银行网络安全建设方案书
银行网络安全管理工作计划
银行网络安全管理工作计划1. 简介本文档旨在制定银行网络安全管理工作计划,以确保银行网络系统的安全性和稳定性。
网络安全是当前银行业务运作中的重要方面,因此,我们将采取一系列措施来保护银行的信息系统和用户数据。
2. 安全评估和风险管理我们将进行定期的安全评估,以识别和评估银行网络系统的潜在风险。
通过对系统进行漏洞扫描和安全测试,我们将确保及时发现和修复系统中的漏洞和弱点。
我们还将制定并执行紧急响应计划,以应对任何安全事件的发生。
3. 员工教育和培训我们将对银行员工进行网络安全教育和培训,提高他们对网络安全风险和威胁的认识。
培训内容将包括密码安全、网络钓鱼攻击、恶意软件防范等。
通过提高员工的网络安全意识,我们可以减少内部安全事件的发生。
4. 系统访问控制为了确保只有授权人员可以访问银行的网络系统,我们将实施严格的访问控制措施。
这包括使用强密码和多因素身份验证,限制特权访问和监控系统登录活动。
我们还将定期审查用户权限,并根据需要进行更新和调整。
5. 数据备份和恢复数据备份是防止数据丢失的重要措施之一。
我们将定期进行数据备份,并确保备份数据存储在安全的离线位置。
另外,我们将测试和验证数据恢复过程,以确保在系统故障或其他灾难发生时能够迅速恢复数据。
6. 更新和补丁管理定期更新和安装系统的补丁是保持网络安全的关键。
我们将建立一个严格的更新和补丁管理流程,确保系统的漏洞和安全问题得到及时修复。
同时,我们将关注银行所使用的软件和硬件厂商的漏洞公告,及时采取相应的措施。
7. 安全监控和报告我们将建立实时监控系统,以监测银行网络系统的安全状况。
通过使用入侵检测系统和日志分析工具,我们将及时发现和应对任何异常活动或潜在的攻击。
同时,我们还将定期生成报告,汇总网络安全事件的数据和趋势,为决策提供参考。
8. 灾难恢复计划为确保在灾难事件发生时能够迅速恢复业务,我们将编制详尽的灾难恢复计划。
该计划将包括恢复策略、紧急联系人和恢复流程等内容。
银行网络安全解决方案
银行网络安全解决方案一、概述银行网络系统是一个比较复杂庞大的内部互联网络,同时也涉及了网上银行和银行代收业务,因此既要保障内部网络的通畅和安全,还要保障非法用户不能通过外网(互联网)进入内部网络。
整体的网络安全不仅包括了防火墙的访问控制功能,还需要有远程集中管理、远程审计和自动备份日志等功能。
因此需要有一个立体的网络安全整体解决方案。
二、银行的网络结构和应用xx银行网络系统是非涉密的内部业务工作处理网络,传输、处理、查询xx银行网络工作中非涉密的信息。
该网由省行网络中心、地市行网络中心和支行网络中心的网络节点互连构成,控制中心在省行网络中心。
在所有外连线路出入口安装防火墙。
这些防火墙系统需要集中在省行网络中心进行管理和审计,关键部位需要使用双机热备功能。
三、网络风险分析结合xx银行网络自身的特点,主要的网络安全风险主要体现在如下几个方面:来自互联网络的风险、来自分支网络的风险、来自内部员工的风险、来自外来单位(企业)的风险和来自网络安全管理的风险。
下面图示化网络中存在的安全风险:xx银行网络中存在的安全隐患来自互联网络的风险:随着信息网络的迅速发展,xx银行也不断的开展一些网上业务。
比如开展了大量的网上银行业务,虽然通过互联网方便了个人用户,同时还应该看到的是黑客可以通过互联网络进入银行的网上银行网络,从而为进入银行内部网络创造了条件。
此外如果有数据在公网上面进行传输,那么还存在数据被黑客窃取和修改的风险。
来自分支网络的风险:xx银行网络在省行和地市行之间的网络虽然都属于银行的互联网络,但是如何有效的保障地市行的银行员工不会窃取省行内部数据,成为我们不可疏忽的问题之一。
来自内部员工的风险:据调查统计,已发生的网络安全事件中,70%的攻击是来自内部。
因此内部网的安全风险更严重。
内部员工对自身网络结构、应用比较熟悉,自已攻击或泄露重要信息内外勾结,都将可能成为导致系统受攻击的最致命安全威胁。
而且xx银行内部员工数目比较多,因此如何有效的防治内部员工不对自己的网络进行攻击也是一个好的网络安全方案重要的组成部分。
银行网络安全设计方案完整篇.doc
银行网络安全设计方案1 目录1 银行系统的安全设计(1)1.1 银行网络基本情况(1)1.2 镇银行各部门分配(1)1.3 银行网络安全现状(2)1.4 现象分析(5)2 银行系统的网络拓扑图及说明(6)3 银行系统的网络安全部署图及说明(7)3.1 敏感数据区的保护(7)3.2 通迅线路数据加密(7)3.3 防火墙自身的保护(8)4 系统的网络设备选型及说明(9)4.1 核心层交换机(9)4.2 汇聚层交换机(9)4.3 接入层交换机(10)4.4 路由器(10)4.5 防火墙(11)4.6 服务器(12)5 安全配置说明(12)5.1 防火墙技术(12)5.2 网络防病毒体系(13)5.3 网络入侵检测技术(13)5.4 网络安全审计技术(13)5.5 VPN技术(14)总结(15)一.银行系统的安全设计1.1银行网络基本情况随着信息技术的发展,社会的信息化程度提高了,网络银行、电子银行出现了,整个银行业、金融业都依赖于信息系统。
交易网络化、系统化、快速化和货币数字经是当前金融业的特点,这对金融信息系统的安全保密性提出了严格的要求。
金融信息系统必须保证金融交易的机密性、完整性、访问控制、鉴别、审计、追踪、可用性、抗抵赖性和可靠性。
为了适应金融业的需要,各家银行都投资建网。
但是,由于各种因素的制约,网络的安全体系不完善,安全措施不完备,存在严重的安全漏洞和安全隐患。
这些安全漏洞和隐患有可能造成中国的金融风暴,给国家带来重大损失,因此必须采取强有力的措施,解决银行网络的安全问题。
1.2银行各部门分配1.2.1公司业务部主要负责对公业务,审核等。
1.2.2个人业务部主要负责个人业务,居民储蓄,审核。
1.2.3国际业务部主要负责国际打包放款,国际电汇,外汇结算等。
1.2.4资金营运部主要是资金结算。
1.2.5信贷审批部负责各类贷款审批等。
1.2.6风险管理部就是在银行评估、管理、解决业务风险的部门。
银行网络安全解决方案
银行网络安全解决方案在银行网络安全的解决方案中,以下是一些有效的措施和建议:1. 数据加密:银行应该使用强大的数据加密技术,确保客户的敏感信息在传输和存储过程中得到保护。
例如,使用SSL / TLS协议来保护网站和移动应用程序中的数据传输,以及数据库和文件级别的加密来保护存储的数据。
2. 多重身份验证:引入多重身份验证将增加用户登录的安全性。
此外,通过使用双因素身份验证(如指纹扫描、面部识别或短信验证码),银行可以提供额外的安全性。
3. 强密码策略:银行应该要求客户创建强密码,并定期提示他们更新密码。
这样可以减少密码猜测和破解的风险。
同时,推荐客户使用密码管理器来管理他们的密码。
4. 安全培训和意识:银行应该为员工提供网络安全培训,以教育他们如何识别和防范网络钓鱼、恶意软件等常见的网络攻击。
此外,普及网络安全意识对客户也是必要的,以确保他们在使用银行服务时保持警觉。
5. 实时监测和威胁情报:银行应该建立实时监测系统,能够及时发现和应对潜在的网络攻击和安全漏洞。
同时,与网络安全厂商和其他机构合作,获取最新的威胁情报,并采取相应的防御措施。
6. 安全审计和漏洞管理:定期进行安全审计,对银行的网络系统和应用程序进行评估和漏洞扫描。
及时修补发现的漏洞和弱点将有助于提高系统的安全性。
7. 网络流量监测:通过使用网络流量监测工具,银行可以及时检测到异常的网络活动,例如大规模数据传输、异常登录尝试等,从而及早发现并应对潜在的攻击。
8. 应急响应计划:银行应该制定应急响应计划,以应对网络攻击和安全事件。
该计划应明确指定责任和步骤,并定期进行模拟演练,以保证在真实情况发生时的高效应对。
综上所述,采取上述的安全措施和建议将有助于提高银行网络的安全性,并保护客户的财产和敏感信息。
银行网络安全建设方案书
银行网络安全建设方案书1. 引言随着信息技术的迅猛发展,银行业的网络安全问题日益突出。
为了保护客户的财产安全和维护银行的声誉,我们制定了本文档,旨在提供一套全面的银行网络安全建设方案。
本方案将包括网络安全的目标、风险评估、安全策略、安全措施和应急响应等内容,以保障银行网络安全的可靠性和健康发展。
2. 目标银行网络安全建设的目标是建立一个稳定、安全和可靠的银行网络环境,确保银行系统和数据的完整性和保密性。
具体目标如下:•防范外部黑客攻击和恶意软件的入侵•防止内部员工滥用权限或泄露重要信息•提高系统的弹性和容错能力,确保系统的高可用性和稳定性•建立完善的监控体系,及时发现和应对安全威胁•建立有效的应急响应机制,提供快速、准确的应急响应和恢复3. 风险评估在制定安全策略和措施之前,我们需要对银行网络安全进行综合的风险评估。
基于以下几个方面进行评估:3.1 外部风险评估外部风险评估主要包括以下几个方面:•外部黑客攻击:评估银行网络面临的黑客攻击的类型和频率,并制定相应的防范措施。
•恶意软件入侵:评估系统是否容易受到各类恶意软件的入侵,并建立有效的防护措施。
•社交工程攻击:评估员工是否容易受到社交工程攻击,并提供培训和意识教育,提高员工的安全意识。
3.2 内部风险评估内部风险评估主要包括以下几个方面:•员工权限滥用:评估员工是否滥用权限,建立严格的权限管理和审计机制。
•重要信息泄露:评估敏感信息是否容易被泄露,建立信息分类和权限管理制度。
3.3 环境风险评估环境风险评估主要包括以下几个方面:•电力和网络设备:评估电力和网络设备的可靠性,建立备用电源和容灾机制。
•物理安全措施:评估总部和分支机构的物理安全措施,建立视频监控和入侵报警系统。
4. 安全策略基于风险评估的结果,我们制定以下安全策略:4.1 建立多层次的防火墙体系•在数据中心和边缘网络之间建立防火墙,限制数据流量和网络连接。
•使用入侵检测和入侵防御系统,及时发现并阻止未经授权的访问。
2024年银行网络安全预案
2024年银行网络安全预案随着科技的飞速发展和金融数字化的推进,银行网络安全问题日益凸显。
为了保障金融体系的安全稳定,银行需要制定科学合理的网络安全预案。
本文将针对2024年,围绕银行网络安全预案的制定与应对措施展开分析和讨论。
一、背景分析随着技术的进步,银行业务已经实现了从传统柜面向互联网、移动客户端的转型。
然而,互联网系统的开放性和信息交互的复杂性也带来了安全隐患,银行面临着来自黑客攻击、恶意软件、数据泄露等多种安全威胁。
二、安全威胁分析1. 黑客攻击:黑客利用漏洞和技术手段,侵入银行系统,窃取用户信息或者篡改数据。
2. 恶意软件:通过恶意软件的感染,黑客可以获取用户账户信息、密码等重要数据。
3. 数据泄露:银行内部员工或外部人员恶意泄露敏感客户信息,给客户财产安全带来隐患。
4. 社会工程学攻击:通过社交网络、电话等手段获取客户信息,并进行诈骗。
5. 供应链攻击:黑客入侵银行合作伙伴的系统,通过侧面攻击进一步窃取敏感信息。
三、银行网络安全预案制定1. 安全意识培训:银行员工要定期接受网络安全知识的培训,加强对网络安全风险的认知。
2. 信息系统监控:银行应建立完善的监控系统,实时监测系统的运行情况和异常行为,及时发现并处理安全事件。
3. 多层次防护措施:银行应采用防火墙、入侵检测系统、防病毒软件等技术手段,在多个层面上对网络进行防御,确保安全措施的全面覆盖。
4. 加密技术应用:银行在传输、存储和处理敏感信息时应采用加密技术,提高数据的安全性。
5. 强化准入控制:通过设备识别、身份认证等手段,控制系统的访问权限,防止未授权用户进入。
四、应急响应机制1. 建立紧急处置小组:银行应组建专业的网络安全小组,负责处理安全事件的紧急响应工作。
2. 邮件与短信预警通知:设立自动化的安全预警系统,一旦发现安全事件,及时通过邮件、短信等形式通知相关人员,并采取紧急措施。
3. 安全事件演练:定期组织模拟演练,提高员工的应急处理能力和安全防护意识。
银行网络安全建设方案书
银行网络安全建设方案书1. 引言随着信息技术的发展和互联网的普及,银行业务的数字化和在线化成为了趋势。
然而,同时也引发了银行网络安全面临的一系列威胁和挑战。
为了保护银行的网络资产和客户的隐私安全,制定有效的银行网络安全建设方案显得尤为重要。
本文档将介绍一个针对银行的网络安全建设方案。
2. 目标本网络安全建设方案的目标是确保银行网络资产的机密性、完整性和可用性。
具体目标如下:1.防止未经授权的访问,保护客户和银行数据的机密性。
2.防止恶意软件的入侵和传播,保护银行系统的完整性。
3.提供高可用性的网络环境,确保银行业务的连续性。
4.及时发现和应对安全威胁,减少安全事件对银行业务的影响。
3. 安全策略为了实现上述目标,制定以下安全策略:3.1 访问控制1.引入多层次的身份验证机制,例如用户名密码、二次验证等,以防止未经授权的访问。
2.管理员账号和普通用户账号严格分离,限制管理员账号的使用权限。
3.定期审查和更新授权用户的权限,避免权限滥用。
3.2 防火墙和入侵检测系统1.部署防火墙和入侵检测系统来阻止非法访问和网络攻击。
2.定期更新防火墙和入侵检测系统的规则和签名,确保及时识别并阻止新的安全威胁。
3.3 恶意软件防护1.安装和及时更新杀毒软件、防恶意软件工具等,保护银行系统免受恶意软件的感染。
2.设置邮件和文件传输的安全策略,防止恶意软件通过邮件和文件传播。
3.4 网络监控和日志管理1.部署网络监控系统,实时监测银行网络的流量情况,发现异常活动并作出相应处理。
2.配置日志管理系统,定期审查和分析日志,及时发现和应对安全事件。
3.5 灾备和恢复1.建立完善的灾备系统,确保银行业务的连续性。
2.定期进行灾备演练,验证灾备系统的可用性和正确性。
4. 实施计划根据上述安全策略,制定以下实施计划:4.1 访问控制的实施计划1.选择合适的身份验证机制。
2.设计和实施账号管理系统。
3.制定和发布访问控制策略文档,明确各类用户的权限和使用规范。
XX银行网络安全策略
XX银行网络安全策略简介网络安全是XX银行的首要任务,为了保护客户的财产和个人信息安全,我们制定了以下网络安全策略。
网络安全授权为确保网络安全管理的有效性,XX银行将设立网络安全授权团队,由资深网络安全专家组成。
该团队将负责制定和执行网络安全策略,并监督和审查网络系统的安全性。
密码管理合理和安全的密码管理是保护客户账户的重要措施。
XX银行将要求客户在注册时设置强密码,并定期提示客户更改密码。
我们还将实施多因素认证,以增加账户的安全性。
网络防火墙为防止未经授权的访问和网络攻击,XX银行将在网络入口处设置高效的防火墙系统。
这将有助于识别和阻止潜在的恶意行为,确保网络系统的安全运行。
安全更新和漏洞修复XX银行将定期进行安全更新和漏洞修复。
我们会及时安装操作系统和软件的更新补丁,以关闭安全漏洞,并及时修复已知的网络安全问题。
客户教育和安全意识XX银行将积极开展客户教育和安全意识活动。
我们将为客户提供有关网络安全的相关知识,并教授客户如何识别和应对网络欺诈和钓鱼攻击。
安全审计和风险评估为了持续监测和评估网络系统的安全性,XX银行将定期进行安全审计和风险评估。
我们将通过安全测试、漏洞扫描和安全事件的监测与响应来识别和应对潜在的安全风险。
紧急响应计划XX银行将建立紧急响应计划,以应对网络安全事件。
我们将制定详细的应急预案,明确各部门的职责和行动流程,以最大限度地减少网络安全事件对银行和客户的影响。
安全培训和认证为确保员工具备适应网络安全需求的知识和技能,XX银行将定期组织安全培训和认证活动。
我们将鼓励员工参加网络安全相关的培训课程,并及时更新他们的安全意识。
结论通过以上网络安全策略的实施,XX银行将更好地保护客户的财产和个人信息安全。
我们将不断加强网络安全防护系统,并致力于提升客户的网络安全意识,以应对不断变化的网络威胁。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
XXX银行生产网络安全规划建议书2006年6月目录1项目情况概述 (22)2网络结构调整与安全域划分 (44)3XXX银行网络需求分析 (66)3.1网上银行安全风险和安全需求 (77)3.2生产业务网络安全风险和安全需求 (88)4总体安全技术框架建议 (1010)4.1网络层安全建议 (1010)4.2系统层安全建议 (1212)4.3管理层安全建议 (1313)5详细网络架构及产品部署建议 (1414)5.1网上银行安全建议 (1414)5.2省联社生产网安全建议 (1616)5.3地市联社生产网安全建议 (1818)5.4区县联社生产网安全建议 (1818)5.5全行网络防病毒系统建议 (1919)5.6网络安全管理平台建议 (2020)5.6.1部署网络安全管理平台的必要性 (2020)5.6.2网络安全管理平台部署建议 (2121)5.7建立专业的安全服务体系建议 (2222)5.7.1现状调查和风险评估 (2323)5.7.2安全策略制定及方案设计 (2323)5.7.3安全应急响应方案 (2424)6安全规划总结 (2727)7产品配置清单 (2828)1项目情况概述Xxx银行网络是一个正在进行改造的省级银行网络。
整个网络随着业务的不断扩展和应用的增加,已经形成了一个横纵联系,错综复杂的网络。
从纵向来看,目前XXX银行网络分为四层,第一层为省联社网络,第二层为地市联社网络,第三层为县(区)联社网络,第四层为分理处网络。
从横向来看,省及各地市的银行网络都按照应用划分为办公子网、生产子网和外联网络三个大子网。
而在省中心网上,还包括网上银行、测试子网和MIS子网三个单独的子网。
其整个网络的结构示意图如下:图1.1 XXX银行网络结构示意图XXX银行网络是一个正在新建的网络,目前业务系统刚刚上线运行,还没有进行信息安全方面的建设。
而对于XXX银行网络来说,生产网是网络中最重要的部分,所有的应用也业务系统都部署在生产网上。
一旦生产网出现问题,造成的损失和影响将是不可估量的。
因此现在急需解决生产网的安全问题。
本次对XXX银行网络的安全规划仅限于生产网以及与生产网安全相关的网络部分,因此下面我们着重对XXX银行的生产网构架做一个详细描述。
(一)省联社生产网络省联社网络生产网络是全行信息系统的核心,业务系统、网上银行系统及管理系统都集中在信息中心。
省联社网络生产网络负责与人行及其他单位中间业务的连接。
省联社网络生产网络负责建立和维护网上银行。
省联社网络生产网络中包含MIS系统和测试系统。
操作系统主要有:OS/400、AIX、Linux、Windows,以及其它设备的专用系统。
数据库系统包括:DB2、INFORMIX、SYBASE、ORACLE等。
业务应用包括:生产业务:一线业务:与客户直接关联的业务,如ATM、POS、柜员终端等二线业务:不直接与客户相关的业务,如管理流程、公文轮流转、监督、决策等,为一线业务的支撑。
(二)地市联社生产网络地市联社生产网络是二级网络,通过两条互为备份的专线与省联社中心网络互连。
操作系统主要有:UNIX、WINDOWS。
(三)区(县)联社生产网络区(县)联社生产网络是三级网络,通过2M SDH/或者10M光纤以太网(ISDN备份)等方式与管辖支行的网络连接。
操作系统主要有:UNIX、WINDOWS。
(四)分理处生产网分理处是四级网络,各个分理处通过2M SDH或者ISDN等方式与管辖区(县)联社的网络连接。
由于区县联社及分理处的网络目前还处在组网的初级阶段,网络构造简单且还没有能力进行完善的网络安全建设和管理,因此本次规划主要是对省及地市联社的网络安全部分。
当把省及地市部分的网络建成一个比较完善的安全防护体系之后,再逐步的将安全措施和手段应用于下层的区县联社及分理处。
从而实现整个网络的重点防护、分步实施策略。
2网络结构调整与安全域划分对于XXX银行生产网络来说,首要的一点就是应该根据国家有关部门对相关规定,将整个生产网络进行网络结构的优化和安全域的划分,从结构上实现对安全等级化保护。
根据《中国人民银行计算机安全管理暂行规定(试行)》的相关要求:“第六十一条内联网上的所有计算机设备,不得直接或间接地与国际互联网相联接,必须实现与国际互联网的物理隔离。
”“第七十五条计算机信息系统的开发环境和现场应当与生产环境和现场隔离。
”因此我们有必要对现有网络环境进行改造,以将生产业务网络(包括一线业务和二线业务)与具有互联网连接的办公网络之间区分开来,通过强有力的安全控制机制最大化实现生产系统与其他业务系统之间的隔离。
同时,对XXX银行所有信息资源进行安全分级,根据不同业务和应用类型划分不同安全等级的安全域,并分别进行不同等级的隔离和保护。
初步规划将省联社生产网络划分成多个具备不同安全等级的区域,参考公安部发布的《信息系统安全保护等级定级指南》,我们对安全区域划分和定级的建议如下:安全区域说明定级建议生产区域包含一线业务服务器主机3级MIS区域包含二线业务服务器主机2级网上银行区域包含网上银行业务服务器主机2级运行管理区域包含维护网络信息系统有效运行的管理服务器主机和管理终端2级测试区域包含新开发的生产应用的测试环境,可视为准生产环境1级办公服务器区域包含办公业务系统服务器主机2级对于各地市、区县联社和各营业网点也需要将生产业务和办公业务严格区分开,并进行逻辑隔离,确保生产区域具有较高安全级别。
由于部分办公业务用户需要访问生产业务中的特定数据,而部分生产应用也需要访问办公网中的特定数据,因此无法做到生产、办公之间彻底的物理隔离,建议在各级联社信息中心提供生产网与办公网之间的连接,并采用逻辑隔离手段进行控制,对于营业网点,由于作隔离投入太大,可暂时不考虑隔离。
改造后的总体逻辑结构如图所示:图2.1 XXX银行网络安全结构示意图网络改造后,全行办公系统将统一互联网出口,所有办公终端只允许在通信行为可控的情况下才能通过信息中心办公网络的互联网出口访问外界网络,生产业务服务器和终端不允许采取任何手段直接访问互联网或通过办公网间接访问互联网。
网上银行因业务需要必须连接互联网,但只允许互联网用户对网银门户网站的访问以及认证用户对网银WEB服务器的访问,生产业务服务器和终端不允许采取任何手段直接访问互联网或通过网银网络间接访问互联网。
3XXX银行网络需求分析随着XXX银行金融信息化的发展,信息系统已经成为银行赖以生存和发展的基本条件。
相应地,银行信息系统的安全问题也越来越突出,银行信息系统的安全问题主要包括两个方面:一是来自外界对银行系统的非法侵入,对信息系统的蓄意破坏和盗窃、篡改信息行为;二是来自银行内部员工故意或无意的对信息系统管理的违反。
银行信息系统正在面临着严峻的挑战。
银行进行安全建设、加强安全管理已经成为当务之急,其必要性正在随着银行业务和信息系统如下的发展趋势而更加凸出:银行的关键业务系统层次丰富,操作环节多,风险也相对比较明显;随着电子银行和中间业务的广泛开展,银行的网络与Internet和其他组织机构的网络互联程度越来越高,使原本相对封闭的网络越来越开放,从而将外部网络的风险引入到银行内部网络;随着银行业务集中化的趋势,银行业务系统对可靠性和无间断运行的要求也越来越高;随着WTO的到来和外资银行的进入,银行业竞争日益激烈,新的金融产品不断推出,从而使银行的应用系统处于快速的变化过程中,对银行的安全管理提出了更高的要求。
中国国内各家银行也已经开始进行信息安体系建设,其中最主要的措施就是采购了大量安全产品,包括防火墙、入侵检测系统、防病毒和身份认证系统等。
这些安全产品在很大程度上提高了银行信息系统的安全水平,对保护银行信息安全起到了一定作用。
但是它们并没有从根本上降低安全风险,缓解安全问题,这主要是因为:●信息安全问题从来就不是单纯的技术问题,把防范黑客入侵和病毒感染理解为信息安全问题的全部是片面的。
安全产品的功能相对比较狭窄,往往用于解决一类安全问题,因此仅仅通过部署安全产品很难完全覆盖银行信息安全问题;●信息安全问题不是静态的,它总是随着银行策略、组织架构、信息系统和操作流程的改变而改变。
部署安全产品是一种静态的解决办法。
一般来说,在产品安装和配置后较长一段时间内,它们都无法动态调整以适应安全问题的变化。
所以,银行界的有识之士都意识到应从根本上改变应对信息安全问题的思路,建立更加全面的安全保障体系,在安全产品的辅助下,通过管理手段体系化地保障信息系统安全。
下面我们将通过分析XXX银行改造后的网络结构下可能面临的安全问题,对XXX银行(主要是生产网)目前的安全需求进行总体分析。
根据实际项目进度安排,我们将分别对网上银行系统、生产业务系统进行分析。
3.1 网上银行安全风险和安全需求针对目前最常见的互联网攻击类型以及国内外网上银行系统通常面临的安全威胁,结合XXX银行的实际情况,我们认为在XXX银行网上银行网络可能面临的安全风险和对应的安全需求如下:序号风险名称受影响对象安全需求1 漏洞操作系统,数据库系统,应用软件评估、加固(打补丁,安装加固软件)2 网页篡改网银WEB和门户WEB服务器打补丁,安装防篡改软件,内容过滤3 网络仿冒网银客户培训客户的安全防护意识(安装IE反钓鱼插件;认清银行网站,不在虚假站点中填写ID和密码;采用CA认证和SSL加密)4 蠕虫和病毒所有windows和linux平台客户端:建议或强制安装防病毒软件/插件服务器:安装相应平台防病毒软件网银WEB区域与互联网之间:防病毒网关网银与核心层之间:防病毒网关5 非法入侵和攻击(网络级、应用级)所有网段防火墙、IDS(需检测应用级攻击及SSL加密攻击)6 拒绝服务攻击网银WEB区域抗DOS攻击产品7 网页恶意代码(木马、间谍软件、广告软件、拨号器(dialers)、key logger、密码破解工具和远程控制程序网银客户windows,ie浏览器(linux不受影响)培训客户的安全防护意识(在计算机上安装防病毒工具并及时更新;采用相对安全的浏览器或在IE中安装各类安全控件;对不明邮件不要打开,并及时删除;提高对个人资料、账户、密码的保护意识;及时修改银行帐户的原始密码;不要采用身份证号码、生日、手机号码及过分简单的数字作为密码;不要在网吧等公共场所操作等)网上银行业务。
)8 僵尸网络(DDOS、垃圾邮件、网页仿冒、网页攻击的被动发起者)互联网上大量不安全的主机可能成为僵尸,被利用来向网银进行攻击通过上述手段加强自身防护3.2 生产业务网络安全风险和安全需求对于生产业务网络而言,可能存在的安全风险和对应的安全需求如下:序号风险名称风险来源受影响对象安全需求1 漏洞自身操作系统,数据库系统,应用软件评估、加固(打补丁,安装加固软件)2 蠕虫和病毒移动存储介质、网络通讯所有windows和linux平台客户端/服务器:安装相应平台防病毒软件网银与生产业务网络之间:防病毒网关3 非法入侵和攻击(网络级、应用级)所有需要访问或可能访问到一线业务的用户一线业务生产主机防火墙、入侵检测网上银行区域生产业务网络防火墙、入侵防御网上银行区域、相关外部单位网络、办公业务网络生产业务网络防火墙、入侵检测4 数据窃密、篡改非法闯入者在局域网或广域网上传输的业务数据,存网络准入控制、桌面安全控制放在客户端本地的业务数据5 非法访问、越权访问非生产人员生产应用系统和业务数据身份认证、访问授权非管理人员操作系统、数据库系统身份认证、访问授权4总体安全技术框架建议根据对XXX银行网络系统安全需求分析,我们提出了由多种安全技术和多层防护措施构成的一整套安全技术方案,具体包括:在网络层划分安全域,部署防火墙系统、防拒绝服务攻击系统、入侵检测系统、入侵防御系统和漏洞扫描系统;在系统层部署病毒防范系统,提供系统安全评估和加固建议;在管理层制订安全管理策略,部署安全信息管理和分析系统,建立安全管理中心。