLI), Telnet, Console口进行配置、支持SNMPv1/v2/v3, WEB网管、支持RMON(Remote Monitoring)告警、事件、历史记录、支持iMC智能管理中心、支持系统日志, 分级告警, 调试信息输出、支持HGMPv2、支持NTP、支持电源的告警功能,风扇、温度告警、支持Ping、Tracert、支持VCT、(Virtual Cable Test)电缆检测功能、支持DLDP(Device Link Detection Protocol)单向链路检测协议、支持Loopback-detection 端口环回检测
背板带宽:192Gbps 4.2汇聚层交换机
型号:H3C LS-3600-28P-SI 价格:¥4900
交换机:千兆以太网交换机 应用层级:三层 传输速率:10/100/1000
交换机接口:10/100BASE-T, 1000BASE-SFP
网管功能:支持命令行接口配置,支持Telnet远程配置,支持通过Console口配置,支持SNMP,支持WEB网管,支持系统日志,支持分级告警背板带宽:32Gbps
包转发率:9.6Mpps MAC地址表:16K VLAN功能:支持 网管支持:可网管型 端口结构:固定端口
9