科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道金融网络的安全分析及设计

金融网络的安全分析及设计

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

利用系统(包括操作系统、支撑软件及应用系统)固有的或系统配置及管理过程中的安全漏洞,穿透或绕过安全设施的防护策略,达到非法访问直至控制系统的目的,并以此为跳板,继续攻击其他系统。

作者:中国IT实验室 2007年9月5日

关键字: 防火墙 数据加密 数据包过滤 安全需求 金融网络 安全分析

  • 评论
  • 分享微博
  • 分享邮件

  针对目前金融系统计算机犯罪频率越来越高,手段越来越复杂,银行损失金额越来越大的局面,我们以人民银行的金融区域网为例,探讨一下金融网络安全的实现方法。   

  网络系统结构   

  人民 银行牵头组建的金融区域网是一个三级结构的信息网络,三级分别是人行营业管理部数据处理中心(DPC)、商业银行数据处理中心(TCN)和清算网点(PCN),三级间分别通过不同模式的广域网连接。   

  人行数据处理中心(DPC)由两台互为备份的主机作为数据处理主机,并通过DDN为主干、PSTN为备份与商业银行数据处理中心(TCN)以及县级人行相连。   

  安全威胁分析   

  尽管目前的计算机犯罪的技术越来越先进,但仔细分析其攻击和入侵的方法,不外乎以下几个方面。

  1.通过攻击接口进行非法入侵   

  根据局域网、广域网及服务器接口的情况,可以通过下面几种方式进行攻击:业务系统拒绝服务;通过猜测获得内部主机其他服务的访问权限;内部网络拓扑信息外泄;局域网中数据的截获。   

  2.针对系统自身存在缺陷进行攻击    

  利用系统(包括操作系统、支撑软件及应用系统)固有的或系统配置及管理过程中的安全漏洞,穿透或绕过安全设施的防护策略,达到非法访问直至控制系统的目的,并以此为跳板,继续攻击其他系统。此类攻击手段包括隐通道攻击、特络伊木马、口令猜测、缓冲区溢出等。   

  3.数据加密强度不够   

  针对数据加密强度薄弱,攻击者可以通过过往电缆上搭线等方法窃取信号,获取合法用户名、口令、密钥等关键信息。得到了这些信息,攻击者可以以合法身份从前门进入目标系统。

  网络安全系统的设计   

  1.设计原则及思路   

  第一、所设计的网络安全系统必须遵循国家及金融系统的安全标准、管理规定、安全需求和发展规划。第二、尽量不影响业务处理性能、网络性能和网络拓扑结构。第三、综合考虑“访问控制-数据加密-安全检测-安全管理”等内容。第四、具有可管理性、易操作性,高效安装,便于维护与升级。   

  2.防火墙及加密机制   

  本方案采用的是东方华盾公司的SJW10 系列产品中的SJW10-M中心保密机(带密钥管理中心)、SJW10-L分支保密机,其中SJW10-M中心保密机兼作密钥管理中心,从而无需另配专门的主机,在内网中的能够访问该SJW10的PC都可以由Telnet或通过串口虚拟终端来进行管理。   

  SJW10系列VPN产品可以解决金融区域网上所运行系统面临的数据包过滤防火墙、数据传输机密性保护、数据传输完整性保护、节点认证、网络访问控制等主要网络层安全需求,同时可为其应用层安全(业务信息签名、认证等)方案的实现打下良好基础。现有系统在配置该产品后的网络拓扑结构如图所示。

  

  人行数据处理中心(DPC)配置两台中心保密机SJW10 M型,分别串接在交换机和路由器之间。其中,实现和各商业银行数据处理中心(TCN)、各县人行系统的加密通信等安全功能。其中一台SJW10 M型兼作安全管理中心,负责全网内所有保密机的密钥分发和更换。   

  在各商业银行数据处理中心(TCN)各配置一台分支保密机SJW10 L型,串接于各自的外联路由器和内网之间,完成和中心保密机对应的加密通信和数据包过滤防火墙等功能。

   各县人行系统的保密机各配置一台分支保密机SJW10 L型,串接于各自的外联路由器和县人行局域网之间,完成和中心保密机对应的加密通信和数据包过滤防火墙等功能。

  3.入侵检测机制   

  采用ISS公司的RealSecure Network Engine运行在专门的工作站上,对网络入侵进行检测和响应。每一个RealSecure Network Engine监控一个网段,通过对网络上流过的数据包进行攻击特征的检测,识别出非法的企图并给予响应。   

  安全中涉及到的PC服务器共三台,2台用于安装RealSecure Network Engine,1台用于安装RealSecure Console。   

  4.漏洞扫描机制   

  ISS Internet Scanner是一个用于分析企业网络上的设备安全性的弱点评估产品,它针对操作系统、路由器、电子邮件、Web服务器、防火墙、业务服务器和应用程序进行检测,从而识别能被入侵者利用来进入网络的漏洞。  

  将ISS Internet Scanner软件装到DPC内部的一台装有Windows NT 4.0的PC服务器上,该服务器连接到内部网络的交换机、路由器、防火墙外面等位置,分配1个对应网段合法IP地址,该服务器应能够访问Ping通需要扫描的服务器、SJW10保密机、路由器和内部PC等。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章