版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
书目口\o"1-3"\h\z\uD1银行系统的平安设计1银行网络基本状况1镇银行各部门安排1银行网络平安现状2现象分析52银行系统的网络拓扑图及说明63银行系统的网络平安部署图及说明73.1敏感数据区的爱护73.2通迅线路数据加密73.3防火墙自身的爱护84系统的网络设备选型及说明94.1核心层交换机94.2汇聚层交换机93接入层交换机104路由器105防火墙116服务器125平安配置说明121防火墙技术122网络防病毒体系133网络入侵检测技术13图2-1网络拓扑图三.银行系统的网络平安部署图及说明敏感数据区的爱护银行系统内存在很多敏感数区域(如银行业务系统主机等),这些敏感的数据区域要求严格保密,对访问的权限有严格的限制,但全部的主机处于同一个网络系统之内,如不加以限制,这样很简单造成网内及网外的恶意攻击,所以在这些数据区域的出入口要加以严格限制,在这些地方放置防火墙,防火墙执行以下限制功能。对来访数据包进行过滤,只允许验证合法主机数据包通过,禁止一切非授权主机访问。对来访用户进行验证。防上非法用户侵入。运用网络地址转换及应用代理使数据存储区域及业务前端主机隔离,业务前端主机不干脆及数据存储区域建立网络连接,全部的数据访问通过防火墙的应用代理完成,以保证数据存储区域的平安。主机inn主机「图3-1敏感数据区爱护方案2通迅线路数据加密在银行的广域网传输系统中,从总行到分行、分行到支行、支行到分理处等,广泛应用到帧中继、X.25、、等等之类的通用线路,但这些线路大多数都是由通讯公司供应,及很多用户在一套系统上运用他们的业务,由于这些线路都是暴露在公共场所,这样很简单造成数据被盗。传输数据当中假如不进行数据加密,后果可想而知。所以对数据传输加密这是一特别重要的环节。对网络数据加密大致分为以下几处区域:应用层加密建立应用层加密,应用程序对外界交换数据时进行数据加密。主要优点是运用便利、网络中数据从源点到终点均得到爱护、加密对网络节点透亮。缺点是某些信息必需以明文形式传输,简单被分析。此种加密已被广泛应用于各应用程序当中,并有相应的标准。基于网络层的数据加密在总部到各分行,以及分行到支行建议采纳加密技术进行数据加密。是通过标准的加密算法,对传输数据进行加密,在公用网上建立数据传输的加密“隧道”。加密实现是在层,及具体的广域网协
议无关,也就是说适应不同的广域网信道(、X.25、帧中继、等)。由于技术已经拥有标准,因此全部的产品可以实现互通。当然,银行可依据自身的须要,可选用专用加密设备进行数据传输加密。图3-2利用技术对数据传输进行加密3防火墙自身的爱护要爱护网络平安,防火墙本身要保证平安,由于系统供电、硬件故障等特殊状况的发生,使防火墙系统瘫痪,严峻阻碍网络通讯,网络的平安就无法保证,所以要求防求防火墙有冗余措施及足够防攻击的实力。四.系统的网络设备选型及说明1核心层交换机型号:H3CS5500-24价格:¥8800交换机:千兆以太网交换机应用层级:三层交换传输速率:10/100/1000交换机接口:10/100/1000M网管功能:支持加载升级、支持吩咐行接口(),,口进行配置、支持123,网管、支持()告警、事务、历史记录、支持智能管理中心、支持系统日志,分级告警,调试信息输出、支持2、支持、支持电源的告警功能,风扇、温度告警、支持、、支持、()电缆检测功能、支持()单向链路检测协议、支持端口环回检测背板带宽:1922汇聚层交换机型号:H3C3600-28价格:¥4900交换机:千兆以太网交换机应用层级:三层传输速率:10/100/1000交换机接口:10/100,1000网管功能:支持吩咐行接口配置,支持远程配置,支持通过口配置,支持,支持网管,支持系统日志,支持分级告警背板带宽:32包转发率:9.6地址表:16K功能:支持网管支持:可网管型端口结构:固定端口接口数量:24个网络标准:802.1D,802.lw,802.模块化插槽数:4个堆叠功能:不行堆叠4.3接入层交换机型号:H3C5024价格:¥3650交换机:企业级交换机应用层级:—^层传输速率:10/100/1000交换机接口:10/100/1000,网管功能:支持吩咐行接口()配置,持网管背板带宽:48包转发率:36地址表:8K功能:支持网管支持:可网管型端口结构:固定端口接口数量:24个支持通过口配置,支802.3u,802.3x,网络标准:802.Id,802.lx,802.3802.3z,802.IQ,802.Ip支持通过口配置,支802.3u,802.3x,模块化插槽数:4个堆叠功能:不行堆叠4.4路由器型号:H3C30203价格:¥7900路由器类型:企业级路由器路由器网管:网络管理,本地管理,用户接入管理局域网接口:2个千兆以太电口传输速率:10/100/1000防火墙功能:内置端口结构:模块化路由器包转发率:200平安标准:609503,22.2#95031995,60950:2000+& ,60950:2019+..2000,+功能:支持扩展插槽:11个其他限制端口:路由器网络协议:服务,非服务应用路由6,广域网协议,局域网协议最大内存:10245防火墙型号:天融信4000(5130)(4000(5130))价格:¥14.8万[北京]设备类型:企业级防火墙并发连接:2200000网络吞吐:6000网络端口:最大配置为26个接口,包括3用户数限:无用户数限制适用环境:工作温度:0℃-45℃、存储温入侵检测:、电源:双电源,缺省一个电源平安标准:限制端口:其他性能:防火墙、、带宽管理、防管理:,吩咐行,远程管理支持:支持6服务器型号:X3500产品简述:通过新的四核处理器及更快的内存技术获得更好的性能;采纳集成的解决方案管理您的资源;通过可升级内存,和存储搭建稳定服务器平台,爱护您的投资市场价格:20000具体参数:55202.26四核最高支持1066内存频率5.8683级缓存3内存2*2热插拔2.5〃硬盘,标配146硬盘*110双口千兆以太网3个2x8插槽,1个2xl6插槽,1个1x8插槽,1个33插槽1个串口,1个显卡接口,6个2.0端口(4个背面、2个正面);3个45端口(2个以太网口,一个管理端口),可选的远程管理920W热插拔电源,可选冗余3年有限保修(3年部件,3年人工,3年现场)五.平安配置说明1防火墙技术防火墙可以作为不同网络或网络平安域之间信息的出入口,将内部网和公众网如分开,它能依据企业的平安策略限制出入网络的信息流,且本身具有较强的抗攻击实力。在逻辑上,防火墙是一个分别器,一个限制器,也是一个分析器,有效地监控了内部网和之间的任何活动,保证了内部网络的平安。防火墙技术可以有效限制的风险包括:1.1利用来发掘用户信息,指纹识别确定操作系统类型,旗标确定操作系统类型,服务的旗标信息确定服务类型,对服务器进行端口扫描,、、、服务漏洞,从上查找前置机主机网络蠕虫堵塞整个网络,影响生产网络。1.2利用前置机群及生产主机之间的信任关系攻击生产网络核心,办公自动化服务器及前置机群或生产主机之间的信任关系攻击生产网络,蠕虫影响办公网内部平台,蠕虫影响办公网内部邮件系统,办公网应用形式较为丰富,因此对网络带宽消耗可能造成生产网的数据通信带宽不足,从而导致生产网不畅通5.1.3二级网点或支行及中心连接没有必要的访问限制和边界限制手段,因此来自二级网点或支行局域网的用户可能威逼办公自动化系统和中心生产系统,应用防火墙技术之后,有效的限制了上述风险的同时,可以简化管理。2网络防病毒体系2.1计算机病毒感染所造成的威逼以及破坏是目前广阔计算机用户所面临的主要问题。本方案采纳网络防病毒体系,可以对200095/98/3,以及和和等操作系统供应爱护,作为一个一体化的网络防病毒解决方案,应具备特征代码检查方式和基于规则的变态分析器病毒扫描程序,从而检测到已知病毒。防病毒引擎可以从多个侧面和途径防止计算机病毒侵入系统,爱护整个企业系统的平安,具有强大的功能和优秀的可管理性。5.2.2应用网络防病毒体系结构之后,可限制网络蠕虫堵塞整个网络,影响生产网络、病毒威逼桌面等风险;应用了网络防病毒技术之后,可以从三个层面有效防范病毒的传播和扩散下载、软盘和光盘传播、邮件传播。3网络入侵检测技术1应用入侵检测的网络监测功能、攻击行为检查、高速流量捕获、策略响应、防火墙联动、关联事务分析等技术要素,可实现如下风险的限制:利用的服务器漏洞、利用的服务器漏洞一配置信息被远程读取,利用的服务漏洞一漏洞,利用服务漏洞、利用、、服务漏洞。5.3.2远程溢出一026和远程溢出一039,登录会话劫持一发送一个伪造的报告到。5.3.3安装木马:应用网络入侵检测技术之后不仅有效限制了上述风险,同时入侵检测要求如自身平安性、抗躲避、抗事务风暴等技术要素,有效避开了入侵检测自身引入的新的风险,同时分级管理、多用户权限、分布式部署的要求大大降低了管理员的负担。5.4网络平安审计技术本方案采纳网络平安审计技术,主要针对运用互联网访问非法站点,传递和发布非法信息,内部网络中的资源滥用,内部商业信息泄漏等等问题。对被监控网络中的运用状况进行监控,对各种网络违规行为实时报告,甚至对某些特定的违规主机进行封锁,以帮助网络管理员对网络信息资源进行有效的管理和维护。应用网络平安审计技术以后可以限制的风险包括:资源被滥用,获得内部公文,帐表系统报表数据,内部通讯录和口令文件的,破解系统管理员口令5.5技术针对某市商业银行保证生产网络、办公网以及通信机密性的需求,方案规划系统采纳技术解决方案。应用技术以后可以限制的风险包括:窃听以明文方式传输的用户名和密码网络窃听,获得更多广播信息登录会话劫持一发送一个伪造的报告到,登录会话劫持一从已存在的中窃听报文序号,获得下属支行或网点的业务5.4网络平安审计技术135.5技术14总结15—.银行系统的平安设计银行网络基本状况随着信息技术的发展,社会的信息化程度提高了,网络银行、电子银行出现了,整个银行业、金融业都依靠于信息系统。交易网络化、系统化、快速化和货币数字经是当前金融业的特点,这对金融信息系统的平安保密性提出了严格的要求。金融信息系统必需保证金融交易的机密性、完整性、访问限制、鉴别、审计、追踪、可用性、抗抵赖性和牢靠性。为了适应金融业的须要,各家银行都投资建网。但是,由于各种因素的制约,网络的平安体系不完善,平安措施不完备,存在严峻的平安漏洞和平安隐患。这些平安漏洞和隐患有可能造成中国的金融风暴,给国家带来重大损失,因此必需实行强有力的措施,解决银行网络的平安问题。1.2银行各部门安排.1公司业务部主要负责对公业务,审核等。1.2.2个人业务部主要负责个人业务,居民储蓄,审核。国际业务部主要负责国际打包放款,国际电汇,外汇结算等。数据、业务数据中的敏感信息:如卡号、口令等,网络窃听,获得更多广播信息:如前置主机群内别的业务系统数据,在办公网通过修改进入生产网、在办公网内通过网络窃听可以随意窃听整个局域网内的全部数据,包括生产网及办公网的数据。总结在这次的设计学习中,不仅巩固了以前学校学到的很多学问,还学到了很多新的学问。对我们所学的专业已经有了较深的相识。在设计方案中,吸取了大量书本以及网络上的学问,在大大扩展了我们学问面的同时,还相识了我们学习的专业在社会上的应用,初次把大量的学问应用到实践中去,发觉了许很多多的问题,体会到了书本上学不到的东西,从实践中成长很多。真正相识到单单的理论学习是不够的,只有理论结合实践,遇到问题刚好解决,吸取大量的实践阅历,才对我们有莫大的帮助。计算机网络是一门很有用的学科。通过此次的设计,迫使我们对网络平安方面有了更深层次的了解,设计一个全方位的平安方案是特别不简单的,涉及的方面也很多,要考虑到的东西方方面面,还须要相识到各种的协作运用及兼容性。但由于增加了我们对这方面的学问,对网络的平安方面更感爱好了,也坚信它将来的优势,平安无止境!由于我们目前学问水平的有限,方案很多方面考虑的还不够周全,恳请老师多多指教!1.2.4资金营运部主要是资金结算。1.2.5信贷审批部负责各类贷款审批等。1.2.6风险管理部就是在银行评估、管理、解决业务风险的部门。银行的业务风险主要有:信贷的还款风险、会计的结算风险、新业务的试水风险、财务的管理风险、业务文件的法律风险等等。全部这些风险的限制,特殊是前三类业务的风险限制,都是由风险管理部牵头制订解决方法的。2.7会计结算部平安防范为主题,强化会计结算基础管理工作,揽存增储、中间业务、保险、基金等各项任务,全员的防范意识、业务素养、核算质量、服务技能工作,加强管理、监督、检查及辅导,指导全员严格依据规章制度和操作流程办理业务,加强人员培训,提高业务素养和核算质量。出纳保卫部主要负责现金管理、平安检查、监控管理、消防平安等安保工作。科技部主要负责银行计算机软硬件方面的维护。人力资源部主要负责银行内部人员的考勤。银行网络平安现状浦发银行平安现状现在,信息攻击技术发展很快,攻击手段层出不穷,但银行网络日前的平安措施大部分仅是保密,极少采纳数字签名,认证机制不健全,这完全不适应现代金融系统的平安需求。具体表现在以下五个方面:1)有投入,有人员,但投入不够,人员不固定。遇有冲突,立即舍弃;只求速上,不求正常、配套、协调建设,从根本上没有变更以前轻视平安的做法。2)对整个网络建设缺乏深化、细致、具体的平安体系探讨,更缺乏建立平安体系的迫切性。3)有制度、措施、标准,但不完备,也没有仔细执行,大部分流于形式,缺乏平安宣扬教化。4)缺乏有效的监督检查措施。5)从根本上没有处理好发展及平安的关系。浦发银行网络系统所面临的平安威逼和风险由于金融信息系统中处理、传输、存贮的都是金融信息,对其进行攻击将获得巨额的金钱,而且,对金融信息系统的攻击,可能造成国家经济命脉的瘫痪和国家经济的崩溃,因此金融信息系统面临着巨大的风险和威逼。银行网络系统面临的攻击手段较多,既有来自外部的,也有来自内部的。由于对银行网络系统的攻击可以获得较大的经济、政治、军事利益,因此银行网络系统成为敌对国家、犯罪集团、高智商犯罪分子的首选攻击目标。针对信息系统的新型攻击手段应运而生,各种被动攻击手段、主动攻击手段层出不穷。攻击者利用各种高科技手段和仪器,利用网络协议本身的担心全性,路由器、口令文件、XII、的平安隐患,、,,数据库的平安隐患和其他计算机软硬件产品的担心全性,对信息系统实施攻击。对于金融信息系统,更严峻的威逼来自各种主动攻击手段。主动攻击手段较多,如伪造票据、假冒客户、交易信息篡改及重放、交易信息销毁、交易信息欺诈及抵赖、非授权访问、网络间谍、“黑客”人侵、病毒传播、特洛伊木马、蠕虫程序、逻辑炸弹等。这些攻击完全能造成金融信息系统瘫痪、资金流失或失踪。这些攻击可能来自内部,也可能来自外部。各种攻击将给金融信息系统造成以下几种危害:1)非法访问:银行网络是一个远程互连的金融网络系统。现有网络系统利用操作系统网络设备进行访问限制,而这些访问限制强度较弱,攻击者可以在任一终端利用现有的大量攻击工具发起攻击;由于整个网络通过公用网络互连同样存在终端进行攻击的可能;另一方面银行开发的很多增值业务、代理业务,存在大量及外界互连的接口这些接口现在没有强的平安爱护措施存在外部网络通过这些接口攻击银行,可能造成巨大损失。2)窃取密钥等敏感数据:银行信用卡系统和柜台系统采纳的是软件加密的形式爱护关键数据,软件加密采纳的是公开加密算法(),因此平安的关键是对加密密钥的爱护,而软件加密最大的平安隐患是无法平安保存加密密钥,程序员可修改程序使其运行得到密钥从而得到主机中敏感数据。3)假冒终端/操作员:银行网络中存在大量远程终端通过公网及银行业务前置机相连国内银行以出现多起在传输线路上搭接终端的案例。银行网络同样存在大量类似平安隐患。现有操作员身份识别唯一,但口令的平安性特别弱因此存在大量操作员假冒的平安风险。4)截获和篡改传输数据:银行现有网络系统通过公网传输大量的数据没有加密,由于信息量大且采纳的是开放的,现有的很多工具可以很简单的截获、分析甚至修改信息,主机系统很简单成为被攻击对象。5)网络系统可能面临病毒的侵袭和扩散的威逼:黑客侵扰类似于网络间谍,但前者没有政治和经济目的,利用自己精通计算机学问,利用他人编程的漏洞,侵入金融信息系统,调阅各种资料,篡改他人的资料,将机密信息在公用网上散发广播等。计算机病毒是一种依附在各种计算机程序中的一段具有破坏性、能自我繁衍的计算机程序,它通过软盘、终端或其它方式进入计算机系统或计算机网络,引起整个系统或网络紊乱,甚至造成瘫痪。6)其他平安风险:主要有系统平安(主要有操作系统、数据库的平安配置)以及系统的平安备份等。浦发银行网络系统平安分析1)没有较完善的平安体系:目前,银行网络系统的问题缘自没有进行平安体系的探讨。采纳的平安方案比较单一,仅能防止从信道上侦收信息,不能阻挡来自业务系统和用户的网络攻击,不能适应银行网络系统的平安需求。2)没有较完备的平安保密措施:由于银行网络系统没有较完善的平安体系,实行的平安措施不完备,不能防卫全部的威逼和攻击。3)没有建立平安预防中心:目前,银行网络系统没有建立全网的平安监控预警系统,或称为平安防预中心。全网的平安监控预警系统备有先进的平安技术和设备,监察网上的异样活动、非平安活动,监视骨干网、骨干网设备及信息是否平安。全网的平安监控预警系统负责支配骨干网的平安技术设备、措施和程序,如各种跟踪、预警和记录黑客、破坏者活动和重大活动。4)网络间没有配置相应的防火墙:在银行内部各个业务部门网络之间、在等级不一的各平安区之间、在不同业务系统之间、在不同数据库之间、从不同金融机构进入,一般应有5〜7道平安措施。而在银行网络系统中,没有层层设防的平安措施,如配置相应的防火墙。5)没有采纳先进的硬件和软件加密技术和设备:银行的业务系统、网络和通信都有各自先进的软件加密和硬件加密,而且还应用了第三代、第四代加密技术。业务系统、网络和通信采纳不同商家的平安保密产品。目前,银行网络系统只在远程通信采纳了加密措施,设有专用的硬件和软件加密技术和设备。6)没有配备反病毒的平安措施:由于网上病毒的增加,破坏性日益增大,金融机构都强化了反病毒的平安措施,包括过滤通信中的信息病毒、电子邮件中的病毒、中的病毒,对网络及网络上的设
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 2024年度成品柴油市场开拓合作合同
- 2024年度太阳能发电项目工程承包合同
- 2024年度环保工程EPC总承包合同
- 2024年度物流配送服务合同(04版)
- 日本汽车面具采购合同模板
- 流动餐厅租借合同范例
- 2024年度家具行业人才培训与输出合同
- 模组采购合同模板
- 收购个人股权合同范例
- 电机吊杆采购合同模板
- 弥漫性大B细胞淋巴瘤病理
- 环氧富锌底漆技术说明
- 学校后勤管理工作课件
- 初二家长会(地理、生物会考动员)课件
- 电子衍射及衍射花样标定课件
- 好书伴我行主题班会
- 五年级上册数学课件-第1单元 3.积的近似数∣人教新课标 (共11张PPT)
- 地下矿山管理制度汇编
- 教科版科学三年级(上册)3.4测量降水量(课件)
- 苏科版三年级上册劳动第四课《橡皮泥塑》课件(定稿)
- 【碧桂园】天玺湾项目施工总承包工程施工组织设计(共305)
评论
0/150
提交评论