给银行的网络安全打个包
互联网信息平台的兴起,为银行等金融系统的业务创新带来了极大的便利条件,随着银行计算机网络规模的日益庞大,安全成为构建银行网络体系中首先需要解决的问题,一体化网络安全的架构是目前我们最为关心的热点之一。
最大的潜在威胁
目前,随着银行业务的不断发展和近几年来金融行业不断出现的网络安全 问题,银行网络面临的安全威胁越来越突出,主要表现在以下三个方面。
近两年来,银行的网络安全问题日益突出,给银行业务发展带来了很大的影响,80%的数据中心和分行都经历过网络病毒的攻击所导致的网络瘫痪,严重影响了银行业务。据统计,在遭受网络病毒攻击的银行中,业务网络的平均中断时间为2小时左右,严重的会导致一天甚至更长时间的业务中断。虽然银行的核心网络在设备的容错配置、网络的高可靠性设计等方面能够防止硬件故障造成网络的中断,但是从最近银行业计算中心屡次因为网络攻击、网络病毒造成网络通信中断甚至瘫痪的事件来看,安全问题已成为银行最大的潜在威胁。基于这种情况,银行的数据中心和一级分行都在考虑在局域网中对OA系统和业务系统进行安全隔离,以最大限度地保证业务网可靠安全的运行。
目前,建设银行总行正在进行数据集中工程,全行的数据上收完成后,银行营业性业务面临着以一级分行为主体的分布式处理模式到以总行数据中心为主体的集中处理模式的转变,银行业务网络的可用性成为集中处理成败与否至关重要的保障,业务对于网络的可靠性、安全性和稳定性提出了更高的要求。
过去多数用户安全防范的重点放在周边网络,根据调查机构研究发现,70%的安全事故源自于企业内部,保障银行内部网络的安全已成为刻不容缓的任务,否则即使网络冗余度再高、设备再先进,也无法保证网络的正常运行。
鉴于此,有必要在现有网络安全建设的基础上进行改造,以进一步提高银行网络的高安全性。
基础平台融合安全机制
目前,银行计算中心大多数采用的安全措施是虚拟网络结合三层交换的访问控制,来实现不同应用之间、总行网络和支行网点之间的安全隔离。随着网络犯罪手法日益高明以及网络病毒威胁日益严重,越来越多的技术人员认识到,依赖这些简单的安全措施已经远远不能保障银行网络的安全性。银行网络不仅需要在Intranet和Internet或Extranet之间部署防火墙,在企业内部如本地用户和远程用户之间、不同应用之间、不同用户群之间,也需要通过防火墙实现严格的安全控制,而不是基于路由模块的简单访问过滤。
物理上将不同应用、不同用户完全分开,建设多个封闭、独立的网络,虽然可以大大提高安全性,但同时也带来了巨大的设备投资,而且在现实中要做到不同用户之间完全隔离根本不可能,因此在数据中心内部实现多应用、多用户之间的安全互连显得非常重要。过去依赖于外部安全设备来提供银行计算中心内部高速交换平台上用户的安全控制,不仅会造成网络性能的急剧下降,也带来潜在的单点故障,在交换技术的发展历程中,类似采用外部路由器来实现高速交换环境下VLAN用户之间路由功能的做法,早已被交换机本身的三层交换所取代。
将严格的安全控制机制融合于网络基础平台上,建设一体化网络安全架构正是充分迎合了目前银行业加强内部网络安全性这一日益高涨的市场需求,推动银行的信息网络安全提升到一个崭新的高度,人们可以更全面、更灵活地制定和实施面向全局的整体安全策略。以思科的Catalyst 6500为例,传统上Catalyst 6500是一台高性能局域网核心交换机,但目前Catalyst 6500已经集成了防火墙模块、入侵检测模块、流量分析模块、IPSecVPN模块等,完全是集各种安全技术为一体的局域网交换机,这样无需购置新的设备,在现有的Catalyst6500平台上添置相应的模块,满足各种应用的安全需求,从而将大大提高整个局域网的安全防护水平。下面介绍我们的网络安全改造经验。
网络安全改造方案
1、核心骨干局域网的安全改造
Catalyst6500集成式安全体系架构带来了全新的安全设计理念,过去VLAN之间基于路由的访问控制功能被高度安全的防火墙控制所替代。在银行的计算中心,不管是外部黑客的攻击,还是内部人员的犯罪,首要的目标是针对各种应用的核心服务器,其造成的破坏对于整个系统的影响也最大,因此将这些重要的主机、服务器划分在单独的VLAN,根据各自的需求将这些需要保护的VLAN对应不同的防火墙模块,配置相应的安全控制策略,只有特定主机的特定服务端口对外部是开放的,而所有其他的主机和服务都被完全屏蔽,只允许合法的用户才能访问这些资源,被保护的主机、服务器和其他网络之间可以采用路由方式,也可以采用透明桥接方式。这样对于不管来自远程网络或者内部网络的安全威胁都能做到有效防范。
我们在新的网络安全设计中,要充分考虑如何实现OA系统和业务系统之间的安全隔离,从而最大限度地保障银行核心业务的高安全性。避免因OA系统的安全问题导致的业务瘫痪。为此我们计划在现有的两台Catalyst 6500交换机上各配置一块防火墙模块,这两块防火墙模块工作在热备份模式下。如图一所示。
银行的计算中心存在多个网络环境需要部署防火墙,其安全策略也各不相同,如内部网络的安全控制、Extranet网的安全控制、Internet连接的安全控制等,这样常常需要购买多台防火墙才能满足要求。Catalyst 6500防火墙模块的硬件处理能力结合虚拟防火墙的功能,可以在一个模块上实现多台防火墙功能,不同的应用环境分配予不同的虚拟防火墙,各自实施独立不同的安全策略,配置也完全独立,甚至对每个虚拟防火墙所消耗的硬件资源也可以严格限制,彻底消除相互之间的影响,在安全性上和物理防火墙没有任何区别,为银行的计算机应用获得最大的投资利用率。
2、边缘接入网络的安全防护
网络安全的另外一个重要的方面就是边缘接入网络的安全防护,对于边缘网络的接入,我们要求用户如果需要访问网络,首先必须通过身份认证、授权和记账才可以对网络进行合法的访问。
如图二所示,为了进一步提高局域网边缘接入层网络的安全性,我们可以在楼层交换机上配置802.1x功能。802.1x主要有以下几个部分组成。
1.用于集中认证的AAA服务器,我们可以采用CiscoSecure ACS 3.2 for Windows。
2.支持802.1x功能的边缘接入交换机,目前Cisco的Cat6500/4500/3550/2950系列都可以支持802.1x技术。
3.支持802.1x的PC工作站,目前Windows 2000/XP都可以支持802.1x功能。
802.1x可以实现的安全功能有:用户必须通过身份认证、授权和记账才可以对网络进行合法的访问;根据用户名可以动态地分配所属VLAN;可以根据用户名为每个用户动态下载一个访问控制表。
转载地址:http://www.net130.com/CMS/Pub/network/network_project/22318.htm
