銀行系統(tǒng)的安全設計與網絡拓撲圖.doc

目錄1 銀行系統(tǒng)的安全設計11.1 非法訪問11.2 竊取PIN/密鑰等敏感數據11.3 假冒終端/操作員11.4 截獲和篡改傳輸數據11.5 網絡系統(tǒng)可能面臨病毒的侵襲和擴散的威脅11.6 其他安全風險12 銀行系統(tǒng)的網絡拓撲圖及說明23 銀行系統(tǒng)的網絡安全部署圖及說明33.1 敏感數據區(qū)的保護33.2 通迅線路數據加密33.3 防火墻自身的保護44 系統(tǒng)的網絡設備選型及說明54.1 核心層交換機54.2 匯聚層交換機54.3 接入層交換機64.4 路由器64.5 服務器75 安全配置說明85.1 防火墻技術85.2 網絡防病毒體系85.3 網絡入侵檢測技術85.4 網絡安全審計技術95.5 VPN技術9總結10一銀行系統(tǒng)的安全設計銀行網絡作為一個金融網絡系統(tǒng)，由于涉及信息的敏感性自然會成為內部和外部黑客攻擊的目標，當前銀行面臨的主要風險和威脅有：1.1非法訪問：銀行網絡是一個遠程互連的金融網絡系統(tǒng)。現(xiàn)有網絡系統(tǒng)利用操作系統(tǒng)網絡設備進行訪問控制，而這些訪問控制強度較弱，攻擊者可以在任一終端利用現(xiàn)有的大量攻擊工具發(fā)起攻擊；由于整個網絡通過公用網絡互連同樣存在終端進行攻擊的可能；另一方面銀行開發(fā)的很多增值業(yè)務、代理業(yè)務，存在大量與外界互連的接口這些接口現(xiàn)在沒有強的安全保護措施存在外部網絡通過這些接口攻擊銀行，可能造成巨大損失。1.2竊取PIN/密鑰等敏感數據：銀行信用卡系統(tǒng)和柜臺系統(tǒng)采用的是軟件加密的形式保護關鍵數據，軟件加密采用的是公開加密算法（DES），因此安全的關鍵是對加密密鑰的保護，而軟件加密最大的安全隱患是無法安全保存加密密鑰，程序員可修改程序使其運行得到密鑰從而得到主機中敏感數據。1.3假冒終端/操作員：銀行網絡中存在大量遠程終端通過公網與銀行業(yè)務前置機相連國內銀行以出現(xiàn)多起在傳輸線路上搭接終端的案例。銀行網絡同樣存在大量類似安全隱患。現(xiàn)有操作員身份識別唯一，但口令的安全性非常弱因此存在大量操作員假冒的安全風險。1.4截獲和篡改傳輸數據：銀行現(xiàn)有網絡系統(tǒng)通過公網傳輸大量的數據沒有加密，由于信息量大且采用的是開放的TCP/IP，現(xiàn)有的許多工具可以很容易的截獲、分析甚至修改信息，主機系統(tǒng)很容易成為被攻擊對象。1.5網絡系統(tǒng)可能面臨病毒的侵襲和擴散的威脅：（1）黑客侵擾類似于網絡間諜，但前者沒有政治和經濟目的，利用自己精通計算機知識，利用他人編程的漏洞，侵入金融信息系統(tǒng)，調閱各種資料，篡改他人的資料，將機密信息在公用網上散發(fā)廣播等。 （2）計算機病毒是一種依附在各種計算機程序中的一段具有破壞性、能自我繁衍的計算機程序，它通過軟盤、終端或其它方式進入計算機系統(tǒng)或計算機網絡，引起整個系統(tǒng)或網絡紊亂，甚至造成癱瘓。1.6其他安全風險：主要有系統(tǒng)安全（主要有操作系統(tǒng)、數據庫的安全配置）以及系統(tǒng)的安全備份等。二銀行系統(tǒng)的網絡拓撲圖及說明隨著信息技術的發(fā)展，社會的信息化程度提高了，網絡銀行、電子銀行出現(xiàn)了，整個銀行業(yè)、金融業(yè)都依賴于信息系統(tǒng)。交易網絡化、系統(tǒng)化、快速化和貨幣數字經是當前金融業(yè)的特點，這對金融信息系統(tǒng)的安全保密性提出了嚴格的要求。金融信息系統(tǒng)必須保證金融交易的機密性、完整性、訪問控制、鑒別、審計、追蹤、可用性、抗抵賴性和可靠性。為了適應金融業(yè)的需要，各家銀行都投資建網。但是，由于各種因素的制約，網絡的安全體系不完善，安全措施不完備，存在嚴重的安全漏洞和安全隱患。這些安全漏洞和隱患有可能造成中國的金融風暴，給國家?guī)碇卮髶p失，因此必須采取強有力的措施，解決銀行網絡的安全問題。銀行系統(tǒng)在鎮(zhèn)中共有兩處營業(yè)點，其中一營業(yè)點與鎮(zhèn)分理處相距1500米，主要有一層樓用于銀行辦理業(yè)務，另一營業(yè)點與分理處在一處辦公，是二層樓，一層是營業(yè)點，二層是分理處，各司其職。圖2-1網絡拓撲圖3 銀行系統(tǒng)的網絡安全部署圖及說明3.1敏感數據區(qū)的保護銀行系統(tǒng)內存在許多敏感數區(qū)域（如銀行業(yè)務系統(tǒng)主機等），這些敏感的數據區(qū)域要求嚴格保密，對訪問的權限有嚴格的限制，但所有的主機處于同一個網絡系統(tǒng)之內，如不加以控制，這樣很容易造成網內及網外的惡意攻擊，所以在這些數據區(qū)域的出入口要加以嚴格控制，在這些地方放置防火墻，防火墻執(zhí)行以下控制功能。3.1.1對來訪數據包進行過濾，只允許驗證合法主機數據包通過，禁止一切非授權主機訪問。3.1.2對來訪用戶進行驗證。防上非法用戶侵入。3.1.3運用網絡地址轉換及應用代理使數據存儲區(qū)域與業(yè)務前端主機隔離，業(yè)務前端主機不直接與數據存儲區(qū)域建立網絡連接，所有的數據訪問通過防火墻的應用代理完成，以保證數據存儲區(qū)域的安全。圖3-1敏感數據區(qū)保護方案3.2通迅線路數據加密在銀行的廣域網傳輸系統(tǒng)中，從總行到分行、分行到支行、支行到分理處等，廣泛應用到幀中繼、X.25、DDN、PSTN等等之類的通用線路，但這些線路大多數都是由通訊公司提供，與許多用戶在一套系統(tǒng)上使用他們的業(yè)務，由于這些線路都是暴露在公共場所，這樣很容易造成數據被盜。傳輸數據當中如果不進行數據加密，后果可想而知。所以對數據傳輸加密這是一非常重要的環(huán)節(jié)。對網絡數據加密大致分為以下幾處區(qū)域：3.2.1應用層加密建立應用層加密，應用程序對外界交換數據時進行數據加密。主要優(yōu)點是使用方便、網絡中數據從源點到終點均得到保護、加密對網絡節(jié)點透明。缺點是某些信息必須以明文形式傳輸，容易被分析。此種加密已被廣泛應用于各應用程序當中，并有相應的標準。3.2.2基于網絡層的數據加密在總部到各分行，以及分行到支行建議采用VPN加密技術進行數據加密。VPN是通過標準的加密算法，對傳輸數據進行加密，在公用網上建立數據傳輸的加密“隧道”。加密實現(xiàn)是在IP層，與具體的廣域網協(xié)議無關，也就是說適應不同的廣域網信道（DDN、X.25、幀中繼、PSTN等）。由于VPN技術已經擁有標準，因此所有的VPN產品可以實現(xiàn)互通。當然，銀行可根據自身的需要，可選用專用加密設備進行數據傳輸加密。圖3-2利用VPN技術對數據傳輸進行加密3.3防火墻自身的保護要保護網絡安全，防火墻本身要保證安全，由于系統(tǒng)供電、硬件故障等特殊情況的發(fā)生，使防火墻系統(tǒng)癱瘓，嚴重阻礙網絡通訊，網絡的安全就無法保證，所以要求防求防火墻有冗余措施及足夠防攻擊的能力。圖3-3防火墻雙機備份方案四.系統(tǒng)的網絡設備選型及說明4.1核心層交換機型號：H3C S5500-24P-SI 價格：￥8800 交換機：千兆以太網交換機 應用層級：三層交換 傳輸速率：10/100/1000 交換機接口：10/100/1000M SFP Combo 網管功能：支持FTP/TFTP加載升級、支持命令行接口（CLI）, Telnet, Console口進行配置、支持SNMPv1/v2/v3, WEB網管、支持RMON(Remote Monitoring)告警、事件、歷史記錄、支持系統(tǒng)日志, 分級告警, 調試信息輸出、支持HGMPv2、支持NTP、支持電源的告警功能，風扇、溫度告警、支持Ping、支持VCT、(Virtual Cable Test)電纜檢測功能、支持DLDP(Device Link Detection Protocol)單向鏈路檢測協(xié)議、支持detection端口環(huán)回檢測 4.2匯聚層交換機型號：H3C LS-3600-28P-SI價格：￥4900交換機：千兆以太網交換機 應用層級：三層 傳輸速率：10/100/1000 交換機接口：10/100BASE-T, 1000BASE-SFP 網管功能：支持命令行接口配置,支持Telnet遠程配置,支持通過Console口配置,支持SNMP,支持WEB網管,支持系統(tǒng)日志,支持分級告警背板帶寬：32Gbps包轉發(fā)率：9.6Mpps MAC地址表：16K VLAN功能：支持 網管支持：可網管型 端口結構：固定端口 接口數量：24個 網絡標準：IEEE 802.1D, IEEE 802.1w, IEEE 802.1s 模塊化插槽數：4個 堆疊功能：不可堆疊4.3接入層交換機型號：H3C LS-5024P-LI-AC 價格：￥3650 交換機：企業(yè)級交換機 應用層級：二層 傳輸速率：10/100/1000 交換機接口：10/100/1000Base-T, SFP 網管功能：支持命令行接口CLI（Command Line Interface）配置, 支持通過Console口配置, 支持WEB網管背板帶寬：48Gbps 包轉發(fā)率：36Mpps MAC地址表：8K VLAN功能：支持 網管支持：可網管型 端口結構：固定端口 接口數量：24個 網絡標準：IEEE 802.1d, IEEE 802.1x, IEEE 802.3, IEEE 802.3u, IEEE 802.3x, IEEE 802.3z, IEEE 802.1Q, IEEE 802.1p模塊化插槽數：4個 堆疊功能：不可堆疊4.4路由器型號：H3C RT-MSR3020-AC-H3 價格：￥7900 路由器類型：企業(yè)級路由器 路由器網管：網絡管理,本地管理,用戶接入管理 局域網接口：2個千兆以太電口 傳輸速率：10/100/1000Mbps 防火墻功能：內置 端口結構：模塊化 路由器包轉發(fā)率：200KPPS 安全標準：UL 60950 3rd Edition, CSA 22.2#950 3rd Edition 1995, EN 60950: 2000 + ZB & ZC deviations for European Union LVD Directive, IEC 60950:1999 + corr. Feb. 2000, modified + all National deviations VPN功能：支持VPN 擴展插槽：11個 其他控制端口：Console 路由器網絡協(xié)議：IP服務,非IP服務,IP應用,IP路由,MPLS,IPv6,廣域網協(xié)議,局域網協(xié)議 最大Flash內存：1024MB4.5服務器型號：X3500 產品簡述:通過新的四核處理器及更快的內存技術獲得更好的性能； 采用集成的解決方案管理您的 IT 資源； 通過可升級內存，I/O 和存儲搭建 穩(wěn)定服務器平臺，保護您的IT投資市場價格:20000 詳細參數：XeonE55202.26Ghz四核最高支持1066MHz內存頻率5.86 GT/s QPI8MB 3級緩存DDR3 內存2*2GB熱插拔2.5 SAS硬盤, 標配146GB SAS硬盤*1 ServerRAIDMR10iDVD-ROM雙口千兆以太網3個PCI-Express Gen2 x8 插槽, 1個PCI-Express Gen2 x16插槽, 1個PCI-Express Gen1 x8 插槽, 1個33MHz PCI插槽1 個串口, 1個顯卡接口, 6個USB 2.0端口(4個背面、2個正面)；3個RJ-45端口(2個以太網口,一個管理端口)IMM, 可選的遠程管理920W熱插拔電源, 可選冗余3年有限保修（3年部件，3年人工，3年現(xiàn)場）5 安全配置說明5.1防火墻技術防火墻可以作為不同網絡或網絡安全域之間信息的出入口，將內部網和公眾網如Internet分開，它能根據企業(yè)的安全策略控制出入網絡的信息流，且本身具有較強的抗攻擊能力。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監(jiān)控了內部網和Internet之間的任何活動，保證了內部網絡的安全。防火墻技術可以有效控制的風險包括：5.1.1利用Finger來發(fā)掘用戶信息，TCP/IP指紋識別確定操作系統(tǒng)類型，Telnet旗標確定操作系統(tǒng)類型，服務的旗標信息確定服務類型，對服務器進行端口掃描，Bind、Telnet、NFS、X-windows服務漏洞，從AD上查找前置機主機網絡蠕蟲堵塞整個網絡，影響生產網絡。5.1.2利用前置機群與生產主機之間的信任關系攻擊生產網絡核心，辦公自動化服務器與前置機群或生產主機之間的信任關系攻擊生產網絡，蠕蟲影響辦公網內部Window平臺，蠕蟲影響辦公網內部郵件系統(tǒng)，辦公網應用形式較為豐富，因此對網絡帶寬消耗可能造成生產網的數據通信帶寬不足，從而導致生產網不暢通5.1.3二級網點或支行與中心連接沒有必要的訪問控制和邊界控制手段，因此來自二級網點或支行局域網的用戶可能威脅辦公自動化系統(tǒng)和中心生產系統(tǒng)，應用防火墻技術之后，有效的控制了上述風險的同時，可以簡化管理。5.2網絡防病毒體系5.2.1計算機病毒感染所造成的威脅以及破壞是目前廣大計算機用戶所面臨的主要問題。本方案采用網絡防病毒體系，可以對Windows2000/NT/95/98/3.x，以及DOS和Macintosh,Linux和UNIX等操作系統(tǒng)提供保護，作為一個一體化的網絡防病毒解決方案，應具備特征代碼檢查方式和基于規(guī)則的變態(tài)分析器病毒掃描程序，從而檢測到已知病毒。防病毒引擎可以從多個側面和途徑防止計算機病毒侵入系統(tǒng)，保護整個企業(yè)IT系統(tǒng)的安全，具有強大的功能和優(yōu)秀的可管理性。5.2.2應用網絡防病毒體系結構之后，可控制網絡蠕蟲堵塞整個網絡，影響生產網絡、病毒威脅桌面PC等風險；應用了網絡防病毒技術之后，可以從三個層面有效防范病毒的傳播和蔓延;internet下載、軟盤和光盤傳播、郵件傳播。5.3網絡入侵檢測技術5.3.1應用入侵檢測的網絡監(jiān)測功能、攻擊行為檢查、高速流量捕獲、策略響應、防火墻聯(lián)動、關聯(lián)事件分析等技術要素，可實現(xiàn)如下風險的控制：利用Lotus Notes的Web服務器漏洞、利用Lotus Notes的Web服務器漏洞Lotus Notes配置信息被遠程讀取，利用Unix的FTP服務漏洞SITE EXEC漏洞，利用Bind服務漏洞、利用Telnet、NFS、X-windows服務漏洞。5.3.2Windows RPC DCOM遠程溢出MS026和Windows RPC DCOM遠程溢出MS039，TCP登錄會話劫持發(fā)送一個偽造的報告到telnet/login/sh。5.3.3安裝木馬：應用網絡入侵檢測技術之后不僅有效控制了上述風險，同時入侵檢測要求如自身安全性、抗IDS逃避、抗事件風暴等技術要素，有效避免了入侵檢測自身引入的新的風險，同時分級管理、多用戶權限、分布式部署的要求大大降低了管理員的負擔。5.4網絡安全審計技術本方案采用網絡安全審計技術，主要針對使用互聯(lián)網訪問非法站點，傳遞和發(fā)布非法信息，內部網絡中的資源濫用，內部商業(yè)信息泄漏等等問題。對被監(jiān)控網絡中的Internet使用情況進行監(jiān)控，對各種網絡違規(guī)行為實時報告，甚至對某些特定的違規(guī)主機進行封鎖，以幫助網絡管理員對網絡信息資源進行有效的管理和維護。應用網絡安全審計技術以后可以控制的風險包括：Internet資源被濫用，獲取內部公文，帳表系統(tǒng)報表數據，內部通訊錄和口令文件的shadow，破解系統(tǒng)管理員口令5.5VPN技術針對某市商業(yè)銀行保證生產網絡、辦公