四 外联业务平台安全设计策略
1 外联接入线路安全设计策略
外联接入线路有3种方式:传统的专线方式、正在快速发展的基于公网的VPN方式、拨号方式。
专线方式,银行传统的外联接入方式大部分都是采用专线与外单位相联,专线的选择有:帧中继、DDN、SDH、ATM等等。专线的优点是线路私有、技术成熟、稳定,传输的安全性比较有保障,但也存在设备投入大,对技术维护人员的技术要求较高,线路费用昂贵、接入不灵活等缺点。并且由于对线路的信任依赖,大多数专线中传递的信息没有考虑任何数据安全,明码传送,存在很大的安全隐患。
VPN方式,现在国际社会比较流行的利用公共网络来构建的私有专用网络VPN(Virtual Private Network),用于构建VPN的公共网络包括Internet、帧中继、ATM等。在公共网络上组建的VPN具有线路费用低廉,易于扩展,接入灵活,网络通信安全,网络设计简单,特别是易于实现集中管理,减少接入点,接入点可以只设在一级分行以上的层次,方便统一管理和安全控制。
拨号方式,有些外联单位只与银行交换简单的代收发文件,使用的间隔周期也比较长,为节约费用只按需拨号进行连接,拨号方式的特点是费用低廉但缺乏安全保障。
这3种方式各有优缺点,但从技术的成熟性和保护现有设备投资的方面考虑,专线方式和拨号方式还是我们的主流方式。但从长远考虑,随着VPN技术的成熟和合作伙伴应用互联网的普及,VPN方式将会由于它显著的优点而逐渐成为主流,因此,我们引入VPN接入方式,目前我们三种接入方式并存,今后将逐渐用VPN方式取代专线方式和拨号方式,这样不仅能够统一接入层次,减少接入点,降低线路费用,而且方便统一管理和安全控制。
对于接入专线的物理层和数据链路层安全是由运营商保障的,在边界接入路由器上设置静态路由、采用安全访问控制实现网络层的安全控制,为保证数据传输的机密性和完整性,建议在银行外联网络中采用IPSec技术,在接入端统一安装支持IPSec功能的接入路由器。
对于VPN方式的接入,VPN虽然构建在公用数据网上,但可以通过附加的安全隧道、用户认证和访问控制等技术实现与专用网络相类似的安全性能,从而实现对重要信息的安全传输。与企业独立构建专用网络相比,VPN具有节省投资、易于扩展、简化管理等特点。
对于拨号接入我们采用AAA认证的方式验证拨入方的身份。
2 外联业务平台物理层安全设计策略
物理层安全是指设备安全和线路安全,保障物理安全除了要遵守国家相关的场地要求和设计规范外,还要做好相关设备的备份、关键线路的备份、相应数据的备份。
定期对网络参数、应用数据、日志进行备份,定期对备份设备进行参数同步。
3 外联业务平台网络层安全设计策略
外联业务平台安全设计的重点就是如何进行网络层的安全防护,在网络层我们采用了防火墙技术、入侵检测技术、VPN技术、IPSec技术、访问控制技术等多种安全技术进行网络层的安全防护。
(1)部署边界防火墙和内部防火墙
在总行、一级分行、二级分行各级外联接入点的边界都应安装边界防火墙,边界防火墙的任务有:
通过对源地址过滤,拒绝外部非法IP地址,有效地避免外部网络上与业务无关的主机的越权访问,防火墙只保留有用的服务;
关闭其他不要的服务,可将系统受攻击的可能性降低到最小限度,使黑客无机可乘;
制定访问策略,使只有被授权的外部主机可以访问内部网络的有限的IP地址,保证外部网络只能访问内部网络中必要的资源,与业务无关的操作将被拒绝;
由于外部网络对DMZ区主机的所有访问都要经过防火墙,防火墙可以全面监视外部网络对内部网络的访问活动,并进行详细地记录,通过分析可以发现可疑的攻击行为;
对于远程登录的用户,如telnet等,防火墙利用加强的认证功能,可以有效地防止非法入侵;
集中管理网络的安全策略,因此黑客无法通过更改某一台主机的安全策略来达到控制其他资源,获取访问权限的目的;
进行地址转换工作,使外部网络不能看到内部网络的结构,从而使黑客攻击失去目标。
在内部网和业务前置区之间部署内部防火墙,内部防火墙的任务有:
精确制定每个用户的访问权限,保证内部网络用户只能访问必要的资源
记录网段间的访问信息,及时发现误操作和来自内部网络其他网段的攻击行为。
(2)部署入侵检测系统
入侵检测是防火墙技术的重要补充,在不影响网络的情况下能对网络进行检测分析,从而对内部攻击、外部攻击和误操作进行实时识别和响应,有效地监视、审计、评估网络系统。入侵检测和漏洞扫描技术结合起来是预防黑客攻击的主要手段。
入侵检测的主要功能有:
检测并分析用户和系统的活动
核查系统配置和漏洞
评估系统关键资源和数据文件的完整性
识别已知的攻击行为
统计分析异常行为
操作系统日志管理,并识别违反安全策略的用户活动
入侵检测技术主要可以分为基于主机入侵检测和基于网络入侵检测两种。基于主机的系统通过软件来分析来自各个地方的数据,这些数据可以是事件日志(LOG文件)、配置文件、PASSWORD文件等;基于网络的系统通过网络监听的方式从网络中获取数据,并根据事先定义好的规则检查它,从而判定通讯是否合法 。
(3)应用VPN
对于VPN接入方式,在接入端采用专用VPN设备,VPN的实现技术是通过公用网在各个路由器之间建立VPN安全隧道来传输用户的私有网络数据,用于构建这种VPN连接的隧道技术有IPSEC等。结合服务商提供的QOS机制,可以有效而且可靠的使用网络资源,保证了网络质量。
VPN大致包括三种典型的应用环境,即Intranet VPN, Remote Access VPN和Extranet VPN。其中Intranet VPN主要是在内部专用网络上提供虚拟子网和用户管理认证功能;Remote Access VPN侧重远程用户接入访问过程中对信息资源的保护;而Extranet VPN则需要将不同的用户子网扩展成虚拟的企业网络。
我们所推荐使用的是Extranet VPN,并且建议今后逐渐用VPN的外联接入方式取代专线接入方式,VPN技术将是今后外联接入的发展方向,VPN技术取代专线将指日可待。
VPN技术的优点主要包括:
信息的安全性。虚拟专用网络采用安全隧道(Secure Tunnel)技术向用户提供无缝(Seamless)的和安全的端到端连接服务,确保信息资源的安全。
方便的扩充性。用户可以利用虚拟专用网络技术方便地重构企业专用网络(Private Network),实现异地业务人员的远程接入,加强与客户、合作伙伴之间的联系,以进一步适应虚拟企业的新型企业组织形式。
方便的管理。VPN将大量的网络管理工作放到互联网络服务提供者(ISP)一端来统一实现,从而减轻了企业内部网络管理的负担。同时VPN也提供信息传输、路由等方面的智能特性及其与其他网络设备相独立的特性,也便于用户进行网络管理。
显著的成本效益。利用现有互联网络发达的网络构架组建外联网络,从而节省了大量的投资成本及后续的运营维护成本。
(4)应用IPSec
IPSec由IETF下属的一个IPSec工作组起草设计的,在IP协议层上对数据包进行高强度的安全处理,提供数据源验证、无连接数据完整性、数据机密性、抗重播和有限业务流机密性等安全服务。各种应用程序可以享用IP层提供的安全服务和密钥管理,而不必设计和实现自己的安全机制,因此减少了密钥协商的开销,也降低了产生安全漏洞的可用性。IPSec弥补了由于TCP/IP协议体系自身带来的安全漏洞,可以保护TCP/IP通信免遭窃听和篡改,保证数据的完整性和机密性,有效抵御网络攻击,同时保持易用性。IPSec可连续或递归应用,在路由器、防火墙、主机和通信链路上配置,实现端到端安全、虚拟专用网络(VPN)和安全隧道技术。IPSec的缺点是不能兼容NAT技术,当防火墙和路由器采用NAT技术对IP包进行地址转换时,IPSec包不能通过。因此,需要使用IPSec功能时必须采用NAT-T技术实现IPSec穿越NAT。
(5)网络层的访问控制策略
禁止来自业务外联平台的的访问直接进入内部网
限制能开通的服务或端口
设立与内部网隔离的指定的数据交换区,来自业务外联平台的的访问只能到达指定的数据交换区
能对进入指定数据交换区的主体限制到主机
能经过代理实现指定客户对内部网指定主机和业务的访问
4 外联业务平台系统层安全设计策略
操作系统因为设计和版本的问题,存在许多的安全漏洞,同时因为在使用中安全设置不当,也会增加安全漏洞,带来安全隐患,因此要定期漏洞扫描,及时升级、及时打补丁。
5 外联业务平台应用层安全设计策略
根据银行专用网络的业务和服务,采用身份认证技术、防病毒技术以及对各种应用服务的安全性增强配置服务,保障网络系统在应用层的安全。
(1)身份认证技术
公开密钥基础设施(PKI)是一种遵循标准的密钥管理平台,能够为所有网络应用透明地提供采用加密和数字签名等密码服务所必需的密钥和证书管理。在总行和省行网络中心建立CA中心,为应用系统的可靠运行提供支持。
进入指定数据交换区必须进行基于口令的身份认证。以拨号方式连接业务外联平台时,在拨号连接建立之前,必须通过基于静态口令、动态口令或拨号回呼的身份认证。为了配合全行的集中认证工程,认证服务器必须采用全行统一规定的标准协议,能够支持多级认证体系结构。
在集中认证系统投入使用之前,AAA服务器能够独立完成认证、授权和审计任务。在集中认证体系投入使用之后,AAA服务器能够实现向上级认证服务器的认证请求转发,实现集中认证。
(2)防病毒技术
病毒是系统中最常见、威胁最大的安全来源。我们必须有一个全方位的外联网病毒防御体系,目前主要采用病毒防范系统解决病毒查找、清杀问题。
