银行网络安全设计方案

目录1银行系统的安全设计11.1银行网络基本情况 11.2镇银行各部门分配 11.3银行网络安全现状 21.4现象分析52银行系统的网络拓扑图及说明 63银行系统的网络安全部署图及说明 73.1敏感数据区的保护73.2通迅线路数据加密73.3防火墙自身的保护84系统的网络设备选型及说明 94.1核心层交换机94.2汇聚层交换机94.3接入层交换机104.4路由器104.5防火墙114.6服务器125安全配置说明125.1防火墙技术125.2网络防病毒体系 135.3网络入侵检测技术 135.4网络安全审计技术 135.5 VPN 技术14总结15一银行系统的安全设计1.1银行网络基本情况随着信息技术的发展，社会的信息化程度提高了，网络银行、电 子银行出现了，整个银行业、金融业都依赖于信息系统。交易网络化、 系统化、快速化和货币数字经是当前金融业的特点，这对金融信息系 统的安全保密性提出了严格的要求。金融信息系统必须保证金融交易 的机密性、完整性、访问控制、鉴别、审计、追踪、可用性、抗抵赖 性和可靠性。为了适应金融业的需要，各家银行都投资建网。但是， 由于各种因素的制约，网络的安全体系不完善，安全措施不完备，存 在严重的安全漏洞和安全隐患。这些安全漏洞和隐患有可能造成中国 的金融风暴，给国家带来重大损失，因此必须采取强有力的措施，解 决银行网络的安全问题。1.2银行各部门分配1.2.1公司业务部主要负责对公业务，审核等。主要负责个人业务，居民储蓄，审核。1.2.3国际业务部主要负责国际打包放款，国际电汇，外汇结算等。1.2.4资金营运部主要是资金结算。1.2.5信贷审批部负责各类贷款审批等。1.2.6风险管理部就是在银行评估、管理、解决业务风险的部门。银行的业务风险 主要有：信贷的还款风险、会计的结算风险、新业务的试水风险、财 务的管理风险、业务文件的法律风险等等。所有这些风险的控制，特 别是前三类业务的风险控制，都是由风险管理部牵头制订解决办法 的。1.2.7会计结算部安全防范为主题，强化会计结算基础管理工作，揽存增储、中间 业务、保险、基金等各项任务，全员的防范意识、业务素质、核算质 量、服务技能工作，加强管理、监督、检查及辅导，指导全员严格按 照规章制度和操作流程办理业务，加强人员培训，提高业务素质和核 算质量。1.2.8出纳保卫部主要负责现金管理、安全检查、监控管理、消防安全等安保工作。1.2.9科技部主要负责银行计算机软硬件方面的维护。1.2.10人力资源部主要负责银行内部人员的考勤。1.3银行网络安全现状1.3.1浦发银行安全现状现在，信息攻击技术发展很快，攻击手段层出不穷，但银行网络 日前的安全措施大部分仅是保密，极少采用数字签名，认证机制不健 全，这完全不适应现代金融系统的安全需求。具体表现在以下五个方面：1）有投入，有人员，但投入不够，人员不固定。遇有冲突，立刻舍弃；只求速上，不求正常、配套、协调建设，从根本 上没有改变以前轻视安全的做法。2）对整个网络建设缺乏深入、细致、具体的安全体系研究， 更缺乏建立安全体系的迫切性。3）有制度、措施、标准，但不完备，也没有认真执行，大部 分流于形式，缺乏安全宣传教育。4）缺乏有效的监督检查措施。5）从根本上没有处理好发展及安全的关系。1.3.2浦发银行网络系统所面临的安全威胁和风险由于金融信息系统中处理、传输、存贮的都是金融信息，对其进 行攻击将获得巨额的金钱，而且，对金融信息系统的攻击，可能造成 国家经济命脉的瘫痪和国家经济的崩溃，因此金融信息系统面临着巨 大的风险和威胁。银行网络系统面临的攻击手段较多，既有来自外部 的，也有来自内部的。由于对银行网络系统的攻击可以获得较大的经 济、政治、军事利益，因此银行网络系统成为敌对国家、犯罪集团、 高智商犯罪分子的首选攻击目标。针对信息系统的新型攻击手段应运 而生，各种被动攻击手段、主动攻击手段层出不穷。攻击者利用各种 高科技手段和仪器，利用网络协议本身的不安全性，路由器、口令文 件、X11、Gopher 的安全隐患，JavaApplet、Activex， CGI，数据库 的安全隐患和其他计算机软硬件产品的不安全性，对信息系统实施攻 击。对于金融信息系统，更严重的威胁来自各种主动攻击手段。主动 攻击手段较多，如伪造票据、假冒客户、交易信息篡改及重放、交易 信息销毁、交易信息欺诈及抵赖、非授权访问、网络间谍、“黑客” 人侵、病毒传播、特洛伊木马、蠕虫程序、逻辑炸弹等。这些攻击完 全能造成金融信息系统瘫痪、资金流失或失踪。这些攻击可能来自内 部，也可能来自外部。各种攻击将给金融信息系统造成以下几种危害：1）非法访问：银行网络是一个远程互连的金融网络系统。现有网络 系统利用操作系统网络设备进行访问控制，而这些访问控制强度较 弱，攻击者可以在任一终端利用现有的大量攻击工具发起攻击；由于 整个网络通过公用网络互连同样存在终端进行攻击的可能；另一方面 银行开发的很多增值业务、代理业务，存在大量及外界互连的接口这 些接口现在没有强的安全保护措施存在外部网络通过这些接口攻击 银行，可能造成巨大损失。2）窃取PIN/密钥等敏感数据：银行信用卡系统和柜台系统采用的是 软件加密的形式保护关键数据，软件加密采用的是公开加密算法（DES），因此安全的关键是对加密密钥的保护，而软件加密最大的 安全隐患是无法安全保存加密密钥，程序员可修改程序使其运行得到 密钥从而得到主机中敏感数据。3）假冒终端/操作员：银行网络中存在大量远程终端通过公网及银行 业务前置机相连国内银行以出现多起在传输线路上搭接终端的案例。银行网络同样存在大量类似安全隐患。现有操作员身份识别唯一，但口令的安全性非常弱因 此存在大量操作员假冒的安全风险。4）截获和篡改传输数据：银行现有网络系统通过公网传输大量的数据 没有加密，由于信息量大且采用的是开放的TCP/IP，现有的许多工 具可以很容易的截获、分析甚至修改信息，主机系统很容易成为被攻 击对象。5）网络系统可能面临病毒的侵袭和扩散的威胁：黑客侵扰类似于网络间谍，但前者没有政治和经济目的，利用自己 精通计算机知识，利用他人编程的漏洞，侵入金融信息系统，调阅各 种资料，篡改他人的资料，将机密信息在公用网上散发广播等。计算机病毒是一种依附在各种计算机程序中的一段具有破坏性、能 自我繁衍的计算机程序，它通过软盘、终端或其它方式进入计算机系 统或计算机网络，引起整个系统或网络紊乱，甚至造成瘫痪。6）其他安全风险：主要有系统安全（主要有操作系统、数据库的安全 配置）以及系统的安全备份等。1.3.3浦发银行网络系统安全分析1）没有较完善的安全体系：目前，银行网络系统的问题缘自没有进行安全体系的研究。采用的 安全方案比较单一，仅能防止从信道上侦收信息，不能阻止来自业务 系统和用户的网络攻击，不能适应银行网络系统的安全需求。2）没有较完备的安全保密措施：由于银行网络系统没有较完善的安全体系，采取的安全措施不完 备，不能防御所有的威胁和攻击。3）没有建立安全预防中心：目前，银行网络系统没有建立全网的安全监控预警系统，或称为安 全防预中心。全网的安全监控预警系统备有先进的安全技术和设备， 监察网上的异常活动、非安全活动，监视骨干网、骨干网设备及信息 是否安全。全网的安全监控预警系统负责安排骨干网的安全技术设 备、措施和程序，如各种跟踪、预警和记录黑客、破坏者活动和重大 活动。4）网络间没有配置相应的防火墙：在银行内部各个业务部门网络之间、在等级不一的各安全区之间、 在不同业务系统之间、在不同数据库之间、从不同金融机构进入，一 般应有57道安全措施。而在银行网络系统中，没有层层设防的安 全措施，如配置相应的防火墙。5）没有采用先进的硬件和软件加密技术和设备：银行的业务系统、网络和通信都有各自先进的软件加密和硬件加 密，而且还应用了第三代、第四代加密技术。业务系统、网络和通信 采用不同商家的安全保密产品。目前，银行网络系统只在远程通信采 用了加密措施，设有专用的硬件和软件加密技术和设备。6）没有配备反病毒的安全措施：由于网上病毒的增加，破坏性日益增大，金融机构都强化了反病毒 的安全措施，包括过滤通信中的信息病毒、电子邮件中的病毒、WWW 中的病毒，对网络及网络上的设备系统进行反病毒的扫描。银行网络 系统没有配备网络反病毒的监管系统。7）在交换机上没有设置足够的安全措施：ATM和帧中继交换机是网络和通信的要害设备。外国金融机构极为 重视交换机的安全措施，用安全防预中心的设备对交换机进行三A控 制，即鉴别、授权、审计。我国银行网络没有在所有交换机上设置完 整的三A安全控制。1.4现象分析浦发银行系统在镇中共有两处营业点，其中一营业点及镇分理处 相距1500米，所以两银行之间用光纤连接；该银行共有14个部门， 每个部门都在不同的vlan中，通过对交换机的设置，不同vlan间不 能相互访问，保证银行网络的数据信息安全；该银行人力资源部门设 有指纹检测系统，银行内部的人员每天都要在指纹检测器上按指纹。其中个人业务部、资金营运部、风险管理部、计财部、会计总结 部和人力资源部在营业点的一楼，公司业务部、国际业务部、信贷审 批部、合规部、出纳保卫部、科技部和内审部在分理处的二楼，总共 有19个房间，每个房间四个数据点和四个语音点，共76个数据点和 76个语音点，需要两个核心交换机，两个汇聚交换机，四个接入交 换机，一台路由器，一个防火墙，一个FTP服务器，一个WEB服务器， 供银行内部人员上传和下载资料，个人业务部内个人储蓄的信息所有 计算机都可以共享。二. 银行系统的网络拓扑图及说明在本方案中我们从浦发银行各种业务和各个部门的连接进行网络 安全方面的设计。在网络的对外出口处以及内部各部门的连接都设置 防火墙将是最理想的选择，因此我们在本方案中建议浦发银行在所有 及外部网出口都配置NetScreen系列防火墙，以及在总行及分行的业 务网的连接处也配置防火墙，对外防止黑客入侵，对内以防止内部人 员的恶意攻击或由于内部人员造成的网络安全问题。本方案中主要用到NetScreen-10和NetScreen-100，在总部及 各部门连接点采用NetScreen-100作为防火墙，同时在重要的业务连 接点采用NetScreen独特的多机备份技术用两台作为热备份，保证整 个系统的网络安全。在各部门采用NetScreen-10防火墙，为连接各 银行网点提供安全防护。另银行通过INTERNET网上进行业务时，由于分行及INTERNE都 有出口，也带来了一定的风险，我们建议在连接1 NTERNET的出口上 也配置NetScreen-10防火墙。H3CIfta由置11七图2-1网络拓扑图三. 银行系统的网络安全部署图及说明3.1敏感数据区的保护银行系统内存在许多敏感数区域（如银行业务系统主机等），这些 敏感的数据区域要求严格保密，对访问的权限有严格的限制，但所有 的主机处于同一个网络系统之内，如不加以控制，这样很容易造成网 内及网外的恶意攻击，所以在这些数据区域的出入口要加以严格控 制，在这些地方放置防火墙，防火墙执行以下控制功能。3.1.1对来访数据包进行过滤，只允许验证合法主机数据包通过，禁 止一切非授权主机访问。3.1.2对来访用户进行验证。防上非法用户侵入。3.1.3运用网络地址转换及应用代理使数据存储区域及业务前端主机 隔离，业务前端主机不直接及数据存储区域建立网络连接，所有的数 据访问通过防火墙的应用代理完成，以保证数据存储区域的安全。图3-1敏感数据区保护方案3.2通迅线路数据加密在银行的广域网传输系统中，从总行到分行、分行到支行、支行到分 理处等，广泛应用到帧中继、X.25、DDN、PSTN等等之类的通用线路， 但这些线路大多数都是由通讯公司提供，及许多用户在一套系统上使 用他们的业务，由于这些线路都是暴露在公共场所，这样很容易造成 数据被盗。传输数据当中如果不进行数据加密，后果可想而知。所以 对数据传输加密这是一非常重要的环节。对网络数据加密大致分为以下几处区域：3.2.1应用层加密建立应用层加密，应用程序对外界交换数据时进行数据加密。主要优 点是使用方便、网络中数据从源点到终点均得到保护、加密对网络节 点透明。缺点是某些信息必须以明文形式传输，容易被分析。此种加密已被广泛应用于各应用程序当中，并有相应的标准。3.2.2基于网络层的数据加密在总部到各分行，以及分行到支行建议采用VPN加密技术进行数据加密。VPN是通过标准的加密算法，对传输数据进行加密，在公用网上建立数据传输的加密“隧道”。加密实现是在IP层，及具体的广域网协议无关也就是说适应不同的广域网信道（DDN、X.25、帧中继、PSTN等）。由于VPN技术已经拥有标准，因此所有的VPN产品可以实现互通。当然银行可根据自身的需要，可选用专用加密设备进行数据传输加密。图3-2利用VPN技术对数据传输进行加密3.3防火墙自身的保护 要保护网络安全，防火墙本身要保证安全，由于系统供电、硬件故障 等特殊情况的发生，使防火墙系统瘫痪，严重阻碍网络通讯，网络的 安全就无法保证，所以要求防求防火墙有冗余措施及足够防攻击的能力。图3-3防火墙双机备份方案四. 系统的网络设备选型及说明4.1核心层交换机型号：H3C S5500-24P-SI价格：8800交换机：千兆以太网交换机应用层级：三层交换传输速率：10/100/1000交换机接口： 10/100/1000M SFP Combo网管功能:支持XModem/加载升级、支持命令行接口(CLI), Telnet, Console 口进行配置、支持SNMPv1/v2/v3, WEB网管、支持 RMON(Remote Monitoring)告警、事件、历史记录、支持iMC智能管 理中心、支持系统日志，分级告警，调试信息输出、支持HGMPv2、 支持NTP、支持电源的告警功能，风扇、温度告警、支持Ping、Tracert、 支持 VCT、(Virtual Cable Test)电缆检测功能、支持 DLDP(DeviceLink Detection Protocol）单向链路检测协议、支持 Loopback-detection 端口环回检测背板带宽：192Gbps4.2汇聚层交换机型号：H3C LS-3600-28P-SI价格：4900交换机：千兆以太网交换机应用层级：三层传输速率：10/100/1000交换机接口： 10/100BASE-T, 1000BASE-SFP网管功能：支持命令行接口配置,支持Telnet远程配置,支持通 过Console 口配置,支持SNMP,支持WEB网管,支持系统日志,支持分 级告警背板带宽：32Gbps包转发率：9.6MppsMAC地址表：16KVLAN功能：支持网管支持：可网管型端口结构：固定端口接口数量：24个网络标准：IEEE 802.1D, IEEE 802.1w, IEEE 802.1s模块化插槽数：4个堆叠功能：不可堆叠4.3接入层交换机型号：H3C LS-5024P-LI-AC价格：3650交换机：企业级交换机应用层级：二层传输速率：10/100/1000交换机接口： 10/100/1000Base-T, SFP网管功能：支持命令行接口 CLI (Command Line Interface)配 置，支持通过Console 口配置，支持WEB网管背板带宽：48Gbps包转发率：36MppsMAC地址表：8KVLAN功能：支持网管支持：可网管型端口结构：固定端口接口数量：24个网络标准：IEEE 802.1d, IEEE 802.1x, IEEE 802.3, IEEE 802.3u,IEEE 802.3x, IEEE 802.3z, IEEE 802.1Q, IEEE 802.1p模块化插槽数：4个堆叠功能：不可堆叠4.4路由器型号：H3C RT-MSR3020-AC-H3价格：7900路由器类型：企业级路由器路由器网管：网络管理，本地管理，用户接入管理局域网接口： 2个千兆以太电口传输速率：10/100/1000Mbps防火墙功能：内置端口结构：模块化路由器包转发率：200KPPS安全标准：UL 60950 3rd Edition, CSA 22.2#950 3rd Edition 1995, EN 60950: 2000 + ZB & ZC deviations for European Union LVD Directive, IEC 60950:1999 + corr. Feb. 2000, modified + all National deviationsVPN功能：支持VPN扩展插槽：11个其他控制端口： Console路由器网络协议:IP服务，非IP服务,IP应用，IP路由,MPLS,IPv6, 广域网协议，局域网协议最大Flash内存：1024MB4.5防火墙型 号： 大 融信 NGFW4000-UF（TG-5130）（TOPSEC NGFW4000-UF（TG-5130）价格：14.8万北京设备类型：企业级防火墙并发连接：2200000网络吞吐：6000网络端口：最大配置为26个接口，包括3用户数限：无用户数限制适用环境：工作温度:0C-45C、存储温入侵检测：Dos、DDoS电源：双电源,缺省一个电源安全标准：FCC,CE控制端口： console其他性能：防火墙、VPN、带宽管理、防管理：SNMP,WEB，命令行，远程管理VPN支持：支持4.6服务器型号：X3500产品简述:通过新的四核处理器及更快的内存技术获得更好的性 能；采用集成的解决方案管理您的IT资源；通过可升级内存,I/O 和存储搭建稳定服务器平台，保护您的IT投资市场价格：20000详细参数：XeonE55202.26Ghz四核最高支持1066MHz内存频率5.86 GT/s QPI8MB 3级缓存 DDR3 内存 2*2GB 热插拔 2.5 SAS 硬盘, 标配 146GB SAS 硬盘*1 ServerRAIDMR10iDVD-ROM 双口千兆以太网 3 个 PCI-Express Gen2 x8 插槽，1 个 PCI-Express Gen2 x16插槽，1 个 PCI-Express Gen1 x8 插槽，1个 33MHz PCI 插槽 1 个串口，1个 显卡接口，6个USB 2. 0端口（4个背面、2个正面）；3个RJ-45端口 （2个以太网口，一个管理端口）IMM,可选的远程管理920W热插拔电 源，可选冗余3年有限保修（3年部件，3年人工，3年现场） 五.安全配置说明5.1防火墙技术防火墙可以作为不同网络或网络安全域之间信息的出入口，将内部 网和公众网如Internet分开，它能根据企业的安全策略控制出入网 络的信息流，且本身具有较强的抗攻击能力。在逻辑上，防火墙是- 个分离器，一个限制器，也是一个分析器，有效地监控了内部网和 Internet之间的任何活动，保证了内部网络的安全。防火墙技术可 以有效控制的风险包括：5.1.1利用Finger来发掘用户信息，TCP/IP指纹识别确定操作系统 类型，Telnet旗标确定操作系统类型，服务的旗标信息确定服务类 型，对服务器进行端口扫描，Bind、Telnet、NFS、X-windows服务 漏洞，从AD上查找前置机主机网络蠕虫堵塞整个网络，影响生产网 络。5.1.2利用前置机群及生产主机之间的信任关系攻击生产网络核心， 办公自动化服务器及前置机群或生产主机之间的信任关系攻击生产 网络，蠕虫影响办公网内部Window平台，蠕虫影响办公网内部邮件 系统，办公网应用形式较为丰富，因此对网络带宽消耗可能造成生产 网的数据通信带宽不足，从而导致生产网不畅通5.1.3二级网点或支 行及中心连接没有必要的访问控制和边界控制手段，因此来自二级网 点或支行局域网的用户可能威胁办公自动化系统和中心生产系统，应 用防火墙技术之后，有效的控制了上述风险的同时，可以简化管理。 5.2网络防病毒体系5.2.1计算机病毒感染所造成的威胁以及破坏是目前广大计算机用户 所面临的主要问题。本方案采用网络防病毒体系，可以对 Windows2000/NT/95/98/3.x，以及 DOS 和 Macintosh,Linux 和 UNIX 等操作系统提供保护，作为一个一体化的网络防病毒解决方案，应具 备特征代码检查方式和基于规则的变态分析器病毒扫描程序，从而检 测到已知病毒。防病毒引擎可以从多个侧面和途径防止计算机病毒侵 入系统，保护整个企业IT系统的安全，具有强大的功能和优秀的可 管理性。5.2.2应用网络防病毒体系结构之后，可控制网络蠕虫堵塞 整个网络，影响生产网络、病毒威胁桌面PC等风险；应用了网络防 病毒技术之后，可以从三个层面有效防范病毒的传播和蔓 延;internet下载、软盘和光盘传播、邮件传播。5.3网络入侵检测技术5.3.1应用入侵检测的网络监测功能、攻击行为检查、高速流量捕获、 策略响应、防火墙联动、关联事件分析等技术要素，可实现如下风险 的控制：利用Lotus Notes的Web服务器漏洞、利用Lotus Notes的 Web服务器漏洞一Lotus Notes配置信息被远程读取，利用Unix的 FTP服务漏洞一SITE EXEC漏洞，利用Bind服务漏洞、利用Telnet、NFS、X-windows 服务漏洞。5.3.2Windows RPC DCOM远程溢出一MS026 和 Windows RPC DCOM远程 溢出一MS039 , TCP登录会话劫持一发送一个伪造的报告到 telnet/login/sh。5.3.3安装木马：应用网络入侵检测技术之后不仅有效控制了上述风 险，同时入侵检测要求如自身安全性、抗IDS逃避、抗事件风暴等技 术要素，有效避免了入侵检测自身引入的新的风险，同时分级管理、 多用户权限、分布式部署的要求大大降低了管理员的负担。5.4网络安全审计技术本方案采用网络安全审计技术，主要针对使用互联网访问非法站 点，传递和发布非法信息，内部网络中的资源滥用，内部商业信息泄 漏等等问题。对被监控网络中的Internet使用情况进行监控，对各 种网络违规行为实时报告，甚至对某些特定的违规主机进行封锁，以 帮助网络管理员对网络信息资源进行有效的管理和维护。应用网络安全审计技术以后可以控制的风险包括：Internet资源被 滥用，获取内部公文，帐表系统报表数据，内部通讯录和口令文件的 shadow，破解系统管理员口令5.5VPN技术针对某市商业银行保证生产网络、办公网以及通信机密性的需求， 方案规划系统采用VPN技术解决方案。应用VPN技术以后可以控制的 风险包括：窃听以明文方式传输的用户名和密码网络窃听，获得更多 广播信息TCP登录会话劫持一发送一个伪造的报告到 telnet/login/sh, TCP 登录会话劫持一从已存在的 telnet/login/sh 中窃听TCP报文序号，获取下属支行或网点的业务数据、业务数据中 的敏感信息：如卡号、口令等，网络窃听，获得更多广播信息：如前 置主机群内别的业务系统数据，在办公网通过修改IP进入生产网、 在办公网内通过网络窃听可以随意窃听整个局域网内的所有数据，包 括生产网及办公网的数据。总结在这次的设计学习中，不仅巩固了以前学校学到的很多知识， 还学到了许多新的知识。对我们所学的专业已经有了较深的认识。在 设计方案中，吸取了大量书本以及网络上的知识，在大大扩展了我们 知识面的同时，还认识了我们学习的专业在社会上的应用，初次把大 量的知识应用到实践中去，发现了许许多多的问题，体会到了书本上 学不到的东西，从实践中成长许多。真正认识到单单的理论学习是不 够的，只有理论结合实践，遇到问题及时解决，吸取大量的实践经验， 才对我们有莫大的帮助。计算机网络是一门很有用的学科。通过此次的设计，迫使我们对网络安全方面有了更深层次的了解， 设计一个全方位的安全方案是非常不容易的，涉及的方面也很多，要 考虑到的东西方方面面，还需要认识到各种的配合使用及兼容性。但 由于增加了我们对这方面的知识，对网络的安全方面更感兴趣了，也 坚信它未来的优势，安全无止境！由于我们目前知识水平的有限，方 案很多方面考虑的还不够周全，恳请老师多多指教！