隨著我國(guó)金融改革的進(jìn)行�,各個(gè)銀行紛紛將競(jìng)爭(zhēng)的焦點(diǎn)集中到服務(wù)手段上,不斷加大電子化建設(shè)投入,擴(kuò)大計(jì)算機(jī)網(wǎng)絡(luò)規(guī)模和應(yīng)用范圍�����。但是���,應(yīng)該看到�����,電子化在給銀行帶來利益的同時(shí),也
給銀行帶來了新的安全問題�,并且�����,這個(gè)問題現(xiàn)在顯得越來越緊迫。原因主要有三個(gè):一是伴隨我國(guó)經(jīng)濟(jì)體制改革����,非凡是金融體制改革的深入�����、對(duì)外開放的擴(kuò)大,金融風(fēng)險(xiǎn)迅速增大���。防范和化解金融風(fēng)險(xiǎn)成了各級(jí)政府和金融部門非常關(guān)注的問題。二是當(dāng)前計(jì)算機(jī)應(yīng)用日益廣泛�、計(jì)算機(jī)日趨網(wǎng)絡(luò)化���,系統(tǒng)的安全性漏洞也隨之增加����。多年以來����,銀行迫于競(jìng)爭(zhēng)的壓力,不斷擴(kuò)大電子化網(wǎng)點(diǎn)���、推出電子化新品種,忽略了計(jì)算機(jī)治理制度和安全措施的建設(shè)��,使計(jì)算機(jī)安全問題日益突出����。三是計(jì)算機(jī)知識(shí)日益普及��,金融網(wǎng)絡(luò)向國(guó)際化發(fā)展�,計(jì)算機(jī)犯罪技術(shù)也在不斷提高�����,利用計(jì)算機(jī)犯罪的案件呈逐年上升趨勢(shì)����,這也迫切要求銀行信息系統(tǒng)具有更高的安全防范體系。
銀行信息系統(tǒng)安全性總的原則應(yīng)該是:制度防內(nèi)�,技術(shù)防外���。所謂 " 制度防內(nèi) " ���,是要建立嚴(yán)密的計(jì)算機(jī)治理規(guī)章制度�、運(yùn)行規(guī)程,形成內(nèi)部各層人員��、各職能部門���、各應(yīng)用系統(tǒng)的相互制約關(guān)系����,杜絕內(nèi)部作案的可能性,并建立良好的故障處理反應(yīng)機(jī)制���,保障銀行信息系統(tǒng)的安全正常運(yùn)行。 " 技術(shù)防外 " 主要是指從技術(shù)手段上加強(qiáng)安全措施��,防止外部黑客的入侵�。我們?cè)诓挥绊戙y行正常業(yè)務(wù)與應(yīng)用的基礎(chǔ)上建立銀行的安全防護(hù)體系�����,從而滿足銀行網(wǎng)絡(luò)系統(tǒng)環(huán)境要求�。
銀行網(wǎng)絡(luò)結(jié)構(gòu)與應(yīng)用系統(tǒng)分析
我國(guó)銀行發(fā)展概述
在金融業(yè)日益現(xiàn)代化�、國(guó)際化的今天,我國(guó)的各大銀行注重服務(wù)手段進(jìn)步和金融創(chuàng)新,不僅依靠電子化建設(shè)實(shí)現(xiàn)了城市間的資金匯劃�,消費(fèi)結(jié)算�、儲(chǔ)蓄存取款����、信用卡交易的電子化、開辦了電話銀行等多種服務(wù),而且以資金清算系統(tǒng)����、信用卡異地交易系統(tǒng)形成了全國(guó)性的網(wǎng)絡(luò)化服務(wù)��。此外,許多銀行開通了 SWIFT 系統(tǒng),并與海外銀行建立了代理行關(guān)系�����,各種國(guó)際結(jié)算業(yè)務(wù)往來的電文可在境內(nèi)外之間瞬間完成接收與發(fā)送�,為企業(yè)國(guó)際投資,貿(mào)易和其他交往以及個(gè)人匯入?yún)R出境外匯款�����,提供了便捷的金融服務(wù)�����。
我國(guó)銀行的網(wǎng)絡(luò)結(jié)構(gòu)統(tǒng)應(yīng)用
我國(guó)銀行網(wǎng)絡(luò)總體是一個(gè)銀行內(nèi)部業(yè)務(wù)系統(tǒng) , 一般采取總行到省行及地市分行的三級(jí)網(wǎng)絡(luò)結(jié)構(gòu)�����。
整體網(wǎng)絡(luò)分為三級(jí)節(jié)點(diǎn):總行網(wǎng)絡(luò)中心為一級(jí)的節(jié)點(diǎn);省行網(wǎng)絡(luò)中心為二級(jí)的節(jié)點(diǎn);各地市銀行網(wǎng)絡(luò)中心�、各支行網(wǎng)絡(luò)中心為三級(jí)節(jié)點(diǎn)。
我們?cè)谶@里以省行和地市行網(wǎng)為例介紹銀行的網(wǎng)絡(luò)結(jié)構(gòu)和系統(tǒng)應(yīng)用。
省行網(wǎng)絡(luò)中心
從網(wǎng)絡(luò)結(jié)構(gòu)上看��,整體分為業(yè)務(wù)網(wǎng)絡(luò)與辦公自動(dòng)化網(wǎng)絡(luò)系統(tǒng)。
業(yè)務(wù)網(wǎng) :營(yíng)業(yè)服務(wù)器��,業(yè)務(wù)服務(wù)器,中間業(yè)務(wù)服務(wù)器匯集到中心交換機(jī)�。中心交換機(jī)多采用雙機(jī)備份���。營(yíng)業(yè)服務(wù)器和業(yè)務(wù)服務(wù)器通過中心交換機(jī)與各地市行網(wǎng)絡(luò)中心以及支行網(wǎng)絡(luò)中心互聯(lián)�����。中間業(yè)務(wù)服務(wù)器從中心交換機(jī)與移動(dòng)、聯(lián)通�、證券等相連���。另一方面��,營(yíng)業(yè)服務(wù)器和業(yè)務(wù)服務(wù)器從中心交換機(jī)通過銀行前置機(jī)為各營(yíng)業(yè)網(wǎng)點(diǎn)通過網(wǎng)絡(luò)辦理正常銀行值儲(chǔ)蓄存、取款等存折或儲(chǔ)蓄卡業(yè)務(wù)����。還有就是通過 INTERNET 公網(wǎng)為公網(wǎng)用戶提供網(wǎng)上銀行業(yè)務(wù)��。
內(nèi)部辦公系統(tǒng)網(wǎng)絡(luò) :一般系統(tǒng)與一臺(tái)中心交換機(jī)相連���,由若干個(gè) VLAN 組成����,是省行網(wǎng)絡(luò)中心用戶正常辦公及處理內(nèi)部業(yè)務(wù)的系統(tǒng)�,包括有領(lǐng)導(dǎo)用戶、財(cái)務(wù)部、一般用戶等各級(jí)別的安全需求��。 省行網(wǎng)絡(luò)中心內(nèi)部局網(wǎng)通過交換機(jī)��、路由器與下級(jí)銀行局域網(wǎng)互連。
地市行網(wǎng)絡(luò)中心
地市行網(wǎng)絡(luò)中心和省行網(wǎng)絡(luò)中心相似����,也存在業(yè)務(wù)網(wǎng)絡(luò)和辦公網(wǎng)絡(luò)系統(tǒng)�����。網(wǎng)絡(luò)一方面通過路由器與上級(jí)銀行互連,另一方面業(yè)務(wù)網(wǎng)通過路由器�����,經(jīng)廣域網(wǎng)與外單位(如其它銀行����、電信、證券公司等)互連��。
辦公用戶通過局域網(wǎng)互連���,整個(gè)局域網(wǎng)經(jīng)路由器與省行及各區(qū)縣行節(jié)點(diǎn)組成企業(yè)內(nèi)部廣域網(wǎng)����,對(duì)于地市行系統(tǒng),同省行類似同樣也存在著中間業(yè)務(wù)�。
網(wǎng)絡(luò)應(yīng)用
辦公系統(tǒng)應(yīng)用
辦公系統(tǒng)主要是為銀行內(nèi)部用戶辦公使用��。銀行系統(tǒng)內(nèi)部辦公用戶通過局域網(wǎng)絡(luò)互連成為辦公自動(dòng)化系統(tǒng),通過網(wǎng)絡(luò)不同部門或不同用戶之間可以共享文件��、打印機(jī)等公共資源�,不同用戶之間可以方便地進(jìn)行信息交換。各部門或不同級(jí)別用戶都有一些重要或涉密信息存放在內(nèi)部網(wǎng)中����。
業(yè)務(wù)系統(tǒng)應(yīng)用
銀行通過網(wǎng)絡(luò)全省或全國(guó)聯(lián)網(wǎng)����,實(shí)現(xiàn)銀行儲(chǔ)蓄及對(duì)公業(yè)務(wù)跨地域通存通兌等業(yè)務(wù)�。
與外單位互連應(yīng)用
前面提到的中間業(yè)務(wù)服務(wù)器與外單位相連接��,通過該中間業(yè)務(wù)服務(wù)器�,與其它銀行����、電信、證券公司之間進(jìn)行如代收電話費(fèi)、證券交易劃帳等業(yè)務(wù),中間業(yè)務(wù)服務(wù)器為銀行與外單位提供一種互連接口。
TOPSEC 的安全建議
隨著銀行中間業(yè)務(wù)的興起以及與相關(guān)行業(yè)部門(例如公安、稅務(wù)��、電信��、電力�����、證券、商業(yè))業(yè)務(wù)往來增多�����,地市分行的外聯(lián)網(wǎng)也在逐步擴(kuò)大����,網(wǎng)上銀行正蓬勃發(fā)展,以上種種網(wǎng)絡(luò)環(huán)境要求銀行網(wǎng)要有很高的可靠性、安全性和保密性���。由于目前網(wǎng)絡(luò)的應(yīng)用的自由性����、廣泛性以及黑客的 " 流行 " ��,銀行面臨著各種安全威脅��。如:非授權(quán)訪問���、信息泄露����、數(shù)據(jù)被篡改或丟失等。一旦信息泄露或者信息混亂,將給銀行自身信譽(yù)�����、社會(huì)穩(wěn)定��、國(guó)家安全帶來巨大影響�。
為了便于分析網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和設(shè)計(jì)網(wǎng)絡(luò)安全解決方案����,我們采取對(duì)網(wǎng)絡(luò)分層的方法,并且在每個(gè)層面上進(jìn)行細(xì)致的分析,根據(jù)風(fēng)險(xiǎn)分析的結(jié)果設(shè)計(jì)出符合具體實(shí)際的����、可行的網(wǎng)絡(luò)安全整體解決方案�。
我們引入天融信基于 TOPSEC 安全理念的聯(lián)動(dòng) 5 安全體系�����。該體系模型如下圖所示:
根據(jù)該模型銀行信息網(wǎng)絡(luò)安全系統(tǒng)首先要建立健全網(wǎng)絡(luò)安全的 5 個(gè)環(huán)節(jié):治理��、防護(hù)、監(jiān)測(cè)、審計(jì)��、服務(wù)�����。
安全治理
環(huán)節(jié)分析 :
• 主要是指銀行要設(shè)備治理�、人員治理��、策略治理等;
• 目前銀行尚無一套完善的網(wǎng)絡(luò)安全治理體系,對(duì)整個(gè)銀行信息網(wǎng)絡(luò)的治理尚停留傳統(tǒng)行業(yè)對(duì) IT 治理的階段�����,沒有上升到一個(gè)高度�����,這個(gè)高度是指通過一定的國(guó)際標(biāo)準(zhǔn)來建立建設(shè)治理體系���。
需求建議 :
• 銀行信息網(wǎng)需要對(duì)全網(wǎng)所有設(shè)備����、負(fù)責(zé)治理計(jì)算機(jī)的技術(shù)人員和一般計(jì)算機(jī)使用人員�,依靠一定的安全技術(shù)和手段和一些好的治理辦法,制定一些切實(shí)可用的網(wǎng)絡(luò)安全策略���,來建立銀行信息網(wǎng)的安全治理體系。
安全防護(hù)
環(huán)節(jié)分析 :
• 該環(huán)節(jié)的包括訪問控制�、保密性�、完整性��、可用性�、不可否認(rèn)性�����。該環(huán)節(jié)主要依靠一些相關(guān)的技術(shù)手段來實(shí)現(xiàn)�����。訪問控制主要依靠防火墻技術(shù)�、劃分 Vlan 技術(shù)身份認(rèn)證技術(shù)等方式來實(shí)現(xiàn);
• 保密性�、可用性��、不可抵賴性:主要包括一些信息保密手段���,例如使用 VPN 技術(shù)�、采用加密軟件����、或者應(yīng)用 CA 證書保證數(shù)據(jù)的安全防護(hù)等。防護(hù)還包括對(duì)線路高可用性���、網(wǎng)絡(luò)病毒防護(hù)、數(shù)據(jù)容災(zāi)防護(hù)等方面�����。
需求建議 :
• 安全保護(hù)圍很廣涉及的技術(shù)也較多�,對(duì)于銀行信息網(wǎng)目前防護(hù)手段比較薄弱對(duì)全網(wǎng)的防護(hù)僅使用防火墻和防病毒技術(shù),并且防護(hù)的范圍和效果都很有限�����,因此應(yīng)該馬上加強(qiáng)對(duì)銀行數(shù)據(jù)中心信息網(wǎng)的防護(hù)體系建設(shè)�。
安全監(jiān)測(cè)
環(huán)節(jié)分析 :
• 主要是指實(shí)時(shí)監(jiān)測(cè)、風(fēng)險(xiǎn)評(píng)估��、系統(tǒng)加固�����、漏洞修補(bǔ)等;
• 實(shí)時(shí)檢測(cè)主要依靠入侵檢測(cè)系統(tǒng)��、風(fēng)險(xiǎn)評(píng)估依靠于脆弱性分析軟件,系統(tǒng)加固和漏洞修補(bǔ)要求網(wǎng)絡(luò)治理人員能夠隨時(shí)跟蹤各種操作系統(tǒng)和應(yīng)用系統(tǒng)漏洞情況及時(shí)采取必要的措施�。
需求建議 :
• 對(duì)于銀行信息網(wǎng)目前尚無任何網(wǎng)絡(luò)安全監(jiān)測(cè)措施���,對(duì)于發(fā)生的網(wǎng)絡(luò)安全問題沒有任何的監(jiān)測(cè)手段;對(duì)于全網(wǎng)的風(fēng)險(xiǎn)評(píng)估沒有建立相應(yīng)的評(píng)估制度;對(duì)于系統(tǒng)加固和漏洞修補(bǔ)尚無固定的工作流程和漏洞發(fā)現(xiàn)和加固計(jì)劃。
安全審計(jì)
環(huán)節(jié)分析 :
• 主要是指各種信息的收集��、存儲(chǔ)�、分析、統(tǒng)計(jì)�����、反饋����、取證等。審計(jì)包含很多方面��,對(duì)于出入網(wǎng)絡(luò)邊界的信息的審計(jì)和對(duì)于主要服務(wù)器�����、網(wǎng)絡(luò)設(shè)備�����、安全設(shè)備審計(jì)是審計(jì)環(huán)節(jié)的要害兩個(gè)部分。
需求建議 :
• 目前銀行對(duì)網(wǎng)絡(luò)出口敏感信息的審計(jì)和對(duì)于網(wǎng)絡(luò)內(nèi)部重要應(yīng)用服務(wù)器、交換機(jī)���、安全設(shè)備的審計(jì)尚無相關(guān)的技術(shù)手段,因此需要建立一套審計(jì)體系。
安全服務(wù)
環(huán)節(jié)分析 :
• 一個(gè)優(yōu)秀的網(wǎng)絡(luò)安全系統(tǒng)的建立不僅僅依靠網(wǎng)絡(luò)安全設(shè)備和相關(guān)安全手段����,如何去建設(shè)網(wǎng)絡(luò)安全系統(tǒng)?如何去使用網(wǎng)絡(luò)安全系統(tǒng)?以及出現(xiàn)安全問題如何去應(yīng)對(duì)?是一般網(wǎng)使用者非常關(guān)心的問題����。究竟解決以上問題呢?我們認(rèn)為專業(yè)的事情要交給專業(yè)的人來做��。
需求建議 :
• 在銀行信息網(wǎng)構(gòu)建一個(gè)良好的安全系統(tǒng)的時(shí)候我們要有責(zé)任提醒銀行不要忽視安全公司所提供的前期��、中期��、后期所需的各種保障服務(wù)���。
安全技術(shù)聯(lián)動(dòng)
環(huán)節(jié)分析 :
• 以上環(huán)節(jié)安全構(gòu)建在 T-SCM ����、 T-SCP 、 T-SCA 三個(gè)核心平臺(tái)之上并以服務(wù)作為支撐與保障如下圖所示:
• 五個(gè)方面之間的聯(lián)動(dòng)
• 三個(gè)平臺(tái)之間的聯(lián)動(dòng)
• 安全產(chǎn)品之間的聯(lián)動(dòng)
• 平臺(tái)與產(chǎn)品之間的聯(lián)動(dòng)
• 服務(wù)與平臺(tái)、產(chǎn)品之間的聯(lián)動(dòng)
需求建議 :
銀行信息網(wǎng)安全系統(tǒng)的建設(shè)一定不要造成網(wǎng)絡(luò)安全設(shè)備和技術(shù)的簡(jiǎn)單堆砌,我們必須要綜合網(wǎng)絡(luò)內(nèi)部所有安全設(shè)備的安全功能���,并通過 TOPSEC 聯(lián)動(dòng)協(xié)作更好的信息安全保障。
