科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道网络安全天融信万兆光闸助力金融行业外联网平台安全隔离与数据交换

天融信万兆光闸助力金融行业外联网平台安全隔离与数据交换

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

银行系统客观上就存在黑客通过入侵外部服务器攻击内部网络的可能,如何实现整个系统的高安全性,解决银行内外网互联及银行内部网络外联而引发的潜在安全威胁问题是金融信息化系统的关键任务。

来源:ZDNet安全频道 2014年9月18日

关键字: 天融信 金融行业 安全隔离 数据交换

  • 评论
  • 分享微博
  • 分享邮件

项目背景

以Internet为代表的全球性信息化浪潮发展迅猛,信息网络技术的应用正逐渐地得到普及。网络信息化正以惊人的速度渗透到银行、证券等金融行业的各个方面,各金融企业之间的竞争也日益激烈。为了适应这种发展趋势,银行不断改进服务手段、增加服务功能、完善服务品种、提高服务效率,网络信息化提高了银行内部的运作效率,为客户提供方便快捷和丰富多彩的服务,增强了银行的竞争力。但是另一方面随着应用的不断增加,网络安全风险也会不断暴露出来。原来由单个计算机安全事故引起的损害可能传播到整个网络系统,引起大范围的瘫痪和损失,而且由于银行外联网络外联系统的增加,黑客或商业间谍以及恶意入侵者通过网络侵犯和操纵一些银行重要信息成为可能,因而引发出网络安全性问题造成巨大损失,金融业网络安全问题不容忽视。

需求分析

某银行是中国境内最具品牌影响力的商业银行之一。银行系统存在多点接入、多层数据交换的各类应用,并且多个网络之间存在实际的连接,客观上就存在黑客通过入侵外部服务器攻击内部网络的可能,如何实现整个系统的高安全性,解决银行内外网互联及银行内部网络外联而引发的潜在安全威胁问题是金融信息化系统的关键任务。

1)银行内网外联业务种类繁多,包括证银联业务、社保IC卡、房改公积金管理系统、人行税银库企系统、人行银行信贷登记系统、金融统计数据报送、国际收支数据报送、第三方支付业务等等,涉及网络外联的单位包括各个证券公司、社保局、房改办、政府政务网、人行金融网、银行的重客单位等等。由于外联平台外联业务外联线路的复杂性和不可信任性带来巨大的网络安全威胁,该银行要求进行外联网络平台安全隔离。

2)银行外网承载对外发布网站系统、网上银行系统等等,由于外网与互联网连接并且业务系统对外开放,网络黑客或商业间谍以及恶意入侵者通过网络侵犯和操纵一些银行重要信息成为可能。网上银行涉及客户个人隐私和银行金融机密,所以网络银行的安全性是系统建设首先要考虑的问题。银行采用“大前置模式”,所以关键的数据库服务器被置于内网,承担着与外部网银服务器之间的数据通信、数据查询、业务资金的核对划拨等重要业务。为保障银行内网关键数据的安全,该银行要求将银行内网与外网安全隔离。

解决方案

天融信万兆光闸助力金融行业外联网平台安全隔离与数据交换

方案解析

1) 银行内网与外联网平台安全隔离。

通过在银行内网与外联网平台之间部署天融信万兆光闸,切断内外网络连接,使TCP/IP协议在万兆光闸内外端机终止,达到断网的安全隔离效果,阻断第三方不可信任网络带来的安全威胁。同时依托天融信万兆光闸的数据同步机制,以数据摆渡的形式在内网和外联网数据交换前置机之间进行可信可控的数据交换,实现证银联业务、社保IC卡、房改公积金管理系统、人行税银库企系统、人行银行信贷登记系统、金融统计数据报送、国际收支数据报送、第三方支付等业务系统的正常运行。

2) 银行内网与银行外网安全隔离

通过在银行内网与银行外网之间部署天融信万兆光闸,切断TCP/IP协议连接,屏蔽各种已知和未知的TCP/IP网络攻击,阻断木马、网络后门的非法连接。即使银行外网某个用户因为上互联网或者U盘感染等原因下载了木马成为傀儡机,或者个别外网用户因为特殊原因发起恶意网络攻击,都不会影响到银行内网正常系统的运行。

3) 银行业务系统应用特征绑定

天融信万兆光闸不仅仅针对银行业务系统的网络应用开放相应的数据摆渡通道和端口,而且针对具体的应用系统绑定了应用层数据特征。例如针对oracle数据库服务,天融信万兆光闸绑定了TNS协议特征并且对数据库的增删改查命令进行黑白名单控制,非法应用程序即使通过相同TCP端口进行数据操作也会被万兆光闸阻断。此外,针对一些银行用户自己开发的非通用协议应用程序,天融信万兆光闸也可以手动绑定该应用协议特征,无需二次开发杜绝非法程序的非授权访问和操作。

项目总结

万兆光闸提供了比防火墙、入侵检测等技术更高级别的安全防护,既保证了安全隔离又实现网上银行及对外网站系统所必需的实时数据交换。综上所述,在网络安全隔离的基础之上银行内外网及外联网平台之间通过天融信万兆光闸内部专有硬件和专有协议进行裸数据摆渡传输,同时结合天融信TOS安全操作系统平台下的访问控制、入侵检测、抗DDOS及日志审计等功能全面实现银行内部信息网络安全防护。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章