► 概述
在新兴的行业背景下,以客户为中心的新一代综合数字业务系统应运而生,同时也将导致电子化建设投入的不断增加,计算机网络规模和应用范围的不断扩大。但是,我们应该注意到,电子化在给银行带来利益的同时,也给银行带来了新的安全问题,并且,随着业务的发展和技术的革新,这个问题显得越来越紧迫。
针对信息安全的现状和发展趋势,宝亮网智凭借多年信息系统服务经验,提出了动态安全防御体系的概念。动态安全防御体系由安全策略、咨询评估、安全实施、定期审计、运行维护五个模块组成,在安全策略的核心指导下,咨询评估→安全实施→定期审计→运行维护的过程是周而复始的,从而形成动态防御的闭环。
► 宝亮网智安全服务体系
为了帮助用户来建立动态安全防御体系并维持其良好运转,宝亮网智提供了一系列的安全服务项目和服务手段。以下是宝亮网智的安全服务体系架构图:
以宝亮网智强大的技术核心队伍为依靠,并与动态防御体系的理念相呼应,我们开展了安全咨询、安全集成、安全审计和安全维护四大类服务,同时提供安全培训。各服务子项既可自成体系,也可以多种方式组合,成为一个整体服务包提供。
| 1 |
安全咨询服务 |
|
1 |
安全风险评估 |
采用科学的风险评估模型和方法论,从技术和管理角度评估客户系统的信息安全风险。 |
|
2 |
安全架构咨询 |
分析客户的网络架构,以安全区域为单元,评估网络架构的安全性和脆弱性,评价现有安全架构对客户需求的满足程度,并提出规划建议。 |
|
3 |
安全策略咨询 |
分析客户的安全策略和安全运行流程,评估其有效性和脆弱性,提出对安全管理的规划建议。 |
|
2 |
安全集成服务 |
|
1 |
安全方案设计 |
分析客户的安全现状,识别潜在安全风险,设计解决方案,采用有效的安全产品改善现有安全状况。 |
|
2 |
安全项目实施 |
根据设计方案,采用规范的项目管理流程,对客户网络进行项目实施、产品部署。 |
|
3 |
安全项目监理 |
以专业的安全顾问身份,对客户的工程项目进行项目监督和安全控制,降低工程项目的风险,保证项目得到有效的控制和顺利地执行。 |
|
3 |
安全审计服务 |
|
1 |
系统漏洞评估 |
利用系统扫描工具,完整、全面地评估客户网络系统存在的漏洞和弱点。 |
|
2 |
攻击风险检测 |
利用入侵检测工具,了解客户网络遭受的攻击及异常活动情况,评估系统面临的威胁。 |
|
3 |
安全设备监控 |
借助日志采集手段,在一段时间内对网络安全设备的运行状况进行持续取证监控,了解其面临的安全问题。 |
|
4 |
安全渗透测试 |
利用人工方法测试客户网络的安全性,了解其遭受黑客及不良人员攻击的可能程度。 |
|
4 |
安全维护服务 |
|
1 |
安全风险通告 |
为客户定期发送安全通告、漏洞警报、补丁升级的最新信息,使客户的安全体系始终与主流安全行业同步。 |
|
2 |
系统安全加固 |
对应用节点的操作系统平台进行漏洞修复和安全配置,消除已发现的系统安全隐患。 |
|
3 |
设备安全维护 |
对客户指定网络安全相关设备提供的维护服务,包括硬件维护、运行监控和配置维护。 |
|
4 |
紧急事件响应 |
紧急响应客户网络安全事件,在最短时间内解决问题。 |
|
5 |
安全培训服务 |
|
1 |
安全基础类 |
灌输安全理念,了解安全发展动向和业界标准。 |
|
2 |
安全技术类 |
涉及黑客攻防、网络安全性、操作系统安全性、安全实现手段等各方面的技术详解。 |
|
3 |
安全产品类 |
对选定产品的功能、特性、配置、维护所做的培训,有助于客户对设备的选型、维护和管理。 |
|
4 |
安全管理类 |
以ISO 17799/BS 7799为理论依据,介绍信息安全管理体系和风险管理理念,帮助客户树立安全管理意识。 |
► 金融行业安全解决方案
1、数据中心的安全架构
1.1 应用需求
银行数据中心的网络是银行的业务核心的基础,其重要性不必赘述。在这一网络体系中,银行的生产应用所运行的网络是需要受到最大程度保护的,以保障其可靠性、性能和安全性,同时还要保证高速数据处理能力;不同生产应用位于不同区域,具有不同的访问需求和安全级别要求。
除了生产网络之外,数据中心还需要为其办公人员提供办公应用的平台,即OA网。OA网络中存在着许多易受安全攻击的系统和应用,并且通常与Internet相关联,往往是安全事件的发源地。为此,一方面我们需要通过安全架构和管理加固OA网络本身,更重要的是要将办公数据与生产核心应用分离开来,即实现两网分离。
1.2 解决方案
数据中心网络安全架构按照由外向内的顺序,下面对所部署的安全设备与技术进行简要描述:
-
第一道防范:广域网入口处部署防止DOS/DDOS攻击的工具,如专用DOS防范设备、IPS等;将由人为攻击和蠕虫病毒带来的DOS威胁隔离在核心网之外;
-
第二道防范:部署流量分析仪,对流经核心交换机的流量进行分析检测,掌握流量走势,及时发现异常情况并迅速找到威胁源,以进行有效排除;
-
第三道防范:在各生产应用区域部署防火墙,对进入该区域的数据进行访问控制;
-
办公网的安全性:办公网以防火墙进行隔离,形成单独的区域,办公网往往是攻击的发源地,对办公网应实现严格的双向访问控制,如有必要可部署第二层DOS防范设备;
-
入侵检测能力:部署IDS系统,对流经区域核心交换机的流量进行入侵检测;
-
管理区域的部署:管理区域包括整个网络的管理与安全监控,包括:网管平台,IDS管理器,认证服务器,防病毒管理平台,日志服务器等,部署于办公与生产网隔离防火墙的DMZ区;
-
测试、开发区域的隔离:对测试、开发区域通过防火墙实现访问控制,避免与生产和办公网之间的相互影响;
1.3 关键点描述
a) 各区域防火墙的设置原则有:
b) 在同一安全域内,可以实施的安全手段有:
除安全性之外,数据中心对网络运行的可靠性和高性能都有极高的要求,为此,所有设备都采用双机冗余架构;并且在选购防火墙和DOS防范设备时要重点考虑其处理能力。
2、省级分行的安全架构
2.1 应用需求
从理想的角度,省级分行也可以拥有与数据中心类似的两网架构。但出于实施的成本和对现有网络调整的影响的考虑,我们可以在现有架构的基础上作最小改动来加固安全,即考虑逻辑上的两网分离。
考虑到安全攻击或病毒的超强的扩散能力――安全事件往往首先由一个分支发起,然后迅速在全辖内扩散,故在各省边界的防范是需要考虑的因素。
2.2 解决方案
按照由外向内的顺序,下面对所部署的安全设备与技术进行简要描述:
-
第一道防范:与数据中心安全结构类似,在广域网入口处部署防止DOS/DDOS攻击的工具;在一级网和二级网出口不一致的情况下,可以将DOS防范工具部署在核心交换机之前;
-
两网分离:局域网的办公和生产网通过VLAN划分来实现;
-
管理VLAN:管理相关服务器被放置于独立的管理VLAN中,包括:网管平台,IDS管理器,认证服务器,防病毒管理平台,日志服务器等;
-
入侵检测能力:部署IDS系统,对流经核心交换机的流量进行入侵检测。
2.3 关键点描述
本地局域网内,可以实施的安全手段有:
考虑到数据集中后跨省的生产流量和到总行的办公数据流量可能会较大,因此,在选择DOS防范产品时需要特别考虑其处理性能。
3、地市级分行的安全架构
3.1 应用需求
地市级分行具有与省级行相似的网络架构和应用模式,只不过规模有大小差异,数据传输的压力稍小,故希望能有集成式的安全工具,实现All-in-one的安全防范,同时简化网络结构与管理。
3.2 解决方案
按照由外向内的顺序,下面对所部署的安全设备与技术进行简要描述:
-
第一道防范:在广域网路由器后采用安全网关设备实现本网的安全防护,安全网关可以集成防火墙、VPN、防病毒、防垃圾邮件、内容过滤等功能;
-
两网分离:局域网的办公和生产网通过VLAN划分来实现;
-
管理VLAN:管理相关服务器被放置于独立的管理VLAN中,包括:网管平台,IDS管理器,认证服务器,防病毒管理平台,日志服务器等;
-
入侵检测能力:部署IDS系统,对流经核心交换机的流量进行入侵检测。
3.3 关键点描述
地市级网络与省级网络的最大区别在于将DOS防范工具替换为安全网关,这是基于对地市级网络对建设成本、易于管理性的要求和相对较小的数据压力的考虑,集成功能设备可以满足上述要求。
在本地局域网内,可以实施的安全手段有:
4、Internet接入安全架构
4.1 应用需求
企业的边缘接入可以具有多方面含义,如拨号用户的远程接入,Internet接入,与其它机构的外联等。目前各省级以上分行对外联应用都已经架设了统一、完备的安全架构,以两台防火墙来隔离对其它企业的专线和拨号外联。故对外联网络这里不作描述。
Internet访问的最大考虑便是其安全性,目前已有许多基于Internet的成熟解决方案,同样可以用于金融行业的Internet解决方案中。
4.2 解决方案
-
安全区域的分割:一个典型的Internet边缘接入安全架构分为三大区域:内部网(IN),Internet(OUT),Internet应用服务器区域(DMZ),三部分通过两台互为冗余的防火墙互连;
-
DMZ内部网是企业需要访问Internet的用户所在的网络,具有相对最高的安全级别;Internet是开放空间,安全级别最低;DMZ区放置了许多与企业Internet应用有关的服务器,它既要接受Internet用户的访问,又要防御来自外部的攻击,属中间安全区域;
-
在DMZ区和内部网均放置了IDS探测器,用于监测穿透防火墙的或内部的攻击行为;
-
对规模较大的网络,可能会考虑Internet出口的冗余性,而选择两条ISP链路,这时需要在出口前添加链路均衡器以实现双向负载均衡,这一架构在本文中不作描述。
4.3 关键点描述
a) 作Internet连接的防火墙有以下配置原则:
b) DMZ区是针对Internet应用的服务器区,它的组件包括但不仅限于:
-
Web/FTP服务器:提供企业对外的信息访问和文件下载资源,根据实际需要布设;
-
DNS服务器:作为企业获得授权的外部域名解析服务器,负责将内部DNS请求转发到互联网;
-
外部邮件服务器:作为企业用户与Internet用户互送邮件的中继;
-
防垃圾邮件网关:作用于邮件服务器之前,根据邮件内容和性质判断其是否为垃圾邮件,并进行相应处理;
-
内容过滤服务器:用于内部用户向Internet作WWW访问时作URL过滤,以去除非法信息或网页可能携带的Java Applets、ActiveX等恶意代码的小程序;
-
病毒网关:检测双向FTP/HTTP/SMTP数据流,发现其中的病毒代码,对病毒进行清除、隔离或过滤;
-
代理服务器:作为Internet访问用户身份验证的网关,提供应用级的访问控制功能,并提供访问审计和跟踪;一个功能完善的代理服务器可以与防垃圾邮件网关、内容过滤服务器和病毒网关协同工作,提高数据检测的效率;
c) 内容过滤、病毒网关和垃圾邮件网关可能采用的结构有:
-
穿透性结构,如同防火墙一样,需要让被检测的数据由外向内流经该设备;这种结构下需要在防火墙之内再添置一道相同结构的内容检测设备;
-
旁路性结构:通过第四层交换机或代理服务器将数据旁路到检测设备,经过检验和过滤的数据再流回内容交换机或代理服务器,去往真正的目的地;
-
代理性结构:在客户端需要指定HTTP或邮件代理,通过IP互连将数据流定向到代理检测设备,经过检验后再送往真正的目的地;在这种结构下内容过滤和病毒网关可以考虑放置在防火墙的DMZ区。