銀行網(wǎng)絡(luò)結(jié)構(gòu)與應用系統(tǒng)分析

申請免費試用、咨詢電話：400-8352-114

　　1 、前言 　　隨著我國金融改革的進行，各個銀行紛紛將競爭的焦點集中到服務(wù)手段上，不斷加大電子化建設(shè)投入，擴大計算機網(wǎng)絡(luò)規(guī)模和應用范圍。但是，應該看到，電子化在給銀行帶來利益的同時，也給銀行帶來了新的安全問題，并且，這個問題現(xiàn)在顯得越來越緊迫。原因主要有三個：一是伴隨我國經(jīng)濟體制改革，特別是金融體制改革的深入、對外開放的擴大，金融風險迅速增大。防范和化解金融風險成了各級政府和金融部門非常關(guān)注的問題。二是當前計算機應用日益廣泛、計算機日趨網(wǎng)絡(luò)化，系統(tǒng)的安全性漏洞也隨之增加。多年以來，銀行迫于競爭的壓力，不斷擴大電子化網(wǎng)點、推出電子化新品種，忽略了計算機管理制度和安全措施的建設(shè)，使計算機安全問題日益突出。三是計算機知識日益普及，金融網(wǎng)絡(luò)向國際化發(fā)展，計算機犯罪技術(shù)也在不斷提高，利用計算機犯罪的案件呈逐年上升趨勢，這也迫切要求銀行信息系統(tǒng)具有更高的安全防范體系。 　　銀行信息系統(tǒng)安全性總的原則應該是：制度防內(nèi)，技術(shù)防外。所謂 " 制度防內(nèi) " ，是要建立嚴密的計算機管理規(guī)章制度、運行規(guī)程，形成內(nèi)部各層人員、各職能部門、各應用系統(tǒng)的相互制約關(guān)系，杜絕內(nèi)部作案的可能性，并建立良好的故障處理反應機制，保障銀行信息系統(tǒng)的安全正常運行。 " 技術(shù)防外 " 主要是指從技術(shù)手段上加強安全措施，防止外部黑客的入侵。我們在不影響銀行正常業(yè)務(wù)與應用的基礎(chǔ)上建立銀行的安全防護體系，從而滿足銀行網(wǎng)絡(luò)系統(tǒng)環(huán)境要求。 　　2. 銀行網(wǎng)絡(luò)結(jié)構(gòu)與應用系統(tǒng)分析 　　2.1 我國銀行發(fā)展概述 　　在金融業(yè)日益現(xiàn)代化、國際化的今天，我國的各大銀行注重服務(wù)手段進步和金融創(chuàng)新，不僅依靠電子化建設(shè)實現(xiàn)了城市間的資金匯劃，消費結(jié)算、儲蓄存取款、信用卡交易的電子化、開辦了電話銀行等多種服務(wù)，而且以資金清算系統(tǒng)、信用卡異地交易系統(tǒng)形成了全國性的網(wǎng)絡(luò)化服務(wù)。此外，許多銀行開通了 SWIFT 系統(tǒng)，并與海外銀行建立了代理行關(guān)系，各種國際結(jié)算業(yè)務(wù)往來的電文可在境內(nèi)外之間瞬間完成接收與發(fā)送，為企業(yè)國際投資，貿(mào)易和其他交往以及個人匯入?yún)R出境外匯款，提供了便捷的金融服務(wù)。 　　2.2 我國銀行的網(wǎng)絡(luò)結(jié)構(gòu)統(tǒng)應用 　　我國銀行網(wǎng)絡(luò)總體是一個銀行內(nèi)部業(yè)務(wù)系統(tǒng) , 一般采取總行到省行及地市分行的三級網(wǎng)絡(luò)結(jié)構(gòu)。 　　整體網(wǎng)絡(luò)分為三級節(jié)點：總行網(wǎng)絡(luò)中心為一級的節(jié)點；省行網(wǎng)絡(luò)中心為二級的節(jié)點；各地市銀行網(wǎng)絡(luò)中心、各支行網(wǎng)絡(luò)中心為三級節(jié)點。 　　我們在這里以省行和地市行網(wǎng)為例介紹銀行的網(wǎng)絡(luò)結(jié)構(gòu)和系統(tǒng)應用。 　　2.2.1 省行網(wǎng)絡(luò)中心 　　從網(wǎng)絡(luò)結(jié)構(gòu)上看，整體分為業(yè)務(wù)網(wǎng)絡(luò)與辦公自動化網(wǎng)絡(luò)系統(tǒng)。 　　業(yè)務(wù)網(wǎng) ：營業(yè)服務(wù)器，業(yè)務(wù)服務(wù)器，中間業(yè)務(wù)服務(wù)器匯集到中心交換機。中心交換機多采用雙機備份。營業(yè)服務(wù)器和業(yè)務(wù)服務(wù)器通過中心交換機與各地市行網(wǎng)絡(luò)中心以及支行網(wǎng)絡(luò)中心互聯(lián)。中間業(yè)務(wù)服務(wù)器從中心交換機與移動、聯(lián)通、證券等相連。另一方面，營業(yè)服務(wù)器和業(yè)務(wù)服務(wù)器從中心交換機通過銀行前置機為各營業(yè)網(wǎng)點通過網(wǎng)絡(luò)辦理正常銀行值儲蓄存、取款等存折或儲蓄卡業(yè)務(wù)。還有就是通過 INTERNET 公網(wǎng)為公網(wǎng)用戶提供網(wǎng)上銀行業(yè)務(wù)。 　　內(nèi)部辦公系統(tǒng)網(wǎng)絡(luò) ：一般系統(tǒng)與一臺中心交換機相連，由若干個 VLAN 組成，是省行網(wǎng)絡(luò)中心用戶正常辦公及處理內(nèi)部業(yè)務(wù)的系統(tǒng)，包括有領(lǐng)導用戶、財務(wù)部、一般用戶等各級別的安全需求。 省行網(wǎng)絡(luò)中心內(nèi)部局網(wǎng)通過交換機、路由器與下級銀行局域網(wǎng)互連。 　　2.2.2 地市行網(wǎng)絡(luò)中心 　　地市行網(wǎng)絡(luò)中心和省行網(wǎng)絡(luò)中心相似，也存在業(yè)務(wù)網(wǎng)絡(luò)和辦公網(wǎng)絡(luò)系統(tǒng)。網(wǎng)絡(luò)一方面通過路由器與上級銀行互連，另一方面業(yè)務(wù)網(wǎng)通過路由器，經(jīng)廣域網(wǎng)與外單位（如其它銀行、電信、證券公司等）互連。 　　辦公用戶通過局域網(wǎng)互連，整個局域網(wǎng)經(jīng)路由器與省行及各區(qū)縣行節(jié)點組成企業(yè)內(nèi)部廣域網(wǎng)，對于地市行系統(tǒng)，同省行類似同樣也存在著中間業(yè)務(wù)。 　　2.3 網(wǎng)絡(luò)應用 　　辦公系統(tǒng)應用 　　辦公系統(tǒng)主要是為銀行內(nèi)部用戶辦公使用。銀行系統(tǒng)內(nèi)部辦公用戶通過局域網(wǎng)絡(luò)互連成為辦公自動化系統(tǒng)，通過網(wǎng)絡(luò)不同部門或不同用戶之間可以共享文件、打印機等公共資源，不同用戶之間可以方便地進行信息交換。各部門或不同級別用戶都有一些重要或涉密信息存放在內(nèi)部網(wǎng)中。 　　業(yè)務(wù)系統(tǒng)應用 　　銀行通過網(wǎng)絡(luò)全省或全國聯(lián)網(wǎng)，實現(xiàn)銀行儲蓄及對公業(yè)務(wù)跨地域通存通兌等業(yè)務(wù)。 　　與外單位互連應用 　　前面提到的中間業(yè)務(wù)服務(wù)器與外單位相連接，通過該中間業(yè)務(wù)服務(wù)器，與其它銀行、電信、證券公司之間進行如代收電話費、證券交易劃帳等業(yè)務(wù)，中間業(yè)務(wù)服務(wù)器為銀行與外單位提供一種互連接口。 　　3.TOPSEC 的安全建議 　　隨著銀行中間業(yè)務(wù)的興起以及與相關(guān)行業(yè)部門（例如公安、稅務(wù)、電信、電力、證券、商業(yè)）業(yè)務(wù)往來增多，地市分行的外聯(lián)網(wǎng)也在逐步擴大，網(wǎng)上銀行正蓬勃發(fā)展，以上種種網(wǎng)絡(luò)環(huán)境要求銀行網(wǎng)要有很高的可靠性、安全性和保密性。由于目前網(wǎng)絡(luò)的應用的自由性、廣泛性以及黑客的 " 流行 " ，銀行面臨著各種安全威脅。如：非授權(quán)訪問、信息泄露、數(shù)據(jù)被篡改或丟失等。一旦信息泄露或者信息混亂，將給銀行自身信譽、社會穩(wěn)定、國家安全帶來巨大影響。 　　為了便于分析網(wǎng)絡(luò)安全風險和設(shè)計網(wǎng)絡(luò)安全解決方案，我們采取對網(wǎng)絡(luò)分層的方法，并且在每個層面上進行細致的分析，根據(jù)風險分析的結(jié)果設(shè)計出符合具體實際的、可行的網(wǎng)絡(luò)安全整體解決方案。 　　我們引入天融信基于 TOPSEC 安全理念的聯(lián)動 5 安全體系?！　「鶕?jù)該模型銀行信息網(wǎng)絡(luò)安全系統(tǒng)首先要建立健全網(wǎng)絡(luò)安全的 5 個環(huán)節(jié)：管理、防護、監(jiān)測、審計、服務(wù)。 　　3.1 安全管理 　　環(huán)節(jié)分析 ： 　　? 主要是指銀行要設(shè)備管理、人員管理、策略管理等； 　　? 目前銀行尚無一套完善的網(wǎng)絡(luò)安全管理體系，對整個銀行信息網(wǎng)絡(luò)的管理尚停留傳統(tǒng)行業(yè)對 IT 管理的階段，沒有上升到一個高度，這個高度是指通過一定的國際標準來建立建設(shè)管理體系。 　　需求建議 ： 　　? 銀行信息網(wǎng)需要對全網(wǎng)所有設(shè)備、負責管理計算機的技術(shù)人員和一般計算機使用人員，依靠一定的安全技術(shù)和手段和一些好的管理辦法，制定一些切實可用的網(wǎng)絡(luò)安全策略，來建立銀行信息網(wǎng)的安全管理體系。 　　3.2 安全防護 　　環(huán)節(jié)分析 : 　　? 該環(huán)節(jié)的包括訪問控制、保密性、完整性、可用性、不可否認性。該環(huán)節(jié)主要依靠一些相關(guān)的技術(shù)手段來實現(xiàn)。訪問控制主要依靠防火墻技術(shù)、劃分 Vlan 技術(shù)身份認證技術(shù)等方式來實現(xiàn)； 　　? 保密性、可用性、不可抵賴性：主要包括一些信息保密手段，例如使用 VPN 技術(shù)、采用加密軟件、或者應用 CA 證書保證數(shù)據(jù)的安全防護等。防護還包括對線路高可用性、網(wǎng)絡(luò)病毒防護、數(shù)據(jù)容災防護等方面。 　　需求建議 : 　　? 安全保護圍很廣涉及的技術(shù)也較多，對于銀行信息網(wǎng)目前防護手段比較薄弱對全網(wǎng)的防護僅使用防火墻和防病毒技術(shù)，并且防護的范圍和效果都很有限，因此應該立刻加強對銀行數(shù)據(jù)中心信息網(wǎng)的防護體系建設(shè)。 　　3.3 安全監(jiān)測 　　環(huán)節(jié)分析 : 　　? 主要是指實時監(jiān)測、風險評估、系統(tǒng)加固、漏洞修補等； 　　? 實時檢測主要依靠入侵檢測系統(tǒng)、風險評估依靠于脆弱性分析軟件，系統(tǒng)加固和漏洞修補要求網(wǎng)絡(luò)管理人員能夠隨時跟蹤各種