商业银行网络安全解决方案

Bring平安白皮书 商业银行网络平安解决方案版本：1.0版本：1.0日期：2010/6/22编写：李宇晗北京博睿勤技术开展商业银行网络平安解决方案目录TOC\o"1-3"1概述11.1网络平安概述11.2目前网络平安技术1国内网络平安技术1网络平安的理解的误区2网络平安概念22商业银行平安需求分析32.1商业银行的业务平安分析3公共信息发布3完善平安管理策略4增加防火墙防护7配置入侵检测模块7帐户查询8身份验证8数据加密9网上支付和转账10数据完整性11不可否认性11网络结构平安12加强访问控制12平安检测12网络平安评估13平安认证13病毒防护133商业银行网络平安解决方案143.1网络管理14网络行为管理14灵活的IP管理与用户管理14统计报表153.2终端平安防护15登陆控制15本地文件加密15文件粉碎机15非法外联15移动存储设备管理153.3桌面平安系统16定向访问控制16虚拟平安域管理16策略优先级管理16多元化的管理模式164商业银行解决方案特性分析175银行业成功典型案例186产品技术架构介绍187平安风险分析188公司资质文件189实施周期评估1810方案总结18概述网络平安概述Internet的开展，正在引发一场人类文明的根本变革。网络已成为一个国家最为关键的政治、经济、军事资源，成为国家实力的新象征。然而随着网络应用不断扩大，它的反面效应也随着产生。通过网络使得黑客或工业间谍以及恶意入侵者侵犯和操纵一些重要信息成为可能，因而引发出网络平安性问题。正如我国著名计算机专家沈昌祥院士指出的："信息平安保障能力是21世纪综合国力、经济竞争实力和生存能力的重要组成部份，是世纪之交世界各国在奋力攀登的制高点"。二十世纪未，美国一些著名网站、银行、电子商务网站造受黑客攻击；黑客入侵微软窃取源代码软件等重要案件，都证明了网络平安的严重性，我们知道，仅这一两年内，国内做网络平安的公司一下就拔地而起，从最早的几家开展到上百家。因此，解决网络平安问题刻不容缓。目前网络平安技术国内网络平安技术在我国，我们可以看到，由于我们的一些技术和国外还有差距，国内现有的或正在建设中的计算机网络，多数是通过电信公众网进行信息传输，而采用的网络设备几乎是国外厂家的产品。这些网络的集成相当一局部没有配备网络平安产品。既使有的网络用户已经使用了平安产品，但由于国内网络平安技术起步较晚，许多用户所使用也均是国外的生产的产品，没有我们自已的版权。况且各国在平安产品出口的问题上都有自己的保存，比方加密算法，美国国家平安局只允许加密密钥为40位以下的算法出口。我们可以想象，对Internet这样的国际性的互联网络，如果我们的国内全部雇用一批国外的"警卫部队"来把守，其后果是怎样的?因此，我们只有使用国内自主研制的信息平安产品、具有自主版权的平安产品，才能真正掌握信息战场上的主动权，才能从根本上防范来自各种非法的恶意攻击和破坏。网络平安的理解的误区让我们分析下以往对网络平安理解的一些误区。首先是认为是利用网络操作系统、数据库系统以及应用系统自身所具有的认证和授权及访问控制等措施对信息系统进行平安防护，现在我们都知道，这些措施是静态的，而且是极其脆弱的，许多平安漏洞都没有考滤进去，网络信息系统存在极大的风险。还有就是把网络平安几乎全部依赖于所安装的防火墙或觉得平安了防病毒系统，网络就平安了；他们没有认识到网络平安是动态的、整体的，不可能仅靠单一平安产品就能实现。所以，我们必须从网络平安可能存在的危机入手，分析并提出整体的网络平安解决方案。网络平安概念从广义来讲，平安的概念可以包括数据平安，系统平安和信息平安三个方面，数据平安是指通过采用系统备份，磁盘镜像等平安手段以防止数据丧失；系统平安是指通过系统加固，边界防御，入侵检测等手段以防止黑客攻击系统破坏数据；而信息平安那么主要是指通过加密技术防止信息和数据在公开网络传输上被窃听、篡改和顶替。信息平安包括四个功能：数据保密，身份认证，数据完整性和防止抵赖。本方案是基于北京博睿勤软件公司自主开发的以下三个平安软件产品：上网行为管理系统，终端防护平安系统和桌面平安管理系统。这三个产品为解决网上银行系统中数据加密，身份认证，数据完整性和防止抵赖等信息平安问题提供了完整的解决方案。商业银行平安需求分析商业银行的业务平安分析随着金融系统计算机的应用和开展，计算机网络技术在金融系统得到了广泛的应用，为金融业的集约化经营和高速度开展奠定了坚实的根底。金融业的计算机网络建设，使银行内部的各专业部门通过计算机网络实现各种数据共享，各金融机构之间通过计算机网络实现跨地市、跨省市、跨银行间网络体系，使各家银行、跨地市金融机构的计算机资源和数据资源得到共享，从而使金融业得到高速的开展。在计算机网络开展的同时，摆在我们面前的最大课题就是加强计算机网络的平安建设。通过平安分析可以提供有针对性解决方案，从而保护银行内部网络的计算机系统正常运转，防止恶意的攻击、破坏；防止重要数据库的数据被窃取、修改、破坏。公共信息发布公共信息发布用于介绍银行的业务范围流程，金融公共信息等。这类业务由于面向公众发布，不需要保证信息只能被特定团体或个人访问，需要的是保护信息不会被非法篡改。目前在Internet上比拟多的黑客事件都是篡改公共Web站点的内容，制造虚假信息或涂改页面。如美国NASA和国防部站点被“黑〞事件就是这类事件。对于银行来说，公共金融信息虽然是公开的，但是如果被篡改某些敏感数据，如银行利率等，很可能会造成不必要的麻烦，对银行的名誉也会造成不利的影响。因此，对这些内容的保护也是不能够无视的。Web站点内容被黑客篡改，是这些黑客通过主动攻击实现的。例如，黑客通过密码字典猜想信息系统的特权口令，在获得特权口令之后，登录进入系统，篡改发布内容，制造不良影响。对于这种情况，我们可以通过改良系统配置、增加防火墙防护、配置入侵检测模块和完善平安管理策略来实现平安保护，防止站点被非法篡改。完善平安管理策略黑客一般是通过分析网络管理上的漏洞以到达其攻击目的。很难定义怎样的系统管理才是完善的，因为完善的系统管理是各方面的总和，例如对路由器以及其他主机定期更改密码，采用不规那么密码，关闭不必要的效劳，关闭防火墙任何不使用的端口等。对于一个Unix系统，平安管理主要可分为四个方面：防止未授权存取权限控制是系统平安的根本问题，即防止未被授权的用户进入系统。良好的用户意识，良好的口令管理(由系统管理员和用户双方配合)，登录活动记录和报告，用户和网络活动的周期检查是防止未授权存取的关键。防止泄密数据保密也是系统平安的一个重要问题。防止已授权或未授权的用户相互存取对方的重要信息，经常性的文件系统查帐，su登录和报告以及良好的用户保密意识都是防止泄密的手段。防止用户滥用系统资源一个系统不应被一个有意试图使用过多资源的用户损害，因为在高负载的情况下系统的平安性能往往会降低。例如黑客通过占用整个磁盘空间来防止日志生成，不幸的是很多商业UNIX不能很好地限制用户对资源的使用。因此系统管理员必须通过一些系统命令如PS命令，记帐程序df和du周期地检查系统.查出过多占用CUP的进程和大量占用磁盘的文件。同时安装某些监控软件也是有效的手段之一。维护系统的完整性大多数情况下，维护系统完整是系统管理员的责任，例如：周期地备份文件系统，系统崩溃后运行磁盘扫描检查，修复文件系统，检测用户是否正在使用可能导致系统崩溃的软件。良好的平安管理策略对系统的平安水平起着至关重要的作用。因此系统管理员可以将以下几个方面作为维护的重点：系统配置仔细研究最新的系统维护文档，完善系统各方面的平安配置，降低平安风险。同时，周期性的维护系统，包括备份和安装补丁程序、订阅平安电子新闻。系统隔离将内网和外网进行隔离，确保银行业务前置机、业务主机和数据库效劳器只处于内网中，内网和外网通过防火墙相连。切断共享Web效劳器上的系统配置尽可能地保证平安。关闭所有不必要的文件共享。停止所有与业务无关的效劳器进程，如Telnet、SMTP和FTP等效劳器守护进程。日志记录翻开日志记录功能，保存系统的访问日志记录，对其进行分析，可以有助于发现有问题的访问情况。如有必要，使用专门的入侵检测模块。口令策略制定完善的口令策略，限制口令的最小长度和最长有效期，检查口令的质量。专人专权由专人负责系统平安和系统维护，减少不必要的用户管理权限，严格控制非系统管理员的权限和系统管理员的数量。以下是一个简化的虚拟商业银行网络结构图：图1网上银行网络结构图从图中可以看到整个网络体系分为：Internet，非军事区〔DMZ〕，Intranet以及银行内部网四局部。其平安等级从前往后逐次递增。这些网段由两个网关连为一体。首先防火墙将Internet和Intranet以及非军事区别离。非军事区是所有用户可以访问的区域，而Intranet那么只有特定用户才能访问，通过对防火墙的合理配置可以防止内部效劳器被攻击，可以采用多级防火墙配置〔如在非军事区和Internet之间用防火墙隔离〕以提供更强的网络平安保护。Intranet与网上内部网络由前置机相连，为了保证银行业务主机的运行平安，网上银行系统不直接连接业务主机，而是由特定的前置机来代理其请求，前置机只响应特定效劳请求，然后将请求转换为特定消息格式发送给业务主机，收到应答后再将数据返回给请求者。通过这种隔离进一步增强了系统的平安保证。增加防火墙防护在网络系统中，防火墙是一种装置，可使内部网络不受公共局部〔整个Internet〕的影响。它能同时连接受到保护的网络和Internet两端，但受到保护的网络无法直接接到Internet，Internet也无法直接接到受到保护的网络。如果要从受到保护的网络内部接到Internet，首先需要连接到防火墙，然后从防火墙接入Internet。最简单的防火墙是双主机系统〔具有两个网络连接的系统〕。防火墙有两种：IP过滤防火墙IP过滤防火墙在数据包一层工作。它依据起点、终点、端口号和每一数据包中所含的数据包种类信息控制数据包的流动。这种防火墙非常平安。它阻挡别人进入内部网络。过滤防火墙是绝对性的过滤系统。即使要让外界的一些人进入防火墙之内，也无法让每一个人进入效劳器。代理效劳器代理效劳器允许通过防火墙间接进入Internet。最好的例子是先连接到防火墙，然后从该处再连接到另一个系统。在有代理效劳器的系统中，这项工作是完全自动的。利用客户端软件连接代理效劳器后，代理效劳器启动它的客户端软件〔代理〕，然后传回数据。只要配置正确，代理效劳器就绝对平安，它阻挡任何人进入内部网络，因为没有直接的IP通路。在网上银行系统中，由于Web效劳器需要连接到Internet，因此，我们建议在Web效劳器和Internet之间架设一个IP过滤防火墙。配置入侵检测模块除了防火墙之外，配置入侵检测模块也是一个重要的平安措施。例如，对于银行帐户和密码，入侵者可能尝试枚举攻击，由于密码长度有限且均为数字，密码空间比拟小。如果入侵者知道帐户号码，很容易通过枚举攻击猜想出帐户密码。入侵攻击的特点是在一个攻击源同时发出密集攻击数据。自然，这些攻击数据对于查询系统来说，可能是合法的查询参数，它的特点是在同一个攻击源同时发出大批量查询请求。普通情况下，一个用户连接后不会非常频繁的查询数据〔每分钟最多不超过5次查询〕，而且查询的帐户号码也有限〔每分钟最多不超过10个帐户〕。相反，入侵者为了猜想密码，会大批量、长时间、从同一地点发出攻击信息。这种攻击模式是能够被检测到的。检测到异常情况之后，检测模块能够自动予以记录和预警。自动预警甚至可以通过寻呼机通知系统管理员。帐户查询网上账户查询是指银行通过Internet进行帐户实时查询功能，企业银行的查询功能包括：余额查询交易历史查询汇款查询公司对公账户查询个人银行的查询功能包括：公积金账户查询交易明细查询定期到期查询消费积分查询网上账户查询的平安需求比公共信息发布要更高，因此网上账户对系统平安也有同样的需求，而且，除此之外，网上账户查询的还需要解决用户的私有信息〔口令，账户数据〕在Internet这个公开网络上传输的平安问题。而这些属于信息平安范畴。网上账户查询的信息平安功能应包括两个方面：身份认证和数据保密。身份验证传统银行业务的身份验证方案主要是通过口令或PIN来实现的，它具有以下两个特点：PIN一般为4-8个数字，范围比拟窄。银行主机记录用户输错PIN的次数，一旦超过一定数量，就自动关闭该账户的效劳功能。在网上银行业务中，仅通过这样的方式来进行身份验证，存在很大的缺乏：由于网上银行业务的通信信道是公开网络，所以口令明文传输容易被截获。在网络上，口令猜想是黑客使用最多的攻击手段，即使使用蛮力攻击法，攻破8位的数字口令也只需很短的时间。在网上提供效劳，很难对错误PIN输入进行限制。网络的信道故障或者人为的恶意行为都很容易使输错口令次数到达限制。错误次数限制会给合法的用户带来了很大的不便。因此，传统的口令验证难以成为网上银行业务的唯一身份认证技术。在网络应用中，目前采用较多的方法是动态口令〔例如Kerberos〕，令牌卡和数字证书认证技术。这些技术配合口令机制，就称为双因子身份认证技术。 下表是数字证书同传统口令模式的身份验证在性能上的比拟：口令方式数字证书方式用户登录时口令在公开网络上传输，有可能泄密私钥由用户保存，只需公布其公钥。私钥永远不会在公开网络上传输，而且从公钥无法推导出私钥口令一旦泄密，所有平安机制即失效用户私钥可以存放在IC卡中并有口令保护，平安性更高效劳器需要维护庞大的用户口令列表并负责口令保存的平安效劳器使用数字证书验证用户身份，不保存用户的私钥，所以用户私钥不可能在效劳器端泄露与传统方法一致，易于理解技术较新，普通用户理解略有难度 对于企业银行，由于数据平安性要求较高，所以应该采用数字证书身份认证加上口令认证的双因子身份认证技术。数据加密由于采用了SSL技术，Web应用的开发也大为简化，Web效劳器应用程序可以把与查询状态有关的信息都保存在Cookie中，而不必担忧Cookie的平安问题。递交口令递交口令的Web效劳器的用户的表单的的银行业务主机的CA效劳器的建立SSL握手的1．SSL效劳器代理验证用户证书本身的合法性2。证书提交CA效劳器，检验是否已经作废3。银行业务主机再对口令进行验证图2企业用户身份验证示意图网上支付和转账网上支付和转账在查询的根底上进一步给用户提供了方便，用户可以在网上进行支付、转账从而到达交易的目的，就目前而言，国内很多网上银行系统已经开通了如下支付和转账业务：定期账户转活期活期账户转定期活期账户转活期信用卡账户转信用卡账户公用事业费代缴企业转账证券资金账户转账特约商户网上支付和查询相比，支付和帐户转帐的平安需求更高，除了必须具备查询所需要的平安性之外，还需要应该提供数据完整性和不可否认性。数据完整性所谓数据完整性就是指用户在支付指令和转账指令中所填写的数据必须保持完整，不能在公开网络上被其他用户无意或恶意地修改。SSL由于对整个数据链路进行了加密，所以在一定程度上能够保证完整性，但是公开网络上的数据加密对完整性的保护只是局部的，一旦数据被解密后依然存在着被更改的可能。所以正确的方案应该采用数字签名机制，由用户使用自己的数字证书对支付指令或转账指令进行签名，同时签名数据被永久保存，只有这样才能真正防止数据完整性被破坏，签名是对用户私钥对数据摘要〔又称指纹〕的加密，数据发生变化时，数据摘要也必定发生变化。如果将原先的数字签名解密，就很容易发现两段数据摘要不符。不可否认性不可否认性是指指令发出者不能在事后否认曾经发出该指令。这对于标准业务，防止法律纠纷起着很大的作用。传统地，不可否认性是通过手工签名完成的，在网上银行，不可否认性是由数字签名机制实现的。由于私钥很难攻击，其他人〔包括银行〕不可能得到私有密钥。所以用私钥对交易指令的摘要签名后，就保证了该用户确实是发出了该指令。将签名数据作为业务数据的凭证，在业务成功后就开始保障不可否认性。不可否认性可以保证每个帐户用户的转帐过程具有法律效力。另外，对于企业级的帐户。对于个人银行业务来说，转账金额比拟小，风险相对较低，所以在双方都认可的情况下，没有数字签名的支付和转账的指令也是可以接受的。但是对于企业用户和进行证券转账的个人用户来说，转账金额大，风险大，指令必须附带签名数据，在签名数据验证通过以后才能真正进行支付或转账。网络结构平安网络结构布局的合理与否，也影响着网络的平安性。对银行系统业务网、办公网、与外单位互联的接口网络之间必须按各自的应用范围、平安保密程度进行合理分布，以免局部平安性较低的网络系统造成的威胁，传播到整个网络系统。加强访问控制1〕如果银行系统有上Internet公网的需求，那么从平安性考滤，银行业务系统网络必须与Internet公网物理隔离。解决方法可以是两个网络之间完全断开或者通过物理平安隔离卡来实现。

2〕网络结构合理分布后，在内部局域网内可以通过交换机划分VLAN功能来实现不同部门、不同级别用户之间简单的访问控制。

3〕内部局域网与外单位网络、内部局域网与不信任域网络之间可以通过配备防火墙来实现内、外网或不同信任域之间的隔离与访问控制。

4〕根据企业具体应用，也可以配备应用层的访问控制软件系统，针对局域网具体的应用进行更细致的访问控制。

5〕对于远程拔号访问用户的平安性访问，可以利用防火墙的一次性口令认证机制，对远程拔号用户进行身份认证，实远程用户的平安访问。平安检测由于防火墙等平安控制系统都属于静态防护平安体系，但对于一些允许通过防火墙的访问而导致的攻击行为、内部网的攻击行业，防火墙是无能为力的。因此，还必须配备入侵检测系统，该系统可以安装在局域网络的共享网络设备上，它的功能是实时分析进出网络数据流，对网络违规事件跟踪、实时报警、阻断连接并做日志。它既可以对付内部人员的攻击，也可以对付来自外部网络的攻击行为。网络平安评估黑客攻击成功的案例中，大多数都是利用网络或系统存在的平安漏洞，实现攻击的。网络平安性扫描分析系统通过实践性的方法扫描分析网络系统，检查报告系统存在的弱点和漏洞，建议补救措施和平安策略，根据扫描结果配置或修改网络系统，到达增强网络平安性的目的。操作系统平安扫描系统是从操作系统的角度，以管理员的身份对独立的系统主机的平安性进行评估分析，找出用户系统配置、用户配置的平安弱点，建议补救措施。平安认证银行系统在解决网络平安问题肯定要配备加密系统，由于要加密就涉及到密钥，那么密钥的产生、颁发与管理就存在平安性。我们都知道密钥的发放一般都是通过发放证书来实现。那么，证书的发送方与接收方如何确认对方证书的真实性，因此，就引入了通过第三方来发放证书，即构建一个权威认证机构〔CA认证中心〕。银行系统可以联合各专业银行一同构建一个银行系统的CA系统。实现本系统内证书的发交与业务的平安交易。随着网络经济的开展，慢慢可以升级为和其它系统CA的交叉认证。病毒防护提起病毒的危害，我想很多人都会为之震惊。CIH、爱虫等真让IT界恐慌一时，病毒侵害小的引起死机影响工作、大的可能引起系统瘫痪〔彻底摧毁数据〕。病毒的防护必须通过防病毒系统来实现，银行系统中业务网络操作系统一般都采用UNIX操作系统，而办公网络都为Windows系统，因此，防范病毒的入侵，就应该根据具体的系统类型，配置相应的、最新的防病毒系统。从单机到网络实现全网的病毒平安防护体系，病毒无论从外部网络还是从内部网络中的某台主机进入网络系统，通过防病毒软件的实时检测功能，将会把病毒扼杀在发起处，防止病毒的扩散。商业银行网络平安解决方案银行业是信息密集型行业，银行业必须依托信息技术构建科学的管理平台，实现管理的全面升级。从信息技术的应用情况看，由于管理理念和经营控制的差异，以及技术集成的难度较大等原因，目前我国银行业与国外的差距主要表达在管理信息层面。博睿勤技术开展Bring是专业从事信息平安、行业应用软件产品开发的高科技企业，数年来针对银行业进行软件产品的开发和解决方案方面积累了丰富的成功经验，并在研究和总结国内外银行业先进管理经验以及为银行业客户效劳的实践根底上，面向银行业的管理信息化建设提供行业应用解决方案。网络管理博睿勤网络管理系统主要包含如下模块：根本模块中的网络平安、防DDOS攻击、ACL、路由、A/V接口、双机热备功能；应用模块中的流量管理〔Qos〕、网络行为审计、IP管理以及URL过滤等网络行为管理WEB访问控制：可通过URL关键字以及网页内容的设置控制。邮件审计控制聊天监控传输审计：可记录FTP/HTTP等的传输内容的审计软件审计监控异常网络流量监控：实时监控网络流量状态；统计警告网络中的异常流量。灵活的IP管理与用户管理系统支持用户名识别，MAC识别，USB-key识别多种用户识别机制；系统支持地址和端口绑定，采用用户账号和VLAN编号、IP地址以及MAC地址绑定的方式，能够防止用户的账号被盗用，同时也保证用户使用网络的统计信息更加准确。统计报表系统可基于IP地址和网段、部门、用户生成报表。可生成网络汇总使用情况报表实时显示历史时间段内网络流量的分布曲线终端平安防护登陆控制采用USB-KEY加口令作为开机登陆凭证本地文件加密只有通过博睿勤硬件锁才能够访问加密空间中的加密文件。文件粉碎机将源文件所在区域重写一遍，将所有要删除的文件