科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航



ZDNet>安全频道>ZD评测>理工先河银行网络安全解决方案

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

随着我国金融改革的进行,各个银行纷纷将竞争的焦点集中到服务手段上,不断加大电子化建设投入,扩大计算机网络规模和应用范围。

来源:信息周刊 2008年05月21日

关键字:网络安全解决方案 安全策略 网络安全

  1 前言

  随着我国金融改革的进行,各个银行纷纷将竞争的焦点集中到服务手段上,不断加大电子化建设投入,扩大计算机网络规模和应用范围。

  但是,应该看到,电子化在给银行带来利益的同时,也给银行带来了新的安全问题,并且,这个问题现在显得越来越紧迫。原因主要有三个:

  一是伴随我国经济体制改革,特别是金融体制改革的深入、对外开放的扩大,金融风险迅速增大。防范和化解金融风险成了各级政府和金融部门非常关注的问题。

  二是当前计算机应用日益广泛、计算机日趋网络化,系统的安全性漏洞也随之增加。多年以来,银行迫于竞争的压力,不断扩大电子化网点、推出电子化新品种,忽略了计算机管理制度和安全措施的建设,使计算机安全问题日益突出。

  三是计算机知识日益普及,金融网络向国际化发展,计算机犯罪技术也在不断提高,利用计算机犯罪的案件呈逐年上升趋势,这也迫切要求银行信息系统具有更高的安全防范体系。

  银行信息系统安全性总的原则应该是:制度防内,技术防外。

  所谓“制度防内”,是要建立严密的计算机管理规章制度、运行规程,形成内部各层人员、各职能部门、各应用系统的相互制约关系,杜绝内部作案的可能性,并建立良好的故障处理反应机制,保障银行信息系统的安全正常运行。

  所谓“技术防外”主要是指从技术手段上加强安全措施,防止外部黑客的入侵。我们在不影响银行正常业务与应用的基础上建立银行的安全防护体系,从而满足银行网络系统环境要求。

  2 银行的业务模式

  2.1 我国银行发展概述

  在金融业日益现代化、国际化的今天,我国的各大银行注重服务手段进步和金融创新,不仅依靠电子化建设实现了城市间的资金汇划,消费结算、储蓄存取款、信用卡交易的电子化、开办了电话银行等多种服务,而且以资金清算系统、信用卡异地交易系统形成了全国性的网络化服务。此外,许多银行开通了SWIFT系统,并与海外银行建立了代理行关系,各种国际结算业务往来的电文可在境内外之间瞬间完成接收与发送,为企业国际投资,贸易和其他交往以及个人汇入汇出境外汇款,提供了便捷的金融服务。

  Internet技术的核心是Web应用。Internet出现是1972年,技术的成熟也是在80年代。而真正的普及应用是在94年以后,究其根本原因是浏览器/Web服务器(B/W)应用模式的出现,也就是说,Web应用是Internet核心应用,代表着Internet的发展方向。

  网上银行就是Web应用的具体实现。正是由于浏览器的统一客户端界面,使得客户很容易操作,跨越了计算机和网络这个专业障碍。

  从目前各个厂商的网上银行解决方案来看,百分之百的是基于浏览器/Web服务器(B/W)应用模式。当然在具体的业务服务上还是有区别的,下面我们描述其主要的、通用的业务服务:

  2.2 基本业务服务

  基本业务服务主要由个人银行(对私业务)、企业银行(对公业务)、网上支付和银行简介组成。

  2.2.1 个人银行

  个人银行服务提供个人帐户管理、代理缴费和个人账务分析功能。个人用户可以在此享受账户信息查询、转账、挂失、代理缴纳各种资费等服务项目,并以图表的方式向用户提供收入、支出状况及各项支出费用比例的报告,为个人用户理财提供方便。

  2.2.2 企业银行

  企业银行服务提供企业帐户管理和财务分析功能,其他功能相同,只是少了代理缴费功能。

  2.2.3 网上支付

  网上支付是网上银行的重要功能,主要包括帐户管理、网上交易流程和安全交易模式。其中,网上交易流程是:首先,网上银行接受网上电子商务交易请求,经过复杂的确认和认证过程后,网上银行自动进行账务的划拨结算,通知网上商家付款成功

  2.2.4 银行简介

  该模块实际上也是银行的主页,主要有银行的概况、历史、服务理念、企业文化、银行业务范围和业务流程介绍、服务介绍以及企业新闻动态、企业人才招聘等信息。

  2.3 特殊业务服务

  特殊业务服务包括数据库和邮件系统、个性化定制模块、客户关系管理模块、WAP无线银行四大部分。

  2.3.1 数据库和邮件服务系统

  此模块包括用户信息库和免费E-mail系统。其中,用户信息库中存放用户的个人资料、财务资料以及投诉、咨询、技术支持等以往记录,这些信息均为保密信息。建立免费E-mail系统的目的是,为用户提供免费E-mail系统,建立与用户联系的信息渠道。

  2.3.2 个性化定制模块

  此模块是为用户提供个性化服务的关键性功能模块。个性化定制模块包括:

  ① 用户提醒模块,用于提醒个人用户信用卡到期、透支提醒、缴费到期等信息,对企业用户,则传达银行到账通知、贷款到期通知等信息。系统会在恰当的时候把上述提醒信息及时发送到用户邮箱中;

  ② 理财方案模块,为用户提供理财方面的资讯,具体内容可根据用户资料系统自动生成或由用户自己定制,内容包括贷款购房、贷款买车、保险选择、证券投资及消费理财的咨询性文章;

  ③ 新闻发布模块,内容包括房产新闻、汽车新闻、家电新闻和证券新闻等;

  ④ 理财计划模块,为用户提供系列理财计划。内容包括储蓄计算、按揭计算、税务计算等;

  ⑤ 财务管理模块,内容与基本功能模块中的财务管理模块相同,但具体服务内容由用户自由定制;

  ⑥ 个人资料修改及定制模块,用户可以通过页面或邮箱修改个人资料、定制所需服务内容。

  2.3.3 客户关系管理模块

  它包括用户投诉、用户咨询、用户统计查询和用户目标营销四部分。通过客户关系管理功能,再辅以日常积累的用户信息,可以储存丰富的用户数据库,从而实现用户公关、业务宣传和产品营销等宣传活动。

  2.3.4 WAP无线银行模块

  随着WAP应用的逐渐普及,网上银行应该为用户提供WAP应用平台,为用户提供更加方便的移动银行服务,这也是网上银行的必需部分。

  3 我国银行的网络结构

  我国银行网络总体是一个银行内部业务系统,采取总行到省行及地市分行的三级网络结构。

  整体网络分为三级节点:总行网络中心为一级的节点;省行网络中心为二级的节点;各地市银行网络中心、各支行网络中心为三级节点。

  我们在这里以省行和地市行网为例介绍银行的网络结构和系统应用。

  3.1 省行网络中心

  从网络结构上看,整体分为业务网络与办公自动化网络系统。

  业务网:营业服务器,业务服务器,中间业务服务器汇集到中心交换机。中心交换机多采用双机备份。营业服务器和业务服务器通过中心交换机与各地市行网络中心以及支行网络中心互联。中间业务服务器从中心交换机与移动、联通、证券等相连。另一方面,营业服务器和业务服务器从中心交换机通过银行前置机为各营业网点通过网络办理正常银行值储蓄存、取款等存折或储蓄卡业务。还有就是通过INTERNET公网为公网用户提供网上银行业务。

  内部办公系统网络:一般系统与一台中心交换机相连,由若干个VLAN组成,是省行网络中心用户正常办公及处理内部业务的系统,包括有领导用户、财务部、一般用户等各级别的安全需求。

  省行网络中心内部局网通过交换机、路由器与下级银行局域网互连。

  3.2 地市行网络中心

  地市行网络中心和省行网络中心相似,也存在业务网络和办公网络系统。网络一方面通过路由器与上级银行互连,另一方面业务网通过路由器,经广域网与外单位(如其它银行、电信、证券公司等)互连。

  办公用户通过局域网互连,整个局域网经路由器与省行及各区县行节点组成企业内部广域网,对于地市行系统,同省行类似同样也存在着中间业务。

  3.3 网络应用

  3.3.1 办公系统应用

  办公系统主要是为银行内部用户办公使用。银行系统内部办公用户通过局域网络互连成为办公自动化系统,通过网络不同部门或不同用户之间可以共享文件、打印机等公共资源,不同用户之间可以方便地进行信息交换。各部门或不同级别用户都有一些重要或涉密信息存放在内部网中。

  3.3.2 业务系统应用

  银行通过网络全省或全国联网,实现银行储蓄及对公业务跨地域通存通兑等业务。

  3.3.3 与外单位互连应用

  前面提到的中间业务服务器与外单位相连接,通过该中间业务服务器,与其它银行、电信、证券公司之间进行如代收电话费、证券交易划帐等业务,中间业务服务器为银行与外单位提供一种互连接口。

  4 银行网络安全风险分析

  随着银行外联业务的兴起以及与相关行业部门(例如公安、税务、电信、电力、证券、商业)业务往来增多,地市分行的外联网也在逐步扩大,网上银行正蓬勃发展,以上种种网络环境要求银行网要有很高的可靠性、安全性和保密性。由于目前网络的应用的自由性、广泛性以及黑客的“流行”,银行面临着各种安全威胁。如:非授权访问、信息泄露、数据被篡改或丢失等。一旦信息泄露或者信息混乱,将给银行自身信誉、社会稳定、国家安全带来巨大影响。

  为了便于分析网络安全风险和设计网络安全解决方案,我们采取对网络分层的方法,并且在每个层面上进行细致的分析,根据风险分析的结果设计出符合具体实际的、可行的网络安全整体解决方案。

  从系统和应用出发,网络的安全因素可以划分如下:

  4.1 实体安全

  实体安全是信息系统安全的基础。依据实体安全国家标准,将实施过程确定为以下检测与优化项目:机房安全、场地安全、机房环境/温度/湿度/电磁/噪声/防尘/静电/振动、建筑/防火/防雷/围墙/门禁、设施安全、设备可靠性、通信线路安全性、辐射控制与防泄露、动力、电源/空调、灾难预防与恢复等,检测优化实施过程按照国家相关标准和公安部的实体安全标准。

  4.2 平台安全

  平台安全泛指操作系统和通用基础服务安全,主要用于防范黑客攻击手段。目前市场上大多数安全产品均限于解决平台安全,理工先河以信息安全评估准则为依据,确定平台安全实施过程包括以下内容:操作系统漏洞检测与修复; Unix系统、Windows系统、网络协议、网络基础设施漏洞检测与修复; 路由器、交换机、防火墙、通用基础应用程序漏洞检测与修复; 数据库、Web/Ftp/Mail/DNS等其他各种系统守护进程、网络安全产品部署。平台安全实施需要用到市场上常见的网络安全产品,主要包括防火墙、入侵检测、脆弱性扫描和防病毒产品、整体网络系统平台安全综合测试/模拟入侵与安全优化。

  4.3 数据安全

  为防止数据丢失、崩溃和被非法访问,理工先河以用户需求和数据安全实际威胁为依据,为保障数据安全提供如下实施内容:介质与载体安全保护、数据访问控制、系统数据访问控制检查、标识与鉴别、数据完整性、数据可用性、数据监控和审计、数据存储与备份安全。

  4.4 通讯安全

  为防止系统之间通信的安全脆弱性威胁,理工先河以网络通信面临的实际威胁为依据,为保障系统之间通信的安全采取的措施有:通信线路和网络基础设施安全性测试与优化、安装网络加密设施、设置通信加密软件、设置身份鉴别机制、设置并测试安全通道、测试各项网络协议运行漏洞。

  4.5 应用安全

  应用安全可保障相关业务在计算机网络系统上安全运行,它的脆弱性可能给信息化系统带来致命威胁。理工先河以业务运行实际面临的威胁为依据,为应用安全提供的评估措施有:业务软件的程序安全性测试(Bug分析)、业务交往的防抵赖测试、业务资源的访问控制验证测试、业务实体的身份鉴别检测、业务现场的备份与恢复机制检查、业务数据的惟一性/一致性/防冲突检测、业务数据的保密性测试、业务系统的可靠性测试、业务系统的可用性测试。

  测试实施后,可有针对性地为业务系统提供安全建议、修复方法、安全策略和安全管理规范。

  4.6 运行安全

  运行安全可保障系统的稳定性,较长时间内将网络系统的安全控制在一定范围内。理工先河为运行安全提供的实施措施有:应急处置机制和配套服务、网络系统安全性监测、网络安全产品运行监测、定期检查和评估、系统升级和补丁提供、跟踪最新安全漏洞、灾难恢复机制与预防、系统改造管理、网络安全专业技术咨询服务。运行安全是一项长期的服务,包含在网络安全系统工程的售后服务内。

  4.7 管理安全

  管理安全对以上各个层次的安全性提供管理机制,以网络系统的特点、实际条件和管理要求为依据,利用各种安全管理机制,为用户综合控制风险、降低损失和消耗,促进安全生产效益。理工先河为管理安全设置的机制有:人员管理、培训管理、应用系统管理、软件管理、设备管理、文档管理、数据管理、操作管理、运行管理、机房管理。

  4.8 银行网络结构图

  

  

  5 网络安全产品部署及选型------入侵检测产品

  设置安全检测和攻击预警系统的目的是:运用成熟的攻击、反攻击技术,分析已知的系统安全漏洞和薄弱环节。安全检测可以在不安全因素被诱发之前,消除系统可能的安全隐患。攻击预警系统可以实时发现网络攻击,阻挠不安全用户进入系统。

  网络入侵检测的主要安全需求是:根据网络攻击的特征,在被保护网络的入口处进行实时监测。发现攻击时,向管理员报警并阻断、记录攻击的来源;

  针对系统扫描以及实时监测发现的系统漏洞,及时采取措施,实施动态的安全防卫策略;

  本方案中,我们选择金海豚网络动态防护系统:

  5.1 金海豚网络防护系统的技术特点

  作为整个系统的核心,金海豚系统在整个系统中处在关键的位置,整个系统的联动防护正是由金海豚系统进行统一运作的。只有了解了金海豚系统的功能和特点,才能实现对整个方案的全面认识和理解。

  金海豚网络动态防护系统可实现对多个目标主机的运行状态和用户行为进行主动实时监测,采用规则分析、统计分析和策略分析等分析方法完成对被监测系统的安全防护。它能在系统遇到攻击时,及时向管理员报警,并自动执行预设的响应行为如封锁或断开,并记录攻击过程,保护整个系统的安全,并为事后引用法律手段提供依据。

  金海豚网络动态防护系统是一种由分析与处理子系统、具有主机检测控制功能的监测响应子系统和管理控制子系统组成的分布式监测与集中控制的安全防护系统。金海豚基于主机环境,能对网络系统的非授权使用及系统合法用户的滥用行为进行实时检测、告警与控制。分析与处理子系统由通信认证系统、中心分析系统和数据库系统三部分组成。

  系统基本原理图

  

  

  5.2 功能透视

  5.2.1 实时检测分析功能

  对外部攻击和内部滥用的检测

  主机监测数据的实时分析

  异常检测、滥用检测和基于安全策略检测相结合

  检测分析系统能独立于被监测主机操作系统

  基于用户动态行为动态模板,检测网络异常访问行为(如冒名顶替)

  学习并维护一个反映用户长期行为的正常动态模板,实现动态模板更新与动态模板老化

  根据行为正常动态模板检测偏离,实现异常检测。

  检测分析系统能独立于被监测主机操作系统

  5.2.2 实时响应功能

  攻击实时告警,并通过界面显示预警结果

  根据用户设定实时断开或封锁攻击用户

  管理员可以根据需要断开、封锁与解锁用户

  5.2.3 监测信息实时获取功能

  实时获取主机监测数据

  实现关键文件与特定用户的实时监测

  按统一的监测记录格式,实现监测数据的实时转换

  实现对监测数据过滤

  信息获取子系统适用于Solaris、Linux操作系统

  5.2.4 管理功能

  维护检测识别分析,并可对分析按需求作调整

  实现对检测信息的查询

  拥有数据管理功能,能对数据库数据实现稳定、有效存贮,具有数据库数据的查询与检索能力。

  具有报警管理功能,按需要生成预警报告,并对预警结果进行解释及对冗余预警进行压缩

  身份认证技术

  可视化图形管理与监测功能

  用户注册功能,保证管理的合法性

  用户登陆功能,保证管理的有效性

  5.2.5 配置功能

  动态添加和删除被监测主机及监测数据源

  实现参量的离线配置

  实现分析管理员的配置功能

  实现分析库的实时配置

  响应的预警功能

  5.3 产品特点

  系统是为实现网络的攻击实时检测、响应和系统学习进化功能而设计的一种网络安全的探测、预警与控制系统。该系统具有如下特点。

  ◆攻击实时检测

  利用用户的实时访问信息,采用推理途径,实现攻击实时检测的功能。

  ◆实时攻击响应

  在攻击存在的情况下,实现对网络的自动响应。

  ◆学习进化

  根据攻击检测的审计记录数据,采用动态模板更新的方式,实现对系统用户动态模板库的学习。

  ◆审计数据存贮

  ◆实现对系统历史审计数据自动存贮。

  ◆可视化管理终端,简化管理模式。

  ◆身份认证功能,防止冒充和欺骗。

  ◆链路加密技术,保护系统安全。

  ◆从使用性角度看,系统具有如下特点:

  方便灵活:系统使用灵活方便的控制/响应界面,用户操作方便、直观。

  快速准确:系统可以在秒级时间内获取攻击信息,及时做出响应。

  自身防护功能(身份认证):系统提供多种自身安全机制,防止任何网络攻击行为,确保安全体系的完善。

  开放式数据接口:提供与其他安全系统控制的API接口,便于系统扩展

  使用多层应用的概念,易于升级:通过分析机实现瘦客户,系统升级在分析机一端实现,系统升级方便简单,保证系统的整体安全。

  ◆从产品性能方面看,系统表现十分优良:

  实时检测、预警和响应:能在秒级内实现攻击的实时检测、预警和响应

  ◆检测攻击的范围

  能检测安全违规及如下类别的网络攻击:

  > 否定服务(如Ping of death,teardrop,neptune,syslogd,back.c,smurf等)

  > 远程用户攻击(如dictionary,guest, sniffer,phf等)

  > 通过根用户操作的攻击(如eject,ffbconfig, fdformat等)

  > 端口侦测和扫描(如port sweep,ip sweep,finger等)

  识别正确率:系统检测精度为99%以上

  5.4 金海豚网络动态防护系统的安全策略

  产品的技术特点以及功能只是保证了安全的一个方面,只有同时具有先进技术和完善的安全策略的产品才能够在激烈的竞争中站稳脚跟,并分享市场大餐。金海豚系统不但拥有先进的技术,同时,也具有超越其他产品的独特的安全策略。

  金海豚网络动态防护系统可以提供用户防护来自外部或内部用户的异常使用、非法滥用和攻击。系统不是通过代理或过滤机制向用户提供基于TCP/IP链路的规则识别保护,而是通过对关键主机进行实时监测,进而保护整个网络免受攻击。

  系统的监测响应子系统分布于网络的各关键信息点的主机,连续地收集主机审计数据,并与分析与处理子系统发生信息交互,把各地的数据转换成与操作系统独立的格式,传输到中心分析系统,进行实时分析并将分析过程和结果发送到管理控制子系统的同时保存在数据库中。

  分析与处理子系统是一个信息综合智能处理中心,根据获取的实时攻击信号,并调用网络系统的历史数据与知识,通过数字计算与智能推理,实现攻击识别,然后,分别与响应机构与显示界面发生信息交互。

  响应机构根据攻击状态,作出系统的响应决策,完成相应的响应控制操作,如断开连接、通过日志记录攻击、给适当的人预警等,并根据用户需求,在与显示界面信息交互的情况下,产生网络攻击检测报告。

  管理员通过显示界面可对中心监控平台进行控制与协调,并通过与信息检测装置间的远程通信实现对金海豚系统的安全管理功能。

  

  

  整个安全策略是以金海豚为核心构成的,它是整个系统的驱动和枢纽。

  6 服务保障

  解决方案提供方负责方案设计、实施工作,为山西高院提供详细的操作维护文档、技术培训以及售后服务。

  理工先河的技术人员长期从事入侵技术和反入侵技术的研究,通过深入分析世界上数千种黑客攻击手段,形成了丰富的反入侵经验。对于网络安全有高级要求的公司和组织,理工先河已专门设立专家级的人工服务,提供模拟黑客的实战手段测试客户的网络安全。

  专家检测服务除全面地检测出客户系统的安全漏洞和隐患外,还可以根据客户的实际情况和具体要求,量体裁衣,为企业选择合适的网络安全产品,设计一套实用的网络安全策略,为企业制定安全管理制度提供依据。专家的检测还是一次生动的网络安全培训,并根据客户的要求决定是否对管理人员进行服务售后培训。技术培训

  6.1 培训策略

  采取维护人员参与整个系统定制、实施的方式,实现人员培训与系统实施同步的策略,以便于在短期内达到目标,收到投资实效。

  6.2 培训内容

  使学员能了解网络安全问题的根源,网络攻击及漏洞扫描的最新技术、最新的网络安全防护技术及产品。了解网络安全管理标准、规范与对策,了解网络安全体系的结构和设计概要,可以对现有系统提出系统安全性规划和管理。进而,掌握金海豚网络动态防护系统的系统特性及典型应用,为售前支持工作奠定扎实的技术基础。

  6.3 培训教材:

  《网络安全管理与技术防护》

  6.4 培训考核:

  理工先河培训考核专项组

  6.5 考核方式:

  百分制标准试卷,试后口试,最终综合评定

  6.6 技术服务保障

  1. 产品的售后服务

  产品的售后服务包括技术服务和技术顾问。

  技术服务:一旦用户发现产品的软硬件出现问题,技术服务中心将提供使系统(产品)恢复正常运行的手段和方法,并以小时和工作日为单位实施用户请求响应。

  技术顾问:特设了客户服务部,用户一般性的问题及质保所规定的范围之外的问题,用户可以通过电话或Mail与技术支持部联系,可以获得良好的服务,并得到以工作日为单位的响应。

  2. 系统整体性能的质保

  依据合同的质量标准,制订具体的产品质量保证条款,并作为系统总体性能的质量保证的依据以及技术支持的基础范围。

  3. 系统维护支持

  系统维护支持的售后服务包括技术服务和技术顾问。

  4. 服务记录与用户跟踪

  为了保证服务的整体质量,对服务过程有严格的记录规程,实现对用户跟踪计划。服务依产品、系统的不同分别制订了具体的服务与分析规程。

  技术支持(服务)与用户培训是信息产业市场的一个重要组成部分,尤其是在高科技产业领域,受到越来越多的关注。

  公司已经建立和完善了一套有效的技术支持(服务)与用户培训体系,从而为确保向广大用户提供优质服务打下了坚实的基础。

推广二维码
邮件订阅

如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

重磅专题