基于安全视角的外汇局基层骨干网络研究.docVIP

基于安全视角的外汇局基层骨干网络研究 　　摘 要：随着互联网技术的快速发展，金融监管机构依托网络的各类业务应运而生，在提供便利化服务，履行事中事后监管的同时，遭受不法分子利用网络自身脆弱性，窃取数据、中断服务的事件时有发生。采用相关防控技术，加强网络自我防御能力，构建安全可信网络，成为当前金融领域网络研究的重要课题。本文从外汇局基层骨干网络安全风险研究入手，探索安全网络的特性，结合实际情况，提出安全防护建议，营造安全可信的网络环境，切实提升外汇管理领域金融服务水平。 　　关键词：金融服务；外汇管理；网络安全 　　中图分类号：F830.92 文献标识码：B 文章编号：1674-0017-2016（12）-0098-03 　　一、引言 　　网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。 　　近年来，利用网络漏洞实施网络攻击，造成金融信息泄漏、金融服务中断的事件屡见不鲜。2015年我国金融行业遭受网站仿冒页面10.62万余个，占总量的59%，发生数据外泄事件33起，被盗数，遭遇1Gbit/s以上的DDos（分布式拒绝服务）攻击近38万次，金融领域已成为网络安全防护的重点。 　　基层外汇局承担着辖区外汇管理改革和相关外汇服务的职能，信息化应用和网络规划较早，现所有业务受理、数据监测统计都依托系统和网络开展。近年来，系统经过了多次升级完善，但网络未进行较大改进，已经无法满足新时期网络安全的要求，急需采取措施防范风险。本文通过分析当前基层骨干网络存在的安全问题，研究安全网络应具有的特性，提出安全防控的建议，旨在建立安全可信的网络环境，确保基础网络和关键信息系?y的安全运行。考虑到网络自有信息的敏感性，本文对网络产品型号、参数配置等信息进行了屏蔽。 　　二、基层骨干网络基本情况 　　（一）基层骨干网络的定义及作用。基层骨干网络是指国家外汇管理局（以下简称“总局”）和各省分局之间，通过租用运营商线路，形成的独立的、专用的网络。区别于公共互联网以及人民银行分行到总行、分行到中心支行的网络，专门承载外汇局各业务系统和内部门户的基础支撑网络。骨干网络涵盖终端、服务器、网络设备和运营商线路等硬件，各类操作系统、数据库、中间件、安全防护等软件，独立IP地址、权限管理和运维应急手册等相关制度。 　　（二）基层骨干网络的历史和现状。20世纪90年代我国互联网应用初期，分局与总局之间采用拨号上网的方式互联，2000年分局申请了与总局的帧中继专线。 　　随着网络技术的发展和外汇局信息化要求的提高，2003年底，为了实现骨干网全网提速，支持新兴的网络应用，全面提高网络可用性、稳定性和可靠性，在总局的统一部署下，对分局骨干网络进行了扩容改造。改造后的骨干网继续采用原有的星型拓扑结构，分局增加了1台路由器，通过租用电信运营商2条专用链路，与总局核心路由器直连。制定了分局IP地址管理规范，和总局上联的路由设备及分局服务器使用外汇局网段的IP地址，PC终端部分保留外汇局的IP地址，作为人民银行的一个虚拟网络管理，其余终端使用人民银行的局域网络和网段的IP地址，并通过地址映射访问分局服务器和总局网络。外汇局基层骨干网络雏形基本形成。 　　2008年为进一步优化网络结构，总局为分局骨干网络新增了2台交换机和1台路由器。将原来与总局连接的2条捆绑2M链路拆分，将其中1条连接到新增的路由器上，重新部署动态路由协议，使得拆分后的2条链路实现热备和负载均衡。2台新增交换机通过堆叠方式互联，并分别与原有的及新增的路由器连接，另一边连接分局内部网络。内部网络方面，分局与辖内中心支局使用人民银行广域网连接，与辖内商业银行使用人民银行金融城域网实现互联。至此基层骨干网络构建完成，一直沿用至今。 　　三、基层骨干网络安全特性研究 　　（一）总体来说，安全的网络要遵循以下几个原则。1.平衡分析原则。绝对安全的网络是不存在的，也没有存在的必要。在设计网络时，要综合考虑需求、风险和实现代价这三方面的因素，平衡三者之间的关系，确定最优的方案。 　　2.网络安全原则。网络安全体系应当包括安全防护、安全监测和安全恢复三个方面，能对各类安全威胁进行及时防护，第一时间发现并阻止对系统造成的攻击和在安全措施失效时及时进行应急处置和内容恢复，减少带来的损失。 　　3.高可用性原则。网络是基础环境，通过其上运行的各类系统和应用实现价值。因此网络要满足应用提出的稳定性、可靠性和方便性等要求。 　　4.可发展性原则。整体规划设计要综合考虑网络规模的升级改造，网络结构的优化调整，要求网络能适应规模及安全需求在一定时间和范围的变化，具有可发展性，容易进行调整和升级改造