銀行系統(tǒng)的安全設(shè)計(jì)與網(wǎng)絡(luò)拓?fù)鋱D

名目銀行系統(tǒng)的安全設(shè)計(jì)1非法訪問(wèn) 1竊取PIN/密鑰等敏感數(shù)據(jù) 1假冒終端/操作員 1截獲和篡改傳輸數(shù)據(jù) 1網(wǎng)絡(luò)系統(tǒng)可能面臨病毒的侵襲和集中的威逼 1其他安全風(fēng)險(xiǎn) 1銀行系統(tǒng)的網(wǎng)絡(luò)拓?fù)鋱D及說(shuō)明 2銀行系統(tǒng)的網(wǎng)絡(luò)安全部署圖及說(shuō)明 3敏感數(shù)據(jù)區(qū)的保護(hù) 3通迅線路數(shù)據(jù)加密 3防火墻自身的保護(hù) 4系統(tǒng)的網(wǎng)絡(luò)設(shè)備選型及說(shuō)明 5核心層交換機(jī) 5會(huì)聚層交換機(jī) 5接入層交換機(jī) 6路由器 6效勞器 7安全配置說(shuō)明 8防火墻技術(shù) 8網(wǎng)絡(luò)防病毒體系 8網(wǎng)絡(luò)入侵檢測(cè)技術(shù) 8網(wǎng)絡(luò)安全審計(jì)技術(shù) 9VPN技術(shù) 9總結(jié) 10一．銀行系統(tǒng)的安全設(shè)計(jì)黑客攻擊的目標(biāo)，當(dāng)前銀行面臨的主要風(fēng)險(xiǎn)和威逼有：非法訪問(wèn)：銀行網(wǎng)絡(luò)是一個(gè)遠(yuǎn)程互連的金融網(wǎng)絡(luò)系統(tǒng)?，F(xiàn)有網(wǎng)絡(luò)系統(tǒng)利用操與外界互連的接口這些接口現(xiàn)在沒(méi)有強(qiáng)的安全保護(hù)措施存在外部網(wǎng)絡(luò)通過(guò)這些接口攻擊銀行，可能造成巨大損失。竊取PIN/密鑰等敏感數(shù)據(jù)：銀行信用卡系統(tǒng)和柜臺(tái)系統(tǒng)承受的是軟件加密的形式保護(hù)關(guān)鍵數(shù)據(jù)，軟件加密承受的是公開加密算法〔DES〕，因此安全的關(guān)鍵序員可修改程序使其運(yùn)行得到密鑰從而得到主機(jī)中敏感數(shù)據(jù)。假冒終端/操作員假冒的安全風(fēng)險(xiǎn)。由于信息量大且承受的是開放的TCP/IP，現(xiàn)有的很多工具可以很簡(jiǎn)潔的截獲、分析甚至修改信息，主機(jī)系統(tǒng)很簡(jiǎn)潔成為被攻擊對(duì)象。網(wǎng)絡(luò)系統(tǒng)可能面臨病毒的侵襲和集中的威逼：黑客侵?jǐn)_類似于網(wǎng)絡(luò)間諜，但前者沒(méi)有政治和經(jīng)濟(jì)目的，利用自己精通計(jì)的資料，將機(jī)密信息在公用網(wǎng)上散發(fā)播送等。計(jì)算機(jī)病毒是一種依附在各種計(jì)算機(jī)程序中的一段具有破壞性、能自我繁引起整個(gè)系統(tǒng)或網(wǎng)絡(luò)紊亂，甚至造成癱瘓?！仓饕胁僮飨到y(tǒng)、數(shù)據(jù)庫(kù)的安全配置〕以及系統(tǒng)的安全備份等。二．銀行系統(tǒng)的網(wǎng)絡(luò)拓?fù)鋱D及說(shuō)明了，整個(gè)銀行業(yè)、金融業(yè)都依靠于信息系統(tǒng)。交易網(wǎng)絡(luò)化、系統(tǒng)化、快速化和貨追蹤、可用性、抗抵賴性和牢靠性。為了適應(yīng)金融業(yè)的需要，各家銀行都投資建網(wǎng)。但是，由于各種因素的制約，網(wǎng)絡(luò)的安全體系不完善，安全措施不完備，存在嚴(yán)峻的安全漏洞和安全隱患。這些安全漏洞和隱患有可能造成中國(guó)的金融風(fēng)題。1500一層是營(yíng)業(yè)點(diǎn)，二層是分理處，各司其職。2-1網(wǎng)絡(luò)拓?fù)鋱D三．銀行系統(tǒng)的網(wǎng)絡(luò)安全部署圖及說(shuō)明敏感數(shù)據(jù)區(qū)的保護(hù)銀行系統(tǒng)內(nèi)存在很多敏感數(shù)區(qū)域〔如銀行業(yè)務(wù)系統(tǒng)主機(jī)等，這些敏感的數(shù)據(jù)區(qū)功能。權(quán)主機(jī)訪問(wèn)。對(duì)來(lái)訪用戶進(jìn)展驗(yàn)證。防上非法用戶侵入。用代理完成，以保證數(shù)據(jù)存儲(chǔ)區(qū)域的安全。前端業(yè)務(wù)系統(tǒng)及分行業(yè)務(wù)處理系統(tǒng)前端業(yè)務(wù)系統(tǒng)及分行業(yè)務(wù)處理系統(tǒng)交換機(jī)NetScreen-1003-1敏感數(shù)據(jù)區(qū)保護(hù)方案、DDN、PSTN等等之類的通用線路，但這些線路大多數(shù)加密，后果可想而知。所以對(duì)數(shù)據(jù)傳輸加密這是一格外重要的環(huán)節(jié)。對(duì)網(wǎng)絡(luò)數(shù)據(jù)加密大致分為以下幾處區(qū)域：應(yīng)用層加密并有相應(yīng)的標(biāo)準(zhǔn)?；诰W(wǎng)絡(luò)層的數(shù)據(jù)加密在總部到各分行，以及分行到支行建議承受VPN加密技術(shù)進(jìn)展數(shù)據(jù)加密。VPN標(biāo)準(zhǔn)VPN產(chǎn)品可以實(shí)現(xiàn)互通。固然，銀行可依據(jù)自身的需要，可選用專用加密設(shè)備進(jìn)展數(shù)據(jù)傳輸加密?？傂袠I(yè)務(wù)系總行業(yè)務(wù)系統(tǒng)DDN/FR分行1業(yè)務(wù)系統(tǒng)NetScreen-100NetScreen-100防火墻自身的保護(hù)

數(shù)據(jù)加密通道3-2VPN技術(shù)對(duì)數(shù)據(jù)傳輸進(jìn)展加密要求防求防火墻有冗余措施及足夠防攻擊的力量。交換機(jī)NetScreen-100外網(wǎng)交換機(jī)內(nèi)網(wǎng)交換機(jī)NetScreen-1003-3防火墻雙機(jī)備份方案四系統(tǒng)的網(wǎng)絡(luò)設(shè)備選型及說(shuō)明核心層交換機(jī)型號(hào)：H3CS5500-24P-SI價(jià)格：￥8800應(yīng)用層級(jí)：三層交換傳輸速率：10/100/1000交換機(jī)接口：10/100/1000MSFPCombo網(wǎng)管功能：支持FTP/TFTP加載升級(jí)、支持命令行接口〔CLI〕,Telnet,Console口進(jìn)展配置、支持SNMPv1/v2/v3,WEB網(wǎng)管、支持RMON(RemoteHGMPv2NTPPing、支持VCT(VirtualCableTest)DLDP(DeviceLinkDetectionProtocol)detection會(huì)聚層交換機(jī)型號(hào)：H3CLS-3600-28P-SI價(jià)格：￥4900應(yīng)用層級(jí)：三層傳輸速率：10/100/1000交換機(jī)接口：10/100BASE-T,1000BASE-SFPTelnetConsole口配置,支持SNMP,支持WEBMAC：16KVLAN接口數(shù)量：24網(wǎng)絡(luò)標(biāo)準(zhǔn)：IEEE802.1D,IEEE802.1w,IEEE802.1s模塊化插槽數(shù)：4接入層交換機(jī)型號(hào)：H3CLS-5024P-LI-AC價(jià)格：￥3650應(yīng)用層級(jí)：二層傳輸速率：10/100/1000交換機(jī)接口：10/100/1000Base-T,SFPConsoleWEBMAC：8KVLAN接口數(shù)量：24網(wǎng)絡(luò)標(biāo)準(zhǔn)：IEEE802.1d,IEEE802.1x,IEEE802.3,IEEE802.3u,IEEE802.3x,IEEE802.3z,IEEE802.1Q,IEEE802.1p模塊化插槽數(shù)：4路由器型號(hào)：H3CRT-MSR3020-AC-H3價(jià)格：￥7900路由器類型：企業(yè)級(jí)路由器局域網(wǎng)接口：2防火墻功能：內(nèi)置端口構(gòu)造：模塊化路由器包轉(zhuǎn)發(fā)率：200KPPS2022ZB&ZCdeviationsforEuropeanUnionLVDDirective,IEC60950:1999+corr.Feb.2022,modified+allNationaldeviationsVPNVPN擴(kuò)展插槽：11個(gè)其他掌握端口：ConsoleIP,IP,IP,MPLS,IPv6,廣域網(wǎng)協(xié)議,局域網(wǎng)協(xié)議Flash1024MB效勞器型號(hào)：X3500IT市場(chǎng)價(jià)格:20220具體參數(shù)：XeonE55202.26Ghz1066MHz5.86GT/s2*2GB2.5“SAS146GBSAS*1ServerRAIDMR10iDVD-ROM3PCI-ExpressGen2x8插槽,1PCI-ExpressGen2x161PCI-ExpressGen1x8插槽,1個(gè)33MHzPCI1個(gè)串口,1個(gè)顯卡接口,6USB2.0(42)；3RJ-45(2)IMM,可選的遠(yuǎn)程治理920W3〔3，3，3〕五．安全配置說(shuō)明防火墻技術(shù)Internet析器，有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動(dòng)，保證了內(nèi)部網(wǎng)絡(luò)的安全。防火墻技術(shù)可以有效掌握的風(fēng)險(xiǎn)包括：FingerTCP/IPTelnetBind、Telnet、NFS、X-windowsAD塞整個(gè)網(wǎng)絡(luò)，影響生產(chǎn)網(wǎng)絡(luò)。防火墻技術(shù)之后，有效的掌握了上述風(fēng)險(xiǎn)的同時(shí)，可以簡(jiǎn)化治理。網(wǎng)絡(luò)防病毒體系計(jì)算機(jī)病毒感染所造成的威逼以及破壞是目前寬闊計(jì)算機(jī)用戶所面臨的主要問(wèn)題。本方案承受網(wǎng)絡(luò)防病毒體系，可以對(duì)Windows2022/NT/95/98/3.x，DOSMacintosh,LinuxUNIX網(wǎng)絡(luò)、病毒威逼桌面PC等風(fēng)險(xiǎn)；應(yīng)用了網(wǎng)絡(luò)防病毒技術(shù)之后，可以從三個(gè)層面有效防范病毒的傳播和集中;internet網(wǎng)絡(luò)入侵檢測(cè)技術(shù)防火墻聯(lián)動(dòng)、關(guān)聯(lián)大事分析等技術(shù)要素，可實(shí)現(xiàn)如下風(fēng)險(xiǎn)的掌握：利用LotusNotesWebLotusNotesWeb－LotusNotesUnixFTPSITEEXECBindTelnet、NFS、X-windowsWindowsRPCDCOM－MS026WindowsRPCDCOM－MS039，telnet/login/sh。IDS大降低了治理員的負(fù)擔(dān)。網(wǎng)絡(luò)安全審計(jì)技術(shù)維護(hù)。應(yīng)用網(wǎng)絡(luò)安全審計(jì)技術(shù)以后可以掌握的風(fēng)險(xiǎn)包括：Internet資源被濫用，獵取內(nèi)部公文，帳表系統(tǒng)報(bào)表數(shù)據(jù)，內(nèi)部通訊錄和口令文件的shadow，破解系統(tǒng)治理員口令VPN承受VPNVPNTCP登錄會(huì)話劫持－發(fā)送一個(gè)偽造的報(bào)告到telnet/login/shTCP登錄會(huì)話劫持－從已存在的telnet/l