銀行網(wǎng)絡(luò)結(jié)構(gòu)與應(yīng)用系統(tǒng)分析

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

　　1 、前言 　　隨著我國(guó)金融改革的進(jìn)行，各個(gè)銀行紛紛將競(jìng)爭(zhēng)的焦點(diǎn)集中到服務(wù)手段上，不斷加大電子化建設(shè)投入，擴(kuò)大計(jì)算機(jī)網(wǎng)絡(luò)規(guī)模和應(yīng)用范圍。但是，應(yīng)該看到，電子化在給銀行帶來(lái)利益的同時(shí)，也給銀行帶來(lái)了新的安全問(wèn)題，并且，這個(gè)問(wèn)題現(xiàn)在顯得越來(lái)越緊迫。原因主要有三個(gè)：一是伴隨我國(guó)經(jīng)濟(jì)體制改革，特別是金融體制改革的深入、對(duì)外開(kāi)放的擴(kuò)大，金融風(fēng)險(xiǎn)迅速增大。防范和化解金融風(fēng)險(xiǎn)成了各級(jí)政府和金融部門(mén)非常關(guān)注的問(wèn)題。二是當(dāng)前計(jì)算機(jī)應(yīng)用日益廣泛、計(jì)算機(jī)日趨網(wǎng)絡(luò)化，系統(tǒng)的安全性漏洞也隨之增加。多年以來(lái)，銀行迫于競(jìng)爭(zhēng)的壓力，不斷擴(kuò)大電子化網(wǎng)點(diǎn)、推出電子化新品種，忽略了計(jì)算機(jī)管理制度和安全措施的建設(shè)，使計(jì)算機(jī)安全問(wèn)題日益突出。三是計(jì)算機(jī)知識(shí)日益普及，金融網(wǎng)絡(luò)向國(guó)際化發(fā)展，計(jì)算機(jī)犯罪技術(shù)也在不斷提高，利用計(jì)算機(jī)犯罪的案件呈逐年上升趨勢(shì)，這也迫切要求銀行信息系統(tǒng)具有更高的安全防范體系。 　　銀行信息系統(tǒng)安全性總的原則應(yīng)該是：制度防內(nèi)，技術(shù)防外。所謂 " 制度防內(nèi) " ，是要建立嚴(yán)密的計(jì)算機(jī)管理規(guī)章制度、運(yùn)行規(guī)程，形成內(nèi)部各層人員、各職能部門(mén)、各應(yīng)用系統(tǒng)的相互制約關(guān)系，杜絕內(nèi)部作案的可能性，并建立良好的故障處理反應(yīng)機(jī)制，保障銀行信息系統(tǒng)的安全正常運(yùn)行。 " 技術(shù)防外 " 主要是指從技術(shù)手段上加強(qiáng)安全措施，防止外部黑客的入侵。我們?cè)诓挥绊戙y行正常業(yè)務(wù)與應(yīng)用的基礎(chǔ)上建立銀行的安全防護(hù)體系，從而滿足銀行網(wǎng)絡(luò)系統(tǒng)環(huán)境要求。 　　2. 銀行網(wǎng)絡(luò)結(jié)構(gòu)與應(yīng)用系統(tǒng)分析 　　2.1 我國(guó)銀行發(fā)展概述 　　在金融業(yè)日益現(xiàn)代化、國(guó)際化的今天，我國(guó)的各大銀行注重服務(wù)手段進(jìn)步和金融創(chuàng)新，不僅依靠電子化建設(shè)實(shí)現(xiàn)了城市間的資金匯劃，消費(fèi)結(jié)算、儲(chǔ)蓄存取款、信用卡交易的電子化、開(kāi)辦了電話銀行等多種服務(wù)，而且以資金清算系統(tǒng)、信用卡異地交易系統(tǒng)形成了全國(guó)性的網(wǎng)絡(luò)化服務(wù)。此外，許多銀行開(kāi)通了 SWIFT 系統(tǒng)，并與海外銀行建立了代理行關(guān)系，各種國(guó)際結(jié)算業(yè)務(wù)往來(lái)的電文可在境內(nèi)外之間瞬間完成接收與發(fā)送，為企業(yè)國(guó)際投資，貿(mào)易和其他交往以及個(gè)人匯入?yún)R出境外匯款，提供了便捷的金融服務(wù)。 　　2.2 我國(guó)銀行的網(wǎng)絡(luò)結(jié)構(gòu)統(tǒng)應(yīng)用 　　我國(guó)銀行網(wǎng)絡(luò)總體是一個(gè)銀行內(nèi)部業(yè)務(wù)系統(tǒng) , 一般采取總行到省行及地市分行的三級(jí)網(wǎng)絡(luò)結(jié)構(gòu)。 　　整體網(wǎng)絡(luò)分為三級(jí)節(jié)點(diǎn)：總行網(wǎng)絡(luò)中心為一級(jí)的節(jié)點(diǎn)；省行網(wǎng)絡(luò)中心為二級(jí)的節(jié)點(diǎn)；各地市銀行網(wǎng)絡(luò)中心、各支行網(wǎng)絡(luò)中心為三級(jí)節(jié)點(diǎn)。 　　我們?cè)谶@里以省行和地市行網(wǎng)為例介紹銀行的網(wǎng)絡(luò)結(jié)構(gòu)和系統(tǒng)應(yīng)用。 　　2.2.1 省行網(wǎng)絡(luò)中心 　　從網(wǎng)絡(luò)結(jié)構(gòu)上看，整體分為業(yè)務(wù)網(wǎng)絡(luò)與辦公自動(dòng)化網(wǎng)絡(luò)系統(tǒng)。 　　業(yè)務(wù)網(wǎng) ：營(yíng)業(yè)服務(wù)器，業(yè)務(wù)服務(wù)器，中間業(yè)務(wù)服務(wù)器匯集到中心交換機(jī)。中心交換機(jī)多采用雙機(jī)備份。營(yíng)業(yè)服務(wù)器和業(yè)務(wù)服務(wù)器通過(guò)中心交換機(jī)與各地市行網(wǎng)絡(luò)中心以及支行網(wǎng)絡(luò)中心互聯(lián)。中間業(yè)務(wù)服務(wù)器從中心交換機(jī)與移動(dòng)、聯(lián)通、證券等相連。另一方面，營(yíng)業(yè)服務(wù)器和業(yè)務(wù)服務(wù)器從中心交換機(jī)通過(guò)銀行前置機(jī)為各營(yíng)業(yè)網(wǎng)點(diǎn)通過(guò)網(wǎng)絡(luò)辦理正常銀行值儲(chǔ)蓄存、取款等存折或儲(chǔ)蓄卡業(yè)務(wù)。還有就是通過(guò) INTERNET 公網(wǎng)為公網(wǎng)用戶提供網(wǎng)上銀行業(yè)務(wù)。 　　內(nèi)部辦公系統(tǒng)網(wǎng)絡(luò) ：一般系統(tǒng)與一臺(tái)中心交換機(jī)相連，由若干個(gè) VLAN 組成，是省行網(wǎng)絡(luò)中心用戶正常辦公及處理內(nèi)部業(yè)務(wù)的系統(tǒng)，包括有領(lǐng)導(dǎo)用戶、財(cái)務(wù)部、一般用戶等各級(jí)別的安全需求。 省行網(wǎng)絡(luò)中心內(nèi)部局網(wǎng)通過(guò)交換機(jī)、路由器與下級(jí)銀行局域網(wǎng)互連。 　　2.2.2 地市行網(wǎng)絡(luò)中心 　　地市行網(wǎng)絡(luò)中心和省行網(wǎng)絡(luò)中心相似，也存在業(yè)務(wù)網(wǎng)絡(luò)和辦公網(wǎng)絡(luò)系統(tǒng)。網(wǎng)絡(luò)一方面通過(guò)路由器與上級(jí)銀行互連，另一方面業(yè)務(wù)網(wǎng)通過(guò)路由器，經(jīng)廣域網(wǎng)與外單位（如其它銀行、電信、證券公司等）互連。 　　辦公用戶通過(guò)局域網(wǎng)互連，整個(gè)局域網(wǎng)經(jīng)路由器與省行及各區(qū)縣行節(jié)點(diǎn)組成企業(yè)內(nèi)部廣域網(wǎng)，對(duì)于地市行系統(tǒng)，同省行類似同樣也存在著中間業(yè)務(wù)。 　　2.3 網(wǎng)絡(luò)應(yīng)用 　　辦公系統(tǒng)應(yīng)用 　　辦公系統(tǒng)主要是為銀行內(nèi)部用戶辦公使用。銀行系統(tǒng)內(nèi)部辦公用戶通過(guò)局域網(wǎng)絡(luò)互連成為辦公自動(dòng)化系統(tǒng)，通過(guò)網(wǎng)絡(luò)不同部門(mén)或不同用戶之間可以共享文件、打印機(jī)等公共資源，不同用戶之間可以方便地進(jìn)行信息交換。各部門(mén)或不同級(jí)別用戶都有一些重要或涉密信息存放在內(nèi)部網(wǎng)中。 　　業(yè)務(wù)系統(tǒng)應(yīng)用 　　銀行通過(guò)網(wǎng)絡(luò)全省或全國(guó)聯(lián)網(wǎng)，實(shí)現(xiàn)銀行儲(chǔ)蓄及對(duì)公業(yè)務(wù)跨地域通存通兌等業(yè)務(wù)。 　　與外單位互連應(yīng)用 　　前面提到的中間業(yè)務(wù)服務(wù)器與外單位相連接，通過(guò)該中間業(yè)務(wù)服務(wù)器，與其它銀行、電信、證券公司之間進(jìn)行如代收電話費(fèi)、證券交易劃帳等業(yè)務(wù)，中間業(yè)務(wù)服務(wù)器為銀行與外單位提供一種互連接口。 　　3.TOPSEC 的安全建議 　　隨著銀行中間業(yè)務(wù)的興起以及與相關(guān)行業(yè)部門(mén)（例如公安、稅務(wù)、電信、電力、證券、商業(yè)）業(yè)務(wù)往來(lái)增多，地市分行的外聯(lián)網(wǎng)也在逐步擴(kuò)大，網(wǎng)上銀行正蓬勃發(fā)展，以上種種網(wǎng)絡(luò)環(huán)境要求銀行網(wǎng)要有很高的可靠性、安全性和保密性。由于目前網(wǎng)絡(luò)的應(yīng)用的自由性、廣泛性以及黑客的 " 流行 " ，銀行面臨著各種安全威脅。如：非授權(quán)訪問(wèn)、信息泄露、數(shù)據(jù)被篡改或丟失等。一旦信息泄露或者信息混亂，將給銀行自身信譽(yù)、社會(huì)穩(wěn)定、國(guó)家安全帶來(lái)巨大影響。 　　為了便于分析網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和設(shè)計(jì)網(wǎng)絡(luò)安全解決方案，我們采取對(duì)網(wǎng)絡(luò)分層的方法，并且在每個(gè)層面上進(jìn)行細(xì)致的分析，根據(jù)風(fēng)險(xiǎn)分析的結(jié)果設(shè)計(jì)出符合具體實(shí)際的、可行的網(wǎng)絡(luò)安全整體解決方案。 　　我們引入天融信基于 TOPSEC 安全理念的聯(lián)動(dòng) 5 安全體系?！　「鶕?jù)該模型銀行信息網(wǎng)絡(luò)安全系統(tǒng)首先要建立健全網(wǎng)絡(luò)安全的 5 個(gè)環(huán)節(jié)：管理、防護(hù)、監(jiān)測(cè)、審計(jì)、服務(wù)。 　　3.1 安全管理 　　環(huán)節(jié)分析 ： 　　? 主要是指銀行要設(shè)備管理、人員管理、策略管理等； 　　? 目前銀行尚無(wú)一套完善的網(wǎng)絡(luò)安全管理體系，對(duì)整個(gè)銀行信息網(wǎng)絡(luò)的管理尚停留傳統(tǒng)行業(yè)對(duì) IT 管理的階段，沒(méi)有上升到一個(gè)高度，這個(gè)高度是指通過(guò)一定的國(guó)際標(biāo)準(zhǔn)來(lái)建立建設(shè)管理體系。 　　需求建議 ： 　　? 銀行信息網(wǎng)需要對(duì)全網(wǎng)所有設(shè)備、負(fù)責(zé)管理計(jì)算機(jī)的技術(shù)人員和一般計(jì)算機(jī)使用人員，依靠一定的安全技術(shù)和手段和一些好的管理辦法，制定一些切實(shí)可用的網(wǎng)絡(luò)安全策略，來(lái)建立銀行信息網(wǎng)的安全管理體系。 　　3.2 安全防護(hù) 　　環(huán)節(jié)分析 : 　　? 該環(huán)節(jié)的包括訪問(wèn)控制、保密性、完整性、可用性、不可否認(rèn)性。該環(huán)節(jié)主要依靠一些相關(guān)的技術(shù)手段來(lái)實(shí)現(xiàn)。訪問(wèn)控制主要依靠防火墻技術(shù)、劃分 Vlan 技術(shù)身份認(rèn)證技術(shù)等方式來(lái)實(shí)現(xiàn)； 　　? 保密性、可用性、不可抵賴性：主要包括一些信息保密手段，例如使用 VPN 技術(shù)、采用加密軟件、或者應(yīng)用 CA 證書(shū)保證數(shù)據(jù)的安全防護(hù)等。防護(hù)還包括對(duì)線路高可用性、網(wǎng)絡(luò)病毒防護(hù)、數(shù)據(jù)容災(zāi)防護(hù)等方面。 　　需求建議 : 　　? 安全保護(hù)圍很廣涉及的技術(shù)也較多，對(duì)于銀行信息網(wǎng)目前防護(hù)手段比較薄弱對(duì)全網(wǎng)的防護(hù)僅使用防火墻和防病毒技術(shù)，并且防護(hù)的范圍和效果都很有限，因此應(yīng)該立刻加強(qiáng)對(duì)銀行數(shù)據(jù)中心信息網(wǎng)的防護(hù)體系建設(shè)。 　　3.3 安全監(jiān)測(cè) 　　環(huán)節(jié)分析 : 　　? 主要是指實(shí)時(shí)監(jiān)測(cè)、風(fēng)險(xiǎn)評(píng)估、系統(tǒng)加固、漏洞修補(bǔ)等； 　　? 實(shí)時(shí)檢測(cè)主要依靠入侵檢測(cè)系統(tǒng)、風(fēng)險(xiǎn)評(píng)估依靠于脆弱性分析軟件，系統(tǒng)加固和漏洞修補(bǔ)要求網(wǎng)絡(luò)管理人員能夠隨時(shí)跟蹤各種