| 某银行金融城域网防火墙解决方案 |
| 行业类别:银行 |
功能类别:防火墙 |
| 方案作者:
|
发布时间:2003-12-25 |
|
主要是通过提高金融机构的运作效率,为客户提供方便快捷的服务,通过增强金融机构的发展能力和影响力来增强自身的竞争优势。由于服务的多样化,应用增多的同时网络安全风险也
会不断出现。由于银行系统有大量的商业机密,如果这些涉密信息在网上传输过程中泄密或丢失,其造成的损失将是不可估量的。近期,针对某银行系统特殊的业务需求和潜在网络风险,天融信公司提出了一套系统的安全解决方案,有力地保证了该银行网络系
统的安全。
网络风险及用户需求
目前该银行主要应用的业务中,网上银行、电子商务、网上交易系统都是通过Internet进行相关操作的。由
于互联网自身的广泛性、自由性等特点,其系统很可能成为恶意入侵者的攻击目标。银行网络安全的风险来自多个方面:首先,
来自互联网的风
险:银行的系统网络如果与Internet发生联系,如涉及到电子商务、网上交易等系统,都有可能给恶意的入侵者带来攻击的条件和机会。其
次,来自外单位的风险:该银行不断增加中间业务、B艮务功官旨,如代收电话费等,这样就与其它单位网络互联。由
于与这些单位之间不一定是完全信任关系,因此,该银行网络系统存在着来自外单位的安全隐患。第三,来自不信任域的风险:涵盖范围广泛。全国联网
的银行,各级银行之间存在着安全威胁。最后,来自内部网的风险:据调查,大多数网络安全事件,攻击来自内部。鉴于存在以上潜在风险,该银行网络
需要防范来自不安全网络或不信任域的非法访问或非授权访问,防范信息在网络传输过程中被非法窃取,而造成信息的泄露,防范各种来自内外网
络的恶意攻击;对进入网络或主机的数据实时监测,防范病毒对网络或主机的侵害,针对银行特殊的应用进行特定的应用开发,必须制定完善的安全
管理制度,通过培训等手段来增强员工的安全防范技术及防范意识等等,将风险防患于未然。
安全解决方案
针对上述银行系统可能发生的安全隐患及客户需求,天融信制订出了安全、可靠的安全解决方案。首先,保证计算机信息系统各种设备的物理安全是保障整个网络系统安全的前提。这涉及到网络环境的安
全、设计的安全、媒介的安全。对系统、网络、应用和信息的安全要重视。系统安全包括操作系统安
全和应用系统安全;网络安全包括网络结构安全、访问控制、安全检测和评估;应用安全包括安全认证和病毒防护;信息安全包括加密
传输、信息鉴别和信息存储。
其次,要保护该银行系统可能存在的特殊应用的安全性,必须通过详细了解和分析,进行有针对性
地开发,量体裁衣,才能切实保证应用时安全。而建立动态的、整体的网络安全的另外一个关键是建立
长期的、与项目相关的信,息安全服务。安全服务包括:全方位的安全咨询、培训;静态的网络安全风险
评估;特别事件应急响应。
除了上述安全风险外,安全设备本身的稳定性非常重要,为此,天融信安全解决方案中防火墙将
采用双机热备的方式。即,两台防火墙互为备份,一台是主防火墙,另一台是从防火墙。当主防火墙
发生故障时,从防火墙接替主防火墙的工作。从而最大限度地保证用户网络的连通性。
根据该银行的网络结构,天融信把整个网络用防火墙分割成三个物理控制区域,即金融网广域
网、独立服务器网络、银行内部网络。这三个区域分别连接在防火墙的三个以太网借接口上,从而
通过在防火墙上加载访问控制策略,对这三个控制区域间的访问进行限制。主防火墙与从防火墙
之间通过CONSOLE电缆线相连接,用以进行两台防火墙之间的心跳检测。
安全解决方案的特色
此次做出的安全解决方案紧密结合该银行的实际,满足了用户的需求,因此方案具有很强的针
对性,达到了很好的效果。
一一防范系统漏洞:目前大多数操作系统都存在一些安全漏洞、后门,这些漏洞往往又被入侵者
攻击。因此,对操作系统必须进行安全配置、打上最新的补丁,还要利用相应的扫描软件对其进行安
全性扫描评估、检测其存在的安全漏洞,分析系统的安全性,提出补救措施。
——加强身份认证:对应用系统的安全性,也应该进行安全配置,尽量做到只开放必须使用的
服务,而关闭不经常用的协议及协议端口。使用应用系统时,加强用户登录的身份认证以确保用户
使用的合法性,严格限制登录者的操作权限,将其完成的操作限制在最小的范围内。
——全面网络安全控制:首先从网络结构布局上,对该银行系统业务网、办公网、与外单位互联的
接口网络之间必须按各自的应用范围、安全保密程度进行合理的区域划分,以免局部产生的威胁传播到
整个网络系统。同时,加强访问控制:在内部局域网内通过交换机划分VLAN功能来实现不同部门、不同
级别用户之间简单的访问控制,与外单位网络、不信任域网络之间通过配备防火墙来实现内、外网或不
同信任域之间的隔离与访问控制;配备应用层的访问控制软件系统,针对局域网
具体的应用进行更细致的访问控制对于远程拨号用户的安全性访问,利用防火墙的一次性口令认证机制,
对远程拨号用户进行身份认证,实行远程用户的安全访问,进而进行安全检测和评估:配备入侵检测系
统,对网络违规事件跟踪、实时报警、阻断连接并做日志,从操作系统的角度,以管理员的身份对独立
的系统主机的安全性进行评估分析,找出用户系统配置、用户配置的安全弱点,建议采取补救措施。
--密钥认证:我们引入了通过第三方来发放证书,即构建一个权威认证机构(CA认证中心)。该
银行系统可以联合各专业银行一同构建一个银行系统的CA系统,实现本系统内证书的发交与业务
的安全交易。
——不同的加密传输:对银行普通业务系统,我们建议采用网络层加密设备,来保护数据在网
络上传输的安全性。而对网上银行、网上交易等业务系统可以采用应用层加密机制来加密,以保
护数据在网上传输的机密性。
——备份、恢复存储数据:保护数据库最安全、最有效的方法就是采用备份与恢复系统。备份
系统可以保存相当完整的数据库信息,在运行数据库主机发生意外事故时,通过恢复系统使备份
的数据库系统在最短时间内恢复正常工作状态,保证银行业务系统提供服务的及时性、连续性。 |
|
|
|
|
企业认证 | 
供应商会员服务 | 金融机构服务 | 操作帮助
热点方案及案例排行