1.前言
1.1.方案编写的背景
随着银行信息化的发展,银行对信息系统的依赖程度也越来越高,从银行的生产系统到内部的OA系统,从个人存贷款到中间业务,从柜面业务到电子银行,无一离不开网络和信息系统的支撑。为了保障业务数据的完整性、可用性,保障用户帐户信息的保密性,保障银行业务的正常运行,对网络和信息系统的安全建设提出了新的要求。尤其是银行业务数据的大集中同时也造成了安全风险的集中,相应地对银行网络与信息安全保障工作也提出了更高的要求。因此,信息安全建设是金融电子化的关键环节,处理得不好,将严重制约银行系统信息化建设的步伐。只有建立了完善的信息安全保障体系,才能有效防范和化解安全风险,确保银行信息系统平稳运行和业务持续开展。
1.2.安全建设的目标
从战略的角度,商业银行通过信息安全体系建设,必须实现以下的基本目标:
通过建立完善的信息安全管理制度和部署合理的技术解决方案,构建一套管理手段与技术手段相结合的全方位、多层次、动态发展的信息安全防护体系,来实现银行信息系统的完整性、可用性、保密性、可控性和不可否认性,为商业银行业务的发展提供一个坚实的信息系统基础。该体系应符合国家和行业监管部门的相关要求。
2.银行系统总体安全需求
根据天畅在类似行业中的成功建设经验,和XX商业银行信息网络的现状与规划,我们认为XX商业银行的安全建设需求主要体现在以下几个方面:
需要根据银行的业务特点,参照国内外银行网络结构分层、区域划分的最佳实践,对目前的网络进行结构优化,对网络进行合理分层,并划分不同的安全域,制订合适的区域间访问控制策略。
在进行结构分层、区域划分时,要重点保护生产业务系统,优先满足生产系统的安全需要,同时,要兼顾到将来部署的OA系统、VOIP及视频会议系统,在保证生产业务不受影响的基础上,来保证这些系统的正常运行。
在正常情况下,生产网与办公网的数据流量要跑在不同的广域网线路上,必要时,办公业务的线路可作为生产线路的备份。
节点终端的信息访问,需要采取加密的方式来传递数据,以确保信息的传输安全;
要保护的信息系统既包括重要的操作系统、数据库系统、应用系统,也包括网络基础系统,包括:网络设备、网络链接、线路带宽等。
网上银行系统是当前规划中的重要业务,而网银系统往往也是银行信息系统中的安全薄弱环节,很容易被攻击者利用成为攻击银行信息网络的途径,网银系统的互联网出口与目前的办公业务的互联网出口要分开设置,在网银的互联网出口要进行L3到L7的深度防御,抵御各种网络攻击和病毒入侵。网银的WEB服务器与其它的应用服务器、数据库服务器要放置在不同的安全域内,进行纵深的防御部署。
建立CA认证中心,建立一套完善的安全的身份识别体系,为XX商业银行各类应用系统提供身份识别认证。
在全网范围内,要对端点接入内网进行控制,防止非授权机器、非法用户、安全状态不符合要求的系统接入内网。
在全网范围内对内网中PC的各种行为进行监控审计,发现不符合安全策略的行为进行记录,并及时报警,包括:单独拨号上网、向外发送包含商业机密的电子邮件、向外拷贝敏感的信息、访问一些不良网站等。
在全网进行防病毒系统的部署,采用集中分级管理的模式。涵盖范围包括:总行、一级支行、网点等。要对病毒传播进行严格控制,防止病毒从互联网或外网传入内网,防止病毒在内网进行大面积传播。
要利用VPN技术,使得员工在外出时能够登录XX商业银行的OA系统,满足员工移动办公的需要。
安全系统中的系统软件及相关数据库,如:操作系统、病毒码、攻击特征库等,要能够及时更新,以不断增强安全防护能力。
3.银行安全建设方案规划
针对XX商业银行的网络架构,参考同行业的成功建设案例,本方案将从基础防护措施、统一病毒防护平台、统一认证中心和安全集中管理中心四个角度,来构建整体的安全防护系统,参考图3,具体的防护系统规划如下:
图3 XX商业银行安全防护措施部署示意图
3.1.针对总行平台
总行是XX商业银行信息系统的核心,主要的应用系统及管理系统都部署在总行平台,同时在采取“数据大集中”模式后,使得总行平台的重要性更加突出,因此对总行平台的安全防护非常关键,总行平台的安全建设也是本方案的重点,根据对XX商业银行的区域划分,银行需要考虑的基础性安全防护措施主要体现在以下五个方面:
3.1.1.办公网与生产网的隔离
办公网与生产网所承载的业务差距很大,两网信息资产的重要性也不尽相同,因此两网之间应采取必要的隔离和控制措施,约束两网之间的访问,确保生产网的安全和稳定性。
办公网与生产网之间通常采用防火墙技术实现逻辑隔离,通过强制的安全访问策略,限制两网之间的访问行为,使得那些被认为是可靠的访问,才能在两网之间传递。
参考图3,我们在核心区域部署防火墙,从而可实现办公网与生产网的隔离。
3.1.2.针对生产网
参考图3,针对总行生产网,采取的基础防护措施包括:
防火墙访问控制平台的部署:这里部署的防火墙主要用于实现纵向办公网的隔离,防火墙接入到核心交换机上,限制支行及营业网点的业务终端只有通过访问总行的前置机,才能进行正常的业务操作;
网络入侵检测系统:在总行的核心交换机上部署入侵检测探测器(硬件),探测器采用旁路接入方式,对总行的访问数据包进行实时监测和记录,寻找网络违规模式和未授权的网络访问尝试,并且在数据中心部署控制台(软件),对探测器进行管理和审计。网络入侵检测系统实时侦听进出重要网段或主机的网络数据流,当发现网络违规行为和未授权的网络访问时,网络入侵检测系统能够根据预置的安全策略做出反应,包括实时报警、事件记录、主动响应(阻断、与防火墙联动等),或执行其他用户自定义的安全响应动作等。此外,网络入侵检测系统还可以形象地重现用户网络访问操作的全过程,可帮助安全管理员发现违规访问行为并记录下来传递给安全集中管理中心,进行进一步的处理,并便于将来举证。
安全隐患扫描系统:对生产网的终端、服务器及关键网络设备进行定期评估,发现异常给出解决方案,使银行网络管理人员能够针对存在的安全隐患,进行加固;
病毒防护系统:针对总行生产网的外联网关、服务器、访问终端全面部署防病毒系统,并实现统一的管理;病毒系统的建设见6.2的描述;
内网安全管理系统:针对总行内网Windows终端,采用内网安全管理平台,该平台通过策略配置,主要实现对终端接入的管理,防止非授权机器、非法用户、安全状态不符合要求的系统接入内网。此外,利用内网安全管理,还能够实现非法外联监控、终端补丁统一升级、非法进程监控等功能;这里在银行部署的内网安全管理平台为二级结构,总行为一级平台;在一级支行将部署二级平台,总行一级平台主要负责对总行区域内的终端进行管理和监控,同时一级平台将制定好的策略下发给二级管理平台;二级管理平台在接收到安全策略后执行该策略,并将各类事件上传给总行一级管理平台;
安全集中管理平台:通过对网络中各种设备和系统(包括网络设备、主机系统、安全设备等)所产生的安全信息进行综合管理和分析,对现有安全资源进行有效管理和整合,从全局角度对网络安全状况进行分析、评估与管理,获得全局网络安全视图,通过制定安全策略指导或自动完成安全设施的重新部署或响应,从而全面提高整体网络的安全防护能力,为网络提供高效的安全管理手段。详细内容见6.4。
3.1.3.针对办公网
针对办公网,采取的防护措施主要是边界隔离、移动安全办公、病毒防护、桌面安全。方法如下:
互联网边界防火墙:在办公网的互联网访问出口处,部署防火墙,防范互联网攻击者对总行终端的访问,或者以办公网访问终端为跳板,发起对其他区域的攻击;
IPSECVPN:针对办公网的纵向通信,为保证其可用性,可考虑采用通过互联网建立的IPSECVPN隧道作为备份方式,为确保通信安全还需要采取必要的加密和认证措施,使纵向办公业务的数据可以通过该隧道进行安全的传输。该方案的优点还在于,它很好的分离了办公业务数据链路和生产业务数据链路,提升生产网的稳定性和效率;
网络入侵检测系统:类似生产网,部署入侵检测系统,能够对系统的访问数据包进行深层次检测,发现攻击或异常给予报警,并与防火墙进行联动,进一步提升系统整体抗攻击能力,并能够有效记录办公网的活动,对于违反安全策略的操作给出报警,并且针对安全事故,还能将访问过程进行还原,使系统管理人员清楚的看到系统存在的安全隐患;
互联网访问代理:为了能够对总行所有办公用户的互联网访问行为进行集中、有效的监督和控制,可设置应用代理服务器来控制和审计内部用户的互联网访问行为,同时,也可以通过高速的WEB缓存提高网页访问速率,用户需要通过代理服务器的中转才能访问互联网资源。
移动办公用户SSLVPN:针对移动办公的应用,可采用在办公网互联网出口处部署SSLVPN的方式来进行,移动办公终端上无需安装客户端软件,通过IE浏览器,在INTERNET上建立的客户端到网关的认证和加密通信隧道就可完成对总行办公网资源的安全访问,防止在访问过程中,数据被窃取或篡改;
安全隐患扫描:通过网络扫描,及时发现系统存在的安全隐患,并给予加固;
病毒防护系统:在办公网访问终端部署防病毒系统,抵抗病毒的攻击行为,并通过部署在总行的病毒升级平台实现病毒库的统一升级;在互联网边界部署病毒过滤网关,采取“空中抓毒”的技术,防止病毒通过网络传播到银行信息网络中,造成破坏,并且病毒过滤模块能够有效阻挡蠕虫类病毒造成的大量无用数据包的传播,防范类似数据包占用有限的带宽资源;病毒系统的建设见6.2的描述;
垃圾邮件过滤系统:在总行办公网Internet出口部署一套邮件过滤网关,用于防范互联网垃圾邮件对办公网的侵袭,工作在DMZ区邮件服务器前端(物理上并联,逻辑上串联),专门对邮件服务器提供防垃圾邮件保护;同时,对于包含病毒和各种恶意代码的电子邮件,也应当在到达邮件服务器之前就能够被检测到和清除掉,因此邮件过滤网关需要具备病毒和恶意代码过滤的功能。
内网安全管理系统:在办公网访问终端部署内网安全管理套件(Agent),通过策略配置,主要实现对终端接入的管理,防止非授权机器、非法用户、安全状态不符合要求的系统接入内网。此外,利用内网安全管理,还能够实现非法外联监控、终端补丁统一升级、非法进程监控等功能;这里在银行部署的内网安全管理平台为二级结构,总行为一级平台;在一级支行将部署二级平台,总行一级平台主要负责对总行区域内的终端进行管理和监控,同时一级平台将制定好的策略下发给二级管理平台;二级管理平台在接收到安全策略后执行该策略,并将各类事件上传给总行一级管理平台;
安全集中管理平台:通过对网络中各种设备和系统(包括网络设备、主机系统、安全设备等)所产生的安全信息进行综合管理和分析,对现有安全资源进行有效管理和整合,从全局角度对网络安全状况进行分析、评估与管理,获得全局网络安全视图,通过制定安全策略指导或自动完成安全设施的重新部署或响应,从而全面提高整体网络的安全防护能力,为网络提供高效的安全管理手段。详细内容见6.4。
3.1.4.针对网上银行
网上银行的安全防护方案设计如下:
图3.1.1.4 XX商业银行网上银行结构改造建议拓扑图
入侵防御系统:在网上银行(规划中)的互联网出口处,针对来自公网上的各种复杂的安全威胁,如非法入侵、DoS/DDoS攻击、蠕虫、恶意代码等,尤其是利用防火墙开放的常规服务端口(TCP/80)进行攻击的蠕虫病毒,需要采用专门的安全机制来对其进行有效的检测和防御,可部署专业的入侵防御系统,避免网银服务器因遭受外界网络的恶意攻击而导致正常的网络通讯和业务服务中断、计算机系统崩溃、数据泄密或丢失等等,影响业务服务和信息交互的正常进行;
防火墙系统:在网银Internet出口、网上银行区域与总行生产网核心区域之间部署双重防火墙设备,配置适当的访问控制规则,保护网银系统不受来自互联网的非法访问和恶意攻击,并限制网上银行服务器与总行生产服务器区域之间的访问,确保只有许可的访问才能被防火墙转发(通过IP地址、协议、端口、流量等信息进行控制);
病毒防护系统:网上银行的主页服务器通常采用WINDOWS平台,通过IIS进行主页的发布并执行网上银行的各类业务,因此建议在主页服务器上部署防病毒系统,提升系统的抗病毒能力。
3.1.5.针对外联业务
外联业务区域也需要通过防火墙进行隔离和访问控制,由于外联业务所连接的人行和银联网络的不可信任性,采用防火墙将严格控制这些不可信任网络对XX商业银行总行平台的访问,确保总行平台的安全;
此外,在边界可部署防病毒网关,避免人行、银联、代理客户网络的病毒蔓延到XX商业银行信息网络中。
3.2.针对一级支行
一级支行的安全防护包括边界防护、安全隐患扫描、病毒防护和内网安全管理,与总行类似,参考图3,针对一级支行将采取以下的基础防护措施:
3.2.1.办公网与生产网的隔离
类似总行的建设方案,针对一级支行,由于办公网与生产网所承载的业务差距很大,两网信息资产的重要性也不尽相同,因此两网之间应采取必要的隔离和控制措施,约束两网之间的访问,确保生产网的安全和稳定性。
办公网与生产网之间通常采用防火墙技术实现逻辑隔离,通过强制的安全访问策略,限制两网之间的访问行为,使得那些被认为是可靠的访问,才能在两网之间传递。
参考图3,我们在一级支行核心区域部署防火墙,从而可实现办公网与生产网的隔离
3.2.2.针对生产网
生产网的防护相对于总行的建设方案,由于其承载的应用相对简单,因此采取的防护措施也相对简单,主要目的是保护保护本地生产应用服务器的安全性,具体防护措施包括:
防火墙访问控制平台的部署:这里部署的防火墙主要用于实现纵向办公网的隔离,防火墙接入到核心交换机上,确保进出一级支行网络的信息和数据都能得到严格的控制和检测,既要阻止来自外部非法用户的访问,又要确保来自二级支行及营业网点的合法业务终端在权限许可范围内的正常访问;
网络入侵检测系统:发现生产应用服务器接受的访问数据包内容的安全问题,并给予报警;
病毒防护系统:针对一级支行生产网的外联网关、服务器、访问终端全面部署防病毒系统,并实现统一的管理;病毒系统的建设见6.4的描述;
安全隐患扫描系统:对生产网的终端、服务器及关键网络设备进行定期评估,发现异常给出解决方案,使银行网络管理人员能够针对存在的安全隐患,进行加固;
内网安全管理系统:针对一级支行Windows终端,采用内网安全管理平台,该平台通过策略配置,主要实现对终端接入的管理,防止非授权机器、非法用户、安全状态不符合要求的系统接入内网。此外,利用内网安全管理,还能够实现非法外联监控、终端补丁统一升级、非法进程监控等功能;这里在银行部署的内网安全管理平台为二级结构,总行为一级平台;在各一级支行部署二级平台,总行一级平台主要负责对总行区域内的终端进行管理和监控,同时一级平台将制定好的策略下发给二级管理平台;二级管理平台在接收到安全策略后执行该策略,并将各类事件上传给总行一级管理平台;
安全集中管理平台:通过对网络中各种设备和系统(包括网络设备、主机系统、安全设备等)所产生的安全信息进行综合管理和分析,对现有安全资源进行有效管理和整合,从全局角度对网络安全状况进行分析、评估与管理,获得全局网络安全视图,通过制定安全策略指导或自动完成安全设施的重新部署或响应,从而全面提高整体网络的安全防护能力,为网络提供高效的安全管理手段。详细内容见6.4。
3.2.3.针对办公网
类似总行办公网的安全建设方案,一级支行办公网也通过边界隔离、入侵检测、安全隐患扫描病毒防护等措施,实现全面的安全防护,具体包括:
防火墙系统:在办公网的互联网访问出口处,部署防火墙,防范互联网攻击者对一级支行终端的访问,或者以办公网访问终端为跳板,发起对其他区域的攻击;
IPSECVPN:针对办公网的纵向通信,为保证其可用性,可考虑采用通过互联网建立的IPSECVPN隧道作为备份方式,为确保通信安全还需要采取必要的加密和认证措施,使纵向办公业务的数据可以通过该隧道进行安全的传输。该方案的优点还在于,它很好的分离了办公业务数据链路和生产业务数据链路,提升生产网的稳定性和效率;
网络入侵检测系统:通过在一级支行核心区域部署入侵检测系统,对系统内传递的数据包进行深度检测和判断,发现异常给予报警,并且部署的入侵检测系统能够和防火墙进行联动,从而进一步提升系统的整体安全性;
互联网访问代理:为了能够对本支行所有办公用户的互联网访问行为进行集中、有效的监督和控制,可由一级支行信息中心提供统一的互联网出口,并设置应用代理服务器来控制和审计内部用户的互联网访问行为,同时,也可以通过高速的WEB缓存提高网页访问速率,对于一级支行和下属二级支行、网点的办公终端,只有通过一级支行办公网的代理服务器的中转才能访问互联网资源。
安全隐患扫描系统:定期对一级支行办公网的访问终端和网络设备进行扫描,针对发现的安全隐患给出解决方案,使银行网络管理人员能够有针对性地进行系统加固;
病毒防护系统:在办公网访问终端部署防病毒系统,抵抗病毒的攻击行为,并通过部署在一级支行的病毒升级平台实现病毒库的统一升级;在互联网边界部署病毒过滤网关,采取“空中抓毒”的技术,防止病毒通过网络传播到银行信息网络中,造成破坏,并且病毒过滤模块能够有效阻挡蠕虫类病毒造成的大量无用数据包的传播,防范类似数据包占用有限的带宽资源;病毒系统的建设见6.2的描述;
内网安全管理:在办公网访问终端部署内网安全管理套件(Agent),通过策略配置,主要实现对终端接入的管理,防止非授权机器、非法用户、安全状态不符合要求的系统接入内网。此外,利用内网安全管理,还能够实现非法外联监控、终端补丁统一升级、非法进程监控等功能;这里在银行部署的内网安全管理平台为二级结构,总行为一级平台;在各一级支行部署二级平台,总行一级平台主要负责对总行区域内的终端进行管理和监控,同时一级平台将制定好的策略下发给二级管理平台;二级管理平台在接收到安全策略后执行该策略,并将各类事件上传给总行一级管理平台。
安全集中管理平台:通过对网络中各种设备和系统(包括网络设备、主机系统、安全设备等)所产生的安全信息进行综合管理和分析,对现有安全资源进行有效管理和整合,从全局角度对网络安全状况进行分析、评估与管理,获得全局网络安全视图,通过制定安全策略指导或自动完成安全设施的重新部署或响应,从而全面提高整体网络的安全防护能力,为网络提供高效的安全管理手段。详细内容见6.4。
3.2.4.针对外联业务
与总行类似,外联业务区域也需要通过防火墙进行隔离和访问控制,由于外联业务所连接的客户网络的不可信任性,采用防火墙将严格控制这些不可信任网络对一级支行平台的访问,确保一级支行平台的安全。
3.3.针对二级支行
二级支行的安全防护包括边界防护、安全隐患扫描、病毒防护和内网安全管理,与一级支行类似,参考图3,针对二级支行将采取以下的基础防护措施:
3.3.1.办公网与生产网的隔离
类似一级支行的建设方案,针对二级支行,由于办公网与生产网所承载的业务差距很大,两网信息资产的重要性也不尽相同,因此两网之间应采取必要的隔离和控制措施,约束两网之间的访问,确保生产网的安全和稳定性。
办公网与生产网之间通常采用防火墙技术实现逻辑隔离,通过强制的安全访问策略,限制两网之间的访问行为,使得那些被认为是可靠的访问,才能在两网之间传递。
参考图3,我们在二级支行核心区域部署防火墙,从而可实现办公网与生产网的隔离
3.3.2.针对生产网
生产网的防护相对于一级支行的建设方案,由于其承载的应用相对简单,因此采取的防护措施也相对简单,主要目的是保护本地生产应用服务器的安全性,具体防护措施包括:
网络入侵检测系统:发现生产应用服务器接受的访问数据包内容的安全问题,并给予报警;
病毒防护系统:针对二级支行生产网的外联网关、服务器、访问终端全面部署防病毒系统,并实现统一的管理;病毒系统的建设见6.4的描述;
安全隐患扫描系统:对生产网的终端、服务器及关键网络设备进行定期评估,发现异常给出解决方案,使银行网络管理人员能够针对存在的安全隐患,进行加固;
内网安全管理系统:针对二级支行Windows终端,采用内网安全管理平台,该平台通过策略配置,主要实现对终端接入的管理,防止非授权机器、非法用户、安全状态不符合要求的系统接入内网。此外,利用内网安全管理,还能够实现非法外联监控、终端补丁统一升级、非法进程监控等功能;二级支行不再设置本地的管理服务器,二级支行网络终端接受上级一级支行二级管理中心的统一管理。
3.3.3.针对办公网
对于本地有办公应用服务器的二级支行,也采用类似一级支行办公网的安全建设方案,二级支行办公网也通过边界隔离、入侵检测、安全隐患扫描病毒防护等措施,实现全面的安全防护,具体包括:
网络入侵检测系统:通过在二级支行核心区域部署入侵检测系统,对系统内传递的数据包进行深度检测和判断,发现异常给予报警,并且部署的入侵检测系统能够和防火墙进行联动,从而进一步提升系统的整体安全性;
安全隐患扫描系统:定期对二级支行的访问终端和网络设备进行扫描,针对发现的安全隐患给出解决方案,使银行网络管理人员能够有针对性地进行系统加固;
病毒防护系统:对二级支行办公访问终端进行全面病毒防护,具体病毒防护的建设方案参考6.2的规划;
内网安全管理系统:针对二级支行办公网终端,采用内网安全管理平台,该平台通过策略配置,主要实现对终端接入的管理,防止非授权机器、非法用户、安全状态不符合要求的系统接入内网。此外,利用内网安全管理,还能够实现非法外联监控、终端补丁统一升级、非法进程监控等功能;二级支行不再设置本地的管理服务器,二级支行网络终端接受上级一级支行二级管理中心的统一管理;
对于仅有办公终端的二级支行,主要考虑病毒防护和内网安全管理两个方面。
3.3.4.针对外联业务
与一级支行类似,外联业务区域也需要通过防火墙进行隔离和访问控制,由于外联业务所连接的客户网络的不可信任性,采用防火墙将严格控制这些不可信任网络对二级支行平台的访问,确保二级支行平台的安全。
3.4.针对网点
这里描述的网点包括营业网点,网点主要包含生产终端和办公终端,结构简单,可以通过VLAN和访问控制列表进行逻辑隔离,此外主要考虑如何防范节点生产终端安全访问前置机的问题,这里我们建议从成本节约的角度,从应用层进行加密,确保传递的信息以密文的方式,从而提升系统访问的安全性。
应用层加密可通过具体的软件来实现,此处不再赘述。
此外,节点Windows终端的病毒防护也是一个需要考虑的内容,常见的方案就是部署网络版的防病毒系统,以提升节点终端的安全防护能力。