第七章 某銀行網絡安全解決方案

1、項目背景

xxx銀行自正式成立以來，不斷擴展銀行業務種類和範圍，逐漸樹立起自己活躍的股份製商業銀行形象。順應時代和技術的發展，xxx銀行決定逐步建立起基於IP技術的業務骨幹網，改進目前的網絡基礎平台，選用國際最先進的網絡軟硬件產品。保證傳統業務和新興的服務渠道，如網絡銀行、新一代客戶服務中心等業務的穩定、安全、高效的運行。麵臨新技術、新理念，保證金融貿易順利實現電子化、自動化、網絡化，當然是銀行不可回絕的問題。提供麵向客戶的高質量的金融服務是xxx銀行發展的必然趨勢。新的發展要求和契機無疑對銀行的軟硬件設施提出了新的挑戰。其中網絡的運行情況，尤其是網絡安全問題尤其突出。

2、網絡概況

xxx銀行網絡總體是一個銀行內部業務係統，采取總行到省行及地市分行的三級網絡結構。總行通過幀中繼與分行相連，分行與其它地市的分、支行通過DDN專線相連；。

各分行主要通過DDN專線與證券公司、國稅局、通信公司、金卡中心、人民銀行、外彙管理局、彩票中心相連。同時連接方式還有幀中繼、X.25等。

3、係統分析

考察目前全行的網絡情況，隨著分行數量的不斷增加及ATM、信用卡等新業務的開展，網絡安全麵臨挑戰。在黑客行動猖獗的今天，廣發行原有的網絡係統在安全性及運行效率上有待提高，以迎接潛在的網上風險。

由於總行和各分行地理位置上的特點，它們都有與其它網絡係統(互聯網)接入需求，網絡對外連接出口必然成為黑客攻擊的主要對象。如何解決關鍵出口的安全性問題，是網絡安全性建設的首要問題。在網絡關鍵出口需要設置防火牆作安全隔離，防止銀行內部網絡受未授權用戶的侵犯是可行的方案。

在網絡安全上，防止非法的訪問是一方麵，而對網絡活動施行實時動態的監測，是及時發現非法訪問的另一有效途徑。網絡關鍵鏈路和接口要有監控，使出現的問題及時發現及時解決；而定期對網絡實施靜態掃描也可以發現潛在威脅。

原有的網絡係統還存在維護費用高，技術複雜的缺點。因此網絡改造要求有先進友好的網絡管理軟件以降低網絡維護費用。

4、安全體係

根據以上對係統威脅的分析，須建立以下安全體係：

防止黑客攻擊：防止來自外網黑客的攻擊、內部網人員的惡意破壞；

對服務器的安全保護：對網絡中WWW服務器、Mail服務器、DNS服務器、代理服務器之外，其他單位的各種服務器必須進行安全保護。通過修改網絡操作係統內核的相關參數，增強操作係統內核抵抗各種攻擊的自身能力；

對內部非法用戶的防範：非法用戶從網絡內部發起的攻擊次數遠比外部攻擊的成功可能性要大。因此，如何加強對內部用戶的安全管理，是確保整個網絡安全的關鍵。對內部用戶的安全管理分以下幾個方麵：

用戶身份認證：確信該用戶是本網絡中的注冊用戶；

用戶權限管理：給用戶授權，使其僅擁有與其身份相對應的使用權限。

信息審計與日誌記錄：對網絡的安全信息進行記錄和審計，幫助查找不友好的訪問。通過對安全日誌進行分析，力求查找"黑客"的蹤跡，以便發現"黑客"，並找到相關的證據；

病毒防護：提供全方位的病毒防治，包括外部網絡病毒的侵入和內部網絡病毒的擴散，在工作站、服務器、網絡進出口(防火牆本身)進行全麵的病毒防治；

入侵檢測和告警：對於攻擊的實時檢測和告警是網絡安全中的重要環節。它是在安全事件發生之前，就可以及時預警和采取相應措施製止攻擊的有效工具。需求方應該具備這種防護能力；

安全設備的雙機熱備份：為了保證網絡安全、不間斷地運行，必須考慮雙機熱備份的問題；

安全審計：在廣域網出口處，使用網絡行為監控係統進行網絡活動實時監控和內容過濾；

日常漏洞掃描和安全檢查：作為日常安全管理和維護的需要，需求方信息中心應該具備一些安全工具，對網絡做必要的安全檢查和掃描，以便發現漏洞和安全缺陷，並對其進行修補；

網絡的安全管理：建立必要的安全管理製度。