銀行系統(tǒng)的安全設(shè)計(jì)與網(wǎng)絡(luò)拓?fù)鋱D

1、 目錄1 銀行系統(tǒng)的安全設(shè)計(jì)11.1 非法訪問11.2 竊取PIN/密鑰等敏感數(shù)據(jù)11.3 假冒終端/操作員11.4 截獲和篡改傳輸數(shù)據(jù)11.5 網(wǎng)絡(luò)系統(tǒng)可能面臨病毒的侵襲和擴(kuò)散的威脅11.6 其他安全風(fēng)險(xiǎn)12 銀行系統(tǒng)的網(wǎng)絡(luò)拓?fù)鋱D與說明23 銀行系統(tǒng)的網(wǎng)絡(luò)安全部署圖與說明33.1 敏感數(shù)據(jù)區(qū)的保護(hù)33.2 通迅線路數(shù)據(jù)加密33.3 防火墻自身的保護(hù)44 系統(tǒng)的網(wǎng)絡(luò)設(shè)備選型與說明54.1 核心層交換機(jī)54.2 匯聚層交換機(jī)54.3 接入層交換機(jī)64.4 路由器64.5 服務(wù)器75安全配置說明85.1 防火墻技術(shù)85.2 網(wǎng)絡(luò)防病毒體系85.3 網(wǎng)絡(luò)入侵檢測技術(shù)85.4 網(wǎng)絡(luò)安全審計(jì)技術(shù)95.5

2、 VPN技術(shù)9總結(jié)10一銀行系統(tǒng)的安全設(shè)計(jì)銀行網(wǎng)絡(luò)作為一個(gè)金融網(wǎng)絡(luò)系統(tǒng)，由于涉與信息的敏感性自然會(huì)成為部和外部黑客攻擊的目標(biāo)，當(dāng)前銀行面臨的主要風(fēng)險(xiǎn)和威脅有：1.1非法訪問：銀行網(wǎng)絡(luò)是一個(gè)遠(yuǎn)程互連的金融網(wǎng)絡(luò)系統(tǒng)。現(xiàn)有網(wǎng)絡(luò)系統(tǒng)利用操作系統(tǒng)網(wǎng)絡(luò)設(shè)備進(jìn)行訪問控制，而這些訪問控制強(qiáng)度較弱，攻擊者可以在任一終端利用現(xiàn)有的大量攻擊工具發(fā)起攻擊；由于整個(gè)網(wǎng)絡(luò)通過公用網(wǎng)絡(luò)互連同樣存在終端進(jìn)行攻擊的可能；另一方面銀行開發(fā)的很多增值業(yè)務(wù)、代理業(yè)務(wù)，存在大量與外界互連的接口這些接口現(xiàn)在沒有強(qiáng)的安全保護(hù)措施存在外部網(wǎng)絡(luò)通過這些接口攻擊銀行，可能造成巨大損失。1.2竊取PIN/密鑰等敏感數(shù)據(jù)：銀行信用卡系統(tǒng)和柜臺(tái)系統(tǒng)采

3、用的是軟件加密的形式保護(hù)關(guān)鍵數(shù)據(jù)，軟件加密采用的是公開加密算法（DES），因此安全的關(guān)鍵是對(duì)加密密鑰的保護(hù)，而軟件加密最大的安全隱患是無法安全保存加密密鑰，程序員可修改程序使其運(yùn)行得到密鑰從而得到主機(jī)中敏感數(shù)據(jù)。1.3假冒終端/操作員：銀行網(wǎng)絡(luò)中存在大量遠(yuǎn)程終端通過公網(wǎng)與銀行業(yè)務(wù)前置機(jī)相連國銀行以出現(xiàn)多起在傳輸線路上搭接終端的案例。銀行網(wǎng)絡(luò)同樣存在大量類似安全隱患?，F(xiàn)有操作員身份識(shí)別唯一，但口令的安全性非常弱因此存在大量操作員假冒的安全風(fēng)險(xiǎn)。1.4截獲和篡改傳輸數(shù)據(jù)：銀行現(xiàn)有網(wǎng)絡(luò)系統(tǒng)通過公網(wǎng)傳輸大量的數(shù)據(jù)沒有加密，由于信息量大且采用的是開放的TCP/IP，現(xiàn)有的許多工具可以很容易的截獲、分析甚

4、至修改信息，主機(jī)系統(tǒng)很容易成為被攻擊對(duì)象。1.5網(wǎng)絡(luò)系統(tǒng)可能面臨病毒的侵襲和擴(kuò)散的威脅：（1）黑客侵?jǐn)_類似于網(wǎng)絡(luò)間諜，但前者沒有政治和經(jīng)濟(jì)目的，利用自己精通計(jì)算機(jī)知識(shí)，利用他人編程的漏洞，侵入金融信息系統(tǒng)，調(diào)閱各種資料，篡改他人的資料，將信息在公用網(wǎng)上散發(fā)廣播等。 （2）計(jì)算機(jī)病毒是一種依附在各種計(jì)算機(jī)程序中的一段具有破壞性、能自我繁衍的計(jì)算機(jī)程序，它通過軟盤、終端或其它方式進(jìn)入計(jì)算機(jī)系統(tǒng)或計(jì)算機(jī)網(wǎng)絡(luò)，引起整個(gè)系統(tǒng)或網(wǎng)絡(luò)紊亂，甚至造成癱瘓。1.6其他安全風(fēng)險(xiǎn)：主要有系統(tǒng)安全（主要有操作系統(tǒng)、數(shù)據(jù)庫的安全配置）以與系統(tǒng)的安全備份等。二銀行系統(tǒng)的網(wǎng)絡(luò)拓?fù)鋱D與說明隨著信息技術(shù)的發(fā)展，社會(huì)的信息化程度

5、提高了，網(wǎng)絡(luò)銀行、電子銀行出現(xiàn)了，整個(gè)銀行業(yè)、金融業(yè)都依賴于信息系統(tǒng)。交易網(wǎng)絡(luò)化、系統(tǒng)化、快速化和貨幣數(shù)字經(jīng)是當(dāng)前金融業(yè)的特點(diǎn)，這對(duì)金融信息系統(tǒng)的安全性提出了嚴(yán)格的要求。金融信息系統(tǒng)必須保證金融交易的性、完整性、訪問控制、鑒別、審計(jì)、追蹤、可用性、抗抵賴性和可靠性。為了適應(yīng)金融業(yè)的需要，各家銀行都投資建網(wǎng)。但是，由于各種因素的制約，網(wǎng)絡(luò)的安全體系不完善，安全措施不完備，存在嚴(yán)重的安全漏洞和安全隱患。這些安全漏洞和隱患有可能造成中國的金融風(fēng)暴，給國家?guī)碇卮髶p失，因此必須采取強(qiáng)有力的措施，解決銀行網(wǎng)絡(luò)的安全問題。銀行系統(tǒng)在鎮(zhèn)中共有兩處營業(yè)點(diǎn)，其中一營業(yè)點(diǎn)與鎮(zhèn)分理處相距1500米，主要有一層樓用于

6、銀行辦理業(yè)務(wù)，另一營業(yè)點(diǎn)與分理處在一處辦公，是二層樓，一層是營業(yè)點(diǎn)，二層是分理處，各司其職。圖2-1網(wǎng)絡(luò)拓?fù)鋱D3 銀行系統(tǒng)的網(wǎng)絡(luò)安全部署圖與說明3.1敏感數(shù)據(jù)區(qū)的保護(hù)銀行系統(tǒng)存在許多敏感數(shù)區(qū)域（如銀行業(yè)務(wù)系統(tǒng)主機(jī)等），這些敏感的數(shù)據(jù)區(qū)域要求嚴(yán)格，對(duì)訪問的權(quán)限有嚴(yán)格的限制，但所有的主機(jī)處于同一個(gè)網(wǎng)絡(luò)系統(tǒng)之，如不加以控制，這樣很容易造成網(wǎng)與網(wǎng)外的惡意攻擊，所以在這些數(shù)據(jù)區(qū)域的出入口要加以嚴(yán)格控制，在這些地方放置防火墻，防火墻執(zhí)行以下控制功能。3.1.1對(duì)來訪數(shù)據(jù)包進(jìn)行過濾，只允許驗(yàn)證合法主機(jī)數(shù)據(jù)包通過，禁止一切非授權(quán)主機(jī)訪問。3.1.2對(duì)來訪用戶進(jìn)行驗(yàn)證。防上非法用戶侵入。3.1.3運(yùn)用網(wǎng)絡(luò)地址轉(zhuǎn)

7、換與應(yīng)用代理使數(shù)據(jù)存儲(chǔ)區(qū)域與業(yè)務(wù)前端主機(jī)隔離，業(yè)務(wù)前端主機(jī)不直接與數(shù)據(jù)存儲(chǔ)區(qū)域建立網(wǎng)絡(luò)連接，所有的數(shù)據(jù)訪問通過防火墻的應(yīng)用代理完成，以保證數(shù)據(jù)存儲(chǔ)區(qū)域的安全。圖3-1敏感數(shù)據(jù)區(qū)保護(hù)方案3.2通迅線路數(shù)據(jù)加密在銀行的廣域網(wǎng)傳輸系統(tǒng)中，從總行到分行、分行到支行、支行到分理處等，廣泛應(yīng)用到幀中繼、X.25、DDN、PSTN等等之類的通用線路，但這些線路大多數(shù)都是由通訊公司提供，與許多用戶在一套系統(tǒng)上使用他們的業(yè)務(wù)，由于這些線路都是暴露在公共場所，這樣很容易造成數(shù)據(jù)被盜。傳輸數(shù)據(jù)當(dāng)中如果不進(jìn)行數(shù)據(jù)加密，后果可想而知。所以對(duì)數(shù)據(jù)傳輸加密這是一非常重要的環(huán)節(jié)。對(duì)網(wǎng)絡(luò)數(shù)據(jù)加密大致分為以下幾處區(qū)域：3.2.1

8、應(yīng)用層加密建立應(yīng)用層加密，應(yīng)用程序?qū)ν饨缃粨Q數(shù)據(jù)時(shí)進(jìn)行數(shù)據(jù)加密。主要優(yōu)點(diǎn)是使用方便、網(wǎng)絡(luò)中數(shù)據(jù)從源點(diǎn)到終點(diǎn)均得到保護(hù)、加密對(duì)網(wǎng)絡(luò)節(jié)點(diǎn)透明。缺點(diǎn)是某些信息必須以明文形式傳輸，容易被分析。此種加密已被廣泛應(yīng)用于各應(yīng)用程序當(dāng)中，并有相應(yīng)的標(biāo)準(zhǔn)。3.2.2基于網(wǎng)絡(luò)層的數(shù)據(jù)加密在總部到各分行，以與分行到支行建議采用VPN加密技術(shù)進(jìn)行數(shù)據(jù)加密。VPN是通過標(biāo)準(zhǔn)的加密算法，對(duì)傳輸數(shù)據(jù)進(jìn)行加密，在公用網(wǎng)上建立數(shù)據(jù)傳輸?shù)募用堋八淼馈?。加密?shí)現(xiàn)是在IP層，與具體的廣域網(wǎng)協(xié)議無關(guān)，也就是說適應(yīng)不同的廣域網(wǎng)信道（DDN、X.25、幀中繼、PSTN等）。由于VPN技術(shù)已經(jīng)擁有標(biāo)準(zhǔn)，因此所有的VPN產(chǎn)品可以實(shí)現(xiàn)互通。當(dāng)然

9、，銀行可根據(jù)自身的需要，可選用專用加密設(shè)備進(jìn)行數(shù)據(jù)傳輸加密。圖3-2利用VPN技術(shù)對(duì)數(shù)據(jù)傳輸進(jìn)行加密3.3防火墻自身的保護(hù)要保護(hù)網(wǎng)絡(luò)安全，防火墻本身要保證安全，由于系統(tǒng)供電、硬件故障等特殊情況的發(fā)生，使防火墻系統(tǒng)癱瘓，嚴(yán)重阻礙網(wǎng)絡(luò)通訊，網(wǎng)絡(luò)的安全就無法保證，所以要求防求防火墻有冗余措施與足夠防攻擊的能力。圖3-3防火墻雙機(jī)備份方案四.系統(tǒng)的網(wǎng)絡(luò)設(shè)備選型與說明4.1核心層交換機(jī)型號(hào)：H3C S5500-24P-SI價(jià)格：￥8800交換機(jī)：千兆以太網(wǎng)交換機(jī)應(yīng)用層級(jí)：三層交換傳輸速率：10/100/1000交換機(jī)接口：10/100/1000M SFP Combo網(wǎng)管功能：支持FTP/TFTP加載升級(jí)

10、、支持命令行接口（CLI）, Telnet, Console口進(jìn)行配置、支持SNMPv1/v2/v3, WEB網(wǎng)管、支持RMON(Remote Monitoring)告警、事件、歷史記錄、支持系統(tǒng)日志, 分級(jí)告警, 調(diào)試信息輸出、支持HGMPv2、支持NTP、支持電源的告警功能，風(fēng)扇、溫度告警、支持Ping、支持VCT、(Virtual Cable Test)電纜檢測功能、支持DLDP(Device Link Detection Protocol)單向鏈路檢測協(xié)議、支持detection端口環(huán)回檢測4.2匯聚層交換機(jī)型號(hào)：H3C LS-3600-28P-SI價(jià)格：￥4900交換機(jī)：千兆以太網(wǎng)交

11、換機(jī)應(yīng)用層級(jí)：三層傳輸速率：10/100/1000交換機(jī)接口：10/100BASE-T, 1000BASE-SFP網(wǎng)管功能：支持命令行接口配置,支持Telnet遠(yuǎn)程配置,支持通過Console口配置,支持SNMP,支持WEB網(wǎng)管,支持系統(tǒng)日志,支持分級(jí)告警背板帶寬：32Gbps包轉(zhuǎn)發(fā)率：9.6MppsMAC地址表：16KVLAN功能：支持網(wǎng)管支持：可網(wǎng)管型端口結(jié)構(gòu)：固定端口接口數(shù)量：24個(gè)網(wǎng)絡(luò)標(biāo)準(zhǔn)：IEEE 802.1D, IEEE 802.1w, IEEE 802.1s模塊化插槽數(shù)：4個(gè)堆疊功能：不可堆疊4.3接入層交換機(jī)型號(hào)：H3C LS-5024P-LI-AC價(jià)格：￥3650交換機(jī)：企業(yè)

12、級(jí)交換機(jī)應(yīng)用層級(jí)：二層傳輸速率：10/100/1000交換機(jī)接口：10/100/1000Base-T, SFP網(wǎng)管功能：支持命令行接口CLI（Command Line Interface）配置, 支持通過Console口配置, 支持WEB網(wǎng)管背板帶寬：48Gbps包轉(zhuǎn)發(fā)率：36MppsMAC地址表：8KVLAN功能：支持網(wǎng)管支持：可網(wǎng)管型端口結(jié)構(gòu)：固定端口接口數(shù)量：24個(gè)網(wǎng)絡(luò)標(biāo)準(zhǔn)：IEEE 802.1d, IEEE 802.1x, IEEE 802.3, IEEE 802.3u, IEEE 802.3x, IEEE 802.3z, IEEE 802.1Q, IEEE 802.1p模塊化插槽數(shù)：

13、4個(gè)堆疊功能：不可堆疊4.4路由器型號(hào)：H3C RT-MSR3020-AC-H3價(jià)格：￥7900路由器類型：企業(yè)級(jí)路由器路由器網(wǎng)管：網(wǎng)絡(luò)管理,本地管理,用戶接入管理局域網(wǎng)接口：2個(gè)千兆以太電口傳輸速率：10/100/1000Mbps防火墻功能：置端口結(jié)構(gòu)：模塊化路由器包轉(zhuǎn)發(fā)率：200KPPS安全標(biāo)準(zhǔn)：UL 60950 3rd Edition, CSA 22.2#950 3rd Edition 1995, EN 60950: 2000 + ZB & ZC deviations for European Union LVD Directive, IEC 60950:1999 + corr.

14、 Feb. 2000, modified + all National deviationsVPN功能：支持VPN擴(kuò)展插槽：11個(gè)其他控制端口：Console路由器網(wǎng)絡(luò)協(xié)議：IP服務(wù),非IP服務(wù),IP應(yīng)用,IP路由,MPLS,IPv6,廣域網(wǎng)協(xié)議,局域網(wǎng)協(xié)議最大Flash存：1024MB4.5服務(wù)器型號(hào)：X3500 產(chǎn)品簡述:通過新的四核處理器與更快的存技術(shù)獲得更好的性能； 采用集成的解決方案管理您的 IT 資源； 通過可升級(jí)存，I/O 和存儲(chǔ)搭建 穩(wěn)定服務(wù)器平臺(tái)，保護(hù)您的IT投資市場價(jià)格:20000 詳細(xì)參數(shù)：XeonE55202.26Ghz四核最高支持1066MHz存頻率5.86 GT/s

15、 QPI8MB 3級(jí)緩存DDR3 存2*2GB熱插拔2.5" SAS硬盤, 標(biāo)配146GB SAS硬盤*1 ServerRAIDMR10iDVD-ROM雙口千兆以太網(wǎng)3個(gè)PCI-Express Gen2 x8 插槽, 1個(gè)PCI-Express Gen2 x16插槽, 1個(gè)PCI-Express Gen1 x8 插槽, 1個(gè)33MHz PCI插槽1 個(gè)串口, 1個(gè)顯卡接口, 6個(gè)USB 2.0端口(4個(gè)背面、2個(gè)正面)；3個(gè)RJ-45端口(2個(gè)以太網(wǎng)口,一個(gè)管理端口)IMM, 可選的遠(yuǎn)程管理920W熱插拔電源, 可選冗余3年有限保修（3年部件，3年人工，3年現(xiàn)場）5 安全配置說明5.

16、1防火墻技術(shù)防火墻可以作為不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的出入口，將部網(wǎng)和公眾網(wǎng)如Internet分開，它能根據(jù)企業(yè)的安全策略控制出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。在邏輯上，防火墻是一個(gè)分離器，一個(gè)限制器，也是一個(gè)分析器，有效地監(jiān)控了部網(wǎng)和Internet之間的任何活動(dòng)，保證了部網(wǎng)絡(luò)的安全。防火墻技術(shù)可以有效控制的風(fēng)險(xiǎn)包括：5.1.1利用Finger來發(fā)掘用戶信息，TCP/IP指紋識(shí)別確定操作系統(tǒng)類型，Telnet旗標(biāo)確定操作系統(tǒng)類型，服務(wù)的旗標(biāo)信息確定服務(wù)類型，對(duì)服務(wù)器進(jìn)行端口掃描，Bind、Telnet、NFS、X-windows服務(wù)漏洞，從AD上查找前置機(jī)主機(jī)網(wǎng)絡(luò)蠕蟲堵塞整個(gè)網(wǎng)

17、絡(luò)，影響生產(chǎn)網(wǎng)絡(luò)。5.1.2利用前置機(jī)群與生產(chǎn)主機(jī)之間的信任關(guān)系攻擊生產(chǎn)網(wǎng)絡(luò)核心，辦公自動(dòng)化服務(wù)器與前置機(jī)群或生產(chǎn)主機(jī)之間的信任關(guān)系攻擊生產(chǎn)網(wǎng)絡(luò)，蠕蟲影響辦公網(wǎng)部Window平臺(tái)，蠕蟲影響辦公網(wǎng)部系統(tǒng)，辦公網(wǎng)應(yīng)用形式較為豐富，因此對(duì)網(wǎng)絡(luò)帶寬消耗可能造成生產(chǎn)網(wǎng)的數(shù)據(jù)通信帶寬不足，從而導(dǎo)致生產(chǎn)網(wǎng)不暢通5.1.3二級(jí)網(wǎng)點(diǎn)或支行與中心連接沒有必要的訪問控制和邊界控制手段，因此來自二級(jí)網(wǎng)點(diǎn)或支行局域網(wǎng)的用戶可能威脅辦公自動(dòng)化系統(tǒng)和中心生產(chǎn)系統(tǒng)，應(yīng)用防火墻技術(shù)之后，有效的控制了上述風(fēng)險(xiǎn)的同時(shí)，可以簡化管理。5.2網(wǎng)絡(luò)防病毒體系5.2.1計(jì)算機(jī)病毒感染所造成的威脅以與破壞是目前廣大計(jì)算機(jī)用戶所面臨的主要問題

18、。本方案采用網(wǎng)絡(luò)防病毒體系，可以對(duì)Windows2000/NT/95/98/3.x，以與DOS和Macintosh,Linux和UNIX等操作系統(tǒng)提供保護(hù)，作為一個(gè)一體化的網(wǎng)絡(luò)防病毒解決方案，應(yīng)具備特征代碼檢查方式和基于規(guī)則的變態(tài)分析器病毒掃描程序，從而檢測到已知病毒。防病毒引擎可以從多個(gè)側(cè)面和途徑防止計(jì)算機(jī)病毒侵入系統(tǒng)，保護(hù)整個(gè)企業(yè)IT系統(tǒng)的安全，具有強(qiáng)大的功能和優(yōu)秀的可管理性。5.2.2應(yīng)用網(wǎng)絡(luò)防病毒體系結(jié)構(gòu)之后，可控制網(wǎng)絡(luò)蠕蟲堵塞整個(gè)網(wǎng)絡(luò)，影響生產(chǎn)網(wǎng)絡(luò)、病毒威脅桌面PC等風(fēng)險(xiǎn)；應(yīng)用了網(wǎng)絡(luò)防病毒技術(shù)之后，可以從三個(gè)層面有效防病毒的傳播和蔓延;internet下載、軟盤和光盤傳播、傳播。5.

19、3網(wǎng)絡(luò)入侵檢測技術(shù)5.3.1應(yīng)用入侵檢測的網(wǎng)絡(luò)監(jiān)測功能、攻擊行為檢查、高速流量捕獲、策略響應(yīng)、防火墻聯(lián)動(dòng)、關(guān)聯(lián)事件分析等技術(shù)要素，可實(shí)現(xiàn)如下風(fēng)險(xiǎn)的控制：利用Lotus Notes的Web服務(wù)器漏洞、利用Lotus Notes的Web服務(wù)器漏洞Lotus Notes配置信息被遠(yuǎn)程讀取，利用Unix的FTP服務(wù)漏洞SITE EXEC漏洞，利用Bind服務(wù)漏洞、利用Telnet、NFS、X-windows服務(wù)漏洞。5.3.2Windows RPC DCOM遠(yuǎn)程溢出MS026和Windows RPC DCOM遠(yuǎn)程溢出MS039，TCP登錄會(huì)話劫持發(fā)送一個(gè)偽造的報(bào)告到telnet/login/sh。5.

20、3.3安裝木馬：應(yīng)用網(wǎng)絡(luò)入侵檢測技術(shù)之后不僅有效控制了上述風(fēng)險(xiǎn)，同時(shí)入侵檢測要求如自身安全性、抗IDS逃避、抗事件風(fēng)暴等技術(shù)要素，有效避免了入侵檢測自身引入的新的風(fēng)險(xiǎn)，同時(shí)分級(jí)管理、多用戶權(quán)限、分布式部署的要求大大降低了管理員的負(fù)擔(dān)。5.4網(wǎng)絡(luò)安全審計(jì)技術(shù)本方案采用網(wǎng)絡(luò)安全審計(jì)技術(shù)，主要針對(duì)使用互聯(lián)網(wǎng)訪問非法站點(diǎn)，傳遞和發(fā)布非法信息，部網(wǎng)絡(luò)中的資源濫用，部商業(yè)信息泄漏等等問題。對(duì)被監(jiān)控網(wǎng)絡(luò)中的Internet使用情況進(jìn)行監(jiān)控，對(duì)各種網(wǎng)絡(luò)違規(guī)行為實(shí)時(shí)報(bào)告，甚至對(duì)某些特定的違規(guī)主機(jī)進(jìn)行封鎖，以幫助網(wǎng)絡(luò)管理員對(duì)網(wǎng)絡(luò)信息資源進(jìn)行有效的管理和維護(hù)。應(yīng)用網(wǎng)絡(luò)安全審計(jì)技術(shù)以后可以控制的風(fēng)險(xiǎn)包括：Internet資源被濫用，獲取部公文，帳表系統(tǒng)報(bào)表數(shù)據(jù)，部通訊錄和口令文件的shadow，破解系統(tǒng)管理員口令5.5VPN技術(shù)針對(duì)某市商業(yè)銀行保證生產(chǎn)網(wǎng)絡(luò)、辦公網(wǎng)以與通信性的需求