|
商业银行已经建成了以中心网络为一级网络,支行与网点为二级网络的生产网络,同时还并行有一套覆盖到办公大楼、支行、网点的办公自动化系统。银行内网分为生产网和OA网。根据业务分类,主要是生产网(分支行)、国际业务网、呼叫中心网和研发网。对于各商业银行,主要涉及银行价值管理信息系统、资源管理信息系统、银行产品服务管理信息系统、银行风险监管系统、银行客户管理信息系统、银行电子商务公共渠道管理系统(网络银行系统、银行自助系统等)、银行电子商务大客户渠道管理系统、银行网关和办公系统、银行管理中心、银行运营中心系统(呼叫服务中心、电子票据中心、信息交换中心等)、银行开发中心系统以及灾备中心系统等。当前银行网络应用包括:
1、办公系统应用
办公系统主要是为银行内部用户办公使用。银行系统内部办公用户通过局域网络互连成为办公自动化系统,通过网络不同部门或不同用户之间可以共享文件、打印机等公共资源,不同用户之间可以方便地进行信息交换。各部门或不同级别用户都有一些重要或涉密信息存放在内部网中。
2、业务系统应用
银行通过网络全省或全国联网,实现银行储蓄及对公业务跨地域通存通兑等业务。
3、与外单位互连应用
前面提到的中间业务服务器与外单位相连接,通过该中间业务服务器,与其它银行、电信、证券公司之间进行如代收电话费、证券交易划帐等业务,中间业务服务器为银行与外单位提供一种互连接口。
在银行内部,各业务系统使用的主机IP地址有严格的区分,为建立访问控制机制为核心的隔离措施提供方便。VLAN技术是近阶段较流行的局域网隔离技术,在一套硬件网络环境内运行许多个(视交换机支持数据)完全独立、互不通信的局域网,看起来就像两个完全分隔开的局域网系统。在总行的局域网当中,通过具有第二层(支持VLAN划分)或三层交换的交换机(支持VLAN划分及网内路由), 划分业务系统在一个VLAN范围内, OA系统在另一个VLAN范围内,各VLAN之间不直接交换数据,在必要的情况下,采取一定技术实现部分数据交换。分行内也像总行一样,通过VLAN,划分业务VLAN和OA VLAN,隔离办公网与业务网。当前银行面临的主要风险和威胁:
1. 非法接入:银行系统有很多增值业务、代理业务,存在大量与外界互连的接口,这些接口如果没有强大的安全保护措施,一旦非法接入通过这些接口攻击银行,可能造成巨大损失。
2. 终端保护:银行内部员在工平时业务中会有涉及很多隐私资料,对内部员工的计算机终端的保护尤为重要。员工自身对U盘、移动存储介质等的使用难以管理。
3. 终端管理:银行员工终端IP、MAC、资产等监控管理难度很大。另外银行网络中存在大量远程终端,通过公网与银行业务前置机相连,对这些终端的管理更难。、
4. 终端维护:银行网络结构复杂,各业务系统之间隔离,管理维护难度极大。终端防病毒软件的统一更新、补丁漏洞管理很多做到。所以需要解决多级、分组、统一策略管理。
5. 其他安全风险:由于信息系统的固有特征,银行网络同样存在大量类似安全隐患。主要有病毒、系统安全(主要有操作系统补丁管理、软硬件管理、打印管理、异常流量管理)以及强大的日志系统等。
上海宝信软件股份有限公司着眼于安全管理中最重要且最为薄弱的内网安全环节,自2002年率先提出“内网安全”、“构建可信并可控的内网”的理念和目标之后,再次创新性的提出新的安全理念:基于主动防御的动态安全防御模型“AD-PDRR”,针对大型行业、企业用户的网络安全需求现状,参照公安部颁布的《信息安全等级保护管理办法》和《互联网安全保护技术措施规定》(公安部第82号令),,遵循ISO17799安全标准及GB/T涉密资质认证,从终端接入控制、终端健康体检、终端运行维护、上网行为管理等方面入手,采取主动防御与控制的手段,全面立体实现内部网络安全。结合银行内网安全需求eCop-NSM提出以下解决方案:
接入控制管理:通过验证IP地址、MAC地址是否合法,IP-MAC绑定是否正确或是否安装指定客户端来确认接入终端身份是否合法;支持设置IP-MAC绑定,特权MAC地址;支持按IP地址、时间段、主机名等多种查询及组合查询方式来对违规接入的终端进行记录;支持客户端输入或服务器端手动编辑合法的在线节点用户信息,如使用者信息、所属部门、联系方式等;支持跨网段的接入控制管理;支持802.1x接入认证;支持和网关设备联动控制。
外设及软硬件监控管理:支持启用或禁用软驱、光驱、USB设备、Modem等外设,能够区分USB存储设备(如U盘、移动硬盘)和其他USB设备(如USB鼠标、USB Key等);支持禁止USB存储设备自动运行功能;支持对USB存储设备加密管理;支持USB设备文件管理。支持对内部网络所有终端软硬件信息、变更信息、系统信息进行收集、统计、审计,并有变更警告。
防病毒监控管理、补丁更新管理:能对防病毒软件在客户端机器的安装情况进行监控,禁止未安装指定防病毒软件的机器接入网络或控制其访问权限;支持对客户端机器病毒库更新情况进行监控,禁止未及时更新病毒库的机器接入网络或控制其访问权限支持可以对客户端机器的操作系统补丁、浏览器补丁进行查询,检查是否有未安装的补丁;禁止未安装指定补丁的机器接入网络或控制其访问权限。
终端健康体检,是用户构建“可信”和“可控”内网环境的可靠保证。监控银行内网系统各种Windows系统的计算机、服务器的系统补丁、防病毒软件、软硬件配置、进程、外设、网络、流量等安全状态,在满足接入的基准策略后,还必须符合操作系统基本安全要求,符合组织制定的终端安全规范,才能够认定为处于健康状态。对于不符合“健康”标准的终端,则可以采取桌面警告、网络隔离、网络阻断等措施,直到对不符合项进行修复后才准许正常使用网络资源。健康体检内容包括:
Ø 针对商业银行的组织机构模式设置标准的补丁安装体系准入机制;
Ø 通过中心服务器设置统一的补丁安装策略;
Ø 对客户端防病毒软件安装情况进行监控,禁止未安装指定防病毒软件的客户端接入;
Ø 支持对终端防病毒软件的管理,包括防病毒软件及病毒库的安装及更新情况检查;
Ø 支持业界主流防病毒软件检查,如诺顿、金山、瑞星、卡巴斯基、Kill等;
Ø 及时查询终端防病毒引擎和病毒库版本安装/启用/更新的情况,支持注册表方式扩展;
Ø 对不符合安全策略的终端实现主动隔离,支持隔离至特定地址(群组);
Ø 支持终端漏洞的自动侦测能力;
终端运行维护,通过自动搜集和更新功能,并辅助以手工添加的形式,形成银行内网系统的IT资产底帐。并提供远程桌面管理、软件分发、访问控制、文件审计和通知发布等维护功能,可以有效提高资产利用率,减轻管理员远程维护的工作困难,是实现“可控”内网环境的有力辅助。对内外系统内网中访问互联网的用户实现实时监控和事后追溯。实时分析上网用户的访问行为,包括访问地址、使用应用、访问时间、访问流量等,追查上班时间做工作以外的事情、追查随意下载等。
多级管理、多级权限:支持支持分级管理模式,实现按照组织机构和功能模块的二维授权管理机制,满足银行不同的管理权限要求及策多级略管理;支持多级部署,总行信息中心和下级分行、业务单位多级部署,总行可以对其进行监控、审计和管理。银行内部Vlan架构复杂,为全面扫描内网,每个网段在终端上机安装SA扫描代理软件,用来扫描本行在线计算机,实现接入控制,有NSM统一管理。
其他更多特性功能:支持SNMP关闭交换机端口、802.1X、ARP欺骗等多种方式实现接入控制;支持分级部署策略;支持分级权限管理;支持远程下发软件或升级补丁;支持远程桌面管理;支持设置强口令策略;支持文件审计管理;支持打印监控管理、支持异常流量监控管理;强大的日志报表备份管理。
银行网络应用系统的安全体系建设是一个十分复杂的系统工程,需要提前规划,认真抉择。大多数情况 下我们需要集成多种安全技术及管理来实现,如防火墙技术、入侵监控技术、安全漏洞扫描技术、故障性能管理技术、专家分析系统技术等。硬件设施和系统平台的安全也可以采用多种技术来增强和执行。这里要提醒注意的是,很多安全威胁来源于内网、来源于内部管理上的松懈、安全威胁的认识以及安全管理的难度。eCop-NSM在深挖内网安全需求,整合深层安全技术,发挥人性化管理等方面入手,产品逐渐成熟并在银行业有很好的应用,得到了银行领导、特别是网管人员的肯定和积极支持。
|
