银行外联网络安全解决方案全攻略

1、银行外联网络安全解决方案全攻略网络的发展，正在引发一场人类文明的根本变革。网络已成为一个国家最为关键的政治、经济、军事资源，成为国家实力的新象征。同时，发展网络技术也是国民经济现代化建设不可缺的一个必要条件。能否把握网络给中国发展带来的机遇，将会直接影响21世纪中国的生存。另一方面，网络的发展也在不断改变人们的工作、生活方式，使信息的获取、传递、处理和利用更加高效、迅速。随着科学技术不断发展，网络已经成为人们生活的一个组成部分。随着网络的快速发展，各金融企业之间的竞争也日益激烈，主要是通过提高金融机构的运作效率，为客户提供方便快捷和丰富多彩的服务，增强金融企业的发展能力和影响力来实现的。为了适

2、应这种发展趋势，银行在改进服务手段、增加服务功能、完善业务品种、提高服务效率等方面做了大量的工作，以提高银行的竞争力，争取更大的经济效益。而实现这一目标必须通过实现金融电子化，利用高科技手段推动金融业的发展和进步，银行外联网络的建设为进一步提高银行业服务手段，促进银企的发展提供了有力的保障，并且势必为银行业的发展带来巨大的经济效益。然而随着网络应用不断扩大，它的反面效应也随着产生。通过网络使得黑客或工业间谍以及恶意入侵者侵犯和操纵一些重要信息成为可能，因而引发出网络安全性问题。正如我国著名计算机专家沈昌祥院士指出的：信息安全保障能力是21世纪综合国力、经济竞争实力和生存能力的重要组成部份，是世

3、纪之交世界各国在奋力攀登的制高点。二十世纪未，美国一些著名网站、银行、电子商务网站造受黑客攻击；黑客入侵微软窃取源代码软件等重要案件，都证明了网络安全的严重性，因此，解决银行外联网络安全问题刻不容缓。一 银行外联网络安全现状1、银行外联种类按业务分为：银行外联业务种类繁多，主要有：证银联业务、社保IC卡、房改公积金管理系统、代收中联通话费、代收移动话费、同城清算、人行税银库企系统、人行银行信贷登记系统、金融统计数据报送、国际收支数据报送、电子口岸、代收电费、代扣社保费、代收国税、代收地税、代收固话费、财局国库集中系统、统发工资系统、代收财政罚款、物业维修基金、非税系统、重要客户系统等等。按单位

4、分：随着外联业务的不断扩大，外联单位也不断增加，主要有：各个证券公司、社保局、房改办、联通公司、移动公司、海关、电力公司、国税局、地税局、电信公司、供水公司、政府政务网、人行金融网、银行的重客单位等等。按线路分：外联线路主要以专线为主，部分外联业务采用拨号方式，线路类型主要有：幀中继、SDH、DDN、城域网、拨号等。2、提供外联线路的运营商根据外联单位的不同需求，有多家运营商提供线路服务，主要有：电信公司、盈通公司、网通公司、视通公司等3、银行外联网络的安全现状及存在问题外联接入现状示意图：外联接入分为总行、一级分行、二级分行三个接入层次，据统计有80的外联单位是通过二级分行及以下层次接入的，

5、面对如此众多的外联接入单位，我行还没有一个统一规划的完善的外联网络安全防御体系，特别是对于有些二级分行的外联网络只有基本的安全防护，只在外网的接入口使用防火墙进行安全控制，整体而言，外联网络缺少一个统一规划的完善的安全防御体系，抗风险能力低。下面，针对外联网络中主要的安全风险点进行简单分析：（1）外联接入点多且层次低，缺乏统一的规划和监管，存在接入风险银行外联系统的接入五花八门，没有一个统一的接入规划和接入标准，总行、一级分行、二级分行、甚至经办网点都有接入点，据统计80的外联接入都是通过二级分行及以下层次接入的，由于该层次的安全产品和安全技术资源都非常缺乏，因此对外联接入的监管控制缺乏力度，

6、存在着接入风险。（2）缺少统一规范的安全架构和策略标准在外联网络中，全行缺少统一规范的安全架构和访问控制策略标准，对众多的外联业务没有分层分级设定不同的安全策略，在网络层没有统一的安全访问控制标准，比如：允许开放的端口、必须关闭的端口、需要控制访问的端口、安全传输协议等等；在外联业务应用程序的编写方面没有统一的安全标准；在防火墙策略制定上也没有统一的安全标准，因此外联网络的整体可控性不强。（3）缺乏数据传送过程中的加密机制目前与外联单位互相传送的数据大部分都是明码传送，没有统一规范的加密传送机制。（4）缺少统一的安全审计和安全管理标准。外联网络没有一个统一的安全审计和安全管理标准，在安全检查和

7、安全审计上没有一套行之有效的方法。为解决当前外联网络所存在的安全隐患，我们必须构建一个完善的银行外联网络安全架构，建立一套统一规划的完善的外联网络安全防御体系。下面我们将从银行外联网络安全规划着手，进行外联平台的网络设计，并对外联平台的安全策略进行统一规划，相应地提出外联业务平台安全审计的内容以及如何进行外联网络的安全管理，设计一套完善的银行外联网络安全解决方案。二 银行外联网络安全规划1、外联网络接入银行内部网的安全指导原则（1）外联网（Extranet）接入内部网络，必须遵从统一规范、集中接入、逐步过渡的原则。（2）总行对于外联网络接入内部网络建立统一的安全技术和安全管理规范，一级分行参照

8、规范要求对接入网路进行严格的控制，同时应建立数据交换区域，避免直接对业务系统进行访问。（3）各一级分行按照集中接入的原则，建立统一的外联网接入平台，减少外联网接入我行内部网络的接入点，将第三方合作伙伴接入我行内部网的接入点控制在一级分行，并逐步对二级行（含）以下的接入点上收至一级分行。（4）如果一个二级分行的外联合作伙伴较多，从节约线路费用的角度考虑，可以考虑外联接入点选择在二级分行，然后利用IPSec-VPN将二级分行的业务外联平台通过隧道与一级分行外联平台连接。（5）增加VPN的接入方式，与专线方式并存，接入点只设在一级分行及以上的层次，新增外联业务可考虑采用VPN接入方式。（6）出于安全

9、考虑，必须慎重选择是否允许第三方合作伙伴使用银行内部网络系统构建其自身业务网络的运作。（7）对于第三方合作伙伴通过互联网接入内部网的需求，只能通过总行互联网入口进行接入。2、外联业务平台规划的策略与同业往来业务、重点客户业务、中间代理业务互联要求业务外联平台提供足够的安全机制。多数外联业务要求平台稳定、可靠。为了满足安全和可靠的系统需求，具体策略如下：（1）采用防火墙和多种访问控制、安全监控措施（2）采用专线为主、拨号备份为备的双链路和主、备路由器增强可靠性（3）通过省行internet统一入口连接客户的VPN接入请求，由省行或总行统一规划VPN网络，统一认证和加密机制（4）采用IPSec技术

10、保证数据传输过程的安全（5）采用双防火墙双机热备（6）采用IDS、漏洞扫描工具（7）设立DMZ区，所有对外提供公开服务的服务器一律设置在DMZ区，将外部传入用户请求连到Web服务器或其他公用服务器，然后Web服务器再通过内部防火墙链接到业务前置区（8）设立业务前置区，外联业务平台以及外联业务前置机可放置此区域，阻止内网和外网直接通信，以保证内网安全（9）所有的数据交换都是通过外联前置网进行的，在未采取安全措施的情况下，禁止内部网直接连接业务外联平台。（10）为防止来自内网的攻击和误操作，设置内部网络防火墙（11）来自业务外联平台的特定主机经身份认证后才可访问内部网指定主机。（12）具体实施时主

11、要考虑身份认证、访问控制、数据完整性和审计等安全指标。三 外联业务平台设计1、外联业务平台的网络架构业务外联平台包括边界区、边界防火墙区、IDS区、DMZ区、内部路由器、业务前置区、内部防火墙。架构如下图： 2、外联业务平台的安全部署边界区边界区包括三台接入路由器，全部支持IPSec功能。一台是专线接入的主路由器；一台是拨号接入的备路由器，当主线路故障或客户有拨号接入需求时客户可通过此拨号路由器接入，拨号接入要有身份认证机制；还有一台是VPN接入方式的路由器。将IPSec部署在边界路由器上是保证端对端数据传输的完整性和机密性，保护TCP/IP通信免遭窃听和篡改。对于INTERNET的VPN接入

12、方式,可并入分行INTERNET统一出口进行VPN隧道的划分，连接有VPN接入需求的外联单位。边界防火墙区边界防火墙区设置两台防火墙互为热备份。在防火墙的内侧和外侧分别有一台连接防火墙的交换机，从安全的角度出发，连接两台防火墙采用单独的交换机，避免采用VLAN造成的安全漏洞。两台防火墙之间的连接根据设备的不同而不同，以能够可靠地为互相备份的防火墙提供配置同步和心跳检测为准。入侵检测IDS能够实时准确地捕捉到入侵，发现入侵能够及时作出响应并记录日志。对所有流量进行数据分析，过滤掉含有攻击指令和操作的数据包，保护网络的安全，提供对内部攻击、外部攻击和误操作的实时保护。DMZ区建立非军事区（DMZ）

13、, 是为不信任系统提供服务的孤立网段，它阻止内网和外网直接通信，以保证内网安全，在非军事区上设置并安装基于网络的实时安全监控系统,所有对外提供公开服务的服务器一律设置在DMZ,其中WWW、E-mail、FTP、DNS服务器置于非军事区（DMZ）内部路由器区内部路由器区设置一台用于连接业务外联平台和业务前置区的路由器。业务前置区设立独立的网络区域与业务外联平台的交换信息，并采取有效的安全措施保障该信息交换区不受非授权访问。内部防火墙内部防火墙可以精确制定每个用户的访问权限，保证内部网络用户只能访问必要的资源，内部防火墙可以记录网段间的访问信息，及时发现误操作和来自内部网络其他网段的攻击行为。病毒

14、防范和漏洞扫描在服务器、前置机上安装网络版防病毒软件，及时在线升级防病毒软件，打开防病毒实时监控程序，设定定期查杀病毒任务，及时抵御和防范病毒。定期对网络设备进行漏洞扫描，及时打系统补丁。路由采用静态路由，边界的主、备路由器采用浮动静态路由，当主链路不通时，通过备份链路建立连接。网管从安全的角度考虑，业务外联平台的网管采用带外网管。网管服务器和被管理设备的通讯通过单独的接口。用PVLAN使被管理设备只能通过网管专用的接口与网管服务器连接，而被管理设备之间不能互通。为了防备网管服务器被控制的可能性，规划独立的网管服务器为业务外联平台服务。网管平台能够对业务外联平台进行状态管理、性能管理、配置管理

15、、故障管理。带外网管平台采用单独的交换机，以保证系统的安全。QOS在数据包经过内层防火墙进入管理区域后立即打上QOS标记，使外联平台的数据包按照规定的优先级别占用网络资源。四 外联业务平台安全设计策略1 外联接入线路安全设计策略外联接入线路有3种方式：传统的专线方式、正在快速发展的基于公网的VPN方式、拨号方式。专线方式，银行传统的外联接入方式大部分都是采用专线与外单位相联，专线的选择有：帧中继、DDN、SDH、ATM等等。专线的优点是线路私有、技术成熟、稳定，传输的安全性比较有保障，但也存在设备投入大，对技术维护人员的技术要求较高，线路费用昂贵、接入不灵活等缺点。并且由于对线路的信任依赖，大

16、多数专线中传递的信息没有考虑任何数据安全，明码传送，存在很大的安全隐患。VPN方式，现在国际社会比较流行的利用公共网络来构建的私有专用网络VPN（Virtual Private Network），用于构建VPN的公共网络包括Internet、帧中继、ATM等。在公共网络上组建的VPN具有线路费用低廉，易于扩展，接入灵活，网络通信安全，网络设计简单，特别是易于实现集中管理，减少接入点，接入点可以只设在一级分行以上的层次，方便统一管理和安全控制。拨号方式，有些外联单位只与银行交换简单的代收发文件，使用的间隔周期也比较长，为节约费用只按需拨号进行连接，拨号方式的特点是费用低廉但缺乏安全保障。这3种方

17、式各有优缺点，但从技术的成熟性和保护现有设备投资的方面考虑，专线方式和拨号方式还是我们的主流方式。但从长远考虑，随着VPN技术的成熟和合作伙伴应用互联网的普及，VPN方式将会由于它显著的优点而逐渐成为主流，因此，我们引入VPN接入方式，目前我们三种接入方式并存，今后将逐渐用VPN方式取代专线方式和拨号方式，这样不仅能够统一接入层次，减少接入点，降低线路费用，而且方便统一管理和安全控制。 对于接入专线的物理层和数据链路层安全是由运营商保障的，在边界接入路由器上设置静态路由、采用安全访问控制实现网络层的安全控制，为保证数据传输的机密性和完整性，建议在银行外联网络中采用IPSec技术，在接入端统一安

18、装支持IPSec功能的接入路由器。 对于VPN方式的接入，VPN虽然构建在公用数据网上，但可以通过附加的安全隧道、用户认证和访问控制等技术实现与专用网络相类似的安全性能，从而实现对重要信息的安全传输。与企业独立构建专用网络相比，VPN具有节省投资、易于扩展、简化管理等特点。对于拨号接入我们采用AAA认证的方式验证拨入方的身份。2 外联业务平台物理层安全设计策略物理层安全是指设备安全和线路安全，保障物理安全除了要遵守国家相关的场地要求和设计规范外，还要做好相关设备的备份、关键线路的备份、相应数据的备份。定期对网络参数、应用数据、日志进行备份，定期对备份设备进行参数同步。3 外联业务平台网络层安全

19、设计策略 外联业务平台安全设计的重点就是如何进行网络层的安全防护，在网络层我们采用了防火墙技术、入侵检测技术、VPN技术、IPSec技术、访问控制技术等多种安全技术进行网络层的安全防护。（1）部署边界防火墙和内部防火墙在总行、一级分行、二级分行各级外联接入点的边界都应安装边界防火墙，边界防火墙的任务有： 通过对源地址过滤，拒绝外部非法IP地址，有效地避免外部网络上与业务无关的主机的越权访问，防火墙只保留有用的服务；关闭其他不要的服务，可将系统受攻击的可能性降低到最小限度，使黑客无机可乘；制定访问策略，使只有被授权的外部主机可以访问内部网络的有限的IP地址，保证外部网络只能访问内部网络中必要的资

20、源，与业务无关的操作将被拒绝;由于外部网络对DMZ区主机的所有访问都要经过防火墙，防火墙可以全面监视外部网络对内部网络的访问活动，并进行详细地记录，通过分析可以发现可疑的攻击行为；对于远程登录的用户，如telnet等，防火墙利用加强的认证功能，可以有效地防止非法入侵；集中管理网络的安全策略，因此黑客无法通过更改某一台主机的安全策略来达到控制其他资源，获取访问权限的目的；进行地址转换工作，使外部网络不能看到内部网络的结构，从而使黑客攻击失去目标。在内部网和业务前置区之间部署内部防火墙，内部防火墙的任务有：精确制定每个用户的访问权限，保证内部网络用户只能访问必要的资源记录网段间的访问信息，及时发现

21、误操作和来自内部网络其他网段的攻击行为。（2）部署入侵检测系统入侵检测是防火墙技术的重要补充，在不影响网络的情况下能对网络进行检测分析，从而对内部攻击、外部攻击和误操作进行实时识别和响应，有效地监视、审计、评估网络系统。入侵检测和漏洞扫描技术结合起来是预防黑客攻击的主要手段。入侵检测的主要功能有：检测并分析用户和系统的活动核查系统配置和漏洞评估系统关键资源和数据文件的完整性识别已知的攻击行为统计分析异常行为操作系统日志管理，并识别违反安全策略的用户活动入侵检测技术主要可以分为基于主机入侵检测和基于网络入侵检测两种。基于主机的系统通过软件来分析来自各个地方的数据，这些数据可以是事件日志（LOG文

22、件）、配置文件、PASSWORD文件等；基于网络的系统通过网络监听的方式从网络中获取数据，并根据事先定义好的规则检查它，从而判定通讯是否合法 。（3）应用VPN 对于VPN接入方式，在接入端采用专用VPN设备，VPN的实现技术是通过公用网在各个路由器之间建立VPN安全隧道来传输用户的私有网络数据，用于构建这种VPN连接的隧道技术有IPSEC等。结合服务商提供的QOS机制，可以有效而且可靠的使用网络资源，保证了网络质量。VPN大致包括三种典型的应用环境，即Intranet VPN, Remote Access VPN和Extranet VPN。其中Intranet VPN主要是在内部专用网络上提

23、供虚拟子网和用户管理认证功能；Remote Access VPN侧重远程用户接入访问过程中对信息资源的保护；而Extranet VPN则需要将不同的用户子网扩展成虚拟的企业网络。我们所推荐使用的是Extranet VPN，并且建议今后逐渐用VPN的外联接入方式取代专线接入方式，VPN技术将是今后外联接入的发展方向，VPN技术取代专线将指日可待。VPN技术的优点主要包括：信息的安全性。虚拟专用网络采用安全隧道(Secure Tunnel)技术向用户提供无缝(Seamless)的和安全的端到端连接服务，确保信息资源的安全。方便的扩充性。用户可以利用虚拟专用网络技术方便地重构企业专用网络(Priva

24、te Network)，实现异地业务人员的远程接入，加强与客户、合作伙伴之间的联系，以进一步适应虚拟企业的新型企业组织形式。方便的管理。VPN将大量的网络管理工作放到互联网络服务提供者(ISP)一端来统一实现，从而减轻了企业内部网络管理的负担。同时VPN也提供信息传输、路由等方面的智能特性及其与其他网络设备相独立的特性，也便于用户进行网络管理。显著的成本效益。利用现有互联网络发达的网络构架组建外联网络，从而节省了大量的投资成本及后续的运营维护成本。 （4）应用IPSecIPSec由IETF下属的一个IPSec工作组起草设计的，在IP协议层上对数据包进行高强度的安全处理，提供数据源验证、无连接数

25、据完整性、数据机密性、抗重播和有限业务流机密性等安全服务。各种应用程序可以享用IP层提供的安全服务和密钥管理，而不必设计和实现自己的安全机制，因此减少了密钥协商的开销，也降低了产生安全漏洞的可用性。IPSec弥补了由于TCP/IP协议体系自身带来的安全漏洞，可以保护TCP/IP通信免遭窃听和篡改，保证数据的完整性和机密性，有效抵御网络攻击，同时保持易用性。IPSec可连续或递归应用，在路由器、防火墙、主机和通信链路上配置，实现端到端安全、虚拟专用网络（VPN）和安全隧道技术。IPSec的缺点是不能兼容NAT技术，当防火墙和路由器采用NAT技术对IP包进行地址转换时，IPSec包不能通过。因此，

26、需要使用IPSec功能时必须采用NAT-T技术实现IPSec穿越NAT。（5）网络层的访问控制策略禁止来自业务外联平台的的访问直接进入内部网限制能开通的服务或端口设立与内部网隔离的指定的数据交换区，来自业务外联平台的的访问只能到达指定的数据交换区能对进入指定数据交换区的主体限制到主机能经过代理实现指定客户对内部网指定主机和业务的访问4 外联业务平台系统层安全设计策略 操作系统因为设计和版本的问题，存在许多的安全漏洞，同时因为在使用中安全设置不当，也会增加安全漏洞，带来安全隐患，因此要定期漏洞扫描，及时升级、及时打补丁。5 外联业务平台应用层安全设计策略 根据银行专用网络的业务和服务，采用身份认

27、证技术、防病毒技术以及对各种应用服务的安全性增强配置服务，保障网络系统在应用层的安全。 （1）身份认证技术公开密钥基础设施（PKI）是一种遵循标准的密钥管理平台，能够为所有网络应用透明地提供采用加密和数字签名等密码服务所必需的密钥和证书管理。在总行和省行网络中心建立CA中心，为应用系统的可靠运行提供支持。进入指定数据交换区必须进行基于口令的身份认证。以拨号方式连接业务外联平台时，在拨号连接建立之前，必须通过基于静态口令、动态口令或拨号回呼的身份认证。为了配合全行的集中认证工程，认证服务器必须采用全行统一规定的标准协议，能够支持多级认证体系结构。在集中认证系统投入使用之前，AAA服务器能够独立完

28、成认证、授权和审计任务。在集中认证体系投入使用之后，AAA服务器能够实现向上级认证服务器的认证请求转发，实现集中认证。（2）防病毒技术病毒是系统中最常见、威胁最大的安全来源。我们必须有一个全方位的外联网病毒防御体系，目前主要采用病毒防范系统解决病毒查找、清杀问题。五 外联业务平台安全审计对进出业务外联平台的访问必须进行审计，要求如下：能够生成进出业务外联平台的的访问日志日志内容包括访问时间、主体和客体地址信息、访问方式、访问业务、访问成败情况、持续时间、同一访问发起建立连接次数、本次访问通信流量等对所记录的日志具有格式化的审计功能，能针对不同主体、客体、时间段、访问成败等情况进行统计并形式化输

29、出网络审计，防止非法内连和外连数据库审计，以更加细的粒度对数据库的读取行为进行跟踪应用系统审计，例如公文流转经过几个环节，必须要有清晰的记录主机审计，包括对终端系统安装了哪些不安全软件的审计，并设置终端系统的权限等等介质审计，包括光介质、磁介质和纸介质的审计，防止机密信息通过移动U盘、非法打印或者照相等多个环节从信息系统中泄密。对重要服务器的操作要有记录；对外网（互联网）连接记录要有针对性的审计；对网络内的流量、网络设备工作状态进行审计；对重要的数据库访问记录要进行有效的审计六 外联网络安全管理要保障外联网络安全运行，光靠技术控制还远远不够，还要注意加强在安全管理方面的工作。就现阶段而言，网络

30、安全最大的威胁不是来自外部，而是内部的安全制度、操作规范和安全监督机制。人是信息安全目标实现的主体，网络安全需要全体人员共同努力，避免出现木桶效应。为此应着重解决好几个方面的问题。1、组织工作人员加强网络安全学习，提高工作人员的维护网络安全的警惕性和自觉性，提高保密观念，提高安全意识，提高操作技能。2、加强管理，建立一套行之有效的外联网络安全管理制度和操作人员守则，建立定期检查制度和有效的监督体系。3、大力推进外联应用软件的标准化，研究各种安全机制，创造一个具有安全设置的开发环境。4、建立完善的管理制度（1）建立外联网络联网规定和联网操作流程。（2）建立责任分工制度，权限管理制度，明确岗位和职责