银行系统安全解决方案

银行系统安全解决方案内容摘要：

，如果通顺利解成明文这说明信息来源是可信的，否则证明信息来源是不可靠的。 同时采用数字签名技术达 到防抵赖目的。 对于银行系统，由于其行业的特殊性，在网上传输信息都是重要信息。 因此，结合传输加密技术，我们可以选择 VPN 设备，实现保护数据的机密性、完整性、真实性、可靠性。 信息存储 对银行系统主要是数据库的安全，由于各地银行系统都是采用客户 /服务器模式，数据都集中存在一个大型数据库系统中，因此数据库的安全尤其重要。 保护数据库最安全、最有效的方法就是采用备份与恢复系统。 备份系统可以保存相当完整的数据库信息，在运行数据库主机发生意外事故时，通过恢复系统把备份的数据库系统在最短时间内恢复正常工作状态， 保证银行业务系统提供服务的及时性、连续性。 应用开发 银行系统由于职能的特殊性，可能会存在其特殊的应用，而要保护其应用的安全性，并不是市场上的那些通用产品都能满足，必须通过详细了解，分析，进行有针对性地开发，量体裁衣，才能切实让用户用得放心。 管理安全 我们知道网络安全实现并不完全取决于技术手段，管理安全是网络安全真正得以维系的重要保证。 管理安全银行系统安全制度的制定、国家法律、法规的宣传以及提高企业人员的整体网络安全意识。 安全服务 网络安全是动态的、整体的，并不是简单的安全产品集成就解 决问题。 随着时间推移，新的安全风险又将随着产生。 因此，一个完整的安全解决方案还必须包括长期的、与项目相关的信息安全服务。 安全服务包括：全方位的安全咨询、培训；静态的网络安全风险评估；特别事件应急响应。 安全目标 保护网络系统的可有性 保护网络资源的合法使用性 防范入侵者的恶意攻击与破坏 保护信息通过网上传输的机密性、完整性及不可抵赖性 防范病毒的侵害 实现网络的安全管理 第四章典型应用实例 我们举一个比较典型的银行网络应用系统。 如下图示：整个网络纵向覆盖全国各省市、区县；而横向也与许多单位连接。 我们针对这样的网络来举例说明如何解决其网络安全问题。 访问控制 1)银行有连接 Inter 公网的应用需求，出于安全，把银行系统中业务网及内部有涉密信息的办公网与有上 Inter 公网需求的子网完全物理隔离。 使它们是两组完全互相独立的网络，防止因上公网而造成的安全问题危及到需保护的网络。 2)对内部办公系统中不同部门或不同安全级别的用户组利用交换机划分虚拟子网技术划分不同子网，对局域网内部做到 较简单的访问控制。 3)在各级银行内部网主交换机与本系统纵向网互连的边界路器之间安装防火墙系统，防火墙可以做到隔离不同网络，并防范外部网络非法访问及恶意攻击。 4)对远程拔号访问内部网用户可以充分利用防火墙系统的一次性口令认证机制来对访问用进行安全的身份检查，只有通过认证才可进行访问，而且由于采用一次性口令机制，所以，这样防护措施安全强度相当高。 5)在各级银行内部网主交换机与电话局、水电局、证券、保险等外单互连的边界路器之间安装防火墙系统，防火墙做到隔离不同网络，并防范外部网络非法访问及恶意攻击。 信息传输 为了保护数据信息从发起端到接收端传输过程的安全性，在每一级网络配备的防火墙系统与边界路由器之间配备网络层加密机，由于网络层加密设备可以实现网关到网关的加密与解密，因此，在每个有重要传输数据的网点只需配备一台网络层加密机。 利用加密技术以及安全认证机制，保护信息在网络上传输的机密性、真实性、完整性及可靠性。 而针对银行系统网上银行、网上交易业务，可以在应用层采用 SET 或 SSL协议进行应用层加密，并通过数字签名等技术保证网上交易数据的机密性、完整性及不可抵赖性。 安全检测 防火墙的安全保护是属于静 态安全防护，其功能及作用范围也是有限的，不可能做到全面的防护。 入侵检测技术是防火墙的有利补充。 因此，在总行、各省市、区县行中存放有业务数据库或者是存放有涉密信息的网络，配备一套入侵检测系统，通过实时监测进出网络的数据流，一旦发现不安全的访问行为，并依据策略采取相应的处理手段 (阻断、报警等 )。 做到既防范外网的攻击，又能防范内部网发起的攻击。 安全评估 为了减少因系统存在的安全漏洞而造成的受黑客的攻击，利用现有的网络安全分析系统，分析网络系统结构、配置等是否存在安。