目录1银行系统的安全设计11.1非法访问...........................................................11.2窃取PIN/密钥等敏感数据............................................11.3假冒终端/操作员....................................................11.4截获和篡改传输数据.................................................11.5网络系统可能面临病毒的侵袭和扩散的威胁.............................11.6其他安全风险.......................................................12银行系统的网络拓扑图及说明..............................................23银行系统的网络安全部署图及说明..........................................33.1敏感数据区的保护...................................................33.2通迅线路数据加密...................................................33.3防火墙自身的保护...................................................44系统的网络设备选型及说明................................................54.1核心层交换机.......................................................54.2汇聚层交换机.......................................................54.3接入层交换机.......................................................64.4路由器.............................................................64.5服务器.............................................................75安全配置说明............................................................85.1防火墙技术.........................................................85.2网络防病毒体系.....................................................85.3网络入侵检测技术...................................................85.4网络安全审计技术...................................................95.5VPN技术...........................................................9总结...........................................................................................................................................10一.银行系统的安全设计银行网络作为一个金融网络系统,由于涉及信息的敏感性自然会成为内部和外部黑客攻击的目标,当前银行面临的主要风险和威胁有:1.1非法访问:银行网络是一个远程互连的金融网络系统。现有网络系统利用操作系统网络设备进行访问控制,而这些访问控制强度较弱,攻击者可以在任一终端利用现有的大量攻击工具发起攻击;由于整个网络通过公用网络互连同样存在终端进行攻击的可能;另一方面银行开发的很多增值业务、代理业务,存在大量与外界互连的接口这些接口现在没有强的安全保护措施存在外部网络通过这些接口攻击银行,可能造成巨大损失。1.2窃取PIN/密钥等敏感数据:银行信用卡系统和柜台系统采用的是软件加密的形式保护关键数据,软件加密采用的是公开加密算法(DES),因此安全的关键是对加密密钥的保护,而软件加密最大的安全隐患是无法安全保存加密密钥,程序员可修改程序使其运行得到密钥从而得到主机中敏感数据。1.3假冒终端/操作员:银行网络中存在大量远程终端通过公网与银行业务前置机相连国内银行以出现多起在传输线路上搭接终端的案例。银行网络同样存在大量类似安全隐患。现有操作员身份识别唯一,但口令的安全性非常弱因此存在大量操作员假冒的安全风险。1.4截获和篡改传输数据:银行现有网络系统通过公网传输大量的数据没有加密,由于信息量大且采用的是开放的TCP/IP,现有的许多工具可以很容易的截获、分析甚至修改信息,主机系统很容易成为被攻击对象。1.5网络系统可能面临病毒的侵袭和扩散的威胁:(1)黑客侵扰类似于网络间谍,但前者没有政治和经济目的,利用自己精通计算机知识,利用他人编程的漏洞,侵入金融信息系统,调阅各种资料,篡改他人的资料,将机密信息在公用网上散发广播等。(2)计算机病毒是一种依附在各种计算机程序中的一段具有破坏性、能自我繁衍的计算机程序,它通过软盘...
