银行整体网络安全解决方案.docxVIP

银行 整体网络安全解决方案 （Total Security Solution of Bank） 2003 年 5 月 Vanda China Operation 1、综述 随着计算机和网络的普及，原本只有少数人掌握的计算机和网络知识已不再 神秘，病毒和黑客攻击层出不穷。据统计 70％的网络攻击行为来自与内部，可 以说哪里有网络、有重要信息，哪里就有攻击、有安全问题，无论是否与 Internet 相联。现在我国已正式加入 WTO，银行面临着外资银行的竞争，网络银行和业务 数据电子化已成为重要的竞争手段。我国银行的网络已不可能像以前那样自成体 系，更多的与外界互联互通已势在必行。如果不及时解决安全问题，届时网络的 安全性就会对业务发展造成阻碍，使得业务无法正常进行。所以安全不是一种保 险，而是一种增值。 随着 Internet 的迅猛发展，现在的网络攻击技术新、变化快，往往会在短 时间内造成巨大的破坏，同时由于互联网的传播使黑客技术具有更大的普及性和 破坏性，都会给银行网络造成很大的威胁。 长期以来，网新易尚公司在帮助银行用户实施信息系统安全的过程中积累了 大量经验，并已发展成为一整套完善的实践方法。网新易尚公司的安全服务专家 能够帮助银行用户更加全面的认识信息安全技术、评估网络的安全隐患及薄弱环 节，进一步完善银行网络系统安全架构(SecuFrameWork)，通过共同规划、设计、 实施、运作，为银行的网络系统、网上应用与网上交易构建高度安全的运行环境。 因此，网新易尚公司依据自己多年银行应用系统集成和信息安全领域积累的 丰富经验基础上，吸纳国外先进的安全设计理念和方法，推出了一套适合于银行 网络的整体网络安全解决方案——Total Security Solution of Bank。 在该方案的设计中，网新易尚公司以国内银行网络的关键业务和核心资源为 出发点，分析了国内银行业务系统现有的和潜在的网络安全问题，并从系统、网 络、应用和管理四个层次全面的分析了银行网络系统的安全隐患；然后根据网新 易尚公司安全系统设计的原则、提出整体解决方案，并提出了能够动态的提高系 统安全的安全服务，从而达到国内银行业务系统网络安全保护目的。 1 Vanda China Operation 2、银行网络应用和安全现状 目前我国银行网络通常以总行为中心，各地分、支行通过电信的帧中继线路或 DDN 与总行进行连接。银行主要应用有：储蓄、对公、信用卡、储蓄卡、IC卡、国际业务、电子汇兑、电子邮件、电子公文、网上银行、网上交易系统、新的综合对公业务、国际业务信贷系统等。同时各地分支行又根据业务发展情况，通过 DDN 专线连接到其他行业领域，并陆续开办了网上银行、银证转券及各种代收业务，诸如电话费、水电费等等。 银行网络一个多应用和多连接的网络。多应用体现在网络中同时运行着生产系统、中间业务系统、其他业务系统和办公系统，其中生产系统又分为储蓄、对公、储蓄卡等业务系统；多连接体现为网络连接既有节点内部不同网段的连接（如生产网段和办公网段连接），又有节点间的连接（如总行到省行的连接、省行到地市行的连接、地市行到支行和网点的连接），同时还存在许多外部连接（如省行与总行和人行的连接、省行或地市行与企业用户的连接、与网上银行的连接、拨号用户接入等）。这些应用和连接，很好的帮助了银行用户提高计算机在银行系统中的应用水平，实现金融电子信息化。 但是我们应该意识到事务的两面性，随着应用的不断增加，网络安全风险也会不断暴露出来。原来由单个计算机安全事故引起的损害可能传播到其他系统和主机，引起大范围的瘫痪和损失。而且由于银行属于商业系统，都有一些各自的商业机密信息，如果这些涉密信息在网上传输过程中泄密，其造成的损失将是不可估量的。 目前的银行一般安全措施主要有：依靠操作系统的自身的身份认证功能，通过路由器的访问控制列表和划分 VLAN 的方式隔离网络，以及防病毒系统。 以上这些安全措施已经不适应现代金融系统的安全需求，具体的安全风险分析见下一章节。 2 Vanda China Operation 3、安全风险分析 2．1 系统层安全风险分析 经过分析，在银行网络中系统层安全风险主要包括：操作系统和数据库漏洞 造成的安全风险、以及网络病毒攻击的造成的安全风险。 操作系统和数据库漏洞 由于在银行网络使用的操作系统有着内在的安全弱点和脆弱性，而针对各种 操作系统和数据库系统的漏洞的详细描述在互联网上非常普及，针对操作系统和 数据库的入侵攻击在互联网络中也是最多最常见的。另外一方面，不管是什么操 作系统或者数据库系统，只要它运行于网络上，就必然会有或多或少的端口服务 暴露在网络上，而这些端口服务又恰恰可能存在致命的安全漏洞，这无疑会给银 行计算机系统带来严重的安全威胁。 网络病毒入