银行网络安全设计方案

书目口\o1-3\h\z\uD1银行系统的平安设计

11.1银行网络基本状况

11.2镇银行各部门安排

11.3银行网络平安现状

21.4现象分析52银行系统的网络拓扑图及说明63银行系统的网络平安部署图及说明

73.1敏感数据区的爱护

73.2通迅线路数据加密

73.3防火墙自身的爱护84系统的网络设备选型及说明

94.1核心层交换机

94.2汇聚层交换机

94.3接入层交换机

104.4路由器

105.5防火墙

116.6服务器125平安配置说明

127.1防火墙技术

125.2网络防病毒体系

135.3网络入侵检测技术13图2-1网络拓扑图三.银行系统的网络平安部署图及说明

5.1敏感数据区的爱护银行系统内存在很多敏感数区域（如银行业务系统主机等），这些敏感的数据区域要求严格保密，对访问的权限有严格的限制，但全部的主机处于同一个网络系统之内，如不加以限制，这样很简单造成网内及网外的恶意攻击，所以在这些数据区域的出入口要加以严格限制，在这些地方放置防火墙，防火墙执行以下限制功能对来访数据包进行过滤，只允许验证合法主机数据包通过，禁止一切非授权主机访问对来访用户进行验证防上非法用户侵入运用网络地址转换及应用代理使数据存储区域及业务前端主机隔离，业务前端主机不干脆及数据存储区域建立网络连接，全部的数据访问通过防火墙的应用代理完成，以保证数据存储区域的平安主机inn主机「图3-1敏感数据区爱护方案

3.2通迅线路数据加密在银行的广域网传输系统中，从总行到分行、分行到支行、支行到分理处等，广泛应用到帧中继、X.

25、、等等之类的通用线路,但这些线路大多数都是由通讯公司供应，及很多用户在一套系统上运用他们的业务，由于这些线路都是暴露在公共场所，这样很简单造成数据被盗传输数据当中假如不进行数据加密，后果可想而知所以对数据传输加密这是一特别重要的环节对网络数据加密大致分为以下几处区域应用层加密建立应用层加密，应用程序对外界交换数据时进行数据加密主要优点是运用便利、网络中数据从源点到终点均得到爱护、加密对网络节点透亮缺点是某些信息必需以明文形式传输，简单被分析此种加密已被广泛应用于各应用程序当中，并有相应的标准基于网络层的数据加密在总部到各分行，以及分行到支行建议采纳加密技术进行数据加密是通过标准的加密算法，对传输数据进行加密，在公用网上建立数据传输的加密“隧道”加密实现是在层，及具体的广域网协议无关，也就是说适应不同的广域网信道（、X.

25、帧中继、等）由于技术已经拥有标准，因此全部的产品可以实现互通当然，银行可依据自身的须要，可选用专用加密设备进行数据传输加密图3-2利用技术对数据传输进行加密

3.3防火墙自身的爱护要爱护网络平安，防火墙本身要保证平安，由于系统供电、硬件故障等特殊状况的发生，使防火墙系统瘫痪，严峻阻碍网络通讯,网络的平安就无法保证，所以要求防求防火墙有冗余措施及足够防攻击的实力四.系统的网络设备选型及说明

4.1核心层交换机型号H3C S5500-24价格¥8800交换机千兆以太网交换机应用层级三层交换传输速率10/100/1000交换机接口10/100/1000M网管功能支持加载升级、支持吩咐行接口（），，口进行配置、支持123,网管、支持（）告警、事务、历史记录、支持智能管理中心、支持系统日志，分级告警，调试信息输出、支持

2、支持、支持电源的告警功能，风扇、温度告警、支持、、支持、（）电缆检测功能、支持（）单向链路检测协议、支持端口环回检测背板带宽

1924.2汇聚层交换机型号H3C3600-28价格¥4900交换机千兆以太网交换机应用层级三层传输速率10/100/1000交换机接口10/100,1000网管功能支持吩咐行接口配置,支持远程配置,支持通过口配置,支持,支持网管,支持系统日志,支持分级告警背板带宽32包转发率:

9.6地址表16K功能支持网管支持可网管型端口结构固定端口接口数量24个网络标准

802.1D,

802.lw,

802.模块化插槽数4个堆叠功能不行堆叠

4.3接入层交换机型号H3C5024价格¥3650交换机企业级交换机应用层级—^层传输速率10/100/1000交换机接口10/100/1000,网管功能支持吩咐行接口（）配置,持网管背板带宽48包转发率36地址表8K功能支持支持通过口配置，支网管支持可网管型端口结构固定端口接口数量24个网络标准

802.Id,

802.lx,

802.

3802.3z,

802.IQ,

802.Ip模块化插槽数4个堆叠功能不行堆叠

4.4路由器型号H3C

30203802.3u,

802.3x,价格¥7900路由器类型企业级路由器路由器网管网络管理，本地管理,用户接入管理局域网接口2个千兆以太电口传输速率10/100/1000防火墙功能内置端口结构模块化路由器包转发率200平安标准609503,

22.2#95031995,60950:2000+,60950:2019+..2000,+功能支持扩展插槽11个其他限制端口:路由器网络协议服务,非服务应用路由6,广域网协议,局域网协议最大内存

10244.5防火墙型号天融信4000513040005130价格¥

14.8万［北京］设备类型企业级防火墙并发连接2200000网络吞吐6000网络端口:最大配置为26个接口，包括3用户数限无用户数限制适用环境工作温度:0℃-45℃、存储温入侵检测、电源双电源，缺省一个电源平安标准限制端口:其他性能防火墙、、带宽管理、防管理，吩咐行，远程管理支持支持

4.6服务器型号X3500产品简述:通过新的四核处理器及更快的内存技术获得更好的性能；采纳集成的解决方案管理您的资源；通过可升级内存，和存储搭建稳定服务器平台，爱护您的投资市场价格20000具体参数

55202.26四核最高支持1066内存频率

5.8683级缓存3内存2*2热插拔

2.5〃硬盘，标配146硬盘*110双口千兆以太网3个2x8插槽，1个2xl6插槽，1个1x8插槽,1个33插槽1个串口，1个显卡接口，6个

2.0端口（4个背面、2个正面）；3个45端口（2个以太网口，一个管理端口），可选的远程管理920W热插拔电源，可选冗余3年有限保修（3年部件,3年人工，3年现场）五.平安配置说明

5.1防火墙技术防火墙可以作为不同网络或网络平安域之间信息的出入口，将内部网和公众网如分开，它能依据企业的平安策略限制出入网络的信息流，且本身具有较强的抗攻击实力在逻辑上，防火墙是一个分别器，一个限制器，也是一个分析器，有效地监控了内部网和之间的任何活动，保证了内部网络的平安防火墙技术可以有效限制的风险包括

5.

1.1利用来发掘用户信息，指纹识别确定操作系统类型，旗标确定操作系统类型，服务的旗标信息确定服务类型，对服务器进行端口扫描，、、、服务漏洞，从上查找前置机主机网络蠕虫堵塞整个网络，影响生产网络

5.

1.2利用前置机群及生产主机之间的信任关系攻击生产网络核心，办公自动化服务器及前置机群或生产主机之间的信任关系攻击生产网络，蠕虫影响办公网内部平台，蠕虫影响办公网内部邮件系统，办公网应用形式较为丰富，因此对网络带宽消耗可能造成生产网的数据通信带宽不足，从而导致生产网不畅通

5.

1.3二级网点或支行及中心连接没有必要的访问限制和边界限制手段，因此来自二级网点或支行局域网的用户可能威逼办公自动化系统和中心生产系统，应用防火墙技术之后，有效的限制了上述风险的同时，可以简化管理

5.2网络防病毒体系

5.

2.1计算机病毒感染所造成的威逼以及破坏是目前广阔计算机用户所面临的主要问题本方案采纳网络防病毒体系，可以对200095/98/3,以及和和等操作系统供应爱护，作为一个一体化的网络防病毒解决方案，应具备特征代码检查方式和基于规则的变态分析器病毒扫描程序，从而检测到已知病毒防病毒引擎可以从多个侧面和途径防止计算机病毒侵入系统，爱护整个企业系统的平安，具有强大的功能和优秀的可管理性

5.

2.2应用网络防病毒体系结构之后，可限制网络蠕虫堵塞整个网络，影响生产网络、病毒威逼桌面等风险；应用了网络防病毒技术之后，可以从三个层面有效防范病毒的传播和扩散下载、软盘和光盘传播、邮件传播

5.3网络入侵检测技术

5.

3.1应用入侵检测的网络监测功能、攻击行为检查、高速流量捕获、策略响应、防火墙联动、关联事务分析等技术要素，可实现如下风险的限制利用的服务器漏洞、利用的服务器漏洞一配置信息被远程读取，利用的服务漏洞一漏洞，利用服务漏洞、利用、、服务漏洞

5.

3.2远程溢出一026和远程溢出一039,登录会话劫持一发送一个伪造的报告到

5.

3.3安装木马应用网络入侵检测技术之后不仅有效限制了上述风险，同时入侵检测要求如自身平安性、抗躲避、抗事务风暴等技术要素，有效避开了入侵检测自身引入的新的风险，同时分级管理、多用户权限、分布式部署的要求大大降低了管理员的负担

5.4网络平安审计技术本方案采纳网络平安审计技术，主要针对运用互联网访问非法站点，传递和发布非法信息，内部网络中的资源滥用，内部商业信息泄漏等等问题对被监控网络中的运用状况进行监控，对各种网络违规行为实时报告，甚至对某些特定的违规主机进行封锁，以帮助网络管理员对网络信息资源进行有效的管理和维护应用网络平安审计技术以后可以限制的风险包括资源被滥用，获得内部公文，帐表系统报表数据，内部通讯录和口令文件的，破解系统管理员口令

5.5技术针对某市商业银行保证生产网络、办公网以及通信机密性的需求，方案规划系统采纳技术解决方案应用技术以后可以限制的风险包括窃听以明文方式传输的用户名和密码网络窃听，获得更多广播信息登录会话劫持一发送一个伪造的报告到，登录会话劫持一从已存在的中窃听报文序号，获得下属支行或网点的业务

5.4网络平安审计技术

135.5技术14总结15—.银行系统的平安设计

1.1银行网络基本状况随着信息技术的发展，社会的信息化程度提高了，网络银行、电子银行出现了，整个银行业、金融业都依靠于信息系统交易网络化、系统化、快速化和货币数字经是当前金融业的特点，这对金融信息系统的平安保密性提出了严格的要求金融信息系统必需保证金融交易的机密性、完整性、访问限制、鉴别、审计、追踪、可用性、抗抵赖性和牢靠性为了适应金融业的须要，各家银行都投资建网但是，由于各种因素的制约，网络的平安体系不完善，平安措施不完备，存在严峻的平安漏洞和平安隐患这些平安漏洞和隐患有可能造成中国的金融风暴，给国家带来重大损失，因此必需实行强有力的措施，解决银行网络的平安问题

1.2银行各部门安排

1.

2.1公司业务部主要负责对公业务，审核等

1.

2.2个人业务部主要负责个人业务，居民储蓄，审核国际业务部主要负责国际打包放款，国际电汇，外汇结算等数据、业务数据中的敏感信息如卡号、口令等，网络窃听，获得更多广播信息如前置主机群内别的业务系统数据，在办公网通过修改进入生产网、在办公网内通过网络窃听可以随意窃听整个局域网内的全部数据，包括生产网及办公网的数据总结在这次的设计学习中，不仅巩固了以前学校学到的很多学问，还学到了很多新的学问对我们所学的专业已经有了较深的相识在设计方案中，吸取了大量书本以及网络上的学问，在大大扩展了我们学问面的同时，还相识了我们学习的专业在社会上的应用，初次把大量的学问应用到实践中去，发觉了许很多多的问题,体会到了书本上学不到的东西，从实践中成长很多真正相识到单单的理论学习是不够的，只有理论结合实践，遇到问题刚好解决，吸取大量的实践阅历，才对我们有莫大的帮助计算机网络是一门很有用的学科通过此次的设计，迫使我们对网络平安方面有了更深层次的了解，设计一个全方位的平安方案是特别不简单的，涉及的方面也很多，要考虑到的东西方方面面，还须要相识到各种的协作运用及兼容性但由于增加了我们对这方面的学问，对网络的平安方面更感爱好了，也坚信它将来的优势，平安无止境！由于我们目前学问水平的有限，方案很多方面考虑的还不够周全，恳请老师多多指教！

1.

2.4资金营运部主要是资金结算

1.

2.5信贷审批部负责各类贷款审批等

1.

2.6风险管理部就是在银行评估、管理、解决业务风险的部门银行的业务风险主要有信贷的还款风险、会计的结算风险、新业务的试水风险、财务的管理风险、业务文件的法律风险等等全部这些风险的限制，特殊是前三类业务的风险限制，都是由风险管理部牵头制订解决方法的

1.

2.7会计结算部平安防范为主题，强化会计结算基础管理工作，揽存增储、中间业务、保险、基金等各项任务，全员的防范意识、业务素养、核算质量、服务技能工作，加强管理、监督、检查及辅导，指导全员严格依据规章制度和操作流程办理业务，加强人员培训，提高业务素养和核算质量出纳保卫部主要负责现金管理、平安检查、监控管理、消防平安等安保工作科技部主要负责银行计算机软硬件方面的维护人力资源部主要负责银行内部人员的考勤

1.3银行网络平安现状浦发银行平安现状现在，信息攻击技术发展很快，攻击手段层出不穷，但银行网络日前的平安措施大部分仅是保密，极少采纳数字签名，认证机制不健全，这完全不适应现代金融系统的平安需求具体表现在以下五个方面1）有投入，有人员，但投入不够，人员不固定遇有冲突，立即舍弃；只求速上，不求正常、配套、协调建设，从根本上没有变更以前轻视平安的做法2）对整个网络建设缺乏深化、细致、具体的平安体系探讨，更缺乏建立平安体系的迫切性3）有制度、措施、标准，但不完备，也没有仔细执行，大部分流于形式，缺乏平安宣扬教化4）缺乏有效的监督检查措施5）从根本上没有处理好发展及平安的关系浦发银行网络系统所面临的平安威逼和风险由于金融信息系统中处理、传输、存贮的都是金融信息，对其进行攻击将获得巨额的金钱，而且，对金融信息系统的攻击，可能造成国家经济命脉的瘫痪和国家经济的崩溃，因此金融信息系统面临着巨大的风险和威逼银行网络系统面临的攻击手段较多，既有来自外部的，也有来自内部的由于对银行网络系统的攻击可以获得较大的经济、政治、军事利益，因此银行网络系统成为敌对国家、犯罪集团、高智商犯罪分子的首选攻击目标针对信息系统的新型攻击手段应运而生，各种被动攻击手段、主动攻击手段层出不穷攻击者利用各种高科技手段和仪器，利用网络协议本身的担心全性,路由器、口令文件、XII、的平安隐患，、，，数据库的平安隐患和其他计算机软硬件产品的担心全性，对信息系统实施攻击对于金融信息系统，更严峻的威逼来自各种主动攻击手段主动攻击手段较多，如伪造票据、假冒客户、交易信息篡改及重放、交易信息销毁、交易信息欺诈及抵赖、非授权访问、网络间谍、“黑客”人侵、病毒传播、特洛伊木马、蠕虫程序、逻辑炸弹等这些攻击完全能造成金融信息系统瘫痪、资金流失或失踪这些攻击可能来自内部，也可能来自外部各种攻击将给金融信息系统造成以下几种危害1）非法访问银行网络是一个远程互连的金融网络系统现有网络系统利用操作系统网络设备进行访问限制，而这些访问限制强度较弱，攻击者可以在任一终端利用现有的大量攻击工具发起攻击；由于整个网络通过公用网络互连同样存在终端进行攻击的可能；另一方面银行开发的很多增值业务、代理业务，存在大量及外界互连的接口这些接口现在没有强的平安爱护措施存在外部网络通过这些接口攻击银行，可能造成巨大损失2）窃取密钥等敏感数据银行信用卡系统和柜台系统采纳的是软件加密的形式爱护关键数据，软件加密采纳的是公开加密算法（）,因此平安的关键是对加密密钥的爱护，而软件加密最大的平安隐患是无法平安保存加密密钥，程序员可修改程序使其运行得到密钥从而得到主机中敏感数据3）假冒终端/操作员银行网络中存在大量远程终端通过公网及银行业务前置机相连国内银行以出现多起在传输线路上搭接终端的案例银行网络同样存在大量类似平安隐患现有操作员身份识别唯一，但口令的平安性特别弱因此存在大量操作员假冒的平安风险4）截获和篡改传输数据银行现有网络系统通过公网传输大量的数据没有加密，由于信息量大且采纳的是开放的，现有的很多工具可以很简单的截获、分析甚至修改信息，主机系统很简单成为被攻击对象5）网络系统可能面临病毒的侵袭和扩散的威逼黑客侵扰类似于网络间谍，但前者没有政治和经济目的，利用自己精通计算机学问，利用他人编程的漏洞，侵入金融信息系统，调阅各种资料，篡改他人的资料，将机密信息在公用网上散发广播等计算机病毒是一种依附在各种计算机程序中的一段具有破坏性、能自我繁衍的计算机程序，它通过软盘、终端或其它方式进入计算机系统或计算机网络，引起整个系统或网络紊乱，甚至造成瘫痪6）其他平安风险主要有系统平安（主要有操作系统、数据库的平安配置）以及系统的平安备份等浦发银行网络系统平安分析1）没有较完善的平安体系目前，银行网络系统的问题缘自没有进行平安体系的探讨采纳的平安方案比较单一，仅能防止从信道上侦收信息，不能阻挡来自业务系统和用户的网络攻击，不能适应银行网络系统的平安需求2）没有较完备的平安保密措施由于银行网络系统没有较完善的平安体系，实行的平安措施不完备，不能防卫全部的威逼和攻击3）没有建立平安预防中心目前，银行网络系统没有建立全网的平安监控预警系统，或称为平安防预中心全网的平安监控预警系统备有先进的平安技术和设备，监察网上的异样活动、非平安活动，监视骨干网、骨干网设备及信息是否平安全网的平安监控预警系统负责支配骨干网的平安技术设备、措施和程序，如各种跟踪、预警和记录黑客、破坏者活动和重大活动4）网络间没有配置相应的防火墙在银行内部各个业务部门网络之间、在等级不一的各平安区之间、在不同业务系统之间、在不同数据库之间、从不同金融机构进入，一般应有57道平安措施而在银行网络系统中，没有层层设防的平安措〜施，如配置相应的防火墙5）没有采纳先进的硬件和软件加密技术和设备银行的业务系统、网络和通信都有各自先进的软件加密和硬件加密，而且还应用了第三代、第四代加密技术业务系统、网络和通信采纳不同商家的平安保密产品目前，银行网络系统只在远程通信采纳了加密措施，设有专用的硬件和软件加密技术和设备6）没有配备反病毒的平安措施由于网上病毒的增加，破坏性日益增大，金融机构都强化了反病毒的平安措施，包括过滤通信中的信息病毒、电子邮件中的病毒、中的病毒，对网络及网络上的设备系统进行反病毒的扫描银行网络系统没有配备网络反病毒的监管系统7）在交换机上没有设置足够的平安措施和帧中继交换机是网络和通信的要害设备外国金融机构极为重视交换机的平安措施，用平安防预中心的设备对交换机进行三A限制，即鉴别、授权、审计我国银行网络没有在全部交换机上设置完整的三A平安限制

1.4现象分析浦发银行系统在镇中共有两处营业点，其中一营业点及镇分理处相距1500米，所以两银行之间用光纤连接；该银行共有14个部门，每个部门都在不同的中，通过对交换机的设置，不同间不能相互访问，保证银行网络的数据信息平安；该银行人力资源部门设有指纹检测系统，银行内部的人员每天都要在指纹检测器上按指纹其中个人业务部、资金营运部、风险管理部、计财部、会计总结部和人力资源部在营业点的一楼，公司业务部、国际业务部、信贷审批部、合规部、出纳保卫部、科技部和内审部在分理处的二楼，总共有19个房间，每个房间四个数据点和四个语音点，共76个数据点和76个语音点，须要两个核心交换机，两个汇聚交换机，四个接入交换机，一台路由器，一个防火墙，一个服务器，一个服务器，供银行内部人员上传和下载资料，个人业务部内个人储蓄的信息全部计算机都可以共享二.银行系统的网络拓扑图及说明在本方案中我们从浦发银行各种业务和各个部门的连接进行网络平安方面的设计在网络的对外出口处以及内部各部门的连接都设置防火墙将是最志向的选择，因此我们在本方案中建议浦发银行在全部及外部网出口都配置系列防火墙，以及在总行及分行的业务网的连接处也配置防火墙，对外防止黑客入侵，对内以防止内部人员的恶意攻击或由于内部人员造成的网络平安问题本方案中主要用到10和100,在总部及各部门连接点采纳100作为防火墙，同时在重要的业务连接点采纳独特的多机备份技术用两台作为热备份，保证整个系统的网络平安在各部门采纳10防火墙，为连接各银行网点供应平安防护另银行通过网上进行业务时，由于分行及都有出口，也带来了肯定的风险，我们建议在连接的出口上也配置10防火墙。