金融网络的安全分析及设计

　　针对目前金融系统计算机犯罪频率越来越高，手段越来越复杂，银行损失金额越来越大的局面，我们以人民银行的金融区域网为例，探讨一下金融网络安全的实现方法。 　　

　　网络系统结构 　　

　　人民 银行牵头组建的金融区域网是一个三级结构的信息网络，三级分别是人行营业管理部数据处理中心（DPC）、商业银行数据处理中心(TCN)和清算网点（PCN），三级间分别通过不同模式的广域网连接。 　　

　　人行数据处理中心（DPC）由两台互为备份的主机作为数据处理主机，并通过DDN为主干、PSTN为备份与商业银行数据处理中心(TCN)以及县级人行相连。 　　

　　安全威胁分析 　　

　　尽管目前的计算机犯罪的技术越来越先进，但仔细分析其攻击和入侵的方法，不外乎以下几个方面。

　　1．通过攻击接口进行非法入侵 　　

　　根据局域网、广域网及服务器接口的情况，可以通过下面几种方式进行攻击：业务系统拒绝服务；通过猜测获得内部主机其他服务的访问权限；内部网络拓扑信息外泄；局域网中数据的截获。 　　

　　2．针对系统自身存在缺陷进行攻击 　　　

　　利用系统（包括操作系统、支撑软件及应用系统）固有的或系统配置及管理过程中的安全漏洞，穿透或绕过安全设施的防护策略，达到非法访问直至控制系统的目的，并以此为跳板，继续攻击其他系统。此类攻击手段包括隐通道攻击、特络伊木马、口令猜测、缓冲区溢出等。 　　

　　3．数据加密强度不够 　　

　　针对数据加密强度薄弱，攻击者可以通过过往电缆上搭线等方法窃取信号，获取合法用户名、口令、密钥等关键信息。得到了这些信息，攻击者可以以合法身份从前门进入目标系统。

　　网络安全系统的设计 　　

　　1．设计原则及思路 　　

　　第一、所设计的网络安全系统必须遵循国家及金融系统的安全标准、管理规定、安全需求和发展规划。第二、尽量不影响业务处理性能、网络性能和网络拓扑结构。第三、综合考虑“访问控制-数据加密-安全检测-安全管理”等内容。第四、具有可管理性、易操作性，高效安装，便于维护与升级。 　　

　　2．防火墙及加密机制 　　

　　本方案采用的是东方华盾公司的SJW10 系列产品中的SJW10-M中心保密机(带密钥管理中心)、SJW10-L分支保密机，其中SJW10-M中心保密机兼作密钥管理中心，从而无需另配专门的主机，在内网中的能够访问该SJW10的PC都可以由Telnet或通过串口虚拟终端来进行管理。 　　

　　SJW10系列VPN产品可以解决金融区域网上所运行系统面临的数据包过滤防火墙、数据传输机密性保护、数据传输完整性保护、节点认证、网络访问控制等主要网络层安全需求，同时可为其应用层安全（业务信息签名、认证等）方案的实现打下良好基础。现有系统在配置该产品后的网络拓扑结构如图所示。

　　人行数据处理中心（DPC）配置两台中心保密机SJW10 M型，分别串接在交换机和路由器之间。其中，实现和各商业银行数据处理中心(TCN)、各县人行系统的加密通信等安全功能。其中一台SJW10 M型兼作安全管理中心，负责全网内所有保密机的密钥分发和更换。 　　

　　在各商业银行数据处理中心(TCN)各配置一台分支保密机SJW10 L型，串接于各自的外联路由器和内网之间，完成和中心保密机对应的加密通信和数据包过滤防火墙等功能。

　　　各县人行系统的保密机各配置一台分支保密机SJW10 L型，串接于各自的外联路由器和县人行局域网之间，完成和中心保密机对应的加密通信和数据包过滤防火墙等功能。

　　3．入侵检测机制 　　

　　采用ISS公司的RealSecure Network Engine运行在专门的工作站上，对网络入侵进行检测和响应。每一个RealSecure Network Engine监控一个网段，通过对网络上流过的数据包进行攻击特征的检测，识别出非法的企图并给予响应。 　　

　　安全中涉及到的PC服务器共三台，2台用于安装RealSecure Network Engine，1台用于安装RealSecure Console。 　　

　　4．漏洞扫描机制 　　

　　ISS Internet Scanner是一个用于分析企业网络上的设备安全性的弱点评估产品，它针对操作系统、路由器、电子邮件、Web服务器、防火墙、业务服务器和应用程序进行检测，从而识别能被入侵者利用来进入网络的漏洞。 　

　　将ISS Internet Scanner软件装到DPC内部的一台装有Windows NT 4.0的PC服务器上，该服务器连接到内部网络的交换机、路由器、防火墙外面等位置，分配1个对应网段合法IP地址，该服务器应能够访问Ping通需要扫描的服务器、SJW10保密机、路由器和内部PC等。