扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
应 用 摘 要
随着时代的发展、科技的进步,金融业已经成为信息技术和网络技术发展的最大受益者之一。银行网络系统的建立,提高了金融业务处理的水平,改善了整个银行业的经营环境,增强了金融信息的可靠性,提高了管理水平,促成了各项新业务的开展,使金融服务于社会的手段更趋现代化。但是,由于金融信息系统中处理、传输、存贮的都是金融信息,对其进行攻击将获得巨额的金钱;而且,对金融信息系统的攻击,可能造成国家经济命脉的瘫痪和国家经济的崩溃。银行网络系统面临的攻击手段较多,既有来自外部的,也有来自内部的。由于对银行网络系统的攻击可以取得较大的经济、政治、军事利益,因此银行网络系统成为敌对国家、犯罪集团、高智商犯罪分子的首选攻击目标。对于现代金融信息系统,更严重的威胁来自各种主动攻击手段。银行网络上的系统一般包括综合业务系统、清算系统、企业内部网系统等,DDN、X.25、帧中继、PSTN相互连接在一起,除了部分业务系统是通过加密传输之外,几乎没有其他安全措施,就目前的网络结构而言,银行网络系统存在的安全风险有以下几种: 1、缺乏安全认证手段。银行各系统的登录及远程操作目前的安全手段是用户的帐号与密码,缺乏有效的安全认证手段,一旦密码被盗用,就可以轻而易举地进入银行的业务系统。2、银行外联网络缺乏安全防护。目前各银行中间业务及各种代理业务发展迅速,与外单位联网大都是和内部网络共用同一设备,内外网络之间缺乏清晰的界限和隔离手段,这是非常大的安全隐患。 3、缺乏安全审计及监控机制。对于银行内部员工的违规操作和恶意侵入没有有效的监控机制。实际上在系统入侵事件中,最大的一部分往往来自于系统内部。4、银行业务系统间缺乏有效的访问控制措施。银行的各业务系统虽然在逻辑上相互隔离,但一般是共用一个物理网络,没有有效隔离,存在安全隐患。5、银行业务系统面临Internet黑客攻击。很多银行已经开始或即将开始为客户提供网上信息服务和网上银行业务服务,电子商务的发展要求银行提供网上支付服务,这样大量的黑客会蜂拥而入,企图通过Internet对系统进行攻击。
应 用 领 域
金融
方 案 内 容
针对银行网络的特点,东软股份自行开发了,具有自主版权的一系列网络安全产品:
1) NetEye防火墙3.1是NetEye防火墙系列中的最新版本,该系统在性能,可靠性,管理性等方面较NetEye防火墙3.0大大提高,达到了运营级的水准,是一个“运营级的防火墙”。防火墙分高,中,低档 ,以适合不同的网络环境和用户,增加性能价格比;防火墙的NetEye防火墙3.1集成了VPN功能,有效的保证了数据在网络中的安全传输。
2) 东软NetEye IDS 2.0是东软股份最新开发的具有自主版权的网络入侵监测系统。利用独创的数据包截取技术对网络进行不间断的监控,扩大网络防御的纵深,采用先进的基于网络数据流实时智能分析技术判断来自网络内部和外部的入侵企图,进行报警,响应和防范。是防火墙之后的第二道安全闸门。
某银行的网络结构,各县支行、营业站点通过DDN接入地市级的中心交换机;再由地市级的网络接入省行的网络。同时,地市级的银行还与电信、水厂、移动有DDN接入的连接。见下图:
要求:1. 目标是保护省行的网络不受下属网络安全结构的影响,防住自下而来的网络攻击和入侵。
2. 使用的安全手段包括:防火墙+VPN,入侵检测系统。
网络结构:根据网络状况和要求,下图为东软NeyEye 网络安全产品在银行的实际应用:
本方案在下属所有DDN连接的地方都设置了东软NetEye防火墙,为的是更好的对各个DDN连接的IP数据流进行过滤,并且省行的防火墙和个地市,县行的防火墙之间建立VPN加密隧道,保证数据传递的安全;NetEye防火墙3.1在流过滤的平台基础上,进行应用级的插件的升级、各种攻击方式的及时的响应和升级,动态保护网络安全,有效的保证了以后的升级及扩展。
在内部网的主要的二层交换机上,连接了东软的NetEye IDS 2.0,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了信息安全基础结构的完整性。
技 术 路 线
东软NetEye3.1防火墙实现了:
·解决内外网络边界安全,防止外部攻击,保护内部网络;
·根据IP地址、协议类型、端口等进行数据包过滤;
·双向NAT功能,保护了内网地址;
·通过IP与MAC地址绑定防止IP盗用;
·防止IP欺骗;
·防DoS攻击;
·URL过滤;
·SMTP过滤;
·用户身份鉴别;
·具有自身保护能力,可防范对防火墙的常见攻击;
·网络实时监控;
·多播协议的应用;
·VLAN Trunk;
·审计功能;
·VPN功能,支持IPSec、IKE等标准协议的加密隧道,保证了数据的安全产传输。
·FTP过滤功能,防火墙的双机热备,主从防火墙在1秒钟完成切换,并且FTP连接不断,保证了银行数据传递中的数据一致。
·网桥模式和路由模式,使最小的改动原有网络结构的情况下,提供同等的安全保护。
东软IDS2.0的实现了:
·协议内容恢复功能
·HTTP通信内容恢复;
·POP3或SMTP协议内容恢复;
·TELENT协议内容回放;
·应用协议数据量比例图;
2、击与入侵监测功能
·攻击事件查询;
·查询历史攻击事件;
·分析攻击者的行为;
·实时报警:实时对异常事件做出报警和响应。
3、报表功能
4、实时网络监控功能
·实时连接监控;
·实时网络流量监控;
·网络嗅探器。
5、历史连接察看。
6、网络端口扫描器。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者