收藏本站 收藏本站
积木网首页 - 软件测试 - 常用手册 - 站长工具 - 技术社区
积木学院 > 电脑技术 > 软件技术 > 正文

银行网络安全管理平台技术方案

来源:互联摘选 日期:2007-10-19 21:50

背景与现状

银行网络简介
    银行网络始建于x年。经过多年的建设,目前已基本建成连接总行、各分行、各分理处的计算机主干网和各级局域网。各级主干网主要采用专线方式相连,带宽为1兆至千兆不等。联入xxx银行网络的计算机约有x万台。
    银行网络拓扑主要为树型结构。xxx网系x银行的内部专用网络,横向不与其它外部网络相联。全网采用统一的内部IP编址和计算机命名规范。
……
    随着计算机应用规模的扩大和各种业务对计算机网络依赖程度的提高,网络安全管理工作已经引起各级领导和网络管理人员的重视,各地有关部门正在积极着手有关工作。

建设xxx银行网络的必要性
    几年来,xxx银行网络建设虽然有了很大的发展,在现实服务中发挥了积极的作用。但该网络还很脆弱,安全性不够高,网络安全管理工作还处于刚刚起步的探索阶段,主要体现在以下一些方面:

    缺乏完整的安全防护体系。对内而言,xxx银行网络还处于基本不设防的状况,安全管理工作缺乏有效的手段。目前,除一些地区使用了网络防病毒产品外,其它网络安全产品,如网络管理系统、防火墙、入侵检测、漏洞扫描和网络审计等系统使用得还比较少。网络安全管理体系还未形成。一些单位虽然使用了一些安全产品,但各产品之间没有联系,给管理工作带来了一定的难度,难以发挥应有的整体效果。

    网络管理的基础工作薄弱,各类网络基础信息采集不全。目前,xxx银行网络大多数地区的IP地址是按段分配的,网管中心对IP地址等资源占用和用户情况难以掌握。存在网络IP地址和计算机名乱用、冒用现象,信息中心缺乏有效的监控手段,因此上网设备的IP地址冲突现象时有发生,致使合法设备无法正常工作,严重影响了业务工作的开展。

    对于安全隐患缺乏技术控制手段。目前,xxx银行网络在网络审计、入侵检测和病毒监测等网络管理工具的使用过程中,对发现的违规操作或感染病毒的计算机不能快速、准确定位,不能及时阻断有害侵袭并快速查出侵袭的设备和人员;对违反规定或不允许上网的计算机及网络设备,不能限制其上网;同时在网络侵害事件调查中,无记录日志,取证较为困难。

    设备管理困难。网管中心对网上的机器数量难以准确统计。一些实时运行的网络设备和重要服务器的运行状况不能集中监控,日常管理难度和工作量都很大。相关运行信息不能及时发送到网管中心,不便于大范围的统一管理和信息共享。

    存在上述问题的根本原因,是缺乏信息网络安全管理的完整体系结构和有效的管理手段。要解决这些问题,仅仅依靠相对单一的安全产品是不够的。

银行网络安全管理平台的提出
    为了理清xxx银行网络安全建设的发展思路,为网络安全管理提供有效的技术手段,积极推动xxx银行网络安全管理工作的开展,xxx银行网络在多年网络建设和管理的基础上,提出以全网设备和用户信息管理为基础的,集各类网络产品管理为一体的信息网络安全管理平台的设想,最终实现xxx银行网络安全管理信息分级管理,全网实时监控,达到加强网络安全统一管理,确保网络安全畅通的目的。

    从目前网络安全管理领域的情况看,国外的一些网络安全公司针对本公司的安全产品开发了一些综合管理平台,但由于商业的原因,这些平台仅能管理本公司的产品。从国内的情况看,以天融信为首的多家知名的网络安全公司,提出了以天融信防火墙为中心,开发名为TOPSET的网络安全产品管理平台。

    银行网络安全管理平台的出发点与上述产品有本质不同。一是该平台根据内部网络安全管理的特点,从网络用户的基础信息管理入手,融合多种网络管理和网络安全管理的技术,可以将网络安全管理与用户管理紧密结合,突破了网络安全管理,仅仅依靠安全产品的局限;二是以用户为核心开发管理平台,可以较好地融入不同厂家的技术和产品。三是根据管理需要开发的管理平台,更贴近用户的管理需求,提高平台的可用性。

    该平台的使用,可以为xxx银行网络安全管理提供有效的手段,大大提高xxx银行网络的安全可靠性,降低系统管理难度。该平台具有广泛的实用面,可以在各级网络的管理部门安装,节省大量的经费。

构建完整的xxx银行网络安全体系
    在xxx银行网络安全体系建设过程中,需要综合考虑各种安全要素,主要包含贯穿始终的安全策略、安全评估和安全管理;而在技术层面上需要考虑实体的物理安全包括网络的基础结构、网络层的安全,操作系统平台的安全,应用平台的安全以及在此基础之上的应用数据的安全。这几个方面,既是一种防护基础,也是相互促进的,同时,也是一个循环递进的工程,需要不断的自我完善和增强,才能够形成一套合理有效的整体安全防护系统。

xxx银行网络的整体安全应该包括如下几个部分:
    策略安全,包括安全的范围、等级、管理政策和标准。
    安全评估,包括威胁评估、漏洞评估、制度评估。
    物理安全,包括门禁系统、防静电防磁、防火防盗、多路供电。
    系统安全,包括系统漏洞扫描、系统加固、系统入侵侦测和响应、主机访问控制、集中认证。
    网络安全,包括网络漏洞扫描、网络入侵侦测和响应、路由器访问控制列表(ACL)、集中认证、防火墙、VLAN、QoS、路由欺骗、地址欺骗。
    应用和数据库安全,包括数据库漏洞扫描,数据库安全管理。
    数据和内容安全,包括网络和网关式病毒扫描服务、VPN加密。

具体请参照下图:

整体网络安全架构图

在考虑xxx银行网络的安全时,应从以下几个方面来考虑问题:

基础安全策略
    为了给xxx银行网络构建一个良好的安全体系,首先需要制定一个良好的安全策略,而所有的安全架构和安全防护措施,以及在此基础上实施的安全管理,都必须是建立在安全策略符合的基础上的。
针对xxx银行网络的安全,我们需要从几个方面考虑安全策略的建立:IT安全架构、网络管理制度、紧急响应机制、自身管理人员和用户的安全教育。

    建立 xxx银行网络IT安全架构,就是要构建一个IT模型,首先必须对所有资源(中心服务器,数据备份服务器及群件系统)进行有效的标识和定义;其次要标识各种资源的威胁来源及风险大小;最后我们需要采取一定的措施对这些资源进行防护。
现代的安全体系的建立,是和有效的管理机制无法分离的,单纯的技术手段已经无法保障一个系统的安全了。必须有一套良好的管理机制来保障系统的安全运作。

    任何防护手段都无法保障100%的安全性,这已经是在安全领域内大家已经产生的共识。关键在于如何在发生安全事件以后,有没有一套紧急响应处理机制。通过一个什么样的途径,由什么人负责,由那些人参加,按照什么样的流程,采用什么样的手段来处理安全事件,是紧急响应机制中定义的,同时,也能够保障发生了安全事件以后,将威胁和风险降到最低。

    安全管理体系中很重要的一个因素就是人的因素,包括内部人员,外部人员和第三方人员,外部入侵者和内部用户等都可能构成安全威胁的主要来源。且随着IT技术的发展,新的安全漏洞和威胁也越来越多,对于管理人员和用户本身的要求也越来越高。因此必须加强对管理员和用户进行持续的安全教育,才能够有效降低安全风险。

xxx银行网络的自身安全
    为了保障xxx银行网络的安全,我们需要在xxx银行网络和其他网的连接处配置防火墙,通过防火墙的策略配置,我们可以阻止大部分外部的恶意攻击。但防火墙本身在安全防护方面存在一定的缺陷,即它只能提供静态的、被动的保护,而对动态的威胁无能为力。因此我们还需要在防火墙后配备入侵检测系统,通过入侵检测系统发现外部的可疑攻击并调整防火墙的策略。最大可能的把非预期的信息屏蔽在外。

    相对于与外部用户的攻击,内部用户的威胁可能更大,因为内部用户对网路资源的具有可访问性。因此也必须考虑充分来自这些网络内部的威胁。通过部署安全评估系统和入侵检测系统,可以及时网络系统中存在的弱点和漏洞并及时修复。

建设目标和原则
    为了适应时代的发展,xxx银行网络充分利用现代计算机及网络技术,有计划、有步骤地建设一个符合国内应用技术发展趋势、具有国内领先技术水平的高度集成的安全管理平台,有效保证xxx银行网络的安全运行。

设计目标
    xxx银行网络安全管理平台应是一个具有灵活性,开放性,便于扩充升级,满足客户服务要求的综合系统。xxx银行网络安全管理平台方案应具有以下特点:

    采用国际最新的高科技成果,使其在网络信息管理领域具有较高的水平。
    扩充方便,修改灵活,操作维护简单,系统重起时间短,能适应业务的快速变化。
    充分利用现有各种系统的资源,以节省运行成本。
    规范系统,应从整体的角度来考虑系统的结构设计。基本包括计算机管理系统、相关数据库系统间的直连或间接互连。

设计原则
    依照本系统的基本需求及今后的发展规划,我们设计遵循以下原则:

开放性
    开放系统结构在国际上广为流行,开放系统结构可以有效地保护客户已有的投资和资源,便于系统间的联接。无论是硬件还是软件的升档或是移植,开放系统有它不可比拟的优越性。主要体现在:

    主机系统开放性环境:主机系统开放性环境是一个不可缺少的因素,它基于Windows 2000或Linux等技术的操作系统,便于系统的扩充和保持应用软件的可移植性。

    应用软件的独立性:建立一套基于通用的Windows 2000或Linux操作系统和开放关系数据库管理系统的应用软件。应用软件应独立于具体的硬件平台,具有很强的适用性和先进性,并且可以进一步推广和使用。

    可互联的网络系统:网络的互联能力也体现在网络的开放性及与异种网互联的支持二方面。一个开放的网络,通常指符合国际标准或事实工业标准的网络,这使得建立的网络能为经过其它授权的各类计算机所访问,这种访问很少需要增加额外的软硬件,并且为大多用户所熟悉。

    由于TCP/IP网络协议在多种主机互联的实用性,以及在用户接口方面的标准化、可用性,我们建议采用TCP/IP协议,以保证用户接口的一致性,为应用软件独立于网络系统提供保证。

实用性
    在设计中首先要考虑实用性和易操作性。为此需选择技术成熟的设备及应用软件,同时需考虑到对现有设备和资源的利用。为了使系统具备长时期技术领先的竞争能力,除了系统的高产品稳定性之外,还必须具有高效故障诊断功能,简便的数据库更新、系统维护功能,灵活高效的业务变更对应能力,使无用功减至最少。实用性还体现在本信息系统业务界面的友好性上,因为灵活简洁的操作会直接提升管理的效率。这些均是系统设计时必须考虑的问题。

先进性
    选择符合国家安全保密规定的,业界最先进的产品,同时也提供业界最先进和前沿的管理理念,使得客户始终能够和世界领先的技术和管理理念同步。

    作为高科技发展下的安全管理系统,在设计时,应充分考虑到各地千差万别的实际业务需求及现代计算机和通讯技术发展的先进成果。为了能够保证本系统能够在一个较长的时期内处于同行业技术领先水平,更必须实现建立在一个较高的起点上,实现一个展现xxx银行网络新面貌的系统。

强悍的草根IT技术社区,这里应该有您想要的! 友情链接:b2b电子商务
Copyright © 2010 Gimoo.Net. All Rights Rreserved  京ICP备05050695号