某银行的网络安全解决方案（转）

     1、项目背景
　　xxx银行自正式成立以来，不断扩展银行业务种类和范围，逐渐树立起自己活跃的股份制商业银行形象。顺应 时代和技术的发展，xxx银行决定逐步建立起基于IP技术的业务骨干网，改进目前的网络基础平台，选用国际最先进的网络软硬件产品。保证传统业务和新兴的服务渠道，如网络银行、新一代客户服务中心等业务的稳定、安全、高效的运行。面临新技术、新理念，保证金融贸易顺利实现电子化、自动化、网络化，当然是银行不可回绝的问题。提供面向客户的高质量的金融服务是xxx银行发展的必然趋势。新的发展要求和契机无疑对银行的软硬件设施提出了新的挑战。其中网络的运行情况，尤其是网络安全问题尤其突出。

 
　　2、网络概况
　　xxx银行网络总体是一个银行内部业务系统，采取总行到省行及地市分行的三级网络结构。总行通过帧中继与分行相连，分行与其它地市的分、支行通过DDN专线相连；。
　　各分行主要通过DDN专线与证券公司、国税局、通信公司、金卡中心、人民银行、外汇管理局、彩票中心相连。同时连接方式还有帧中继、X.25等。

　　3、系统分析
　　考察目前全行的网络情况，随着分行数量的不断增加及ATM、信用卡等新业务的开展，网络安全面临挑战。在黑客行动猖獗的今天，广发行原有的网络系统在安全性及运行效率上有待提高，以迎接潜在的网上风险。
　　由于总行和各分行地理位置上的特点，它们都有与其它网络系统(互联网)接入需求，网络对外连接出口必然成为黑客攻击的主要对象。如何解决关键出口的安全性问题，是网络安全性建设的首要问题。在网络关键出口需要设置防火墙作安全隔离，防止银行内部网络受未授权用户的侵犯是可行的方案。
在网络安全上，防止非法的访问是一方面，而对网络活动施行实时动态的监测，是及时发现非法访问的另一有效途径。网络关键链路和接口要有监控，使出现的问题及时发现及时解决；而定期对网络实施静态扫描也可以发现潜在威胁。
　　原有的网络系统还存在维护费用高，技术复杂的缺点。因此网络改造要求有先进友好的网络管理软件以降低网络维护费用。

　　4、安全体系
　　根据以上对系统威胁的分析，须建立以下安全体系：
　　防止黑客攻击：防止来自外网黑客的攻击、内部网人员的恶意破坏；
　　对服务器的安全保护：对网络中WWW服务器、Mail服务器、DNS服务器、代理服务器之外，其他单位的各种服务器必须进行安全保护。通过修改网络操作系统内核的相关参数，增强操作系统内核抵抗各种攻击的自身能力；
　　对内部非法用户的防范：非法用户从网络内部发起的攻击次数远比外部攻击的成功可能性要大。因此，如何加强对内部用户的安全管理，是确保整个网络安全的关键。对内部用户的安全管理分以下几个方面：
　　用户身份认证：确信该用户是本网络中的注册用户；
　　用户权限管理：给用户授权，使其仅拥有与其身份相对应的使用权限。
　　信息审计与日志记录：对网络的安全信息进行记录和审计，帮助查找不友好的访问。通过对安全日志进行分析，力求查找“黑客”的踪迹，以便发现“黑客”，并找到相关的证据；
　　病毒防护：提供全方位的病毒防治，包括外部网络病毒的侵入和内部网络病毒的扩散，在工作站、服务器、网络进出口(防火墙本身)进行全面的病毒防治；
　　入侵检测和告警：对于攻击的实时检测和告警是网络安全中的重要环节。它是在安全事件发生之前，就可以及时预警和采取相应措施制止攻击的有效工具。需求方应该具备这种防护能力；
　　安全设备的双机热备份：为了保证网络安全、不间断地运行，必须考虑双机热备份的问题；
　　安全审计：在广域网出口处，使用网络行为监控系统进行网络活动实时监控和内容过滤；
日常漏洞扫描和安全检查：作为日常安全管理和维护的需要，需求方信息中心应该具备一些安全工具，对网络做必要的安全检查和扫描，以便发现漏洞和安全缺陷，并对其进行修补；
　　网络的安全管理：建立必要的安全管理制度。

 
　　5、方案实施
　　在总行和各分行的广域网出口处安装防火墙和网络行为监控系统，对用户上网行为进行实时监控，同时抵御来自外部网络的攻击；
　　在总行和各分行的局域网上安装入侵检测系统，检测对服务器的攻击行为，并与防火墙进行联动，及时阻断攻击行为；
　　建立集中的身份认证系统，对服务器的认证进行集中管理；
　　在总行建立漏洞扫描系统，定期对整个网络的安全状况进行评估；
　　建立完整的防病毒系统，在总行进行集中管理。

 

 

转自：http://www.alixixi.com/Dev/Safe/other/2007/2007021222779.html