| 银行如何通盘考虑安全策略 |
|
| http://www.cnfp.net 时间:2003-7-22来源:《中国计算机报》
|
|
人们对计算机网络的要求,不再仅仅是它可以提供服务,而是要提供稳固、可靠的服务。这样,计算机网络安全就日益重要起来。
找到“平衡点”
从广泛的意义来看,网络安全不仅仅是技术问题,它包含管理机构、法律、技术、经济各方面。网络安全技术只是实现网络安全的工具。所以要解决网络安全问题,必须要有综合的解决方案。
对于一套所建立的网络安全系统,要达到以下的要求:
(1) 访问控制:设定的防火墙,对企业之外和企业内部之间可以传送的数据限制允许范围,并对用户主机应用限定范围。
(2) 监视:对于网络上的通信流量、使用路由器和主机的情况以及访问注册情况进行全面监视。
(3) 检查:对于实施访问控制的路由器、主机的运行进行检查。
(4) 认证:对于使用的用户主机等要进行确认,判断是否允许访问。
(5) 密码化:传送的数据、口令都实现密码化。
在实际中,保障网络安全与提供高效灵活的网络服务是矛盾的。从网络服务的可用性、灵活性和网络性能考虑,网络结构和技术实现应该尽可能简洁,不引入额外的控制因素和资源开销。但从网络安全保障考虑,则要求对网络系统中提供服务的种类、时间、对象、地点甚至内容有尽可能多的了解和控制能力,实现这样附加的安全功能不可避免地要耗费有限的网络资源或限制网络资源的使用,从而对网络系统的性能、服务的使用方式和范围产生显著影响。
一个优秀的网络安全保障系统,必须是建立在对网络安全需求与环境的客观分析评估基础上,在网络的应用性能及价格和安全保障需求之间确定一个“最佳平衡点”。
隔离业务与办公
在三峡分行网络中,业务网和办公网之间的安全隔离通过两个部分实现,局域网部分主要通过VLAN隔离,广域网部分则通过路由器上的访问控制技术和策略路由技术进行隔离。
在分行中心到支行间的广域网传输过程中,业务和OA数据在同一广域网线路上传输,因为路由协议的需要,业务和OA网络间数据会相通,为了进行控制,可以采用访问控制技术。
业务网在传输中使用DLSw,其使用的TCP端口号与OA系统使用的端口号不相同,通过指定TCP端口号的扩展访问控制列表,可以非常方便地隔离OA网和业务网。
外连网络安全
分行中心配置一台PIX防火墙,防火墙配置三块网卡,分为内网、外网、DMZ区。防火墙内网直接连接到主Catalyst 4006交换机上,另外配置一台Cisco 2621路由器,该路由器连接到防火墙外网段上,用于连接券商、电信局等外网,实现代收代付、银证转账等中间业务。代收代付、银证转账、电话银行等中间业务的服务器则连接到PIX防火墙的DMZ区。通过安全级别设置,内网安全级别最高,DMZ区其次,外网安全级别最低。
路由器口令的认证采用Cisco的认证服务器ACS,以方便路由器密码的统一管理。
拨号备份考虑
分行中心还配置一台Cisco 3662路由器提供到24个支行/办事处DDN线路的拨号备份连接,拨号方式既可以是ISDN也可以是PSTN。一旦DDN线路故障,通过配置的自动拨号方式,保证分行至各支行的IP通讯不中断。
分行中心与支行间的拨号备份采用PPP CHAP认证机制,只有经过认证的路由器才能与分行中心的路由器间建立拨号连接。
如果需要更进一步的拨号安全机制,还可以同时采用回拨的技术。如支行路由器拨通中心路由器并认证成功后,中心路由器将断开连接,然后中心路由器再按内部设定的电话号码向支行路由器拨号,最后再进行PPP CHAP认证,认证成功后,两路由器间才能进行正常的通信。
|
|
|
|
|
企业认证 | 
供应商会员服务 | 金融机构服务 | 操作帮助
资讯搜索
一周热点新闻排行