论文部分内容阅读
【摘 要】 针对现有银行网络系统进行改造,本文详细介绍了网络改造工程中安全设计的总体目标,针对传统安全模型的缺陷和不足,提出了一个极具创意的,能够不断自我完善、不断发展的网络安全模型——P2DR安全模型,以满足银行不断发展的业务应用需求;加强外联网局域网网络管理和运维水平,保障网络可靠、稳定运行;完善网络安全防体系,切实保障网络运行安全。
【关键词】 银行网络;升级改造;网络安全策略
1 概述
银行网络系统是一个比较复杂庞大的内部互联网络,同时也涉及了网上银行和银行代收业务,因此既要保障内部网络的通畅和安全,又要保证非法用户不能通过外网(互联网)进入内部网络。完整的网络安全不仅包括防火墙的访问控制功能,还需要有远程集中管理、远程审计和自动备份日志等功能。现有的网络技术水平已经不能满足银行业务开展的需要。为了适应银行业务发展的需要,对全行网络系统的改造和升级势在必行,因此需要有一个立体的网络安全整体解决方案。
2 银行的网络结构和应用现状
2.1 银行各分行网络连接现状。目前,银行各分行大楼局域网分为内联网和外联网,两个网络在物理上严格分离,互不连通。其网络拓扑如图1所示。
分行接人国际互联网线路为10M以太网线路,拥有4个固定IP地址,设有代理服务器,全部外联网用户均通过代理服务器上Internet。现有的网络技术水平已经不能满足银行业务开展的需要,为了适应发展的需要,对全行网络系统的改造和升级势在必行,根据银行的需求,我们所必须做的是:将现有HUB全部更换,配备2台核心交换机、用交换机替换HUB,并对现有网络布线进行增补和整理。其中,2台核心交换机之间作热备。对分行大楼现有23个配线间中的网络配线进行整理,每个配线问增加2个理线架和一个设备托盘,配齐网络跳线,并对跳线进行整理。
2.2 银行各分行局域网现状。银行各分行根据需要划分了多个不同的VLAN,由于没有配置第三层交换功能,VLAN之间的通信只能通过网关来实现。在中心机房中,另有一台Catalyst 5000交换机作为备用机。目前,银行各分行20台路由器分别接入局域网中各个VLAN 。
2.3 银行各分行广域网现状。银行各分行的广域网线路普遍采用的低速通信链路,其中城市综合网主要租用中国电信的DDN,部分县行营业部由于原来与清算共用线路还是采用的x.25,利用路由器连接到银行各分行网络中心, 以上租用的线路带宽都只有9600bps;清算A卡网络由于县支行已经改为直连,可以说向下已经没有单独的线路,银行各分行企业内部网已经与全辖区所有二级机构开通连接, 城区除乙办和丙路办、营业部等少数是通过银行各分行自架的光纤上的以太网外,其余均租用电信的DDN,县支行大都采用的是x.25,带宽只有9600bps,以路由器方式接入。银行各分行企业网与总行连接采用的是中元公司提供的中元帧中继,带宽64K。网络设备以CISCO为主,并开发了多种新业务,实现了与证券、电信、人行等外单位的网络互连。
2.4 银行各分行Internet连接状况。银行各分行目前已经开通了Internet连接,用于网上银行业务。连接采用了目前比较完备的网络安全体系和技术,防火墙采用的是IBM Firewall 3、12,并安装了ISS网络安全管理软件进行安全漏洞扫描、入侵检测审计等,上述连接已经获得总行的验收认可。
3 网络风险分析
结合银行网络自身的特点,主要的网络安全风险体现在如下几个方面:来自互联网络的风险、来自分支网络的风险、来自内部员工的风险、来自外来单位(企业)的风险和来自网络安全管理的风险。
3.1 网络安全现状。银行各分行在网络建设过程中已经采取了如VLAN技术将业务网与企业网逻辑隔离、与各证券网点联网时利用前置机来保证数据传输的安全、拨号访问采用了RADIUS认证、在与Internet接入的支付网关中使用防火墙和ISS安全监控软件等安全措施。但从整体上分析,银行各分行现有网络中仍然存在着安全隐患。
3.1.1 可靠性安全隐患。由于某些网络设备的关键部件存在质量问题或缺陷,导致网络在运行过程中存在可靠性安全隐患。
3.1.2 应用系统安全隐患。各种应用缺乏统一的规划,导致银行各分行中心机房的业务运行网段或应用系统与外连的应用网段之间缺乏必要的安全屏蔽。
3.1.3 病毒入侵安全隐患。一些应用系统,特别是基于WINDOWS平台的应用系统,没安装杀毒软件。
3.1.4 黑客攻击隐患。缺乏对黑客攻击进行防止、检测和响应的一整套防黑措施和相应的安全体系,没有明确的安全指导思想和安全模型,不能够对安全事件进行全过程监控和作出相应的响应行动,无法对整个安全系统进行准确有效的安全评估。
4 网络方案设计
了解了攻击手段和安全隐患之后,结合现有的网络技术,设计了如图4所示的动态安全防护体系。通过这样的设计可以尽可能地阻止来自外部的攻击、监控和管理内部的访问,尽量杜绝现存的安全隐患。
4.1 系统安全模型。由于网络的开放性和网络技术的发展,网络安全本身已经成为一个与时间和技术相关的动态概念。我们针对传统安全模型的缺陷和不足,提出能够不断自我完善的崭新的网络安全模型— — P2DR安全模型。
4.2 安全策略設计。安全策略描述原则:由于数据传输的安全性关系到银行的服务质量和信誉保证,关系到客户的切身利益,因此在制定安全策略时,要加强对数据传输的限制,即只有表示为允许的才可以进行传输这一原则来加强对网络安全的限制。
4.3 总体安全体系的规定。通过对银行网络所面临的安全状况的分析,可将整个银行各分行网络的安全性在总体结构上划分四个级别: 网络级安全、应用级安全、系统级安全和企业级安全。网络级安全是指在网络的下三层(物理层、链路层、网络层)采取各种安全措施来保障整个银行网络的安全,包括数据包过滤、VPN虚拟私有网、VLAN 的划分、访问控制、身份认证、数据包加密传输、安全审计、安全监控和安全漏洞检测等。应用级安全是指通过利用银行网络中各大应用系统(如综合业务系统、清算系统、企业网系统等等)和大型关系型数据库自身的安全机制,在应用层保证对银行网络中各种应用系统的信息访问合法性。系统级安全主要是通过对操作系统(UNIX、NT)的安全设置,防止利用操作系统的安全漏洞对整个银行网络构成安全威胁。企业级安全主要是从银行范围内的安全管理和计算机病毒防范两方面来保障整个银行网络的安全。此次网络改造我们主要对网络级安全加以设计。 4.4 网络级安全设计。可适应性网络安全由四个集成的方案组成。第一, 端对端的网络安全要求持续的、综合的安全评估,通过自动的基于网络的和基于主机的扫描技术实现;第二,对安全弱点的响应通过已建立的安全策略中相关的安全漏洞来衡量。更正动作很容易获得并迅速实现。另外,基于网络和主机的实时入侵检测提供对内部攻击、外部攻击和误操作的实时保护。最后,对安全威胁的网络自动更正包括主动中断连接和网络设备的重新配置。
4.5 局域网安全设计。交换技术将传统的基于广播的局域网技术发展为面向连接的技术。因此,网管系统有能力限制局域网通讯的范围而无需通过开销很大的路由器。以太网从本质上基于广播机制,但应用了交换机和VLAN技术后,实际上转变为点到点通讯,除非设置了监听口,信息交换也不会存在监听和插入(改变)问题。由以上运行机制带来的网络安全的好处是显而易见的:信息只到达应该到达的地点。但是,虚拟网技术也带来了新的问题执行虚拟网交换的设备越来越复杂,从而成为被攻击的对象。基于网络广播原理的MAC的VLAN不能防止MAC欺骗攻击。采用基于MAC的VLAN划分将面临假冒MAC地址的攻击。因此,VLAN的划分最好基于交换机。但这要求整个网络桌面使用交换端口或每个交换机所在的网段机器均属于相同的VLAN。确定VLAN的划分方式的目的是保证系统的安全性。安全漏洞扫描:在银行各分行整个网络系统中(包括× × 分行、各支行、局域网、广域网)配置ISSInternet Scanner(网络安全扫描器)、在分行中心企業网和营业网中重要的主机中安装ISS SYSTEMscanner、在分行中心企业网和营业网中的数据库服务器中安装ISS DATABASE scanner,可在通讯和服务层、系统层、应用数据层扫描出网络/系统/数据应用存在的安全漏洞,并提交漏洞报告和修补漏洞的建议,使网络安全风险降到最小。在各个业务系统核心数据服务器网络入口处, 配置ISS的realsecure network sensor对外来与本业务系统核心数据服务器连接的所有通信流量进行安全监控, 同时在核心业务主机中配置re—alsecure OS sensor从系统层面中对系统攻击事件进行安全监控。通过两者的配合,对一些危害网络安全和信息安全的行为进行阻击,也可以作为对犯罪分子的犯罪证据,从法律角度对犯罪分子提出指控。
4.6 广域网安全设计。在广域网上发送和接收信息时要保证:除了发送方和接收方外,其它人是不可知悉的(隐私性);传送过程中不被篡改(真实性);发送方能确信接收方不是假冒的(非伪装性);发送方不能否认自己的发送行为(非否认);能够对所有网络访问活动和攻击行为进行过程监控、威胁统计和预测。
4.6.1 内部广域网安全设计:
(1)在应用程序普遍采用IC卡的基础上,在广域网连接设备之间的网络通信对数据包进行加密。
(2)对于从外部拨号访问银行市分行内部局域网的用户,由于使用公用电话网进行数据传输所带来的风险,必须严格控制其安全性。对于内部广域网采用拨号备份时可以使用回拨确认等方式来防止非法访问。
(3)加强对拨号用户的身份认证,使用RA—DIUS等专用身份验证服务器(AAA服务器)。一方面,实现对拨号用户帐号的统一管理;另一方面,在身份验证过程中采用加密的手段,避免用户口令泄露的可能性。
(4)在数据传输过程中采用加密技术,防止资料被非法窃取。
(5)因为内部广域网中安全弱点主要来自于网络互联设备和网络传输设备的安全漏洞, 故采用ISS internet scanner漏洞扫描工具从网络层对整个内部广域网络系统进行安全漏洞扫描和评估,从而采取措施修复安全漏洞,加强安全管理、设备管理、软件管理等安全工作。
4.6.2 外连网的安全设计:
(1)在连接外部网时,使用路由器与外网进行隔离,在路由器上设置访问控制列表(ACL),屏蔽未经允许的访问。
(2)连接外部网时,在银行市分行内部网与路由器之间安装PIX防火墙,利用防火墙的数据包过滤、地址隐藏以及VPN功能保证外部的非法访问无法进入银行市分行内部网。
(3)使用DMZ非军事化区,将业务前置机放置于非军事化区,这样既保证外连网正常业务,又保证内网安全。
(4)在DMZ区、连接外连网的网段,配置了ISS入侵监测系统实时监视网络的非法入侵行为。
(5)为检查网络中可能存在的安全漏洞,在网络中配置ISS internet scanner,对系统和网络进行扫描,主动查找安全漏洞,并自动生成关于安全状况的报告。
(6)由于与相连企业之间传输的都是关键性的资金账务信息,在有条件的地方,可以适当采取链路加密措施,选用一些独立的链路加密设备进行对传输数据进行加密保护。
5 结束语
通过对银行网络系统进行全方位的改造,银行网络可实现如下几个方面的性能的提高和改善:
1. 提升了外联网局域网交换性能, 以满足银行不断发展的业务应用需求。
2. 加强外联网局域网网络管理和运维水平,保障网络可靠、稳定运行;完善网络安全防御体系,切实保障网络安全。
本方案的特点在于:根据银行的实际需要,充分利用了防火墙的各功能模块,实现了各功能模块(防火墙模块、入侵检测模块、用户认证模块、VPN模块)的协同工作,构建了一个动态安全门户,以比较经济实惠的方式,实现了对银行网络的整体安全防护。
参考文献:
1.罗子波,姚行中,王一兵著.网络设备配置·建设管理·应用实例[M].上海科学出版社,2002
2.王宝智,连顺国著.局域网设计与组网实用教程【M】.北京清华大学出版社,2004
【关键词】 银行网络;升级改造;网络安全策略
1 概述
银行网络系统是一个比较复杂庞大的内部互联网络,同时也涉及了网上银行和银行代收业务,因此既要保障内部网络的通畅和安全,又要保证非法用户不能通过外网(互联网)进入内部网络。完整的网络安全不仅包括防火墙的访问控制功能,还需要有远程集中管理、远程审计和自动备份日志等功能。现有的网络技术水平已经不能满足银行业务开展的需要。为了适应银行业务发展的需要,对全行网络系统的改造和升级势在必行,因此需要有一个立体的网络安全整体解决方案。
2 银行的网络结构和应用现状
2.1 银行各分行网络连接现状。目前,银行各分行大楼局域网分为内联网和外联网,两个网络在物理上严格分离,互不连通。其网络拓扑如图1所示。
分行接人国际互联网线路为10M以太网线路,拥有4个固定IP地址,设有代理服务器,全部外联网用户均通过代理服务器上Internet。现有的网络技术水平已经不能满足银行业务开展的需要,为了适应发展的需要,对全行网络系统的改造和升级势在必行,根据银行的需求,我们所必须做的是:将现有HUB全部更换,配备2台核心交换机、用交换机替换HUB,并对现有网络布线进行增补和整理。其中,2台核心交换机之间作热备。对分行大楼现有23个配线间中的网络配线进行整理,每个配线问增加2个理线架和一个设备托盘,配齐网络跳线,并对跳线进行整理。
2.2 银行各分行局域网现状。银行各分行根据需要划分了多个不同的VLAN,由于没有配置第三层交换功能,VLAN之间的通信只能通过网关来实现。在中心机房中,另有一台Catalyst 5000交换机作为备用机。目前,银行各分行20台路由器分别接入局域网中各个VLAN 。
2.3 银行各分行广域网现状。银行各分行的广域网线路普遍采用的低速通信链路,其中城市综合网主要租用中国电信的DDN,部分县行营业部由于原来与清算共用线路还是采用的x.25,利用路由器连接到银行各分行网络中心, 以上租用的线路带宽都只有9600bps;清算A卡网络由于县支行已经改为直连,可以说向下已经没有单独的线路,银行各分行企业内部网已经与全辖区所有二级机构开通连接, 城区除乙办和丙路办、营业部等少数是通过银行各分行自架的光纤上的以太网外,其余均租用电信的DDN,县支行大都采用的是x.25,带宽只有9600bps,以路由器方式接入。银行各分行企业网与总行连接采用的是中元公司提供的中元帧中继,带宽64K。网络设备以CISCO为主,并开发了多种新业务,实现了与证券、电信、人行等外单位的网络互连。
2.4 银行各分行Internet连接状况。银行各分行目前已经开通了Internet连接,用于网上银行业务。连接采用了目前比较完备的网络安全体系和技术,防火墙采用的是IBM Firewall 3、12,并安装了ISS网络安全管理软件进行安全漏洞扫描、入侵检测审计等,上述连接已经获得总行的验收认可。
3 网络风险分析
结合银行网络自身的特点,主要的网络安全风险体现在如下几个方面:来自互联网络的风险、来自分支网络的风险、来自内部员工的风险、来自外来单位(企业)的风险和来自网络安全管理的风险。
3.1 网络安全现状。银行各分行在网络建设过程中已经采取了如VLAN技术将业务网与企业网逻辑隔离、与各证券网点联网时利用前置机来保证数据传输的安全、拨号访问采用了RADIUS认证、在与Internet接入的支付网关中使用防火墙和ISS安全监控软件等安全措施。但从整体上分析,银行各分行现有网络中仍然存在着安全隐患。
3.1.1 可靠性安全隐患。由于某些网络设备的关键部件存在质量问题或缺陷,导致网络在运行过程中存在可靠性安全隐患。
3.1.2 应用系统安全隐患。各种应用缺乏统一的规划,导致银行各分行中心机房的业务运行网段或应用系统与外连的应用网段之间缺乏必要的安全屏蔽。
3.1.3 病毒入侵安全隐患。一些应用系统,特别是基于WINDOWS平台的应用系统,没安装杀毒软件。
3.1.4 黑客攻击隐患。缺乏对黑客攻击进行防止、检测和响应的一整套防黑措施和相应的安全体系,没有明确的安全指导思想和安全模型,不能够对安全事件进行全过程监控和作出相应的响应行动,无法对整个安全系统进行准确有效的安全评估。
4 网络方案设计
了解了攻击手段和安全隐患之后,结合现有的网络技术,设计了如图4所示的动态安全防护体系。通过这样的设计可以尽可能地阻止来自外部的攻击、监控和管理内部的访问,尽量杜绝现存的安全隐患。
4.1 系统安全模型。由于网络的开放性和网络技术的发展,网络安全本身已经成为一个与时间和技术相关的动态概念。我们针对传统安全模型的缺陷和不足,提出能够不断自我完善的崭新的网络安全模型— — P2DR安全模型。
4.2 安全策略設计。安全策略描述原则:由于数据传输的安全性关系到银行的服务质量和信誉保证,关系到客户的切身利益,因此在制定安全策略时,要加强对数据传输的限制,即只有表示为允许的才可以进行传输这一原则来加强对网络安全的限制。
4.3 总体安全体系的规定。通过对银行网络所面临的安全状况的分析,可将整个银行各分行网络的安全性在总体结构上划分四个级别: 网络级安全、应用级安全、系统级安全和企业级安全。网络级安全是指在网络的下三层(物理层、链路层、网络层)采取各种安全措施来保障整个银行网络的安全,包括数据包过滤、VPN虚拟私有网、VLAN 的划分、访问控制、身份认证、数据包加密传输、安全审计、安全监控和安全漏洞检测等。应用级安全是指通过利用银行网络中各大应用系统(如综合业务系统、清算系统、企业网系统等等)和大型关系型数据库自身的安全机制,在应用层保证对银行网络中各种应用系统的信息访问合法性。系统级安全主要是通过对操作系统(UNIX、NT)的安全设置,防止利用操作系统的安全漏洞对整个银行网络构成安全威胁。企业级安全主要是从银行范围内的安全管理和计算机病毒防范两方面来保障整个银行网络的安全。此次网络改造我们主要对网络级安全加以设计。 4.4 网络级安全设计。可适应性网络安全由四个集成的方案组成。第一, 端对端的网络安全要求持续的、综合的安全评估,通过自动的基于网络的和基于主机的扫描技术实现;第二,对安全弱点的响应通过已建立的安全策略中相关的安全漏洞来衡量。更正动作很容易获得并迅速实现。另外,基于网络和主机的实时入侵检测提供对内部攻击、外部攻击和误操作的实时保护。最后,对安全威胁的网络自动更正包括主动中断连接和网络设备的重新配置。
4.5 局域网安全设计。交换技术将传统的基于广播的局域网技术发展为面向连接的技术。因此,网管系统有能力限制局域网通讯的范围而无需通过开销很大的路由器。以太网从本质上基于广播机制,但应用了交换机和VLAN技术后,实际上转变为点到点通讯,除非设置了监听口,信息交换也不会存在监听和插入(改变)问题。由以上运行机制带来的网络安全的好处是显而易见的:信息只到达应该到达的地点。但是,虚拟网技术也带来了新的问题执行虚拟网交换的设备越来越复杂,从而成为被攻击的对象。基于网络广播原理的MAC的VLAN不能防止MAC欺骗攻击。采用基于MAC的VLAN划分将面临假冒MAC地址的攻击。因此,VLAN的划分最好基于交换机。但这要求整个网络桌面使用交换端口或每个交换机所在的网段机器均属于相同的VLAN。确定VLAN的划分方式的目的是保证系统的安全性。安全漏洞扫描:在银行各分行整个网络系统中(包括× × 分行、各支行、局域网、广域网)配置ISSInternet Scanner(网络安全扫描器)、在分行中心企業网和营业网中重要的主机中安装ISS SYSTEMscanner、在分行中心企业网和营业网中的数据库服务器中安装ISS DATABASE scanner,可在通讯和服务层、系统层、应用数据层扫描出网络/系统/数据应用存在的安全漏洞,并提交漏洞报告和修补漏洞的建议,使网络安全风险降到最小。在各个业务系统核心数据服务器网络入口处, 配置ISS的realsecure network sensor对外来与本业务系统核心数据服务器连接的所有通信流量进行安全监控, 同时在核心业务主机中配置re—alsecure OS sensor从系统层面中对系统攻击事件进行安全监控。通过两者的配合,对一些危害网络安全和信息安全的行为进行阻击,也可以作为对犯罪分子的犯罪证据,从法律角度对犯罪分子提出指控。
4.6 广域网安全设计。在广域网上发送和接收信息时要保证:除了发送方和接收方外,其它人是不可知悉的(隐私性);传送过程中不被篡改(真实性);发送方能确信接收方不是假冒的(非伪装性);发送方不能否认自己的发送行为(非否认);能够对所有网络访问活动和攻击行为进行过程监控、威胁统计和预测。
4.6.1 内部广域网安全设计:
(1)在应用程序普遍采用IC卡的基础上,在广域网连接设备之间的网络通信对数据包进行加密。
(2)对于从外部拨号访问银行市分行内部局域网的用户,由于使用公用电话网进行数据传输所带来的风险,必须严格控制其安全性。对于内部广域网采用拨号备份时可以使用回拨确认等方式来防止非法访问。
(3)加强对拨号用户的身份认证,使用RA—DIUS等专用身份验证服务器(AAA服务器)。一方面,实现对拨号用户帐号的统一管理;另一方面,在身份验证过程中采用加密的手段,避免用户口令泄露的可能性。
(4)在数据传输过程中采用加密技术,防止资料被非法窃取。
(5)因为内部广域网中安全弱点主要来自于网络互联设备和网络传输设备的安全漏洞, 故采用ISS internet scanner漏洞扫描工具从网络层对整个内部广域网络系统进行安全漏洞扫描和评估,从而采取措施修复安全漏洞,加强安全管理、设备管理、软件管理等安全工作。
4.6.2 外连网的安全设计:
(1)在连接外部网时,使用路由器与外网进行隔离,在路由器上设置访问控制列表(ACL),屏蔽未经允许的访问。
(2)连接外部网时,在银行市分行内部网与路由器之间安装PIX防火墙,利用防火墙的数据包过滤、地址隐藏以及VPN功能保证外部的非法访问无法进入银行市分行内部网。
(3)使用DMZ非军事化区,将业务前置机放置于非军事化区,这样既保证外连网正常业务,又保证内网安全。
(4)在DMZ区、连接外连网的网段,配置了ISS入侵监测系统实时监视网络的非法入侵行为。
(5)为检查网络中可能存在的安全漏洞,在网络中配置ISS internet scanner,对系统和网络进行扫描,主动查找安全漏洞,并自动生成关于安全状况的报告。
(6)由于与相连企业之间传输的都是关键性的资金账务信息,在有条件的地方,可以适当采取链路加密措施,选用一些独立的链路加密设备进行对传输数据进行加密保护。
5 结束语
通过对银行网络系统进行全方位的改造,银行网络可实现如下几个方面的性能的提高和改善:
1. 提升了外联网局域网交换性能, 以满足银行不断发展的业务应用需求。
2. 加强外联网局域网网络管理和运维水平,保障网络可靠、稳定运行;完善网络安全防御体系,切实保障网络安全。
本方案的特点在于:根据银行的实际需要,充分利用了防火墙的各功能模块,实现了各功能模块(防火墙模块、入侵检测模块、用户认证模块、VPN模块)的协同工作,构建了一个动态安全门户,以比较经济实惠的方式,实现了对银行网络的整体安全防护。
参考文献:
1.罗子波,姚行中,王一兵著.网络设备配置·建设管理·应用实例[M].上海科学出版社,2002
2.王宝智,连顺国著.局域网设计与组网实用教程【M】.北京清华大学出版社,2004