金融网络安全建设方案 - 方案案例 - 51CTO技术论坛

社区导航: 专家门诊网络技术操作系统数据库程序设计系统应用考试认证 CIO及信息化站长交流综合交流下载基地 51CTO产品服务

【设为首页 | 收藏本站】

51CTO技术论坛» 方案案例 » 金融网络安全建设方案 [ 打印] [ 订阅] [ 收藏] [ 推荐给朋友] [ 本帖文本页]

论坛跳转:

有 131 人正在关注专家在线(【第77期专家门诊】剖析网络扫描原理、常用工具、防护措施及实践经验)，您不想去看看吗？离专家在线结束还有:00时 00分00秒

本主题由零距离于 2007-7-18 21:19 移动

yezibaitao 性别:男

新新人类

帖子 16
精华 0
无忧币 46
积分 0
阅读权限 20

注册日期 2007-2-8

最后登录 2008-1-31

离线

[查看资料] [发短消息] [Blog]

发表于:2007-7-18 18:04　　标题：金融网络安全建设方案
＜上一帖 | 下一帖＞

所有有关“网络工程”的资料

来源版块: 网络工程

压缩包内文件格式: 文本内容

附件来源: 互联网

运行平台: Windows平台

是否经本人验证: 是

附件性质: 免费

详细说明: 金融系统发展概述：

　　在金融业日益现代化、国际化的今天，我国的各大银行注重服务手段进步和金融创新，不仅依靠电子化建设实现了城市间的资金汇划，消费结算、储蓄存取款、信用卡交易的电子化、开办了电话银行等多种服务，而且以资金清算系统、信用卡异地交易系统形成了全国性的网络化服务。此外，许多银行开通了 SWIFT 系统，并与海外银行建立了代理行关系，各种国际结算业务往来的电文可在境内外之间瞬间完成接收与发送，为企业国际投资，贸易和其他交往以及个人汇入汇出境外汇款，提供了便捷的金融服务。

金融系统信息化现状：

　　金融行业信息化系统经过多年的发展建设，目前信息化程度已达到了较高水平。信息技术在提高管理水平、促进业务创新、提升企业竞争力方面发挥着日益重要的作用。随着银行信息化的深入发展，银行业务系统对信息技术的高度依赖，银行业网络信息安全问题也日益严重，新的安全威胁不断涌现，并且由于其数据的特殊性和重要性，更成为黑客攻击的重要对象，针对金融信息网络的计算机犯罪的案件呈逐年上升趋势，特别是银行全面进入业务系统整合、数据大集中的新的发展阶段，以及银行卡、网上银行、电子商务、网上证券交易等新的产品和新一代业务系统的迅速发展，现在不少银行开始将部分业务放到互联网上，今后几年内将迅速形成一个以基于TCP/IP协议为主的复杂的、全国性的网络应用环境，来自外部和内部的信息安全风险将不断增加，这就对金融系统的安全性提出了更高的要求，金融信息安全对金融行业稳定运行、客户权益乃至国家经济金融安全、社会稳定都具有越来越重要的意义。金融业迫切需要建设主动的、深层的、立体的信息安全保障体系，保障业务系统的正常运转，保障企业经营使命的顺利实现。

金融行业典型网络拓扑如下，通常为一个层次化的互联广域网体系结构：

网络系统面临的风险
　　随着我国金融改革的进行，各个银行纷纷将竞争的焦点集中到服务手段上，不断加大电子化建设投入，扩大计算机网络规模和应用范围。但是，应该看到，电子化在给银行带来利益的同时，也给银行带来了新的安全问题，并且，这个问题现在显得越来越紧迫。原因主要有三个：一是伴随我国经济体制改革，特别是金融体制改革的深入、对外开放的扩大，金融风险迅速增大。防范和化解金融风险成了各级政府和金融部门非常关注的问题。二是当前计算机应用日益广泛、计算机日趋网络化，系统的安全性漏洞也随之增加。多年以来，银行迫于竞争的压力，不断扩大电子化网点、推出电子化新品种，忽略了计算机管理制度和安全措施的建设，使计算机安全问题日益突出。三是计算机知识日益普及，金融网络向国际化发展，计算机犯罪技术也在不断提高，利用计算机犯罪的案件呈逐年上升趋势，这也迫切要求银行信息系统具有更高的安全防范体系。
　　金融行业网络系统面临的风险复杂多样，既有来自外部的，也有来自内部的。可以概括为以下三个大的方面：
· 组织方面的风险。缺乏统一的安全规划和安全职责部门；
· 技术方面的风险。安全保护措施不充分。尽管已经采用了一些安全技术和安全产品，但是目前安全技术的采用是不足的，存在大量这样、那样的风险和漏洞；
· 管理方面的风险。安全管理有待提高，安全意识培训、安全策略和业务连续性计划都需要完善和加强；
建议及解决方案
　　银行信息系统安全性总的原则应该是：制度防内，技术防外。所谓“制度防内”，是要建立严密的计算机管理规章制度、运行规程，形成内部各层人员、各职能部门、各应用系统的相互制约关系，杜绝内部作案的可能性，并建立良好的故障处理反应机制，保障银行信息系统的安全正常运行。“技术防外”主要是指从技术手段上加强安全措施，防止外部黑客的入侵。我们在不影响银行正常业务与应用的基础上建立银行的安全防护体系，从而满足银行网络系统环境要求。
　　针对以上安全分析，交大捷普将以满足金融行业的机密性、完整性、可用性、可控性、不可否认性等安全需求作为其建设目标；以扩展性、前瞻性、先进性、整体性、标准性、主动性、投资保护、法律法规符合性等作为其建设原则。构建一个主动防御、深层防御、立体防御的安全技术保障平台。通过综合采用世界领先的技术和产品，加强对风险的控制和管理，将保护对象分成网络基础设施、网络边界、终端计算环境、以及支撑性基础设施等多个防御领域，在这些领域上综合实现预警、保护、检测、响应、恢复等多个安全环节，从而为网络及信息系统提供全方位、多层次的防护。即使在攻击者成功地破坏了某个保护机制的情况下，其它保护机制依然能够提供附加的保护，达到进不来、拿不走、改不了、看不懂、跑不了、可审查的效果。

　　对于金融系统而言，构建一个安全网络环境的重要性不言而喻，我们归纳一下可以从网络安全、系统安全、访问安全、应用安全、内容安全、管理安全几个方面综合考虑。
网络安全问题
· 防火墙系统：如同大门一样阻断来自外部的威胁，防火墙是不同网络或网络安全域之间信息的唯一出入口，防止外部的非法入侵，能根据电力网络的安全政策控制（允许、拒绝、监测）。
· VPN系统：如同隐蔽通道一样防止外人进入，起到了防止外部攻击、加密传输数据等作用，构成一个相对稳固独立的安全系统。
系统安全问题
· 入侵监测系统：如同警卫一样发现阻挡危险情况，为网络安全提供实时的入侵检测及采取相应的防护手段，如记录证据用于跟踪、恢复、断开网络连接等。
· 漏洞扫面系统：定期检查内部网络和系统的安全隐患，并进行修补。
访问安全问题
· 身份认证系统：对网络用户的身份进行认证，保证内部任何访问的合法性。
应用安全问题
· 主机监控与审计系统：相当于计算机管理员可以控制不同用户对主机的使用权限。加强主机本身的安全，对主机进行安全监督。
· 服务器群组防护系统：服务器群组保护系统为服务器群组提供全方位访问控制何入侵检测，严密监视服务器的访问及运行情况，保障内部数据资源的安全。
· 防病毒系统：对网络进行全方位病毒保护。
内容安全问题
· 信息审计系统：如同摄像机一样记录人员的各种行为，网络中的通信数据，按照设定规则对数据进行还原、实时扫描、实时阻断等，最大限度的提供对企业敏感信息的保护。
管理安全问题
· 网络运行监管系统：对整个网络和单个主机的运行状况进行监测分析，实现全方位的网络流量统计、蠕虫后门监测定位、报警、自动生成拓扑等功能。