银行网络安全设计.doc

目录1 银行系统的安全设计11.1 非法访问11.2 窃取PIN/密钥等敏感数据11.3 假冒终端/操作员11.4 截获和篡改传输数据11.5 网络系统可能面临病毒的侵袭和扩散的威胁11.6 其他安全风险12 银行系统的网络拓扑图及说明23 银行系统的网络安全部署图及说明33.1 敏感数据区的保护33.2 通迅线路数据加密33.3 防火墙自身的保护44 系统的网络设备选型及说明54.1 核心层交换机54.2 汇聚层交换机54.3 接入层交换机64.4 路由器64.5 服务器75 安全配置说明85.1 防火墙技术85.2 网络防病毒体系85.3 网络入侵检测技术85.4 网络安全审计技术95.5 VPN技术9总结10一银行系统的安全设计银行网络作为一个金融网络系统，由于涉及信息的敏感性自然会成为内部和外部黑客攻击的目标，当前银行面临的主要风险和威胁有：1.1非法访问：银行网络是一个远程互连的金融网络系统。现有网络系统利用操作系统网络设备进行访问控制，而这些访问控制强度较弱，攻击者可以在任一终端利用现有的大量攻击工具发起攻击；由于整个网络通过公用网络互连同样存在终端进行攻击的可能；另一方面银行开发的很多增值业务、代理业务，存在大量与外界互连的接口这些接口现在没有强的安全保护措施存在外部网络通过这些接口攻击银行，可能造成巨大损失。1.2窃取PIN/密钥等敏感数据：银行信用卡系统和柜台系统采用的是软件加密的形式保护关键数据，软件加密采用的是公开加密算法（DES），因此安全的关键是对加密密钥的保护，而软件加密最大的安全隐患是无法安全保存加密密钥，程序员可修改程序使其运行得到密钥从而得到主机中敏感数据。1.3假冒终端/操作员：银行网络中存在大量远程终端通过公网与银行业务前置机相连国内银行以出现多起在传输线路上搭接终端的案例。银行网络同样存在大量类似安全隐患。现有操作员身份识别唯一，但口令的安全性非常弱因此存在大量操作员假冒的安全风险。1.4截获和篡改传输数据：银行现有网络系统通过公网传输大量的数据没有加密，由于信息量大且采用的是开放的TCP/IP，现有的许多工具可以很容易的截获、分析甚至修改信息，主机系统很容易成为被攻击对象。1.5网络系统可能面临病毒的侵袭和扩散的威胁：（1）黑客侵扰类似于网络间谍，但前者没有政治和经济目的，利用自己精通计算机知识，利用他人编程的漏洞，侵入金融信息系统，调阅各种资料，篡改他人的资料，将机密信息在公用网上散发广播等。 （2）计算机病毒是一种依附在各种计算机程序中的一段具有破坏性、能自我繁衍的计算机程序，它通过软盘、终端或其它方式进入计算机系统或计算机网络，引起整个系统或网络紊乱，甚至造成瘫痪。1.6其他安全风险：主要有系统安全（主要有操作系统、数据库的安全配置）以及系统的安全备份等。二银行系统的网络拓扑图及说明随着信息技术的发展，社会的信息化程度提高了，网络银行、电子银行出现了，整个银行业、金融业都依赖于信息系统。交易网络化、系统化、快速化和货币数字经是当前金融业的特点，这对金融信息系统的安全保密性提出了严格的要求。金融信息系统必须保证金融交易的机密性、完整性、访问控制、鉴别、审计、追踪、可用性、抗抵赖性和可靠性。为了适应金融业的需要，各家银行都投资建网。但是，由于各种因素的制约，网络的安全体系不完善，安全措施不完备，存在严重的安全漏洞和安全隐患。这些安全漏洞和隐患有可能造成中国的金融风暴，给国家带来重大损失，因此必须采取强有力的措施，解决银行网络的安全问题。银行系统在镇中共有两处营业点，其中一营业点与镇分理处相距1500米，主要有一层楼用于银行办理业务，另一营业点与分理处在一处办公，是二层楼，一层是营业点，二层是分理处，各司其职。图2-1网络拓扑图3 银行系统的网络安全部署图及说明3.1敏感数据区的保护银行系统内存在许多敏感数区域（如银行业务系统主机等），这些敏感的数据区域要求严格保密，对访问的权限有严格的限制，但所有的主机处于同一个网络系统之内，如不加以控制，这样很容易造成网内及网外的恶意攻击，所以在这些数据区域的出入口要加以严格控制，在这些地方放置防火墙，防火墙执行以下控制功能。3.1.1对来访数据包进行过滤，只允许验证合法主机数据包通过，禁止一切非授权主机访问。3.1.2对来访用户进行验证。防上非法用户侵入。3.1.3运用网络地址转换及应用代理使数据存储区域与业务前端主机隔离，业务前端主机不直接与数据存储区域建立网络连接，所有的数据访问通过防火墙的应用代理完成，以保证数据存储区域的安全。图3-1敏感数据区保护方案3.2通迅线路数据加密在银行的广域网传输系统中，从总行到分行、分行到支行、支行到分理处等，广泛应用到帧中继、X.25、DDN、PSTN等等之类的通用线路，但这些线路大多数都是由通讯公司提供，与许多用户在一套系统上使用他们的业务，由于这些线路都是暴露在公共场所，这样很容易造成数据被盗。传输数据当中如果不进行数据加密，后果可想而知。所以对数据传输加密这是一非常重要的环节。对网络数据加密大致分为以下几处区域：3.2.1应用层加密建立应用层加密，应用程序对外界交换数据时进行数据加密。主要优点是使用方便、网络中数据从源点到终点均得到保护、加密对网络节点透明。缺点是某些信息必须以明文形式传输，容易被分析。此种加密已被广泛应用于各应用程序当中，并有相应的标准。3.2.2基于网络层的数据加密在总部到各分行，以及分行到支行建议采用VPN加密技术进行数据加密。VPN是通过标准的加密算法，对传输数据进行加密，在公用网上建立数据传输的加密“隧道”。加密实现是在IP层，与具体的广域网协议无关，也就是说适应不同的广域网信道（DDN、X.25、帧中继、PSTN等）。由于VPN技术已经拥有标准，因此所有的VPN产品可以实现互通。当然，银行可根据自身的需要，可选用专用加密设备进行数据传输加密。图3-2利用VPN技术对数据传输进行加密3.3防火墙自身的保护要保护网络安全，防火墙本身要保证安全，由于系统供电、硬件故障等特殊情况的发生，使防火墙系统瘫痪，严重阻碍网络通讯，网络的安全就无法保证，所以要求防求防火墙有冗余措施及足够防攻击的能力。图3-3防火墙双机备份方案四.系统的网络设备选型及说明4.1核心层交换机型号：H3C S5500-24P-SI 价格：￥8800 交换机：千兆以太网交换机 应用层级：三层交换 传输速率：10/100/1000 交换机接口：10/100/1000M SFP Combo 网管功能：支持FTP/TFTP加载升级、支持命令行接口（CLI）, Telnet, Console口进行配置、支持SNMPv1/v2/v3, WEB网管、支持RMON(Remote Monitoring)告警、事件、历史记录、支持系统日志, 分级告警, 调试信息输出、支持HGMPv2、支持NTP、支持电源的告警功能，风扇、温度告警、支持Ping、支持VCT、(Virtual Cable Test)电缆检测功能、支持DLDP(Device Link Detection Protocol)单向链路检测协议、支持detection端口环回检测 4.2汇聚层交换机型号：H3C LS-3600-28P-SI价格：￥4900交换机：千兆以太网交换机 应用层级：三层 传输速率：10/100/1000 交换机接口：10/100BASE-T, 1000BASE-SFP 网管功能：支持命令行接口配置,支持Telnet远程配置,支持通过Console口配置,支持SNMP,支持WEB网管,支持系统日志,支持分级告警背板带宽：32Gbps包转发率：9.6Mpps MAC地址表：16K VLAN功能：支持 网管支持：可网管型 端口结构：固定端口 接口数量：24个 网络标准：IEEE 802.1D, IEEE 802.1w, IEEE 802.1s 模块化插槽数：4个 堆叠功能：不可堆叠4.3接入层交换机型号：H3C LS-5024P-LI-AC 价格：￥3650 交换机：企业级交换机 应用层级：二层 传输速率：10/100/1000 交换机接口：10/100/1000Base-T, SFP 网管功能：支持命令行接口CLI（Command Line Interface）配置, 支持通过Console口配置, 支持WEB网管背板带宽：48Gbps 包转发率：36Mpps MAC地址表：8K VLAN功能：支持 网管支持：可网管型 端口结构：固定端口 接口数量：24个 网络标准：IEEE 802.1d, IEEE 802.1x, IEEE 802.3, IEEE 802.3u, IEEE 802.3x, IEEE 802.3z, IEEE 802.1Q, IEEE 802.1p模块化插槽数：4个 堆叠功能：不可堆叠4.4路由器型号：H3C RT-MSR3020-AC-H3 价格：￥7900 路由器类型：企业级路由器 路由器网管：网络管理,本地管理,用户接入管理 局域网接口：2个千兆以太电口 传输速率：10/100/1000Mbps 防火墙功能：内置 端口结构：模块化 路由器包转发率：200KPPS 安全标准：UL 60950 3rd Edition, CSA 22.2#950 3rd Edition 1995, EN 60950: 2000 + ZB & ZC deviations for European Union LVD Directive, IEC 60950:1999 + corr. Feb. 2000, modified + all National deviations VPN功能：支持VPN 扩展插槽：11个 其他控制端口：Console 路由器网络协议：IP服务,非IP服务,IP应用,IP路由,MPLS,IPv6,广域网协议,局域网协议 最大Flash内存：1024MB4.5服务器型号：X3500 产品简述:通过新的四核处理器及更快的内存技术获得更好的性能； 采用集成的解决方案管理您的 IT 资源； 通过可升级内存，I/O 和存储搭建 稳定服务器平台，保护您的IT投资市场价格:20000 详细参数：XeonE55202.26Ghz四核最高支持1066MHz内存频率5.86 GT/s QPI8MB 3级缓存DDR3 内存2*2GB热插拔2.5 SAS硬盘, 标配146GB SAS硬盘*1 ServerRAIDMR10iDVD-ROM双口千兆以太网3个PCI-Express Gen2 x8 插槽, 1个PCI-Express Gen2 x16插槽, 1个PCI-Express Gen1 x8 插槽, 1个33MHz PCI插槽1 个串口, 1个显卡接口, 6个USB 2.0端口(4个背面、2个正面)；3个RJ-45端口(2个以太网口,一个管理端口)IMM, 可选的远程管理920W热插拔电源, 可选冗余3年有限保修（3年部件，3年人工，3年现场）5 安全配置说明5.1防火墙技术防火墙可以作为不同网络或网络安全域之间信息的出入口，将内部网和公众网如Internet分开，它能根据企业的安全策略控制出入网络的信息流，且本身具有较强的抗攻击能力。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。防火墙技术可以有效控制的风险包括：5.1.1利用Finger来发掘用户信息，TCP/IP指纹识别确定操作系统类型，Telnet旗标确定操作系统类型，服务的旗标信息确定服务类型，对服务器进行端口扫描，Bind、Telnet、NFS、X-windows服务漏洞，从AD上查找前置机主机网络蠕虫堵塞整个网络，影响生产网络。5.1.2利用前置机群与生产主机之间的信任关系攻击生产网络核心，办公自动化服务器与前置机群或生产主机之间的信任关系攻击生产网络，蠕虫影响办公网内部Window平台，蠕虫影响办公网内部邮件系统，办公网应用形式较为丰富，因此对网络带宽消耗可能造成生产网的数据通信带宽不足，从而导致生产网不畅通5.1.3二级网点或支行与中心连接没有必要的访问控制和边界控制手段，因此来自二级网点或支行局域网的用户可能威胁办公自动化系统和中心生产系统，应用防火墙技术之后，有效的控制了上述风险的同时，可以简化管理。5.2网络防病毒体系5.2.1计算机病毒感染所造成的威胁以及破坏是目前广大计算机用户所面临的主要问题。本方案采用网络防病毒体系，可以对Windows2000/NT/95/98/3.x，以及DOS和Macintosh,Linux和UNIX等操作系统提供保护，作为一个一体化的网络防病毒解决方案，应具备特征代码检查方式和基于规则的变态分析器病毒扫描程序，从而检测到已知病毒。防病毒引擎可以从多个侧面和途径防止计算机病毒侵入系统，保护整个企业IT系统的安全，具有强大的功能和优秀的可管理性。5.2.2应用网络防病毒体系结构之后，可控制网络蠕虫堵塞整个网络，影响生产网络、病毒威胁桌面PC等风险；应用了网络防病毒技术之后，可以从三个层面有效防范病毒的传播和蔓延;internet下载、软盘和光盘传播、邮件传播。5.3网络入侵检测技术5.3.1应用入侵检测的网络监测功能、攻击行为检查、高速流量捕获、策略响应、防火墙联动、关联事件分析等技术要素，可实现如下风险的控制：利用Lotus Notes的Web服务器漏洞、利用Lotus Notes的Web服务器漏洞Lotus Notes配置信息被远程读取，利用Unix的FTP服务漏洞SITE EXEC漏洞，利用Bind服务漏洞、利用Telnet、NFS、X-windows服务漏洞。5.3.2Windows RPC DCOM远程溢出MS026和Windows RPC DCOM远程溢出MS039，TCP登录会话劫持发送一个伪造的报告到telnet/login/sh。5.3.3安装木马：应用网络入侵检测技术之后不仅有效控制了上述风险，同时入侵检测要求如自身安全性、抗IDS逃避、抗事件风暴等技术要素，有效避免了入侵检测自身引入的新的风险，同时分级管理、多用户权限、分布式部署的要求大大降低了管理员的负担。5.4网络安全审计技术本方案采用网络安全审计技术，主要针对使用互联网访问非法站点，传递和发布非法信息，内部网络中的资源滥用，内部商业信息泄漏等等问题。对被监控网络中的Internet使用情况进行监控，对各种网络违规行为实时报告，甚至对某些特定的违规主机进行封锁，以帮助网络管理员对网络信息资源进行有效的管理和维护。应用网络安全审计技术以后可以控制的风险包括：Internet资源被滥用，获取内部公文，帐表系统报表数据，内部通讯录和口令文件的shadow，破解系统管理员口令5.5VPN技术针对某市商业银行保证生产网络、办公网以及通信机