銀行系統(tǒng)的安全設(shè)計與網(wǎng)絡(luò)拓?fù)鋱D

目錄1銀行系統(tǒng)的安全設(shè)計 11.1非法訪問 11.2竊取PIN/密鑰等敏感數(shù)據(jù) 11.3假冒終端/操作員 11.4截獲和篡改傳輸數(shù)據(jù) 11.5網(wǎng)絡(luò)系統(tǒng)可能面臨病毒的侵襲和擴(kuò)散的威脅 11.6其他安全風(fēng)險 12銀行系統(tǒng)的網(wǎng)絡(luò)拓?fù)鋱D及說明 23銀行系統(tǒng)的網(wǎng)絡(luò)安全部署圖及說明 33.1敏感數(shù)據(jù)區(qū)的保護(hù) 33.2通迅線路數(shù)據(jù)加密 33.3防火墻自身的保護(hù) 44系統(tǒng)的網(wǎng)絡(luò)設(shè)備選型及說明 54.1核心層交換機(jī) 54.2匯聚層交換機(jī) 54.3接入層交換機(jī) 64.4路由器 64.5服務(wù)器 75安全配置說明 85.1防火墻技術(shù) 85.2網(wǎng)絡(luò)防病毒體系 85.3網(wǎng)絡(luò)入侵檢測技術(shù) 85.4網(wǎng)絡(luò)安全審計技術(shù) 95.5VPN技術(shù) 9總結(jié) 10一．銀行系統(tǒng)的安全設(shè)計銀行網(wǎng)絡(luò)作為一個金融網(wǎng)絡(luò)系統(tǒng)，由于涉及信息的敏感性自然會成為內(nèi)部和外部黑客攻擊的目標(biāo)，當(dāng)前銀行面臨的主要風(fēng)險和威脅有：1.1非法訪問：銀行網(wǎng)絡(luò)是一個遠(yuǎn)程互連的金融網(wǎng)絡(luò)系統(tǒng)?，F(xiàn)有網(wǎng)絡(luò)系統(tǒng)利用操作系統(tǒng)網(wǎng)絡(luò)設(shè)備進(jìn)行訪問控制，而這些訪問控制強(qiáng)度較弱，攻擊者可以在任一終端利用現(xiàn)有的大量攻擊工具發(fā)起攻擊；由于整個網(wǎng)絡(luò)通過公用網(wǎng)絡(luò)互連同樣存在終端進(jìn)行攻擊的可能；另一方面銀行開發(fā)的很多增值業(yè)務(wù)、代理業(yè)務(wù)，存在大量與外界互連的接口這些接口現(xiàn)在沒有強(qiáng)的安全保護(hù)措施存在外部網(wǎng)絡(luò)通過這些接口攻擊銀行，可能造成巨大損失。1.2竊取PIN/密鑰等敏感數(shù)據(jù)：銀行信用卡系統(tǒng)和柜臺系統(tǒng)采用的是軟件加密的形式保護(hù)關(guān)鍵數(shù)據(jù)，軟件加密采用的是公開加密算法（DES），因此安全的關(guān)鍵是對加密密鑰的保護(hù)，而軟件加密最大的安全隱患是無法安全保存加密密鑰，程序員可修改程序使其運行得到密鑰從而得到主機(jī)中敏感數(shù)據(jù)。1.3假冒終端/操作員：銀行網(wǎng)絡(luò)中存在大量遠(yuǎn)程終端通過公網(wǎng)與銀行業(yè)務(wù)前置機(jī)相連國內(nèi)銀行以出現(xiàn)多起在傳輸線路上搭接終端的案例。銀行網(wǎng)絡(luò)同樣存在大量類似安全隱患?，F(xiàn)有操作員身份識別唯一，但口令的安全性非常弱因此存在大量操作員假冒的安全風(fēng)險。1.4截獲和篡改傳輸數(shù)據(jù)：銀行現(xiàn)有網(wǎng)絡(luò)系統(tǒng)通過公網(wǎng)傳輸大量的數(shù)據(jù)沒有加密，由于信息量大且采用的是開放的TCP/IP，現(xiàn)有的許多工具可以很容易的截獲、分析甚至修改信息，主機(jī)系統(tǒng)很容易成為被攻擊對象。1.5網(wǎng)絡(luò)系統(tǒng)可能面臨病毒的侵襲和擴(kuò)散的威脅：（1）黑客侵?jǐn)_類似于網(wǎng)絡(luò)間諜，但前者沒有政治和經(jīng)濟(jì)目的，利用自己精通計算機(jī)知識，利用他人編程的漏洞，侵入金融信息系統(tǒng)，調(diào)閱各種資料，篡改他人的資料，將機(jī)密信息在公用網(wǎng)上散發(fā)廣播等。（2）計算機(jī)病毒是一種依附在各種計算機(jī)程序中的一段具有破壞性、能自我繁衍的計算機(jī)程序，它通過軟盤、終端或其它方式進(jìn)入計算機(jī)系統(tǒng)或計算機(jī)網(wǎng)絡(luò)，引起整個系統(tǒng)或網(wǎng)絡(luò)紊亂，甚至造成癱瘓。1.6其他安全風(fēng)險：主要有系統(tǒng)安全（主要有操作系統(tǒng)、數(shù)據(jù)庫的安全配置）以及系統(tǒng)的安全備份等。二．銀行系統(tǒng)的網(wǎng)絡(luò)拓?fù)鋱D及說明隨著信息技術(shù)的發(fā)展，社會的信息化程度提高了，網(wǎng)絡(luò)銀行、電子銀行出現(xiàn)了，整個銀行業(yè)、金融業(yè)都依賴于信息系統(tǒng)。交易網(wǎng)絡(luò)化、系統(tǒng)化、快速化和貨幣數(shù)字經(jīng)是當(dāng)前金融業(yè)的特點，這對金融信息系統(tǒng)的安全保密性提出了嚴(yán)格的要求。金融信息系統(tǒng)必須保證金融交易的機(jī)密性、完整性、訪問控制、鑒別、審計、追蹤、可用性、抗抵賴性和可靠性。為了適應(yīng)金融業(yè)的需要，各家銀行都投資建網(wǎng)。但是，由于各種因素的制約，網(wǎng)絡(luò)的安全體系不完善，安全措施不完備，存在嚴(yán)重的安全漏洞和安全隱患。這些安全漏洞和隱患有可能造成中國的金融風(fēng)暴，給國家?guī)碇卮髶p失，因此必須采取強(qiáng)有力的措施，解決銀行網(wǎng)絡(luò)的安全問題。銀行系統(tǒng)在鎮(zhèn)中共有兩處營業(yè)點，其中一營業(yè)點與鎮(zhèn)分理處相距1500米，主要有一層樓用于銀行辦理業(yè)務(wù)，另一營業(yè)點與分理處在一處辦公，是二層樓，一層是營業(yè)點，二層是分理處，各司其職。圖2-1網(wǎng)絡(luò)拓?fù)鋱D銀行系統(tǒng)的網(wǎng)絡(luò)安全部署圖及說明3.1敏感數(shù)據(jù)區(qū)的保護(hù)銀行系統(tǒng)內(nèi)存在許多敏感數(shù)區(qū)域（如銀行業(yè)務(wù)系統(tǒng)主機(jī)等），這些敏感的數(shù)據(jù)區(qū)域要求嚴(yán)格保密，對訪問的權(quán)限有嚴(yán)格的限制，但所有的主機(jī)處于同一個網(wǎng)絡(luò)系統(tǒng)之內(nèi)，如不加以控制，這樣很容易造成網(wǎng)內(nèi)及網(wǎng)外的惡意攻擊，所以在這些數(shù)據(jù)區(qū)域的出入口要加以嚴(yán)格控制，在這些地方放置防火墻，防火墻執(zhí)行以下控制功能。3.1.1對來訪數(shù)據(jù)包進(jìn)行過濾，只允許驗證合法主機(jī)數(shù)據(jù)包通過，禁止一切非授權(quán)主機(jī)訪問。3.1.2對來訪用戶進(jìn)行驗證。防上非法用戶侵入。3.1.3運用網(wǎng)絡(luò)地址轉(zhuǎn)換及應(yīng)用代理使數(shù)據(jù)存儲區(qū)域與業(yè)務(wù)前端主機(jī)隔離，業(yè)務(wù)前端主機(jī)不直接與數(shù)據(jù)存儲區(qū)域建立網(wǎng)絡(luò)連接，所有的數(shù)據(jù)訪問通過防火墻的應(yīng)用代理完成，以保證數(shù)據(jù)存儲區(qū)域的安全。圖3-1敏感數(shù)據(jù)區(qū)保護(hù)方案3.2通迅線路數(shù)據(jù)加密在銀行的廣域網(wǎng)傳輸系統(tǒng)中，從總行到分行、分行到支行、支行到分理處等，廣泛應(yīng)用到幀中繼、X.25、DDN、PSTN等等之類的通用線路，但這些線路大多數(shù)都是由通訊公司提供，與許多用戶在一套系統(tǒng)上使用他們的業(yè)務(wù)，由于這些線路都是暴露在公共場所，這樣很容易造成數(shù)據(jù)被盜。傳輸數(shù)據(jù)當(dāng)中如果不進(jìn)行數(shù)據(jù)加密，后果可想而知。所以對數(shù)據(jù)傳輸加密這是一非常重要的環(huán)節(jié)。對網(wǎng)絡(luò)數(shù)據(jù)加密大致分為以下幾處區(qū)域：3.2.1應(yīng)用層加密建立應(yīng)用層加密，應(yīng)用程序?qū)ν饨缃粨Q數(shù)據(jù)時進(jìn)行數(shù)據(jù)加密。主要優(yōu)點是使用方便、網(wǎng)絡(luò)中數(shù)據(jù)從源點到終點均得到保護(hù)、加密對網(wǎng)絡(luò)節(jié)點透明。缺點是某些信息必須以明文形式傳輸，容易被分析。此種加密已被廣泛應(yīng)用于各應(yīng)用程序當(dāng)中，并有相應(yīng)的標(biāo)準(zhǔn)。3.2.2基于網(wǎng)絡(luò)層的數(shù)據(jù)加密在總部到各分行，以及分行到支行建議采用VPN加密技術(shù)進(jìn)行數(shù)據(jù)加密。VPN是通過標(biāo)準(zhǔn)的加密算法，對傳輸數(shù)據(jù)進(jìn)行加密，在公用網(wǎng)上建立數(shù)據(jù)傳輸?shù)募用堋八淼馈?。加密實現(xiàn)是在IP層，與具體的廣域網(wǎng)協(xié)議無關(guān)，也就是說適應(yīng)不同的廣域網(wǎng)信道（DDN、X.25、幀中繼、PSTN等）。由于VPN技術(shù)已經(jīng)擁有標(biāo)準(zhǔn)，因此所有的VPN產(chǎn)品可以實現(xiàn)互通。當(dāng)然，銀行可根據(jù)自身的需要，可選用專用加密設(shè)備進(jìn)行數(shù)據(jù)傳輸加密。 圖3-2利用VPN技術(shù)對數(shù)據(jù)傳輸進(jìn)行加密3.3防火墻自身的保護(hù)要保護(hù)網(wǎng)絡(luò)安全，防火墻本身要保證安全，由于系統(tǒng)供電、硬件故障等特殊情況的發(fā)生，使防火墻系統(tǒng)癱瘓，嚴(yán)重阻礙網(wǎng)絡(luò)通訊，網(wǎng)絡(luò)的安全就無法保證，所以要求防求防火墻有冗余措施及足夠防攻擊的能力。圖3-3防火墻雙機(jī)備份方案四.系統(tǒng)的網(wǎng)絡(luò)設(shè)備選型及說明4.1核心層交換機(jī)型號：H3CS5500-24P-SI價格：￥8800交換機(jī)：千兆以太網(wǎng)交換機(jī)應(yīng)用層級：三層交換傳輸速率：10/100/1000交換機(jī)接口：10/100/1000MSFPCombo網(wǎng)管功能：支持FTP/TFTP加載升級、支持命令行接口（CLI）,Telnet,Console口進(jìn)行配置、支持SNMPv1/v2/v3,WEB網(wǎng)管、支持RMON(RemoteMonitoring)告警、事件、歷史記錄、支持系統(tǒng)日志,分級告警,調(diào)試信息輸出、支持HGMPv2、支持NTP、支持電源的告警功能，風(fēng)扇、溫度告警、支持Ping、支持VCT、(VirtualCableTest)電纜檢測功能、支持DLDP(DeviceLinkDetectionProtocol)單向鏈路檢測協(xié)議、支持detection端口環(huán)回檢測4.2匯聚層交換機(jī)型號：H3CLS-3600-28P-SI價格：￥4900交換機(jī)：千兆以太網(wǎng)交換機(jī)應(yīng)用層級：三層傳輸速率：10/100/1000交換機(jī)接口：10/100BASE-T,1000BASE-SFP網(wǎng)管功能：支持命令行接口配置,支持Telnet遠(yuǎn)程配置,支持通過Console口配置,支持SNMP,支持WEB網(wǎng)管,支持系統(tǒng)日志,支持分級告警背板帶寬：32Gbps包轉(zhuǎn)發(fā)率：9.6MppsMAC地址表：16KVLAN功能：支持網(wǎng)管支持：可網(wǎng)管型端口結(jié)構(gòu)：固定端口接口數(shù)量：24個網(wǎng)絡(luò)標(biāo)準(zhǔn)：IEEE802.1D,IEEE802.1w,IEEE802.1s模塊化插槽數(shù)：4個堆疊功能：不可堆疊4.3接入層交換機(jī)型號：H3CLS-5024P-LI-AC價格：￥3650交換機(jī)：企業(yè)級交換機(jī)應(yīng)用層級：二層傳輸速率：10/100/1000交換機(jī)接口：10/100/1000Base-T,SFP網(wǎng)管功能：支持命令行接口CLI（CommandLineInterface）配置,支持通過Console口配置,支持WEB網(wǎng)管背板帶寬：48Gbps包轉(zhuǎn)發(fā)率：36MppsMAC地址表：8KVLAN功能：支持網(wǎng)管支持：可網(wǎng)管型端口結(jié)構(gòu)：固定端口接口數(shù)量：24個網(wǎng)絡(luò)標(biāo)準(zhǔn)：IEEE802.1d,IEEE802.1x,IEEE802.3,IEEE802.3u,IEEE802.3x,IEEE802.3z,IEEE802.1Q,IEEE802.1p模塊化插槽數(shù)：4個堆疊功能：不可堆疊4.4路由器型號：H3CRT-MSR3020-AC-H3價格：￥7900路由器類型：企業(yè)級路由器路由器網(wǎng)管：網(wǎng)絡(luò)管理,本地管理,用戶接入管理局域網(wǎng)接口：2個千兆以太電口傳輸速率：10/100/1000Mbps防火墻功能：內(nèi)置端口結(jié)構(gòu)：模塊化路由器包轉(zhuǎn)發(fā)率：200KPPS安全標(biāo)準(zhǔn)：UL609503rdEdition,CSA22.2#9503rdEdition1995,EN60950:2000+ZB&ZCdeviationsforEuropeanUnionLVDDirective,IEC60950:1999+corr.Feb.2000,modified+allNationaldeviationsVPN功能：支持VPN擴(kuò)展插槽：11個其他控制端口：Console路由器網(wǎng)絡(luò)協(xié)議：IP服務(wù),非IP服務(wù),IP應(yīng)用,IP路由,MPLS,IPv6,廣域網(wǎng)協(xié)議,局域網(wǎng)協(xié)議最大Flash內(nèi)存：1024MB4.5服務(wù)器型號：X3500產(chǎn)品簡述:通過新的四核處理器及更快的內(nèi)存技術(shù)獲得更好的性能；采用集成的解決方案管理您的IT資源；通過可升級內(nèi)存，I/O和存儲搭建穩(wěn)定服務(wù)器平臺，保護(hù)您的IT投資市場價格:20000詳細(xì)參數(shù)：XeonE55202.26Ghz四核最高支持1066MHz內(nèi)存頻率5.86GT/sQPI8MB3級緩存DDR3內(nèi)存2*2GB熱插拔2.5"SAS硬盤,標(biāo)配146GBSAS硬盤*1ServerRAIDMR10iDVD-ROM雙口千兆以太網(wǎng)3個PCI-ExpressGen2x8插槽,1個PCI-ExpressGen2x16插槽,1個PCI-ExpressGen1x8插槽,1個33MHzPCI插槽1個串口,1個顯卡接口,6個USB2.0端口(4個背面、2個正面)；3個RJ-45端口(2個以太網(wǎng)口,一個管理端口)IMM,可選的遠(yuǎn)程管理920W熱插拔電源,可選冗余3年有限保修（3年部件，3年人工，3年現(xiàn)場）安全配置說明5.1防火墻技術(shù)防火墻可以作為不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的出入口，將內(nèi)部網(wǎng)和公眾網(wǎng)如Internet分開，它能根據(jù)企業(yè)的安全策略控制出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動，保證了內(nèi)部網(wǎng)絡(luò)的安全。防火墻技術(shù)可以有效控制的風(fēng)險包括：5.1.1利用Finger來發(fā)掘用戶信息，TCP/IP指紋識別確定操作系統(tǒng)類型，Telnet旗標(biāo)確定操作系統(tǒng)類型，服務(wù)的旗標(biāo)信息確定服務(wù)類型，對服務(wù)器進(jìn)行端口掃描，Bind、Telnet、NFS、X-windows服務(wù)漏洞，從AD上查找前置機(jī)主機(jī)網(wǎng)絡(luò)蠕蟲堵塞整個網(wǎng)絡(luò)，影響生產(chǎn)網(wǎng)絡(luò)。5.1.2利用前置機(jī)群與生產(chǎn)主機(jī)之間的信任關(guān)系攻擊生產(chǎn)網(wǎng)絡(luò)核心，辦公自動化服務(wù)器與前置機(jī)群或生產(chǎn)主機(jī)之間的信任關(guān)系攻擊生產(chǎn)網(wǎng)絡(luò)，蠕蟲影響辦公網(wǎng)內(nèi)部Window平臺，蠕蟲影響辦公網(wǎng)內(nèi)部郵件系統(tǒng)，辦公網(wǎng)應(yīng)用形式較為豐富，因此對網(wǎng)絡(luò)帶寬消耗可能造成生產(chǎn)網(wǎng)的數(shù)據(jù)通信帶寬不足，從而導(dǎo)致生產(chǎn)網(wǎng)不暢通5.1.3二級網(wǎng)點或支行與中心連接沒有必要的訪問控制和邊界控制手段，因此來自二級網(wǎng)點或支行局域網(wǎng)的用戶可能威脅辦公自動化系統(tǒng)和中心生產(chǎn)系統(tǒng)，應(yīng)用防火墻技術(shù)之后，有效的控制了上述風(fēng)險的同時，可以簡化管理。5.2網(wǎng)絡(luò)防病毒體系5.2.1計算機(jī)病毒感染所造成的威脅以及破壞是目前廣大計算機(jī)用戶所面臨的主要問題。本方案采用網(wǎng)絡(luò)防病毒體系，可以對Windows2000/NT/95/98/3.x，以及DOS和Macintosh,Linux和UNIX等操作系統(tǒng)提供保護(hù)，作為一個一體化的網(wǎng)絡(luò)防病毒解決方案，應(yīng)具備特征代碼檢查方式和基于規(guī)則的變態(tài)分析器病毒掃描程序，從而檢測到已知病毒。防病毒引擎可以從多個側(cè)面和途徑防止計算機(jī)病毒侵入系統(tǒng)，保護(hù)整個企業(yè)IT系統(tǒng)的安全，具有強(qiáng)大的功能和優(yōu)秀的可管理性。5.2.2應(yīng)用網(wǎng)絡(luò)防病毒體系結(jié)構(gòu)之后，可控制網(wǎng)絡(luò)蠕蟲堵塞整個網(wǎng)絡(luò)，影響生產(chǎn)網(wǎng)絡(luò)、病毒威脅桌面PC等風(fēng)險；應(yīng)用了網(wǎng)絡(luò)防病毒技術(shù)之后，可以從三個層面有效防范病毒的傳播和蔓延;internet下載、軟盤和光盤傳播、郵件傳播。5.3網(wǎng)絡(luò)入侵檢測技術(shù)5.3.1應(yīng)用入侵檢測的網(wǎng)絡(luò)監(jiān)測功能、攻擊行為檢查、高速流量捕獲、策略響應(yīng)、防火墻聯(lián)動、關(guān)聯(lián)事件分析等技術(shù)要素，可實現(xiàn)如下風(fēng)險的控制：利用LotusNotes的Web服務(wù)器漏洞、利用LotusNotes的Web服務(wù)器漏洞－LotusNotes配置信息被遠(yuǎn)程讀取，利用Unix的FTP服務(wù)漏洞－SITEEXEC漏洞，利用Bind服務(wù)漏洞、利用Telnet、NFS、X-windows服務(wù)漏洞。5.3.2WindowsRPCDCOM遠(yuǎn)程溢出－MS026和WindowsRPCDCOM遠(yuǎn)程溢出－MS039，TCP登錄會話劫持－發(fā)送一個偽造的報告到telnet/login/sh。5.3.3安裝木馬：應(yīng)用網(wǎng)絡(luò)入侵檢測技術(shù)之后不僅有效控制了上述風(fēng)險，同時入侵檢測要求如自身安全性、抗IDS逃避、抗事件風(fēng)暴等技術(shù)要素，有效避免了入侵檢測自身引入的新的風(fēng)險，同時分級管理、多用戶權(quán)限、分布式部署的要求大大降低了管理員的負(fù)擔(dān)。5.4網(wǎng)絡(luò)安全審計技術(shù)本方案采用網(wǎng)絡(luò)安全審計技術(shù)，主要針對使用互聯(lián)網(wǎng)訪問非法站點，傳遞和發(fā)布非法信息，內(nèi)部網(wǎng)絡(luò)中的資源濫用，內(nèi)部商業(yè)信息泄漏等等問題。對被監(jiān)控網(wǎng)絡(luò)中的Internet使用情況進(jìn)行監(jiān)控，對各種網(wǎng)絡(luò)違規(guī)行為實時報告，甚至對某些特定的違規(guī)主機(jī)進(jìn)行封鎖，以幫助網(wǎng)絡(luò)管理員對網(wǎng)絡(luò)信息資源進(jìn)行有效的管理和維護(hù)。應(yīng)用網(wǎng)絡(luò)安全審計技術(shù)以后可以控制的風(fēng)險包括：In