来源:东软 更新时间:2012-04-15
随着时代的发展、科技的进步,金融业已经成为信息技术和网络技术发展的最大受益者之一。银行网络系统的建立,提高了金融业务处理的水平,改善了整个银行业的经营环境,增强了金融信息的可靠性,提高了管理水平,促成了各项新业务的开展,使金融服务于社会的手段更趋现代化。但是,由于金融信息系统中处理、传输、存贮的都是金融信息,对其进行攻击将获得巨额的金钱;而且,对金融信息系统的攻击,可能造成国家经济命脉的瘫痪和国家经济的崩溃。 目前银行的主要应用
由于信息技术的发展,银行业务经营逐渐实现了自动化和电子化。储蓄、信用卡、储蓄卡、IC卡、国际业务、电子汇兑、电子邮件、电子公文、网上银行、网上交易系统、新的综合对公业务、国际业务信贷系统等, ATM机(自动提款机)、POS机(销售终端机)、CRS(现金循环设备)、CDM(自动存款机)、FEM(外币兑换机)、电话银行、自助银行、网络银行等广泛运用,可以及时准确地处理银行业务。
银行网络系统安全现状分析
银行网络系统面临的攻击手段较多,既有来自外部的,也有来自内部的。由于对银行网络系统的攻击可以取得较大的经济、政治、军事利益,因此银行网络系统成为敌对国家、犯罪集团、高智商犯罪分子的首选攻击目标。对于现代金融信息系统,更严重的威胁来自各种主动攻击手段。各种攻击将给金融信息系统造成以下的几种危害:
失密和窃密
利用搭线窃听窃收、使用高性能的协议分析仪器窃收计算机系统的操作密码、破解系统的核心密码、窃取用户账号、密码等。
信息篡改
非授权改变金融交易传输过程、存贮中的信息,并造成非法后果的行为就是信息篡改攻击手段。
假冒和伪造
假冒和伪造是金融系统中常见的攻击手段。如伪造各类业务信息,未授权篡改数据,改变业务信息流的次序、时序、流向,破坏金融信息的完整性,假冒合法用户肆意篡改信息,假冒合法用户实施金融欺诈等。
重播
将一则交易、信息或者其中的一部分重复使用以产生非法的效果,这样的攻击手段就是重播。例如,在输入账号和密码时,包含账号和密码的一段消息被攻击者截获了,攻击者就重播这段消息,以实现攻击目的。
信息欺骗抵赖
交易欺骗就是攻击者通过银行网络系统发出一些无效的交易报文,骗取交易中心做出有利于攻击者的响应,或者修改交易报文的内容、目的地,实施交易欺诈。
信息丢失、销毁
交易信息在传输、存贮过程中丢失或销毁,不能到达目的地,或者不能再使用。
拒绝服务
金融信息系统或者其中的一个实体拒绝完成本身的任务,或妨碍系统的其它实体完成本身的任务的行为称谓拒绝服务。
网络间谍
银行网络系统为国际间谍战提供了一个新的舞台。目前,国际间谍战的重心已由军事、政治领域转移到经济和金融领域。通过计算机网络从事谍报活动已是国际间谍战中的一种新方式,1986年美国和德国联合破获的“海斯间谍案”就是最好的例子。
黑客”侵扰
"黑客”侵扰类似于网络间谍,但前者没有政治和经济目的,仅仅是一些计算机迷为了猎奇,利用自己精通的计算机知识,利用他人编程的漏洞,侵入金融信息系统,调阅各种资料,篡改他人的资料,将机密信息在公用网上散发广播等。
危害性程序
危害性程序包括计算机病毒、蠕虫程序(Worms)、特洛依木马(Trojan horses)、逻辑炸弹、陷井门(Trap doors)等手段对系统产生破坏或非法操作的计算机程序。
内部人员的破坏
内部人员熟悉金融信息系统的应用业务和薄弱环节,可以比较容易地篡改系统数据、泄漏信息和破坏系统的软硬件。
信息流的利用与拥塞
攻击者在有用的信息的空隙插入有害信息,有害信息抢占信道和网络资源、业务资源,造成信道、网络和应用系统拥塞。
东软NetEye 网络安全实现方案
针对银行网络的特点,东软自行研发生产了一系列网络安全产品,高,中,低端防火墙,以适应不同的环境,在保护网络安全的基础上,增加性能价格比;防火墙的VPN模块有效的保证了数据在网络中的安全传递。东软IDS2.0作为入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测。二者有效的互动更加有效的保护网络。
应用案例
某银行的网络结构,各县支行、营业站点通过DDN接入地市级的中心交换机;再由地市级的网络接入省行的网络。同时,地市级的银行还与电信、水厂、移动有DDN接入的连接。
要求:
1. 目标是保护省行的网络不受下属网络安全结构的影响,防住自下而来的网络攻击和入侵。
2. 使用的安全手段包括:防火墙+VPN,入侵检测系统。
网络结构
根据网络状况和要求,下图为网络安全方案的网络拓扑示意图:
本方案在下属所有DDN连接的地方都设置了东软NetEye防火墙,为的是更好的对各个DDN连接的IP数据流进行过滤,并在省行和个地市,县行建立VPN加密隧道,保证数据传递的安全;在流过滤的平台基础上,进行应用级的插件的开发和升级、各种攻击方式的及时的响应和升级,动态保护网络安全,有效的保证了以后的升级及扩展。
在内网的主要的二层交换机的侦听口,连接了东软的NetEye IDS 2.0,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了信息安全基础结构的完整性。
针对银行网络安全的需求,东软NetEye3.1防火墙实现了:
解决内外网络边界安全,防止外部攻击,保护内部网络;
根据IP地址、协议类型、端口等进行数据包过滤;
双向NAT功能,保护了内网地址及对外服务器的IP;
通过IP与MAC地址绑定防止IP盗用;
防止IP欺骗;
防DoS攻击;
URL过滤;
SMTP过滤:主题过滤、正文过滤、附带文件过滤、地址过滤、防止邮件炸弹、限制邮件大小、限制邮件Relay等功能。
用户身份鉴别;
具有自身保护能力,可防范对防火墙的常见攻击;
网络实时监控;
多播协议的支持,内部的视频服务,视频服务和协议正常工作。
VLAN Trunk;
审计功能;
VPN功能,支持IPSec、IKE等标准协议的加密隧道保证了数据的安全产传递。
FTP过滤功能,防火墙双机热备下,主从防火墙在1秒钟完成切换,并且FTP连接不断,保证了银行在数据传递中的数据一致。
网桥模式和路由模式的支持在最小的改动原有网络结构的情况下,两种模式提
供同等的安全保护能力
东软IDS2.0的实现了:
多种通信协议内容恢复功能
HTTP通信内容恢复:
POP3或SMTP协议内容恢复。
TELENT协议内容回放
应用协议数据量比例图
网络攻击与入侵监测功能
攻击事件查询
查询历史攻击事件,
分析攻击者的行为。
实时报警:实时对异常事件做出报警和响应。
3.报表功能
4.实时网络监控功能
实时连接监控
实时网络流量监控
网络嗅探器
5.历史连接察看
6.网络端口扫描器。
网络安全是一个系统的、全局的管理问题,网络上的任何一个漏洞,都会导致全网的安全问题,我们应该应用系统工程的观点、方法,分析网络的安全及具体措施。安全措施主要包括:行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及专业措施(识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品等)。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络,包括个人、设备、软件、数据等。这些环节在网络中的地位和影响作用,也只有从系统综合整体的角度去看待、分析,才能取得有效、可行的措施。即计算机网络安全应遵循整体安全性原则,根据规定的安全策略制定出合理的网络安全体系结构。这样才能真正做到整个系统的安全。