银行信息技术系统的安全设计方案

0 银行信息技术系统的安全设计方案 行网络基本情况 随着的发展，社会的信息化程度提高了，网络银行、电子银行出现了，整个银行业、金融业都依赖于信息系统。交易网络化、系统化、快速化和货币数字经是当前金融业的特点，这对金融信息系统的安全保密性提出了严格的要求。金融信息系统必须保证金融交易的机密性、完整性、访问控制、鉴别、审计、追踪、可用性、抗抵赖性和可靠性。为了适应金融业的需要，各家银行都投资建网。但是，由于各种因素的制约，网络的安全体系不完善，安全措施不完备，存在严重的安全漏洞和安全隐患。这些安全漏洞和隐患 有可能造成中国的金融风暴，给国家带来重大损失，因此必须采取强有力的措施，解决银行网络的安全问题。 某镇浦发银行系统在镇中共有两处营业点，其中一营业点与镇分理处相距1500 米，主要有一层楼用于银行办理业务，另一营业点与分理处在一处办公，是二层楼，一层是营业点，二层是分理处，各司其职。 银行各部门分配 司业务部 主要负责对公业务，审核等 。 人业务部 主要负责个人业务，居民储蓄，审核 。 际业务部 主要负责国际打包放款，国际电汇，外汇结算等 。 金营运部 主要是 资金结算 。 贷审批部 负责各类贷款审批等 。 险管理部 就是在银行评估、管理、解决业务风险的部门。银行的业务风险主要有：信贷的还款风险、会计的结算风险、新业务的试水风险、财务的管理风险、业务文件的法律风险等等。所有这些风险的控制，特别是前三类业务的风险控制，都是 1 由风险管理部牵头制订解决办法的 。 计结算部 安全防范为主题，强化会计结算基础管理工作，揽存增储、中间业务、保险、基金等各项任务，全员的防范意识、业务素质、核算质量、服务技能工作 ， 加强管理、监督、检查与辅导，指导全员严 格按照规章制度和操作流程办理业务，加强人员培训，提高业务素质和核算质量 。 纳保卫部 主要负责现金管理、安全检查、监控管理、消防安全等安保工作 。 技部 主要负责银行计算机软硬件方面的维护 。 力资源部 主要负责银行内部人员的考勤。 行网络安全现状 发银行安全现状 现在，信息攻击技术发展很快，攻击手段层出不穷，但银行网络日前的安全措施大部分仅是保密，极少采用数字签名，认证机制不健全，这完全不适应现代金融系统的安全需求。 具体表现在以下五个方面 ： 1） 有投入 ，有人员，但投入不够，人员不固定。遇有冲突，立刻舍弃；只求速上，不求正常、配套、协调建设，从根本上没有改变以前轻视安全的做法。 2） 对整个网络建设缺乏深入、细致、具体的安全体系研究，更缺乏建立安全体系的迫切性。 3） 有制度、措施、标准，但不完备，也没有认真执行，大部分流于形式，缺乏安全宣传教育。 4） 缺乏有效的监督检查措施。 5） 从根本上没有处理好发展与安全的关系。 发银行网络系统所面临的安全威胁和风险 由于金融信息系统中处理、传输、存贮的都是金融信息，对其进行攻击将获 2 得巨额的金钱，而且，对 金融信息系统的攻击，可能造成国家经济命脉的瘫痪和国家经济的崩溃，因此金融信息系统面临着巨大的风险和威胁。银行网络系统面临的攻击手段较多，既有来自外部的，也有来自内部的。由于对银行网络系统的攻击可以获得较大的经济、政治、军事利益，因此银行网络系统成为敌对国家、犯罪集团、高智商犯罪分子的首选攻击目标。针对信息系统的新型攻击手段应运而生，各种被动攻击手段、主动攻击手段层出不穷。攻击者利用各种高科技手段和仪器，利用网络协议本身的不安全性，路由器、口令文件、 安全隐患， 数据库的安全隐患和其他计算机软硬件产品的不安全性，对信息系统实施攻击。对于金融信息系统，更严重的威胁来自各种主动攻击手段。主动攻击手段较多，如伪造票据、假冒客户、交易信息篡改与重放、交易信息销毁、交易信息欺诈与抵赖、非授权访问、网络间谍、 “ 黑客 ”人侵、病毒传播、特洛伊木马、蠕虫程序、逻辑炸弹等。这些攻击完全能造成金融信息系统瘫痪、资金流失或失踪。这些攻击可能来自内部，也可能来自外部。 各种攻击将给金融信息系统造成以下几种危害： 1）非法访问：银行网络是一个远程互连的金融网络系统。现有网络系 统利用操作系统网络设备进行访问控制，而这些访问控制强度较弱，攻击者可以在任一终端利用现有的大量攻击工具发起攻击；由于整个网络通过公用网络互连同样存在终端进行攻击的可能；另一方面银行开发的很多增值业务、代理业务，存在大量与外界互连的接口这些接口现在没有强的安全保护措施存在外部网络通过这些接口攻击银行，可能造成巨大损失。 2）窃取 钥等敏感数据：银行信用卡系统和柜台系统采用的是软件加密的形式保护关键数据，软件加密采用的是公开加密算法（ 因此安全的关键是对加密密钥的保护，而软件加密最大的安全隐患是 无法安全保存加密密钥，程序员可修改程序使其运行得到密钥从而得到主机中敏感数据。 3)假冒终端 /操作员：银行网络中存在大量远程终端通过公网与银行业务前置机相连国内银行以出现多起在传输线路上搭接终端的案例。银行网络同样存在大量 类似安全隐患。现有操作员身份识别唯一，但口令的安全性非常弱因此存在大量操作员假冒的安全风险。 3 4)截获和篡改传输数据：银行现有网络系统通过公网传输大量的数据没有加密，由于信息量大且采用的是开放的 P，现有的许多工具可以很容易的截获、分析甚至修改信息，主机系统很容易成为被攻击对象。 5)网络系统可能面临病毒的侵袭和扩散的威胁： 黑客侵扰类似于网络间谍，但前者没有政治和经济目的，利用自己精通计算机知识，利用他人编程的漏洞，侵入金融信息系统，调阅各种资料，篡改他人的资料，将机密信息在公用网上散发广播等。 计算机病毒是一种依附在各种计算机程序中的一段具有破坏性、能自我繁衍的计算机程序，它通过软盘、终端或其它方式进入计算机系统或计算机网络，引起整个系统或网络紊乱，甚至造成瘫痪 。 6)其他安全风险：主要有系统安全（主要有操作系统、数据库的安全配置）以及系统的安全备份等。 发银行网络系统安全分析 1)没有较完善的安全体系： 目前，银行网络系统的问题缘自没有进行安全体系的研究。采用的安全方案比较单一，仅能防止从信道上侦收信息，不能阻止来自业务系统和用户的网络攻击，不能适应银行网络系统的安全需求。 2)没有较完备的安全保密措施： 由于银行网络系统没有较完善的安全体系，采取的安全措施不完备，不能防御所有的威胁和攻击。 3)没有建立安全预防中心： 目前，银行网络系统没有建立全网的安全监控预警系统，或称为安全防预中心。全网的安全监控预警系统备有先进的安全技术和设备，监察网上 的异常活动、非安全活动，监视骨干网、骨干网设备及信息是否安全。全网的安全监控预警系统负责安排骨干网的安全技术设备、措施和程序，如各种跟踪、预警和记录黑客、破坏者活动和重大活动。 4)网络间没有配置相应的防火墙 : 在银行内部各个业务部门网络之间、在等级不一的各安全区之间、在不同业务系统之间、在不同数据库之间、从不同金融机构进入，一般应有 5 7 道安全措 4 施。而在银行网络系统中，没有层层设防的安全措施，如配置相应的防火墙。 5)没有采用先进的硬件和软件加密技术和设备： 银行的业务系统、网络和通信都有各自先进的软 件加密和硬件加密，而且还应用了第三代、第四代加密技术。业务系统、网络和通信采用不同商家的安全保密产品。目前，银行网络系统只在远程通信采用了加密措施，设有专用的硬件和软件加密技术和设备。 6)没有配备反病毒的安全措施： 由于网上病毒的增加，破坏性日益增大，金融机构都强化了反病毒的安全措施，包括过滤通信中的信息病毒、电子邮件中的病毒、 的病毒，对网络及网络上的设备系统进行反病毒的扫描。银行网络系统没有配备网络反病毒的监管系统。 7)在交换机上没有设置足够的安全措施： 帧中继交换机是网络和通 信的要害设备。外国金融机构极为重视交换机的安全措施，用安全防预中心的设备对交换机进行三 A 控制，即鉴别、授权、审计。我国银行网络没有在所有交换机上设置完整的三 A 安全控制。 象分析 浦发银行系统在镇中共有两处营业点，其中一营业点与镇分理处相距 1500米，所以两银行之间用光纤连接；该银行共有 14 个部门，每个部门都在不同的，通过对交换机的设置，不同 不能相互访问，保证银行网络的数据信息安全；该银行人力资源部门设有指纹检测系统，银行内部的人员每天都要在指纹检测器上按指纹。 其中个人业务部、资 金营运部、风险管理部、计财部、会计总结部和人力资源部在营业点的一楼，公司业务部、国际业务部、信贷审批部、合规部、出纳保卫部、科技部和内审部在分理处的二楼，总共有 19 个房间，每个房间四个数据点和四个语音点，共 76 个数据点和 76 个语音点，需要两个核心交换机，两个汇聚交换机，四个接入交换机，一台路由器，一个防火墙，一个 务器，一个务器，供银行内部人员上传和下载资料，个人业务部内个人储蓄的信息所有计算机都可以共享。 5 二银行系统的网络拓扑图及说明 在本方案中我们从浦发银行各种业务和各个部门的连接进行 网络安全方面的设计。在网络的对外出口处以及内部各部门的连接都设置防火墙将是最理想的选择，因此我们在本方案中建议浦发银行在所有与外部网出口都配置 及在总行与分行的业务网的连接处也配置防火墙，对外防止黑客入侵，对内以防止内部人员的恶意攻击或由于内部人员造成的网络安全问题。 本方案中主要用到 总部与各部门连接点采用为防火墙，同时在重要的业务连接点采用 特的多机备份技术用两台作为热备份， 保证整个系统的网络安全。在各部门采用火墙，为连接各银行网点提供安全防护。 另银行通过 上进行业务时，由于分行与 有出口，也带来了一定的风险，我们建议在连接 出口上也配置 3C 2络拓扑图 防火墙 务器 3c 3c 6 三 银行系统的网络安全部署图及说明 感数据区的保护 银行系统内存在许多敏感数区域（如银行业务系统主机等），这些敏感的数据区域要求严格保密，对访问的权限有严格的限制，但所有的主机处于同一个网络系统之内，如不加以控制，这样很容易造成网内及网外的恶意攻击，所以在这些数据区域的出入口要加以严格控制，在这些地方放置防火墙，防火墙执行以下控制功能。 来访数据包进行过滤，只允许验证合法主机数据包通过，禁止一切非授权主机访问。 来访用户进行验证。防上非法用户侵入。 用网络地址转换及应用代理使数据存储区域与业务 前端主机隔离，业务前端主机不直接与数据存储区域建立网络连接，所有的数据访问通过防火墙的应用代理完成，以保证数据存储区域的安全。 图 3感数据区保护方案 迅线路数据加密 在银行的广域网传输系统中，从总行到分行、分行到支行、支行到分理处等，广泛应用到帧中继、 等之类的通用线路，但这些线路大多数都是由通讯公司提供，与许多用户在一套系统上使用他们的业务，由于这些线路都是暴露在公共场所，这样很容易造成数据被盗。传输数据当中如果不进行数据加密，后果可想而 知。所以对数据传输加密这是一非常重要的环节。 对网络数据加密大致分为以下几处区域： 用层加密 建立应用层加密，应用程序对外界交换数据时进行数据加密。主要优点是使用方便、网络中数据从源点到终点均得到保护、加密对网络节点透明。缺点是某些信主机 主机 交换机 端业务系统及业务处理系统 7 息必须以明文形式传输，容易被分析。此种加密已被广泛应用于各应用程序当中，并有相应的标准。 于网络层的数据加密 在总部到各分行，以及分行到支行建议采用 密技术进行数据加密。 通过标准的加密算法，对传输数据进行加密，在公用网上建立数据传输的加密 “隧道”。加密实现是在 ，与具体的广域网协议无关，也就是说适应不同的广域网信道（ 中继、 ）。由于 术已经拥有标准，因此所有的 品可以实现互通。 当然，银行可根据自身的需要，可选用专用加密设备进行数据传输加密。 数据加密通道 图 3用 术对数据传输进行加密 火墙自身的保护 要保护网络安全，防火墙本身要保证安全，由于系统供电、硬件故障等特殊情况的发生，使防火墙系统瘫痪，严重阻碍网络通讯，网络的 安全就无法保证，所以要求防求防火墙有冗余措施及足够防攻击的能力。 图 3火墙双机备份方案 总业务系统 分行业务系统 R 内网 交换机 交换机 交换机 网 8 四 心层交换机 型号： 5500价格： ￥ 8800 交换机：千兆以太网交换机 应用层级：三层交换 传输速率： 10/100/1000 交换机接口： 10/100/1000M 网管功能： 支持 持命令行接口（ , 进行配置、支持 v2/管、支持 警、事件、历史记录、支持 能管理中心、支持系统日志 , 分级告警 , 调试信息输出、支持 持 持电源的告警功能，风扇、温度告警、支持 持 (缆检测功能、支持 向链路检测协议、支持口 环回检测 背板带宽： 192聚层交换机 型号： 格： ￥ 4900 交换机：千兆以太网交换机 应用层级：三层 传输速率： 10/100/1000 交换机接口： 10/1001000 网管功能： 支持命令行接口配置 ,支持 程配置 ,支持通过 支持 持 支持系统日志 ,支持分级告警 背板带宽： 32转发率： 址表： 16K 能：支 持 网管支持：可网管型 9 端口结构：固定端口 接口数量： 24 个 网络标准： 模块化插槽数： 4 个 堆叠功能：不可堆叠 入层交换机 型号： 价格： ￥ 3650 交换机：企业级交换机 应用层级：二层 传输速率： 10/100/1000 交换机接口： 10/100/1000 网管功能： 支持命令行接口 置 , 支持通过 配置 , 支持 管 背板带宽： 48 包转发率： 36 址表： 8K 能：支持 网管支持：可网管型 端口结构：固定端口 接口数量： 24 个 网络标准： 块化插槽数： 4 个 堆叠功能：不可 堆叠 由器 型号： 价格： ￥ 7900 路由器类型：企业级路由器 10 路由器网管：网络管理 ,本地管理 ,用户接入管理 局域网接口： 2 个千兆以太电口 传输速率： 10/100/1000防火墙功能：内置 端口结构：模块化 路由器包转发率： 200 安全标准： 0950 350 3995, 0950: 2000 + ZC 0950:1999 + 2000, 能：支持 扩展插槽： 11 个 其他控制端口： 路由器网络协议： 务 ,非 务 ,用 ,由 ,域网协议 ,局域网协议 最大 存： 1024火墙 型号： 天融信 价格： ￥ 北京 设备类型 ：企业级防火墙 并发连接 ： 2200000 网络吞吐 ： 6000 网络端口：最大配置为 26 个接口 ,包括 3 用户数限 ：无用户数限制 适用环境：工作温度 :0 存储温 入侵检测 ： 源：双电源 ,缺省一个电源 安全标准 ： E 控制端口 ： 他性能：防火墙、 宽管理、防 11 管理 ： 令行 ,远程 管理 持 ：支持 务器 型号： 产品简述 :通过新的四核处理器及更快的内存技术获得更好的性能； 采用集成的解决方案管理您的 源； 通过可升级内存， I/O 和存储搭建 稳定服务器平台，保护您的 资 市场价格 :20000 详细参数 ： 核最高支持 1066存频率 T/s 级缓 存 存 2*2插拔 盘 , 标配 146盘*1 口千兆以太网 3 个 槽 , 1个 槽 , 1 个 槽 , 1 个 33 个串口 , 1 个显卡接口 , 6 个 口 (4 个背面、 2 个正面 )； 3 个2个以太网口 ,一个管理端口 )可选的远程管理 920 可选冗余 3 年有 限保修（ 3 年部件， 3 年人工， 3 年现场） 五 安全配置说明 火墙技术 防火墙可以作为不同网络或网络安全域之间信息的出入口，将内部网和公众网如 开，它能根据企业的安全策略控制出入网络的信息流，且本身具有较强的抗攻击能力。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和 间的任何活动，保证了内部网络的安全。防火墙技术可以有效控制的风险包括： 用 发掘用户信息， P 指纹识别确定操作系统类型， 统类型，服务的旗标信息确定服务类型，对服务器进行端口扫描，务漏洞，从 查找前置机主机网络蠕虫堵塞整个网络，影响生产网络。 用前置机群与生产主机之间的信任关系攻击生产网络核心，办公自动化服务器与前置机群或生产主机之间的信任关系攻击生产网络，蠕虫影响办公网内部 台，蠕虫影响办公网内部邮件系统，办公网应用形式较为丰富，因 12 此对网络带宽消耗可能造成生产网的数据通信带宽不足，级网点或支行与中心连接没有必要的 访问控制和边界控制手段，因此来自二级网点或支行局域网的用户可能威胁办公自动化系统和中心生产系统，应用防火墙技术之后，有效的控制了上述风险的同时，可以简化管理。 络防病毒体系 算机病毒感染所造成的威胁以及破坏是目前广大计算机用户所面临的主要问题。本方案采用网络防病毒体系，可以对 T/95/98/及 操作系统提供保护，作为一个一体化的网络防病毒解决方案，应具备特征代码检查方式和基于规则的变态分析器病毒扫描程序， 从而检测到已知病毒。防病毒引擎可以从多个侧面和途径防止计算机病毒侵入系统，保护整个企业 统的安全，具有强大的功能和优秀的可管理性。用网络防病毒体系结构之后，可控制网络蠕虫堵塞整个网络，影响生产网络、病毒威胁桌面 风险；应用了网络防病毒技术之后，可以从三个层面有效防范病毒的传播和蔓延 ;载、软盘和光盘传播、邮件传播。 络入侵检测技术 用入侵检测的网络监测功能、攻击行为检查、高速流量捕获、策略响应、防火墙联动、关联事件分析等技术要素，可实现如下风险的控制： 利用 务器漏洞、利用 务器漏洞 用 务漏洞 洞，利用 用 务漏洞。 录会话劫持发送一个伪造的报告到 装木马：应用网络入侵检测技术之后不仅有效控 制了上述风险，同时入侵检测要求如自身安全性、抗 避、抗事件风暴等技术要素，有效避免了入侵检测自身引入的新的风险，同时分级管理、多用户权限、分布式部署的要求大大降低了管理员的负担。 络安全审计技术 本方案采用网络安全审计技术，主要针对使用互联网访问非法站点，传递和发布非法信息，内部