银行外联网络安全解决方案全攻略
卡卡迷你王国与银行的具体合作方案卡卡迷你王国与银行的具体合作方案 随着网络的快速发展, 各金融企业之间的竞争也日益激烈,主要是通过提高 金融机构的运作效率,为客户提供方便快捷和丰富多彩的服务,增强金融企业的 发展能力和影响力来实现的。为了适应这种发展趋势,银行在改进服务手段、增 加服务功能、完善业务品种、提高服务效率等方面做了大量的工作,以提高银行 的竞争力,争取更大的经济效益。而实现这一目标必须通过实现金融电子化,利 用高科技手段推动金融业的发展和进步, 银行外联网络的建设为进一步提高银行 业服务手段, 促进银企的发展提供了有力的保障,并且势必为银行业的发展带来 巨大的经济效益。 然而随着网络应用不断扩大, 它的反面效应也随着产生。通过网络使得黑客 或工业间谍以及恶意入侵者侵犯和操纵一些重要信息成为可能, 因而引发出网络 安全性问题。正如我国著名计算机专家沈昌祥院士指出的:“信息安全保障能力 是 21 世纪综合国力、经济竞争实力和生存能力的重要组成部份,是世纪之交世 界各国在奋力攀登的制高点“。二十世纪未,美国一些著名网站、银行、电子商 务网站造受黑客攻击;黑客入侵微软窃取源代码软件等重要案件, 都证明了网络 安全的严重性,因此,解决银行外联网络安全问题刻不容缓。 一一 银行外联银行外联网络安全网络安全现状现状 1、银行外联种类 按业务分为: 银行外联业务种类繁多,主要有:证银联业务、社保 IC 卡、房改公积金管 理系统、代收中联通话费、代收移动话费、同城清算、人行税银库企系统、人行 银行信贷登记系统、金融统计数据报送、国际收支数据报送、电子口岸、代收电 页脚内容页脚内容 卡卡迷你王国与银行的具体合作方案卡卡迷你王国与银行的具体合作方案 费、代扣社保费、代收国税、代收地税、代收固话费、财局国库集中系统、统发 工资系统、代收财政罚款、物业维修基金、非税系统、重要客户系统等等。 按单位分: 随着外联业务的不断扩大,外联单位也不断增加,主要有:各个证券公司、 社保局、房改办、联通公司、移动公司、海关、电力公司、国税局、地税局、电 信公司、供水公司、政府政务网、人行金融网、银行的重客单位等等。 按线路分: 外联线路主要以专线为主,部分外联业务采用拨号方式,线路类型主要有: 幀中继、SDH、DDN、城域网、拨号等。 2、提供外联线路的运营商 根据外联单位的不同需求, 有多家运营商提供线路服务, 主要有: 电信公司、 盈通公司、网通公司、视通公司等 3、银行外联网络的安全现状及存在问题 外联接入现状示意图: 外联接入分为总行、一级分行、二级分行三个接入层次,据统计有 80%的 外联单位是通过二级分行及以下层次接入的,面对如此众多的外联接入单位,我 行还没有一个统一规划的完善的外联网络安全防御体系, 特别是对于有些二级分 行的外联网络只有基本的安全防护,只在外网的接入口使用防火墙进行安全控 页脚内容页脚内容 卡卡迷你王国与银行的具体合作方案卡卡迷你王国与银行的具体合作方案 制,整体而言,外联网络缺少一个统一规划的完善的安全防御体系,抗风险能力 低。 下面,针对外联网络中主要的安全风险点进行简单分析: (1)外联接入点多且层次低,缺乏统一的规划和监管,存在接入风险 银行外联系统的接入五花八门, 没有一个统一的接入规划和接入标准, 总行、 一级分行、二级分行、甚至经办网点都有接入点,据统计 80%的外联接入都是 通过二级分行及以下层次接入的, 由于该层次的安全产品和安全技术资源都非常 缺乏,因此对外联接入的监管控制缺乏力度,存在着接入风险。 (2)缺少统一规范的安全架构和策略标准 在外联网络中, 全行缺少统一规范的安全架构和访问控制策略标准,对众多 的外联业务没有分层分级设定不同的安全策略, 在网络层没有统一的安全访问控 制标准,比如:允许开放的端口、必须关闭的端口、需要控制访问的端口、安全 传输协议等等; 在外联业务应用程序的编写方面没有统一的安全标准;在防火墙 策略制定上也没有统一的安全标准,因此外联网络的整体可控性不强。 (3)缺乏数据传送过程中的加密机制 目前与外联单位互相传送的数据大部分都是明码传送, 没有统一规范的加密 传送机制。 (4)缺少统一的安全审计和安全管理标准。 外联网络没有一个统一的安全审计和安全管理标准, 在安全检查和安全审计 上没有一套行之有效的方法。 页脚内容页脚内容 卡卡迷你王国与银行的具体合作方案卡卡迷你王国与银行的具体合作方案 为解决当前外联网络所存在的安全隐患, 我们必须构建一个完善的银行外联 网络安全架构,建立一套统一规划的完善的外联网络安全防御体系。 下面我们将从银行外联网络安全规划着手, 进行外联平台的网络设计,并对 外联平台的安全策略进行统一规划, 相应地提出外联业务平台安全审计的内容以 及如何进行外联网络的安全管理,设计一套完善的银行外联网络安全解决方案。 二二 银行外联银行外联网络安全网络安全规划规划 1、外联网络接入银行内部网的安全指导原则 (1)外联网(Extranet)接入内部网络,必须遵从统一规范、集中接入、 逐步过渡的原则。 (2) 总行对于外联网络接入内部网络建立统一的安全技术和安全管理规范, 一级分行参照规范要求对接入网路进行严格的控制,同时应建立数据交换区域, 避免直接对业务系统进行访问。 (3)各一级分行按照集中接入的原则,建立统一的外联网接入平台,减少 外联网接入我行内部网络的接入点, 将第三方合作伙伴接入我行内部网的接入点 控制在一级分行,并逐步对二级行(含)以下的接入点上收至一级分行。 (4)如果一个二级分行的外联合作伙伴较多,从节约线路费用的角度考虑, 可以考虑外联接入点选择在二级分行,然后利用 IPSec-VPN 将二级分行的业务 外联平台通过隧道与一级分行外联平台连接。 页脚内容页脚内容 卡卡迷你王国与银行的具体合作方案卡卡迷你王国与银行的具体合作方案 (5)增加VPN 的接入方式,与专线方式并存,接入点只设在一级分行及以 上的层次,新增外联业务可考虑采用 VPN 接入方式。 (6)出于安全考虑,必须慎重选择是否允许第三方合作伙伴使用银行内部 网络系统构建其自身业务网络的运作。 (7)对于第三方合作伙伴通过互联网接入内部网的需求,只能通过总行互 联网入口进行接入。 2、外联业务平台规划的策略 与同业往来业务、 重点客户业务、 中间代理业务互联要求业务外联平台提供 足够的安全机制。多数外联业务要求平台稳定、可靠。为了满足安全和可靠的系 统需求,具体策略如下: (1)采用防火墙和多种访问控制、安全监控措施 (2)采用专线为主、拨号备份为备的双链路和主、备路由器增强可靠性 (3)通过省行 internet 统一入口连接客户的 VPN 接入请求,由省行或总行 统一规划 VPN 网络,统一认证和加密机制 (4)采用 IPSec 技术保证数据传输过程的安全 (5)采用双防火墙双机热备 (6)采用 IDS、漏洞扫描工具 页脚内容页脚内容 卡卡迷你王国与银行的具体合作方案卡卡迷你王国与银行的具体合作方案 (7)设立 DMZ 区,所有对外提供公开服务的服务器一律设置在 DMZ 区, 将外部传入用户请求连到 Web 服务器或其他公用服务器, 然
蚂蚁文库