银行系统的安全设计与网络拓扑图

名目银行系统的安全设计1非法访问 1窃取PIN/密钥等敏感数据 1假冒终端/操作员 1截获和篡改传输数据 1网络系统可能面临病毒的侵袭和集中的威逼 1其他安全风险 1银行系统的网络拓扑图及说明 2银行系统的网络安全部署图及说明 3敏感数据区的保护 3通迅线路数据加密 3防火墙自身的保护 4系统的网络设备选型及说明 5核心层交换机 5会聚层交换机 5接入层交换机 6路由器 6效劳器 7安全配置说明 8防火墙技术 8网络防病毒体系 8网络入侵检测技术 8网络安全审计技术 9VPN技术 9总结 10一．银行系统的安全设计黑客攻击的目标，当前银行面临的主要风险和威逼有：非法访问：银行网络是一个远程互连的金融网络系统。现有网络系统利用操与外界互连的接口这些接口现在没有强的安全保护措施存在外部网络通过这些接口攻击银行，可能造成巨大损失。窃取PIN/密钥等敏感数据：银行信用卡系统和柜台系统承受的是软件加密的形式保护关键数据，软件加密承受的是公开加密算法〔DES〕，因此安全的关键序员可修改程序使其运行得到密钥从而得到主机中敏感数据。假冒终端/操作员假冒的安全风险。由于信息量大且承受的是开放的TCP/IP，现有的很多工具可以很简洁的截获、分析甚至修改信息，主机系统很简洁成为被攻击对象。网络系统可能面临病毒的侵袭和集中的威逼：黑客侵扰类似于网络间谍，但前者没有政治和经济目的，利用自己精通计的资料，将机密信息在公用网上散发播送等。计算机病毒是一种依附在各种计算机程序中的一段具有破坏性、能自我繁引起整个系统或网络紊乱，甚至造成瘫痪。〔主要有操作系统、数据库的安全配置〕以及系统的安全备份等。二．银行系统的网络拓扑图及说明了，整个银行业、金融业都依靠于信息系统。交易网络化、系统化、快速化和货追踪、可用性、抗抵赖性和牢靠性。为了适应金融业的需要，各家银行都投资建网。但是，由于各种因素的制约，网络的安全体系不完善，安全措施不完备，存在严峻的安全漏洞和安全隐患。这些安全漏洞和隐患有可能造成中国的金融风题。1500一层是营业点，二层是分理处，各司其职。2-1网络拓扑图三．银行系统的网络安全部署图及说明敏感数据区的保护银行系统内存在很多敏感数区域〔如银行业务系统主机等，这些敏感的数据区功能。权主机访问。对来访用户进展验证。防上非法用户侵入。用代理完成，以保证数据存储区域的安全。前端业务系统及分行业务处理系统前端业务系统及分行业务处理系统交换机NetScreen-1003-1敏感数据区保护方案、DDN、PSTN等等之类的通用线路，但这些线路大多数加密，后果可想而知。所以对数据传输加密这是一格外重要的环节。对网络数据加密大致分为以下几处区域：应用层加密并有相应的标准。基于网络层的数据加密在总部到各分行，以及分行到支行建议承受VPN加密技术进展数据加密。VPN标准VPN产品可以实现互通。固然，银行可依据自身的需要，可选用专用加密设备进展数据传输加密。总行业务系总行业务系统DDN/FR分行1业务系统NetScreen-100NetScreen-100防火墙自身的保护

数据加密通道3-2VPN技术对数据传输进展加密要求防求防火墙有冗余措施及足够防攻击的力量。交换机NetScreen-100外网交换机内网交换机NetScreen-1003-3防火墙双机备份方案四系统的网络设备选型及说明核心层交换机型号：H3CS5500-24P-SI价格：￥8800应用层级：三层交换传输速率：10/100/1000交换机接口：10/100/1000MSFPCombo网管功能：支持FTP/TFTP加载升级、支持命令行接口〔CLI〕,Telnet,Console口进展配置、支持SNMPv1/v2/v3,WEB网管、支持RMON(RemoteHGMPv2NTPPing、支持VCT(VirtualCableTest)DLDP(DeviceLinkDetectionProtocol)detection会聚层交换机型号：H3CLS-3600-28P-SI价格：￥4900应用层级：三层传输速率：10/100/1000交换机接口：10/100BASE-T,1000BASE-SFPTelnetConsole口配置,支持SNMP,支持WEBMAC：16KVLAN接口数量：24网络标准：IEEE802.1D,IEEE802.1w,IEEE802.1s模块化插槽数：4接入层交换机型号：H3CLS-5024P-LI-AC价格：￥3650应用层级：二层传输速率：10/100/1000交换机接口：10/100/1000Base-T,SFPConsoleWEBMAC：8KVLAN接口数量：24网络标准：IEEE802.1d,IEEE802.1x,IEEE802.3,IEEE802.3u,IEEE802.3x,IEEE802.3z,IEEE802.1Q,IEEE802.1p模块化插槽数：4路由器型号：H3CRT-MSR3020-AC-H3价格：￥7900路由器类型：企业级路由器局域网接口：2防火墙功能：内置端口构造：模块化路由器包转发率：200KPPS2022ZB&ZCdeviationsforEuropeanUnionLVDDirective,IEC60950:1999+corr.Feb.2022,modified+allNationaldeviationsVPNVPN扩展插槽：11个其他掌握端口：ConsoleIP,IP,IP,MPLS,IPv6,广域网协议,局域网协议Flash1024MB效劳器型号：X3500IT市场价格:20220具体参数：XeonE55202.26Ghz1066MHz5.86GT/s2*2GB2.5“SAS146GBSAS*1ServerRAIDMR10iDVD-ROM3PCI-ExpressGen2x8插槽,1PCI-ExpressGen2x161PCI-ExpressGen1x8插槽,1个33MHzPCI1个串口,1个显卡接口,6USB2.0(42)；3RJ-45(2)IMM,可选的远程治理920W3〔3，3，3〕五．安全配置说明防火墙技术Internet析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。防火墙技术可以有效掌握的风险包括：FingerTCP/IPTelnetBind、Telnet、NFS、X-windowsAD塞整个网络，影响生产网络。防火墙技术之后，有效的掌握了上述风险的同时，可以简化治理。网络防病毒体系计算机病毒感染所造成的威逼以及破坏是目前宽阔计算机用户所面临的主要问题。本方案承受网络防病毒体系，可以对Windows2022/NT/95/98/3.x，DOSMacintosh,LinuxUNIX网络、病毒威逼桌面PC等风险；应用了网络防病毒技术之后，可以从三个层面有效防范病毒的传播和集中;internet网络入侵检测技术防火墙联动、关联大事分析等技术要素，可实现如下风险的掌握：利用LotusNotesWebLotusNotesWeb－LotusNotesUnixFTPSITEEXECBindTelnet、NFS、X-windowsWindowsRPCDCOM－MS026WindowsRPCDCOM－MS039，telnet/login/sh。IDS大降低了治理员的负担。网络安全审计技术维护。应用网络安全审计技术以后可以掌握的风险包括：Internet资源被滥用，猎取内部公文，帐表系统报表数据，内部通讯录和口令文件的shadow，破解系统治理员口令VPN承受VPNVPNTCP登录会话劫持－发送一个伪造的报告到telnet/login/shTCP登录会话劫持－从已存在的telnet/l