兴业银行网络安全方案书.doc

《兴业银行网络安全方案书.doc》由会员分享，可在线阅读，更多相关《兴业银行网络安全方案书.doc（29页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、福建兴业银行网络安全设计方案一、 引言1998年是全球信息革命和Internet新腾飞的一年。“带宽爆炸”, 用户超亿, 网上协同攻破密码等等创造性的应用层出不穷。Internet已成为全新的传播媒体, 克林顿丑闻材料在48小时内就有2000万人上网观看。电子商务发展更出人意料, 网上购物仅圣诞节就突破3亿美元的销售额, 比预计的全年20亿还多。美国对“Internet经济”投资达到1240亿, 第二代Internet正式启动,第三代智能网络已在酝酿, 以Internet为代表和主体的信息网络必将在21世纪成为人类生产、生活、自下而上的一个基本方式。世界各国都以战略眼光注视着它的发展, 并在积

2、极谋取网上的优势和主动权。但是Internet网的信息安全问题在1998年也较突出, 下面摘录上电报导:l 病毒感染事件1998年增加了二倍, 宏病毒入侵案件占60%, 已超过1300种, 而1996只有40种。l 网上攻击事件大幅上升, 对50个国家的抽样调查显示: 去年有73%的单位受到各种形式的入侵, 而1996年是42%。据估计, 世界上已有两千万人具有进行攻击的潜力。l 网上经济诈骗增长了五倍, 估计金额达到6亿美元, 而同年暴力抢劫银行的损失才5900万。一份调查报告中说: 有48%的企业受过网上侵害, 其中损失最多的达一百万美元。l 对美军的非绝密计算机系统的攻击试验表明, 成功

3、率达到88%。而被主动查出的只占5%。1998年5月美CIA局长在信息安全的报告中正式宣布:“信息战威胁确实存在。”l 网上赌博盛行, 去年在200个网点上的赌博金额达到60亿美元, 预计今年还会增加一倍。l 网上色情泛滥, 通过浏览器、电子邮件等方式大量扩散。由于问题严重,西方12个国家的警方在去年九月进行了一次联合行动, 共抓96人, 其中一个网址竟有25万张黄色图像。联合国科教文组织决定今年一月召开会议, 研究遏制网上色情。l 欧盟正式发表了对网上有害和非法信息内容的处理法规。l 电子邮件垃圾已被新闻界选为1998年Internet坏消息之一, 美国一家网络公司一年传送的电子邮件中有三分

4、之一是电子垃圾。l 网上违反保密和密码管制的问题已成为各国政府关注的一个焦点。l 暴露个人隐私问题突出, 例如通过美国一个网站很容易量到别人的经济收入信息, 另一网址只要输入车牌号码就可查到车主地址, 为此这些网址已被封闭。在电子邮件内传播个人隐私的情况更为严重。l 带有政治性的网上攻击在1998年有较大增加, 包括篡改政府机构的网页,侵入竞选对手的网站窃取信息, 在东南亚经济危机中散布谣言, 伪造世界热点地区的现场照片, 煽动民族纠纷等等, 已引起各国政府的高度重视。我国的情况也大致相仿。一方面Internet上网人数增加, 仅下半年年就由117万剧增到210万, 另一方面, 同一时期内外电

5、对在我国发生的Internet安全事件的报道数量也大增, 比1997年全年还多6倍, 其中包括经济犯罪、窃密、黑客入侵, 造谣惑众等等。以上报导只是全部景观的一角,却预示着下一个世纪全球信息安全形势不容乐观。我国正处于网络发展的初级阶段, 又面临着发达国家信息优势的压力, 要在信息化进程中趋利避害,从一开始就做好信息安全工作十分重要。这是这项工作难度也非常大, 经常遇到十分困难的选择, 甚至非难。人们对于“该不该”和“能不能”抓好信息安全也尚有不同的看法。我们应当充分相信我国的制度优越性和人民的智慧与觉悟, 积极寻求解决中国特色的Internet安全问题的办法。在此, 仅就企业内部网的信息安全

6、的建设作一个详细的讨论。二、公司简介二、 NetScreen 网络安全解决方案31公司背景NetScreen 科技公司成立于1997年10月，总部位于美国加州的硅谷。公司的奠基者有过在Cisco和Intel等科技领先公司多年的工作经验。1998年11月，Robert Thomas即Sun公司的执行总裁加盟NetScreen公司，任公司总裁。公司致力于发展一种新型的与网络安全有关的高科技产品，把多种功能集成到一起，创造新的业界性能纪录。NetScreen创建新的体系结构并已取得了专利。该项技术能有效消除传统防火墙实现数据加盟时的性能瓶颈，能实现最高级别的IP安全（Ipsec），先进的系统级的设计

7、允许产品提供多种功能，并且这些功能都具有无与伦比的性能。NetScreen 科技公司已经为业界在虚拟专用网领域设立了新的安全解决系统的标准。所有的功能全部放在有关专有的硬件平台的盒子里，并且这些功能都有着无与伦比的性能。目前公司由 Sequoia Capital投资。Sequoia 是一家领先的风险投资公司，成立于1974年，已成功地为超过350家公司提供了最初的风险投资基金，其中包括3Com 公司、Cisco 系统公司、Oracle 公司、Symantec 公司和Yahoo 公司等等。其中大部分公司的股票都已成功上市。NetScreen 科技公司目前有50多名员工公司在全美的主要城市都设有办

8、事处，而且积极拓展海外市场。用户群包括HP、日立、日本电讯电话公司和美国在线等，覆盖了欧美亚等十几个国家和地区。NetScreen公司的产品NetScreen-100获得了KeyLabs工作组的“测试首选奖”，在1998年4月举行的数据通讯杂志的评测中，NetScreen-100的VPN吞吐量是获得第二名的2.5倍。1998年11月，NetScreen公司再次荣获“测试者选择奖”，这是数据通讯杂志的年度奖。在同类产品中，NetScreen是唯一员工把防火墙、虚拟专用网（VPN）、负载均衡及流量控制结合起来，且提供100M的线速性能的产品。NetScreen保证这一点。在1998年的8月和9月，

9、NetScreen-10 和NetScreen-100 通过了ICSA (国际计算机安全协会)的防火墙认证。1998年9月，NetScreen 推出了VPN远程存取客户端软件。1998年10月，NetScreen 宣布推出 NetScreen-1000的产品。这是第一个支持千兆位传输的具有防火墙和VPN功能的产品。1998年6月，NetScreen-100 被HP公司选为它在防火墙方面的新的合作伙伴。HP的合作伙伴是在全球范围年为HP提供集成解决系统，并在增强用户的Internet上的应用。NetScreen是HP选中的二家防火墙厂家的一家，而且是唯一一家基于硬件的产品。1998年12月日立公

10、司宣布它将在日本推广NetScreen 产品。日立公司准备在未来三年内卖出10000套NetScreen 产品。32产品系列目前，NetScreen 有 NetScreen-10 用于10MB 传输的网络。NetScreen-100 用于 100MB 传输的网络。NetScreen-100 端口是自适应的端口，也可用于目前传输为10MB 并计划将来升级为100MB的网络。NetScreen-1000 已经面市，它将为那些大型企业、数据中心和网络主干的供应商提供千兆网安全的解决方案。NetScreen 远程 VPN 客户软件可提供远程VPN访问的解决方案。NetScreen Global man

11、ager 软件可以集中管理多达1000台NetScreen设备。33产品功能及特点NetScreen产品是基于安全包处理器的产品。全新的技术包括定制的专有的芯片免费加盟和策略实现。高性能的多总线体系结构、内嵌的高速RISC CPU和专用软件。NetScreen防火墙的专用ASIC芯片提供存取策略的功能。该功能以硬件方式实现，它比软件防火墙有着无可比拟的速度优势。CPU可专门负责管理数据流。（策略存取执行防火墙保护和加密解密功能）。由于做到了系统级的安全处理功能。NetScreen消除了基于PC平台的防火墙的需管理多个部件所引起的性能下降的瓶颈。 NetScreen提供了多功能和高安全性能的无缝

12、连接，NetScreen-1000, NetScreen-100 和 NetScreen-10 分别提供了1000M、100M和10M的传输性能。NetScreen-1000是市场上唯一的千兆的集防火墙、VPN和流量管理于一身的防火墙产品。同样，NetScreen-100是业界最快的防火墙，另外，NetScreen自动调整端口速率，使其达到10M和100M自适应。 因为是基于硬件的设计，NetScreen是唯一一家安全解决系统的提供商，NetScreen产品的高性能允许用户享受到高速的好处，可提供多条E1线路，甚至更高如E3的线路。另外，该产品允许用户在远程实现加密通信，并且这种VPN功能不影

13、响性能。NetScreen提供给ISP们一个价廉物美的安全解决方案。NetScreen10为中小企业提供他们负担得起的全面的安全解决方案。允许他们在自己的企业网内部构筑安全体系。 性能NetScreen产品动态加密保护和按优先级实时监控未来数据，它专有的独特的系统设计保证了它的高性能，ASIC芯片可以独自处理并过滤包。先进的多总线结构比基于PC的平台上的防火墙产品快。同样基于系统级的安全功能设计消除了传输的瓶颈。用户认证和策略NetScreen 支持高性能的存取为每一个当前用户，无论是远程还是在防火墙内，支持创纪录的并行连接用户数。NetScreen-1000创纪录地实现了TCP/IP并发连接

14、（超过）；策略数（多于5000）和并发的VPN连接数（超过10000）。NetScreen-100支持每秒4370个连接，（基于32个客户），领先于它的最接近的竞争对手。根据独立的测试机构，KeyLab的测试报告，NetScreen100支持32000个并发用户连接，NetScreen-10支持16000个并发连接。所有产品都支持超过5000个存取策略，并提供简单易用的过滤界面。防火墙NetScreen全功能防火墙包括了包过滤、代理服务器和动态线路级过滤器。该产品提供了高级的包检查和事件日志功能。该产品与Ipsec协议兼容。VPN NetScreen会集了VPN功能，保证了数据在传输过程中的加

15、密和解密，但在数据被加、解密之前，首先要满足预定的策略。不论NetScreen100还是NetScreen10都支持业界的加密标准。包括网络密钥交换（IKE, 或以前的ISAKMP) 通过IP，DES，Triple DES。并且还支持数据签名（MD5）算法。NetScreen将支持X.509认证公钥算法（PKI），可以自动地管理VPN。NetScreen-1000建立了新的VPN性能测试基准，与其它同类产品比较，NetScreen-1000有着更高的吞吐量，更广泛的安全性和更低的价位。流量管理 流量管理提供给网络管理员所有必须的信息去监控和管理网络流量。网络控制功能象带宽分配。流量优先级和负载

16、均衡，使该产品成为web服务器和ISP的理想产品。网络管理该产品易于安装，而且NetScreen产品可以远程通过网络上任何一台具有浏览器的机器来管理。NetScreen可以被用来作透明传输。你可以在这种方式下不分配任何IP给NetScreen网络界面。它只需要一个管理界面。不用更改您现有的任何网络配置就可以利用策略来管理网络流量。除了它可以在两台NetScreen之间运行VPN，即使有些产品可以在透明模式下工作，但它们也不能在透明模式下实现VPN。 特点l 独特的ASIC设计及已申请专利保护的系统体系结构l 最优的性能价格比l 无用户数目限制l 独特的负载均衡能力及流量优先级控制能力l 创记录

17、的性能，具有线速运行能力l 配置简单，管理方便l 支持透明传输模式l 设计紧凑，一些附加功能转移到主机上完成如日志功能l 支持一主一备的管理模式34访问控制NetScreen 使用了状态检查的方法来实现动态的包过滤。 相比其他的两种方法简单的包过滤和复杂的应用网关来讲，它具有更快速和更安全的优点。简单的包过滤只检查IP地址和端口号。它通常由路由器来实现。但它只能做到拒绝端口访问或允许端口访问。它不能了解连接的状态。一旦真正的用户完成了TCP的连接后，就留下了可使黑客劫持端口号的漏洞。应用网关通过检查应用层所有的包，提供了更好的安全性。但是用户需要厂商提供所有应用的代理。而且它只能用软件实现，因

18、此性能是很低的。状态检查的链路层代理，另一方面，可实现硬件层。防火墙保持所有的TCP会话的检查。一旦一个会话结束，防火墙就结束这个连接。在不牺牲安全性的条件下，提供更高的性能。NetScreen 也可提供网络层的 URL 过滤，并在不久的将来实现病毒扫描的功能。 NetScreen 产品也提供信息的和用户的认证。NetScreen是通过建立VPN通道，由MD5实现的ESP信息的认证，并依从IPSec 标准 用户的认证可由三种方法实现。用户可在防火墙上定义多达1500 个用户或者设置一个 Radius 服务器或Secur ID server来存储和认证用户信息。35 管理NetScreen 产品

19、可连接信任端口（Trusted ）或 不信任端口（Untrusted）然后通过web 界面来管理。并提供了跨Internet来实现远程管理能力。不信任端口（Untrusted）可以因安全的原因而设置为取消。如果取消它，不信任端口是不可ping的。 (不信任端口（untrusted） 在 1.60版本以前是不可ping的)。 图一、NetScreen防火墙远程管理示意图NetScreen 产品同样也可通过console 端口，使用命令行方式进行管理。如果用户喜欢使用命令行方式或希望通过远程来管理防火墙，可在console口连接一个调制解调器。Console口的访问也可因为安全原因设置为取消。 N

20、etScreen 产品也可以通过telnet来管理。Telnet 和 Web 管理也可通过VPN 通道加密，提供安全的管理。管理方便，可通过串口管理，使用命令行方式。也可以在图形方式下用浏览器进行管理，不分硬件平台和操作系统，只要把浏览器打开就可以通过用Web server 的方式来管理配置简单尤其在配置三个端口的IP时很方便。对于大型网络中多个NetScreen设备，可以采用snmp的集中式管理，通过NSGlobal manager可管理多达1000台Netscreen设备。而且NetScreen还可以提供备份的远程拨号方式的管理。不仅如此，为安全起见，NetScreen 可以关闭远程的管理

21、方式，而只使用本地的、安全的管理方式。36 处理能力及性能指标具有线速带宽且不受信息包大小影响(wirespeed)在作地址转换和添加策略时，性能不受任何影响具有VPN功能，支持IPSEC,DES,TripleDES,人工密钥管理,自动ISAKMP密钥管理，支持MD5线速带宽的包过滤支持64，000个并发连接5000个高级访问过滤策略具有网络地址转换功能支持透明模式传输动态过滤，具有硬件级代理服务器功能有实时监控流量和报警功能可以实现日志记载功能流量控制，可以根据不同用户及不同策略分配带宽支持8级用户优先级设置支持服务器负载均衡动态IP pool,实现端口地址转换支持多种标准协议：ARP,TC

22、P/IP,UDP,ICMPDHCP, HTTP, RADUIS, Ipsec, MD5, SHA-1Des, Triple -DES, IKE, X.509v3，H.323可以通过浏览器，TFTP服务器，快速闪存来进行软件版本的升级及配置参数的下载，备份支持一主一备的管理模式37 产品适用范围l 企业网 (INTRANET)Netscreen-100，以其创记录的100Mbps运行速度，将业界的性能标准一下子提高了十倍，创新的，独特设计的软硬件体系结构，使Netscreen-100将高速的性能，最大限度的安全性及简单易用有机地结合在一起，有效的消除了制约传统软件类防火墙的性能瓶颈。Netscr

23、een-100是当今市场上为企业网（INTRANET）与互连网(INTERNET) 及企业内部各单独子网之间提供信息保护的最可信赖的解决方案。它可以被灵活地设置在企业局域网的各个关键位置，以保护各个部门的资讯，如财务部，工程部等关键部门，或保护重要的企业网服务器，甚至可以保护企业高层管理人员个人电脑上的敏感资讯。将虚拟专用网(VPN)方便的能力与放火墙功能设计在同一个体系结构中，是使Netscreen-100在当今防火墙技术市场上居于领先地位的关键。VPN 保证了加密的数据在进出公司局域网和外部互连网时受到检验。Netscreen-100强大的DMZ服务器负载平衡功能，使得用牺牲网络性能换取网

24、络安全的矛盾迎刃而解。无论需求是来自企业网(INTRANET)还是互连网(INTERNET)，Netscreen-100都有能力平衡多个服务器。运用一个加权系统，网络管理员可以保证为企业内部信任端口(TRUSTED)服务器和公共的隔离端口(DMZ)服务器按需分配带宽Netscreen-100的100Mbps的速度性能，保证了网络具有实时响应能力和最短的等待时间，实现了网络性能与网络安全的完美统一。l 互联网（INTERNET）Netscreen-100在防火墙市场之所以出类拔萃，是因为其实现了防火墙安全性能与高速率的完美结合。它不仅适用于单个的E1，而且适用于多个E1或E3，甚至快速以太网。N

25、etscreen-100可以很容易地配置在任何现有的企业网络结构中。Netscreen-100为网络管理员提供了综合的网络流量控制方法，从而实现了高效的网络流量管理。Netscreen-100的先进功能之一，优先级管理，就是对带宽按级别来分配，保证了网络数据的高效交换。这就使诸如视屏会议等特定服务和应用，在全部可用带宽范围内，可被确保一定比例的带宽而顺畅进行。与此相关的，Netscreen-100同时具有全面的网络分析能力，如实时的日志记录，快速准确的报警功能和方便的报表能力。l 外联网（EXTRANET）Netscreen-100以其先进便利的VPN功能，确保特定局域网之间在互联网上以密文交

26、换信息。在公网上开辟出一条安全通道，为用户降低成本。在Netscreen-100高速处理能力的保障下，VPN可使公司安全地进行远程数据复制与拷贝，以及对远端服务器的配置与管理。如果您的企业需要通过互联网与诸如供货商，商业伙伴，分支机构进行端到端信息交换，Netscreen-100的VPN功能将是您最安全可靠和经济有效的工具。由于VPN使用公网传输，节省了昂贵的租用专线费用，极大地降低了企业网络为通讯安全进行的投资。38 NetScreen 网络安全主要产品简介381 NetScreen-10NetScreen-10是一台集成防火墙、VPN、NAT、流量管理等功能于一体的Internet安全设备

27、。具有以太网线速的处理性能，为中小型企业、分公司提供安全及高性能的Internet 连接。易于安装和配置，通过Web浏览器、CLI(命令行)管理或通过NetScreen Global Manager软件进行集中管理。NetScreen-10对性能和易用性进行专门优化，各种商业环境。性能参数性能高达10Mbps先进的防火墙策略和VPN加（IPSec）100个并发VPN通道符合IPSec标准(可与其他厂商设备互连)DES (56位)和三倍DES加密级别符合IKE密钥管理协议(ISAKMP),认证:MD5,SHA-1认证 防火墙网络地址转换（NAT）透明模式(无需改变现有的网络设置)状态检测，实时报

28、警和日志通过ICSA认证、Web、Radius和SecureID认证URL地址的限定4000并发会话连接数、4000条安全策略 便捷管理基于Web浏览器的配置或通过CLI（命令行接口）或者通过Netscreen Global Manager集中管理，确保网络最大带宽，或按优先级设置不同的带宽。支持的协议ARP，TCP/IP，UDP，ICMP，HTTP，RADIUS，IPSec（IPESP），MD5，SHA-1，三倍DES，IKE（ISAKMP），TFTP（客户端）SNMP 接口三个10BaseT以太网端口：（信任端口、非信任端口、DMZ），RS-232诊断端口，PCMCIA插槽 软件升级Web

29、浏览器，TFTP服务器 电源通电电源，100-240VAC（自适应），功率消耗30W 安全认证UL，FCC，CE，DUL，ICSA 图二、NetScreen-10的应用环境视图382 NetScreen-100NetScreen-100是一个专门为网络安全方面设计的Internet安全设备，它为电子商务站点、ASP/ISP 数据中心和企业中心站点、网络银行等提供专门优化的防火墙、VPN流量控制（带宽监控）功能NetScreen-100包括了一个专门设计的ASIC以加速加密工程和防火墙功能，一个高性能的多总线结构，内（钱？）嵌高速RISCCPU和专用的软件。它的专利独特的体系结构消除了传统系统中

30、由于在通用处理器、PC或工作站上运行软件的防火墙、VPN、加密所导致的性能瓶颈、以及安全性上的先天性不足。NetScreen在消除了性能瓶颈的同时依然提供了ICSA认证的全状态监测防火墙安全和最高级的3DESIPSec加密的数据安全。 高性能防火墙NetScreen-100提供了防火墙的全部安全功能，并结合了包过滤、链路过滤和应用代理服务器等技术。NetScreen-100创建了新的防火墙性能基准，它用基于全状态监测的技术实现了用户访问控制，提供了具有线速性能的ICSA认证的防火墙安全。它的专利独特的系统结构和专门设计的ASIC为要求苛刻的数据中心，服务提供商和企业环境提供了高性能的安全功能。

31、l 高容量：128,000个并发TCP会话连接l 健壮的对包括SYN攻击、ICMP flood、端口扫描和其他许多攻击的防护l 网络地址转换（NAT）、端口地址转换（PAT）和虚拟IP（VIP）隐藏内部IP编址和保留IP地址l DMZ端口提供一个单独、隔离的网络来部署连接公网的服务器如Web、E-Mail、FTP等l 透明模式基于网桥的网络操作，对其他网络设备和攻击者不可见l 通过内部数据库，RADIUS和SecureID对用户进行认证l WebSense URL地址过滤l 高可用性用两台NetScreen-100提供故障恢复功能（具有多机备份的功能） VPNNetScreen-100目前以其

32、便利的VPN功能，确保特定局域网之间在公网上以密文交互信息，它支持端对端和远程访问的VPN应用。NetScreen专门设计的ASIC接管了CPU的高密度加密任务，提供线速性能以支持环境要求苛刻的ISP、ASP和中心站点VPN集中应用。集成的VPN功能通过加密的VPN通道也使安全的远程管理得以实现。l 与IPSec兼容同其他厂商设备可相互操作l 1000个IPSec VPN通道l 3DES吞吐量达到85Mbpsl IKE自动密钥管理安全动态密钥交换l DES和三倍DES最高级别加密l 强有力的认证MD5，SHA-1VPN应用示例NetScreenHeadquartersMobile UserIn

33、ternetVPN TunnelVPNClear Traffic图三、VPN应用示意图四、福建兴业银行网络安全总体设计41 福建兴业银行网络安全设计原则l 防止来自外部的黑客攻击l 防止来自内部的恶意攻击l 网络资源访问控制l 网络传输的实时监控l 强大的安全审计l 事件分析与告警在本方案中我们从兴业银行各种业务、兴业银行总行和分行的业务连接和OA系统、网上银行各方面进行网络安全方面的设计。在网络的对外出口处以及在总行和分行之间的连接都设置防火墙将是最理想的选择，因此我们在本方案中建议福建兴业银行在所有与外部网出口都配置NetScreen系列防火墙，以及在总行与分行的业务网的连接处也配置防火墙

34、，对外防止黑客入侵，对内以防止内部人员的恶意攻击或由于内部人员造成的网络安全问题。本方案中主要用到NetScreen-10和NetScreen-100，在总行与分行连接点采用NetScreen-100作为防火墙，同时在重要的业务连接点采用NetScreen独特的多机备份技术用两台作为热备份，保证整个系统的网络安全。在分行采用NetScreen-10防火墙，为连接各银行网点提供安全防护。详细技术特点请参见3.4.2。福建兴业网络安全设计整体配置图如图四。另银行通过INTERNET网上进行业务时，由于分行与INTERNE都有出口，也带来了一定的风险，我们建议在连接INTERNET的出口上也配置Ne

35、tScreen-10防火墙。42 福建兴业银行各业务系统的安全设计421 威胁及漏洞福建兴业银网络作为一个金融网络系统，由于涉及信息的敏感性自然会成为内部和外部黑客攻击的目标，当前福建兴业银行面临的主要风险和威胁有： 非法访问：兴业银行网络是一个远程互连的金融网络系统。现有网络系统利用操作系统网络设备进行访问控制，而这些访问控制强度较弱，攻击者可以在任一终端利用现有的大量攻击工具发起攻击；由于整个网络通过公用网络互连同样存在达？接终端进行攻击的可能；另一方面银行开发的很多增值业务、代理业务，存在大量与外界互连的接口这些接口现在没有强的安全保护措施存在外部网络通过这些接口攻击银行，可能造成巨大损

36、失。窃取PIN/密钥等敏感数据：兴业银行信用卡系统和柜台系统采用的是软件加密的形式保护关键数据，软件加密采用的是公开加密算法（DES）（肯定吗？），因此安全的关键是对加密密钥的保护，而软件加密最大的安全隐患是无法安全保存加密密钥，程序员可修改程序使其运行得到密钥从而得到主机中敏感数据。假冒终端/操作员：兴业银行网络中存在大量远程终端通过公网与银行业务前置机相连国内银行以出现多起在传输线路上搭接终端的案例。兴业银行网络同样存在大量类似安全隐患。现有操作员身份识别唯一，但口令的安全性非常弱因此存在大量操作员假冒的安全风险。截获和篡改传输数据：兴业银行现有网络系统通过公网传输大量的数据没有加密，由于

37、信息量大且采用的是开放的TCP/IP，现有的许多工具可以很容易的截获、分析甚至修改信息，主机系统很容易成为被攻击对象。其他安全风险：主要有病毒、系统安全（主要有操作系统、数据库的安全配置）以及系统的安全备份等。422设计说明在对福建兴业银行分行网络结构和业务系统网络结初步分析后我们提出以下安全措施来安全处理。图四、银行网络安全防火墙保护总体示意图 通常银行，也包括福建兴业银行网络中用到的通信线路涉及到：X.25、FR、DDN、ISDN、拨号等通信接口和协议，因此，最佳的方案是在网络层上采用先进的NETSCREEN网络安全技术，以有效的阻止外来的攻击和保证业务数据在公网上的安全传输，同时在应用层

38、上提供对敏感数据加密消息进行完整性鉴别及密钥管理因此可以通过各级分行节点配备NETSCREEN100 来保证IP包的机密性。在业务系统中为了保护用户敏感信息防止信息被非法篡改实现对业务数据加密、身份认证等安全功能。43 总行与分行业务系统和OA系统的安全设计431 各业务系统的分离兴业银行有网络上开展各种应用，包括人民币业务系统、外汇业务系统、内部OA系统等一系列的业务，这些业务之间存在一定的联系，但又要防备侵权使用资源，特别是银行业务系统与办公OA系统，所以各业务系统的隔离是保障业系统安全的一个重环节。图五、兴业银行各业务系统隔离方案在银行内部，各业务系统使用的主机IP地址要有严格的区分，为

39、建立访问控制机制为核心的隔离措施提供方便。在总行的局域网当中，通过具有第二层（支持VLAN划分，VLAN为虚拟局域网）或三层交换的交换机（支持VLAN划分及网内路由），划分业务系统在一个VLAN范围内，OA系统在另的一个VLAN范围内，各VLAN之间不直接交换数据，在必要的情况下，采取一定技术实现部分数据交换。在分行内可以象总行一样，通过VLAN的划分，划分业务VLAN和OA VLAN，隔离办公网与业务网。VLAN技术是近阶段较流行的局域网隔离技术，在一套硬件网络环境内运行许多个（视交换机支持数据）完全独立、互不通信的局域网，看起来就象两个完全分隔开的局域网系统。使用VLAN划分开之后，当网络

40、信息通过路由器后，MAC地址信息都会被路由器的MAC地址所替代，VLAN的隔离作用消失。就是说总行内和分行内划分出的业务VLAN和OA VLAN，在局域网内根据路由策略，及对对MAC地址的判别，可使隔离的业务VLAN和OA VLAN按需实现通迅。远程通讯是通过路由器的同一个广域网端口，经过广域网传输后的业务网和OA网是无法通过VLAN技术加以隔离的。如不加以控制，总行的业务网和OA网虽然不能互相访问，但总行的业务网可以和分行的OA网相互通讯，因此必须建立一定的访问控制加以限制。因此要在路由器之后配备防火墙，执行访问控制功能，分划业务网与OA网的通讯界线。431 敏感数据区的保护银行系统内存在许

41、多敏感数区域（如银行业务系统主机等），这些敏感的数据区域要求严格保密，对访问的权限有严格的限制，但所有的主机处于同一个网络系统之内，如不加以控制，这样很容易造成网内及网外的恶意攻击，所以在这些数据区域的出入口要加以严格控制，在这些地方放置防火墙，防火墙执行以下控制功能。1、 对来访数据包进行过滤，只允许验证合法主机数据包通过，禁止一切非授权主机访问。2、 对来访用户进行验证。防上非法用户侵入。3、 运用网络地址转换及应用代理使数据存储区域与业务前端主机隔离，业务前端主机不直接与数据存储区域建立网络连接，所有的数据访问通过防火墙的应用代理完成，以保证数据存储区域的安全。图六、敏感数据区保护方案4

42、33 通迅线路数据加密在银行的广域网传输系统中，从总行到分行、分行到支行、支行到分理处等，广泛应用到帧中继、X.25、DDN、PSTN等等之类的通用线路，但这些线路大多数都是由通讯公司提供，与许多用户在一套系统上使用他们的业务，由于这些线路都是暴露在公共场所，这样很容易造成数据被盗。传输数据当中如果不进行数据加密，后果可想而知。所以对数据传输加密这是一非常重要的环节。对网络数据加密大致分为以下几处区域：1、 应用层加密建立应用层加密，应用程序对外界交换数据时进行数据加密。主要优点是使用方便、网络中数据从源点到终点均得到保护、加密对网络节点透明。缺点是某些信息必须以明文形式传输，容易被分析。此种

43、加密已被广泛应用于各应用程序当中，并有相应的标准。2、 基于网络层的数据加密在总部到各分行，以及分行到支行建议采用VPN加密技术进行数据加密。VPN是通过标准的加密算法，对传输数据进行加密，在公用网上建立数据传输的加密“隧道”。加密实现是在IP层，与具体的广域网协议无关，也就是说适应不同的广域网信道（DDN、X.25、帧中继、PSTN等）。由于VPN技术已经拥有标准，因此所有的VPN产品可以实现互通。当然，银行可根据自身的需要，可选用专用加密设备进行数据传输加密。图七、利用VPN技术对数据传输进行加密434防火墙自身的保护要保护网络安全，防火墙本身要保证安全，由于系统供电、硬件故障等特殊情况的

44、发生，使防火墙系统瘫痪，严重阻碍网络通讯，网络的安全就无法保证，所以要求防求防火墙有冗余措施及足够防攻击的能力。图八、防火墙双机备份方案44兴业银行网上业务网络安全设计目前，在发达国家，电子商务发展十分迅速，电子商务技术已趋成熟，通过Internet进行交易也已逐渐成为潮流，全球电子商务的应用也已拉开帷幕。网上银行是银行在电子商务中的一个具体应用，自1995年10月，全球第一家网上银行开张，到1996年8月，已有600多家银行上网，提供服务信息甚至在网上提供全套金融服务。1997年，研究企业对17个国家的130家大型金融机构调查，发现13%已经在网上与客户直接交易。而1999年，60%在网上营

45、业。在我国，Internet的应用发展也很快，而且金融通讯网络正在迅速扩大，我国的银行金融系统，以银行金融网络为基础，以现代支付系统为龙头的金融电子化工程已经全面铺开，进展很快。建设网上银行已是大势所趋，而其中非常重要的一点就是整个系统的安全保证，包括数据的安全保证、交易的安全保证、支付的安全保证。现今有许多实现手段，以保证电子商务系统的安全运行，其中比较流行有如下几种：l 电子商务系统防火墙l 信息加密l 身份认证l 信息签名目前，国内的一些网上银行试点陆续开通了一部分的银行业务，比如中国电信总局与中国农业银行总行、中国银行总行在湖南实行的网上银行企对帐系统、网上银行银证转账系统等系统。在本

46、方案中，我们在分析了这些网上银行的系统结构以及其所面临的网络安全问题的基础上，对兴业银行的网上银行系统采取如下安全措施。1. 在银行电子商务平台与Internet的接口处安装NetScreen-100方火墙。2. 采用Netscreen-100的虚拟IP技术，为电子商务服务器作负载平衡。3. 在银行电子商务平台与银行综合业务网之间安装NetScreen-100防火墙。4. 启用Netscreen-100的VPN通道功能，利用标准加密技术对传输数据加密。图九、系统示意图设计说明：1. 通过在银行电子商务平台和INTERNET之间安装NetScreen-100，通过其基于状态检测包过滤，能有效的将

47、非法的数据包排除在防火墙以外，通过NAT（网络地址翻译），将内部服务器（如提供电子商务服务的服务器）的IP地址转换成外部IP地址，能有效的防止黑客通过各种手段来攻击或入侵内部的服务器。可以保证电子商务平台不受到入侵，能够对所有的信息流封锁，并且开放希望提供的服务。2. Netscreen-100可以设置虚拟IP，选择负载平衡算法，如轮询、带优先级的轮询、最少连接数、带优先级的最少优先级等多种算法实现电子商务服务器的负载平衡。图十、负载平衡示意可以将一个合法的外部IP地址映射给内部多台服务器的IP，由多台服务器分担网络上访问服务器的流量。如上图中将一个IP地址：200.10.10.5指定给DMZ区的多台服务器（各服务器IP不相同），以此来分担整个网络的流量，以保证网上银行的电子商务平台能够安全、快速、稳定的运行。3. 同样在电