銀行外聯(lián)網(wǎng)絡(luò)安全解決預(yù)案全攻略

32/32銀行外聯(lián)網(wǎng)絡(luò)安全解決方案全攻略網(wǎng)絡(luò)的進(jìn)展，正在引發(fā)一場人類文明的全然變革。網(wǎng)絡(luò)已成為一個國家最為關(guān)鍵的政治、經(jīng)濟(jì)、軍事資源，成為國家實(shí)力的新象征。同時，進(jìn)展網(wǎng)絡(luò)技術(shù)也是國民經(jīng)濟(jì)現(xiàn)代化建設(shè)不可缺的一個必要條件。能否把握網(wǎng)絡(luò)給中國進(jìn)展帶來的機(jī)遇，將會直接阻礙21世紀(jì)中國的生存。另一方面，網(wǎng)絡(luò)的進(jìn)展也在不斷改變?nèi)藗兊墓ぷ?、生活方式，使信息的獵取、傳遞、處理和利用更加高效、迅速。隨著科學(xué)技術(shù)不斷進(jìn)展，網(wǎng)絡(luò)差不多成為人們生活的一個組成部分。隨著網(wǎng)絡(luò)的快速進(jìn)展，各金融企業(yè)之間的競爭也日益激烈，要緊是通過提高金融機(jī)構(gòu)的運(yùn)作效率，為客戶提供方便快捷和豐富多彩的服務(wù)，增強(qiáng)金融企業(yè)的進(jìn)展能力和阻礙力來實(shí)現(xiàn)的。為了適應(yīng)這種進(jìn)展趨勢，銀行在改進(jìn)服務(wù)手段、增加服務(wù)功能、完善業(yè)務(wù)品種、提高服務(wù)效率等方面做了大量的工作，以提高銀行的競爭力，爭取更大的經(jīng)濟(jì)效益。而實(shí)現(xiàn)這一目標(biāo)必須通過實(shí)現(xiàn)金融電子化，利用高科技手段推動金融業(yè)的進(jìn)展和進(jìn)步，銀行外聯(lián)網(wǎng)絡(luò)的建設(shè)為進(jìn)一步提高銀行業(yè)服務(wù)手段，促進(jìn)銀企的進(jìn)展提供了有力的保障，同時勢必為銀行業(yè)的進(jìn)展帶來巨大的經(jīng)濟(jì)效益。然而隨著網(wǎng)絡(luò)應(yīng)用不斷擴(kuò)大，它的反面效應(yīng)也隨著產(chǎn)生。通過網(wǎng)絡(luò)使得黑客或工業(yè)間諜以及惡意入侵者侵犯和操縱一些重要信息成為可能，因而引發(fā)出網(wǎng)絡(luò)安全性問題。正如我國聞名計(jì)算機(jī)專家沈昌祥院士指出的："信息安全保障能力是21世紀(jì)綜合國力、經(jīng)濟(jì)競爭實(shí)力和生存能力的重要組成部份，是世紀(jì)之交世界各國在奮力攀登的制高點(diǎn)"。二十世紀(jì)未，美國一些聞名網(wǎng)站、銀行、電子商務(wù)網(wǎng)站造受黑客攻擊；黑客入侵微軟竊取源代碼軟件等重要案件，都證明了網(wǎng)絡(luò)安全的嚴(yán)峻性，因此，解決銀行外聯(lián)網(wǎng)絡(luò)安全問題刻不容緩。一銀行外聯(lián)網(wǎng)絡(luò)安全現(xiàn)狀1、銀行外聯(lián)種類按業(yè)務(wù)分為：銀行外聯(lián)業(yè)務(wù)種類繁多，要緊有：證銀聯(lián)業(yè)務(wù)、社保IC卡、房改公積金治理系統(tǒng)、代收中聯(lián)通話費(fèi)、代收移動話費(fèi)、同城清算、人行稅銀庫企系統(tǒng)、人行銀行信貸登記系統(tǒng)、金融統(tǒng)計(jì)數(shù)據(jù)報(bào)送、國際收支數(shù)據(jù)報(bào)送、電子口岸、代收電費(fèi)、代扣社保費(fèi)、代收國稅、代收地稅、代收固話費(fèi)、財(cái)局國庫集中系統(tǒng)、統(tǒng)發(fā)工資系統(tǒng)、代收財(cái)政罰款、物業(yè)維修基金、非稅系統(tǒng)、重要客戶系統(tǒng)等等。按單位分：隨著外聯(lián)業(yè)務(wù)的不斷擴(kuò)大，外聯(lián)單位也不斷增加，要緊有：各個證券公司、社保局、房改辦、聯(lián)通公司、移動公司、海關(guān)、電力公司、國稅局、地稅局、電信公司、供水公司、政府政務(wù)網(wǎng)、人行金融網(wǎng)、銀行的重客單位等等。按線路分：外聯(lián)線路要緊以專線為主，部格外聯(lián)業(yè)務(wù)采納撥號方式，線路類型要緊有：幀中繼、SDH、DDN、城域網(wǎng)、撥號等。2、提供外聯(lián)線路的運(yùn)營商依照外聯(lián)單位的不同需求，有多家運(yùn)營商提供線路服務(wù)，要緊有：電信公司、盈通公司、網(wǎng)通公司、視通公司等3、銀行外聯(lián)網(wǎng)絡(luò)的安全現(xiàn)狀及存在問題外聯(lián)接入現(xiàn)狀示意圖：外聯(lián)接入分為總行、一級分行、二級分行三個接入層次，據(jù)統(tǒng)計(jì)有80％的外聯(lián)單位是通過二級分行及以下層次接入的，面對如此眾多的外聯(lián)接入單位，我行還沒有一個統(tǒng)一規(guī)劃的完善的外聯(lián)網(wǎng)絡(luò)安全防備體系，特不是關(guān)于有些二級分行的外聯(lián)網(wǎng)絡(luò)只有差不多的安全防護(hù)，只在外網(wǎng)的接入口使用防火墻進(jìn)行安全操縱，整體而言，外聯(lián)網(wǎng)絡(luò)缺少一個統(tǒng)一規(guī)劃的完善的安全防備體系，抗風(fēng)險(xiǎn)能力低。下面，針對外聯(lián)網(wǎng)絡(luò)中要緊的安全風(fēng)險(xiǎn)點(diǎn)進(jìn)行簡單分析：（1）外聯(lián)接入點(diǎn)多且層次低，缺乏統(tǒng)一的規(guī)劃和監(jiān)管，存在接入風(fēng)險(xiǎn)銀行外聯(lián)系統(tǒng)的接入五花八門，沒有一個統(tǒng)一的接入規(guī)劃和接入標(biāo)準(zhǔn)，總行、一級分行、二級分行、甚至經(jīng)辦網(wǎng)點(diǎn)都有接入點(diǎn)，據(jù)統(tǒng)計(jì)80％的外聯(lián)接入差不多上通過二級分行及以下層次接入的，由于該層次的安全產(chǎn)品和安全技術(shù)資源都特不缺乏，因此對外聯(lián)接入的監(jiān)管操縱缺乏力度，存在著接入風(fēng)險(xiǎn)。（2）缺少統(tǒng)一規(guī)范的安全架構(gòu)和策略標(biāo)準(zhǔn)在外聯(lián)網(wǎng)絡(luò)中，全行缺少統(tǒng)一規(guī)范的安全架構(gòu)和訪問操縱策略標(biāo)準(zhǔn)，對眾多的外聯(lián)業(yè)務(wù)沒有分層分級設(shè)定不同的安全策略，在網(wǎng)絡(luò)層沒有統(tǒng)一的安全訪問操縱標(biāo)準(zhǔn)，比如：同意開放的端口、必須關(guān)閉的端口、需要操縱訪問的端口、安全傳輸協(xié)議等等；在外聯(lián)業(yè)務(wù)應(yīng)用程序的編寫方面沒有統(tǒng)一的安全標(biāo)準(zhǔn)；在防火墻策略制定上也沒有統(tǒng)一的安全標(biāo)準(zhǔn)，因此外聯(lián)網(wǎng)絡(luò)的整體可控性不強(qiáng)。（3）缺乏數(shù)據(jù)傳送過程中的加密機(jī)制目前與外聯(lián)單位互相傳送的數(shù)據(jù)大部分差不多上明碼傳送，沒有統(tǒng)一規(guī)范的加密傳送機(jī)制。（4）缺少統(tǒng)一的安全審計(jì)和安全治理標(biāo)準(zhǔn)。外聯(lián)網(wǎng)絡(luò)沒有一個統(tǒng)一的安全審計(jì)和安全治理標(biāo)準(zhǔn)，在安全檢查和安全審計(jì)上沒有一套行之有效的方法。為解決當(dāng)前外聯(lián)網(wǎng)絡(luò)所存在的安全隱患，我們必須構(gòu)建一個完善的銀行外聯(lián)網(wǎng)絡(luò)安全架構(gòu)，建立一套統(tǒng)一規(guī)劃的完善的外聯(lián)網(wǎng)絡(luò)安全防備體系。下面我們將從銀行外聯(lián)網(wǎng)絡(luò)安全規(guī)劃著手，進(jìn)行外聯(lián)平臺的網(wǎng)絡(luò)設(shè)計(jì)，并對外聯(lián)平臺的安全策略進(jìn)行統(tǒng)一規(guī)劃，相應(yīng)地提出外聯(lián)業(yè)務(wù)平臺安全審計(jì)的內(nèi)容以及如何進(jìn)行外聯(lián)網(wǎng)絡(luò)的安全治理，設(shè)計(jì)一套完善的銀行外聯(lián)網(wǎng)絡(luò)安全解決方案。二銀行外聯(lián)網(wǎng)絡(luò)安全規(guī)劃1、外聯(lián)網(wǎng)絡(luò)接入銀行內(nèi)部網(wǎng)的安全指導(dǎo)原則（1）外聯(lián)網(wǎng)（Extranet）接入內(nèi)部網(wǎng)絡(luò)，必須遵從統(tǒng)一規(guī)范、集中接入、逐步過渡的原則。（2）總行關(guān)于外聯(lián)網(wǎng)絡(luò)接入內(nèi)部網(wǎng)絡(luò)建立統(tǒng)一的安全技術(shù)和安全治理規(guī)范，一級分行參照規(guī)范要求對接入網(wǎng)路進(jìn)行嚴(yán)格的操縱，同時應(yīng)建立數(shù)據(jù)交換區(qū)域，幸免直接對業(yè)務(wù)系統(tǒng)進(jìn)行訪問。（3）各一級分行按照集中接入的原則，建立統(tǒng)一的外聯(lián)網(wǎng)接入平臺，減少外聯(lián)網(wǎng)接入我行內(nèi)部網(wǎng)絡(luò)的接入點(diǎn)，將第三方合作伙伴接入我行內(nèi)部網(wǎng)的接入點(diǎn)操縱在一級分行，并逐步對二級行（含）以下的接入點(diǎn)上收至一級分行。（4）假如一個二級分行的外聯(lián)合作伙伴較多，從節(jié)約線路費(fèi)用的角度考慮，能夠考慮外聯(lián)接入點(diǎn)選擇在二級分行，然后利用IPSec-VPN將二級分行的業(yè)務(wù)外聯(lián)平臺通過隧道與一級分行外聯(lián)平臺連接。（5）增加VPN的接入方式，與專線方式并存，接入點(diǎn)只設(shè)在一級分行及以上的層次，新增外聯(lián)業(yè)務(wù)可考慮采納VPN接入方式。（6）出于安全考慮，必須慎重選擇是否同意第三方合作伙伴使用銀行內(nèi)部網(wǎng)絡(luò)系統(tǒng)構(gòu)建其自身業(yè)務(wù)網(wǎng)絡(luò)的運(yùn)作。（7）關(guān)于第三方合作伙伴通過互聯(lián)網(wǎng)接入內(nèi)部網(wǎng)的需求，只能通過總行互聯(lián)網(wǎng)入口進(jìn)行接入。2、外聯(lián)業(yè)務(wù)平臺規(guī)劃的策略與同業(yè)往來業(yè)務(wù)、重點(diǎn)客戶業(yè)務(wù)、中間代理業(yè)務(wù)互聯(lián)要求業(yè)務(wù)外聯(lián)平臺提供足夠的安全機(jī)制。多數(shù)外聯(lián)業(yè)務(wù)要求平臺穩(wěn)定、可靠。為了滿足安全和可靠的系統(tǒng)需求，具體策略如下：（1）采納防火墻和多種訪問操縱、安全監(jiān)控措施（2）采納專線為主、撥號備份為備的雙鏈路和主、備路由器增強(qiáng)可靠性（3）通過省行internet統(tǒng)一入口連接客戶的VPN接入請求，由省行或總行統(tǒng)一規(guī)劃VPN網(wǎng)絡(luò)，統(tǒng)一認(rèn)證和加密機(jī)制（4）采納IPSec技術(shù)保證數(shù)據(jù)傳輸過程的安全（5）采納雙防火墻雙機(jī)熱備（6）采納IDS、漏洞掃描工具（7）設(shè)立DMZ區(qū)，所有對外提供公開服務(wù)的服務(wù)器一律設(shè)置在DMZ區(qū)，將外部傳入用戶請求連到Web服務(wù)器或其他公用服務(wù)器，然后Web服務(wù)器再通過內(nèi)部防火墻鏈接到業(yè)務(wù)前置區(qū)（8）設(shè)立業(yè)務(wù)前置區(qū)，外聯(lián)業(yè)務(wù)平臺以及外聯(lián)業(yè)務(wù)前置機(jī)可放置此區(qū)域，阻止內(nèi)網(wǎng)和外網(wǎng)直接通信，以保證內(nèi)網(wǎng)安全（9）所有的數(shù)據(jù)交換差不多上通過外聯(lián)前置網(wǎng)進(jìn)行的，在未采取安全措施的情況下，禁止內(nèi)部網(wǎng)直接連接業(yè)務(wù)外聯(lián)平臺。（10）為防止來自內(nèi)網(wǎng)的攻擊和誤操作，設(shè)置內(nèi)部網(wǎng)絡(luò)防火墻（11）來自業(yè)務(wù)外聯(lián)平臺的特定主機(jī)經(jīng)身份認(rèn)證后才可訪問內(nèi)部網(wǎng)指定主機(jī)。（12）具體實(shí)施時要緊考慮身份認(rèn)證、訪問操縱、數(shù)據(jù)完整性和審計(jì)等安全指標(biāo)。三外聯(lián)業(yè)務(wù)平臺設(shè)計(jì)1、外聯(lián)業(yè)務(wù)平臺的網(wǎng)絡(luò)架構(gòu)業(yè)務(wù)外聯(lián)平臺包括邊界區(qū)、邊界防火墻區(qū)、IDS區(qū)、DMZ區(qū)、內(nèi)部路由器、業(yè)務(wù)前置區(qū)、內(nèi)部防火墻。架構(gòu)如下圖：2、外聯(lián)業(yè)務(wù)平臺的安全部署邊界區(qū)邊界區(qū)包括三臺接入路由器，全部支持IPSec功能。一臺是專線接入的主路由器；一臺是撥號接入的備路由器，當(dāng)主線路故障或客戶有撥號接入需求時客戶可通過此撥號路由器接入，撥號接入要有身份認(rèn)證機(jī)制；還有一臺是VPN接入方式的路由器。將IPSec部署在邊界路由器上是保證端對端數(shù)據(jù)傳輸?shù)耐暾院蜋C(jī)密性，愛護(hù)TCP/IP通信免遭竊聽和篡改。關(guān)于INTERNET的VPN接入方式,可并入分行INTERNET統(tǒng)一出口進(jìn)行VPN隧道的劃分，連接有VPN接入需求的外聯(lián)單位。邊界防火墻區(qū)邊界防火墻區(qū)設(shè)置兩臺防火墻互為熱備份。在防火墻的內(nèi)側(cè)和外側(cè)分不有一臺連接防火墻的交換機(jī)，從安全的角度動身，連接兩臺防火墻采納單獨(dú)的交換機(jī)，幸免采納VLAN造成的安全漏洞。兩臺防火墻之間的連接依照設(shè)備的不同而不同，以能夠可靠地為互相備份的防火墻提供配置同步和心跳檢測為準(zhǔn)。入侵檢測IDS能夠?qū)崟r準(zhǔn)確地捕捉到入侵，發(fā)覺入侵能夠及時作出響應(yīng)并記錄日志。對所有流量進(jìn)行數(shù)據(jù)分析，過濾掉含有攻擊指令和操作的數(shù)據(jù)包，愛護(hù)網(wǎng)絡(luò)的安全，提供對內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時愛護(hù)。DMZ區(qū)建立非軍事區(qū)（DMZ）,是為不信任系統(tǒng)提供服務(wù)的孤立網(wǎng)段，它阻止內(nèi)網(wǎng)和外網(wǎng)直接通信，以保證內(nèi)網(wǎng)安全，在非軍事區(qū)上設(shè)置并安裝基于網(wǎng)絡(luò)的實(shí)時安全監(jiān)控系統(tǒng),所有對外提供公開服務(wù)的服務(wù)器一律設(shè)置在DMZ,其中.、E-mail、FTP、DNS服務(wù)器置于非軍事區(qū)（DMZ）內(nèi)部路由器區(qū)內(nèi)部路由器區(qū)設(shè)置一臺用于連接業(yè)務(wù)外聯(lián)平臺和業(yè)務(wù)前置區(qū)的路由器。業(yè)務(wù)前置區(qū)設(shè)立獨(dú)立的網(wǎng)絡(luò)區(qū)域與業(yè)務(wù)外聯(lián)平臺的交換信息，并采取有效的安全措施保障該信息交換區(qū)不受非授權(quán)訪問。內(nèi)部防火墻內(nèi)部防火墻能夠精確制定每個用戶的訪問權(quán)限，保證內(nèi)部網(wǎng)絡(luò)用戶只能訪問必要的資源，內(nèi)部防火墻能夠記錄網(wǎng)段間的訪問信息，及時發(fā)覺誤操作和來自內(nèi)部網(wǎng)絡(luò)其他網(wǎng)段的攻擊行為。病毒防范和漏洞掃描在服務(wù)器、前置機(jī)上安裝網(wǎng)絡(luò)版防病毒軟件，及時在線升級防病毒軟件，打開防病毒實(shí)時監(jiān)控程序，設(shè)定定期查殺病毒任務(wù)，及時抵御和防范病毒。定期對網(wǎng)絡(luò)設(shè)備進(jìn)行漏洞掃描，及時打系統(tǒng)補(bǔ)丁。路由采納靜態(tài)路由，邊界的主、備路由器采納浮動靜態(tài)路由，當(dāng)主鏈路不通時，通過備份鏈路建立連接。網(wǎng)管從安全的角度考慮，業(yè)務(wù)外聯(lián)平臺的網(wǎng)管采納帶外網(wǎng)管。網(wǎng)管服務(wù)器和被治理設(shè)備的通訊通過單獨(dú)的接口。用PVLAN使被治理設(shè)備只能通過網(wǎng)管專用的接口與網(wǎng)管服務(wù)器連接，而被治理設(shè)備之間不能互通。為了防備網(wǎng)管服務(wù)器被操縱的可能性，規(guī)劃獨(dú)立的網(wǎng)管服務(wù)器為業(yè)務(wù)外聯(lián)平臺服務(wù)。網(wǎng)管平臺能夠?qū)I(yè)務(wù)外聯(lián)平臺進(jìn)行狀態(tài)治理、性能治理、配置治理、故障治理。帶外網(wǎng)管平臺采納單獨(dú)的交換機(jī)，以保證系統(tǒng)的安全。QOS在數(shù)據(jù)包通過內(nèi)層防火墻進(jìn)入治理區(qū)域后立即打上QOS標(biāo)記，使外聯(lián)平臺的數(shù)據(jù)包按照規(guī)定的優(yōu)先級不占用網(wǎng)絡(luò)資源。四外聯(lián)業(yè)務(wù)平臺安全設(shè)計(jì)策略1外聯(lián)接入線路安全設(shè)計(jì)策略外聯(lián)接入線路有3種方式：傳統(tǒng)的專線方式、正在快速進(jìn)展的基于公網(wǎng)的VPN方式、撥號方式。

專線方式，銀行傳統(tǒng)的外聯(lián)接入方式大部分差不多上采納專線與外單位相聯(lián)，專線的選擇有：幀中繼、DDN、SDH、ATM等等。專線的優(yōu)點(diǎn)是線路私有、技術(shù)成熟、穩(wěn)定，傳輸?shù)陌踩员容^有保障，但也存在設(shè)備投入大，對技術(shù)維護(hù)人員的技術(shù)要求較高，線路費(fèi)用昂貴、接入不靈活等缺點(diǎn)。同時由于對線路的信任依靠，大多數(shù)專線中傳遞的信息沒有考慮任何數(shù)據(jù)安全，明碼傳送，存在專門大的安全隱患。

VPN方式，現(xiàn)在國際社會比較流行的利用公共網(wǎng)絡(luò)來構(gòu)建的私有專用網(wǎng)絡(luò)VPN（VirtualPrivateNetwork），用于構(gòu)建VPN的公共網(wǎng)絡(luò)包括Internet、幀中繼、ATM等。在公共網(wǎng)絡(luò)上組建的VPN具有線路費(fèi)用低廉，易于擴(kuò)展，接入靈活，網(wǎng)絡(luò)通信安全，網(wǎng)絡(luò)設(shè)計(jì)簡單，特不是易于實(shí)現(xiàn)集中治理，減少接入點(diǎn)，接入點(diǎn)能夠只設(shè)在一級分行以上的層次，方便統(tǒng)一治理和安全操縱。

撥號方式，有些外聯(lián)單位只與銀行交換簡單的代收發(fā)文件，使用的間隔周期也比較長，為節(jié)約費(fèi)用只按需撥號進(jìn)行連接，撥號方式的特點(diǎn)是費(fèi)用低廉但缺乏安全保障。這3種方式各有優(yōu)缺點(diǎn)，但從技術(shù)的成熟性和愛護(hù)現(xiàn)有設(shè)備投資的方面考慮，專線方式和撥號方式依舊我們的主流方式。但從長遠(yuǎn)考慮，隨著VPN技術(shù)的成熟和合作伙伴應(yīng)用互聯(lián)網(wǎng)的普及，VPN方式將會由于它顯著的優(yōu)點(diǎn)而逐漸成為主流，因此，我們引入VPN接入方式，目前我們?nèi)N接入方式并存，今后將逐漸用VPN方式取代專線方式和撥號方式，如此不僅能夠統(tǒng)一接入層次，減少接入點(diǎn)，降低線路費(fèi)用，而且方便統(tǒng)一治理和安全操縱。關(guān)于接入專線的物理層和數(shù)據(jù)鏈路層安全是由運(yùn)營商保障的，在邊界接入路由器上設(shè)置靜態(tài)路由、采納安全訪問操縱實(shí)現(xiàn)網(wǎng)絡(luò)層的安全操縱，為保證數(shù)據(jù)傳輸?shù)臋C(jī)密性和完整性，建議在銀行外聯(lián)網(wǎng)絡(luò)中采納IPSec技術(shù)，在接入端統(tǒng)一安裝支持IPSec功能的接入路由器。關(guān)于VPN方式的接入，VPN盡管構(gòu)建在公用數(shù)據(jù)網(wǎng)上，但能夠通過附加的安全隧道、用戶認(rèn)證和訪問操縱等技術(shù)實(shí)現(xiàn)與專用網(wǎng)絡(luò)相類似的安全性能，從而實(shí)現(xiàn)對重要信息的安全傳輸。與企業(yè)獨(dú)立構(gòu)建專用網(wǎng)絡(luò)相比，VPN具有節(jié)約投資、易于擴(kuò)展、簡化治理等特點(diǎn)。關(guān)于撥號接入我們采納AAA認(rèn)證的方式驗(yàn)證撥入方的身份。2外聯(lián)業(yè)務(wù)平臺物理層安全設(shè)計(jì)策略物理層安全是指設(shè)備安全和線路安全，保障物理安全除了要遵守國家相關(guān)的場地要求和設(shè)計(jì)規(guī)范外，還要做好相關(guān)設(shè)備的備份、關(guān)鍵線路的備份、相應(yīng)數(shù)據(jù)的備份。定期對網(wǎng)絡(luò)參數(shù)、應(yīng)用數(shù)據(jù)、日志進(jìn)行備份，定期對備份設(shè)備進(jìn)行參數(shù)同步。3外聯(lián)業(yè)務(wù)平臺網(wǎng)絡(luò)層安全設(shè)計(jì)策略外聯(lián)業(yè)務(wù)平臺安全設(shè)計(jì)的重點(diǎn)確實(shí)是如何進(jìn)行網(wǎng)絡(luò)層的安全防護(hù)，在網(wǎng)絡(luò)層我們采納了防火墻技術(shù)、入侵檢測技術(shù)、VPN技術(shù)、IPSec技術(shù)、訪問操縱技術(shù)等多種安全技術(shù)進(jìn)行網(wǎng)絡(luò)層的安全防護(hù)。（1）部署邊界防火墻和內(nèi)部防火墻在總行、一級分行、二級分行各級外聯(lián)接入點(diǎn)的邊界都應(yīng)安裝邊界防火墻，邊界防火墻的任務(wù)有：

通過對源地址過濾，拒絕外部非法IP地址，有效地幸免外部網(wǎng)絡(luò)上與業(yè)務(wù)無關(guān)的主機(jī)的越權(quán)訪問，防火墻只保留有用的服務(wù)；

關(guān)閉其他不要的服務(wù)，可將系統(tǒng)受攻擊的可能性降低到最小限度，使黑客無機(jī)可乘；

制定訪問策略，使只有被授權(quán)的外部主機(jī)能夠訪問內(nèi)部網(wǎng)絡(luò)的有限的IP地址，保證外部網(wǎng)絡(luò)只能訪問內(nèi)部網(wǎng)絡(luò)中必要的資源，與業(yè)務(wù)無關(guān)的操作將被拒絕;

由于外部網(wǎng)絡(luò)對DMZ區(qū)主機(jī)的所有訪問都要通過防火墻，防火墻能夠全面監(jiān)視外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)的訪問活動，并進(jìn)行詳細(xì)地記錄，通過分析能夠發(fā)覺可疑的攻擊行為；

關(guān)于遠(yuǎn)程登錄的用戶，如telnet等，防火墻利用加強(qiáng)的認(rèn)證功能，能夠有效地防止非法入侵；

集中治理網(wǎng)絡(luò)的安全策略，因此黑客無法通過更改某一臺主機(jī)的安全策略來達(dá)到操縱其他資源，獵取訪問權(quán)限的目的；

進(jìn)行地址轉(zhuǎn)換工作，使外部網(wǎng)絡(luò)不能看到內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)，從而使黑客攻擊失去目標(biāo)。在內(nèi)部網(wǎng)和業(yè)務(wù)前置區(qū)之間部署內(nèi)部防火墻，內(nèi)部防火墻的任務(wù)有：

精確制定每個用戶的訪問權(quán)限，保證內(nèi)部網(wǎng)絡(luò)用戶只能訪問必要的資源

記錄網(wǎng)段間的訪問信息，及時發(fā)覺誤操作和來自內(nèi)部網(wǎng)絡(luò)其他網(wǎng)段的攻擊行為。（2）部署入侵檢測系統(tǒng)入侵檢測是防火墻技術(shù)的重要補(bǔ)充，在不阻礙網(wǎng)絡(luò)的情況下能對網(wǎng)絡(luò)進(jìn)行檢測分析，從而對內(nèi)部攻擊、外部攻擊和誤操作進(jìn)行實(shí)時識不和響應(yīng)，有效地監(jiān)視、審計(jì)、評估網(wǎng)絡(luò)系統(tǒng)。入侵檢測和漏洞掃描技術(shù)結(jié)合起來是預(yù)防黑客攻擊的要緊手段。入侵檢測的要緊功能有：

檢測并分析用戶和系統(tǒng)的活動

核查系統(tǒng)配置和漏洞

評估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性

識不已知的攻擊行為

統(tǒng)計(jì)分析異常行為

操作系統(tǒng)日志治理，并識不違反安全策略的用戶活動入侵檢測技術(shù)要緊能夠分為基于主機(jī)入侵檢測和基于網(wǎng)絡(luò)入侵檢測兩種?；谥鳈C(jī)的系統(tǒng)通過軟件來分析來自各個地點(diǎn)的數(shù)據(jù)，這些數(shù)據(jù)能夠是事件日志（LOG文件）、配置文件、PASSWORD文件等；基于網(wǎng)絡(luò)的系統(tǒng)通過網(wǎng)絡(luò)監(jiān)聽的方式從網(wǎng)絡(luò)中獵取數(shù)據(jù)，并依照事先定義好的規(guī)則檢查它，從而判定通訊是否合法。（3）應(yīng)用VPN關(guān)于VPN接入方式，在接入端采納專用VPN設(shè)備，VPN的實(shí)現(xiàn)技術(shù)是通過公用網(wǎng)在各個路由器之間建立VPN安全隧道來傳輸用戶的私有網(wǎng)絡(luò)數(shù)據(jù)，用于構(gòu)建這種VPN連接的隧道技術(shù)有IPSEC等。結(jié)合服務(wù)商提供的QOS機(jī)制，能夠有效而且可靠的使用網(wǎng)絡(luò)資源，保證了網(wǎng)絡(luò)質(zhì)量。VPN大致包括三種典型的應(yīng)用環(huán)境，即IntranetVPN,RemoteAccessVPN和ExtranetVPN。其中IntranetVPN要緊是在內(nèi)部專用網(wǎng)絡(luò)上提供虛擬子網(wǎng)和用戶治理認(rèn)證功能；RemoteAccessVPN側(cè)重遠(yuǎn)程用戶接入訪問過程中對信息資源的愛護(hù)；而ExtranetVPN則需要將不同的用戶子網(wǎng)擴(kuò)展成虛擬的企業(yè)網(wǎng)絡(luò)。我們所推舉使用的是ExtranetVPN，同時建議今后逐漸用VPN的外聯(lián)接入方式取代專線接入方式，VPN技術(shù)將是今后外聯(lián)接入的進(jìn)展方向，VPN技術(shù)取代專線將指日可待。VPN技術(shù)的優(yōu)點(diǎn)要緊包括：

信息的安全性。虛擬專用網(wǎng)絡(luò)采納安全隧道(SecureTunnel)技術(shù)向用戶提供無縫(Seamless)的和安全的端到端連接服務(wù)，確保信息資源的安全。

方便的擴(kuò)充性。用戶能夠利用虛擬專用網(wǎng)絡(luò)技術(shù)方便地重構(gòu)企業(yè)專用網(wǎng)絡(luò)(PrivateNetwork)，實(shí)現(xiàn)異地業(yè)務(wù)人員的遠(yuǎn)程接入，加強(qiáng)與客戶、合作伙伴之間的聯(lián)系，以進(jìn)一步適應(yīng)虛擬企業(yè)的新型企業(yè)組織形式。

方便的治理。VPN將大量的網(wǎng)絡(luò)治理工作放到互聯(lián)網(wǎng)絡(luò)服務(wù)提供者(ISP)一端來統(tǒng)一實(shí)現(xiàn)，從而減輕了企業(yè)內(nèi)部網(wǎng)絡(luò)治理的負(fù)擔(dān)。同時VPN也提供信息傳輸、路由等方面的智能特性及其與其他網(wǎng)絡(luò)設(shè)備相獨(dú)立的特性，也便于用戶進(jìn)行網(wǎng)絡(luò)治理。

顯著的成本效益。利用現(xiàn)有互聯(lián)網(wǎng)絡(luò)發(fā)達(dá)的網(wǎng)絡(luò)構(gòu)架組建外聯(lián)網(wǎng)絡(luò)，從而節(jié)約了大量的投資成本及后續(xù)的運(yùn)營維護(hù)成本。（4）應(yīng)用IPSecIPSec由IETF下屬的一個IPSec工作組起草設(shè)計(jì)的，在IP協(xié)議層上對數(shù)據(jù)包進(jìn)行高強(qiáng)度的安全處理，提供數(shù)據(jù)源驗(yàn)證、無連接數(shù)據(jù)完整性、數(shù)據(jù)機(jī)密性、抗重播和有限業(yè)務(wù)流機(jī)密性等安全服務(wù)。各種應(yīng)用程序能夠享用IP層提供的安全服務(wù)和密鑰治理，而不必設(shè)計(jì)和實(shí)現(xiàn)自己的安全機(jī)制，因此減少了密鑰協(xié)商的開銷，也降低了產(chǎn)生安全漏洞的可用性。IPSec彌補(bǔ)了由于TCP/IP協(xié)議體系自身帶來的安全漏洞，能夠愛護(hù)TCP/IP通信免遭竊聽和篡改，保證數(shù)據(jù)的完整性和機(jī)密性，有效抵御網(wǎng)絡(luò)攻擊，同時保持易用性。IPSec可連續(xù)或遞歸應(yīng)用，在路由器、防火墻、主機(jī)和通信鏈路上配置，實(shí)現(xiàn)端到端安全、虛擬專用網(wǎng)絡(luò)（VPN）和安全隧道技術(shù)。IPSec的缺點(diǎn)是不能兼容NAT技術(shù)，當(dāng)防火墻和路由器采納NAT技術(shù)對IP包進(jìn)行地址轉(zhuǎn)換時，IPSec包不能通過。因此，需要使用IPSec功能時必須采納NAT-T技術(shù)實(shí)現(xiàn)IPSec穿越NAT。（5）網(wǎng)絡(luò)層的訪問操縱策略

禁止來自業(yè)務(wù)外聯(lián)平臺的的訪問直接進(jìn)入內(nèi)部網(wǎng)

限制能開通的服務(wù)或端口

設(shè)立與內(nèi)部網(wǎng)隔離的指定的數(shù)據(jù)交換區(qū)，來自業(yè)務(wù)外聯(lián)平臺的的訪問只能到達(dá)指定的數(shù)據(jù)交換區(qū)

能對進(jìn)入指定數(shù)據(jù)交換區(qū)的主體限制到主機(jī)

能通過代理實(shí)現(xiàn)指定客戶對內(nèi)部網(wǎng)指定主機(jī)和業(yè)務(wù)的訪問4外聯(lián)業(yè)務(wù)平臺系統(tǒng)層安全設(shè)計(jì)策略操作系統(tǒng)因?yàn)樵O(shè)計(jì)和版本的問題，存在許多的安全漏洞，同時因?yàn)樵谑褂弥邪踩O(shè)置不當(dāng)，也會增加安全漏洞，帶來安全隱患，因此要定期漏洞掃描，及時升級、及時打補(bǔ)丁。5外聯(lián)業(yè)務(wù)平臺應(yīng)用層安全設(shè)計(jì)策略

依照銀行專用網(wǎng)絡(luò)的業(yè)務(wù)和服務(wù)，采納身份認(rèn)證技術(shù)、防病毒技術(shù)以及對各種應(yīng)用服務(wù)的安全性增強(qiáng)配置服務(wù)，保障網(wǎng)絡(luò)系統(tǒng)在應(yīng)用層的安全。（1）身份認(rèn)證技術(shù)

公開密鑰基礎(chǔ)設(shè)施（PKI）是一種遵循標(biāo)準(zhǔn)的密鑰治理平臺，能夠?yàn)樗芯W(wǎng)絡(luò)應(yīng)用透明地提供采納加密和數(shù)字簽名等密碼服務(wù)所必需的密鑰和證書治理。在總行和省行網(wǎng)絡(luò)中心建立CA中心，為應(yīng)用系統(tǒng)的可靠運(yùn)行提供支持。

進(jìn)入指定數(shù)據(jù)交換區(qū)必須進(jìn)行基于口令的身份認(rèn)證。以撥號方式連接業(yè)務(wù)外聯(lián)平臺時，在撥號連接建立之前，必須通過基于靜態(tài)口令、動態(tài)口令或撥號回呼的身份認(rèn)證。為了配合全行的集中認(rèn)證工程，認(rèn)證服務(wù)器必須采納全行統(tǒng)一規(guī)定的標(biāo)準(zhǔn)協(xié)議，能夠支持多級認(rèn)證體系結(jié)構(gòu)。

在集中認(rèn)證系統(tǒng)投入使用之前，AAA服務(wù)器能夠獨(dú)立完成認(rèn)證、授權(quán)和審計(jì)任務(wù)。在集中認(rèn)證體系投入使用之后，AAA服務(wù)器能夠?qū)崿F(xiàn)向上級認(rèn)證服務(wù)器的認(rèn)證請求轉(zhuǎn)發(fā)，實(shí)現(xiàn)集中認(rèn)證。（2）防病毒技術(shù)病毒是系統(tǒng)中最常見、威脅最大的安全來源。我們必須有一個全方位的外聯(lián)網(wǎng)病毒防備體系，目前要緊采納病毒防范系統(tǒng)解決病毒查找、清殺問題。五外聯(lián)業(yè)務(wù)平臺安全審計(jì)對進(jìn)出業(yè)務(wù)外聯(lián)平臺的訪問必須進(jìn)行審計(jì)，要求如下：

能夠生成進(jìn)出業(yè)務(wù)外聯(lián)平臺的的訪問日志

日志內(nèi)容包括訪問時刻、主體和客體地址信息、訪問方式、訪問業(yè)務(wù)、訪問成敗情況、持續(xù)時刻、同一訪問發(fā)起建立連接次數(shù)、本次訪問通信流量等

對所記錄的日志具有格式化的審計(jì)功能，能針對不同主體、客體、時刻段、訪問成敗等情況進(jìn)行統(tǒng)計(jì)并形式化輸出

網(wǎng)絡(luò)審計(jì)，防止非法內(nèi)連和外連

數(shù)據(jù)庫審計(jì)，以更加細(xì)的粒度對數(shù)據(jù)庫的讀取行為進(jìn)行跟蹤

應(yīng)用系統(tǒng)審計(jì)，例如公文流轉(zhuǎn)通過幾個環(huán)節(jié)，必須要有清晰的記錄

主機(jī)審計(jì)，包括對終端系統(tǒng)安裝了哪些不安全軟件的審計(jì)，并設(shè)置終端系統(tǒng)的權(quán)限等等

介質(zhì)審計(jì)，包括光介質(zhì)、磁介質(zhì)和紙介質(zhì)的審計(jì)，防止機(jī)密信息通過移動U盤、非法打印或者照相等多個環(huán)節(jié)從信息系統(tǒng)中泄密。

對重要服務(wù)器的操作要有記錄；

對外網(wǎng)（互聯(lián)網(wǎng)）連接記錄要有針對性的審計(jì)；

對網(wǎng)絡(luò)內(nèi)的流量、網(wǎng)絡(luò)設(shè)備工作狀態(tài)進(jìn)行審計(jì)；

對重要的數(shù)據(jù)庫訪問記錄要進(jìn)行有效的審計(jì)六外聯(lián)網(wǎng)絡(luò)安全治理要保障外聯(lián)網(wǎng)絡(luò)安全運(yùn)行，光靠技術(shù)操縱還遠(yuǎn)遠(yuǎn)不夠，還要注意加強(qiáng)在安全治理方面的工作。就現(xiàn)時期而言，網(wǎng)絡(luò)安全最大的威脅不是來自外部，而是內(nèi)部的安全制度、操作規(guī)范和安全監(jiān)督機(jī)制。人是信息安全目標(biāo)實(shí)現(xiàn)的主體，網(wǎng)絡(luò)安全需要全體人員共同努力，幸免出現(xiàn)"木桶效應(yīng)"。為此應(yīng)著重解決好幾個方面的問題。1、組織工作人員加強(qiáng)網(wǎng)絡(luò)安全學(xué)習(xí)，提高工作人員的維護(hù)網(wǎng)絡(luò)安全的警惕性和自覺性，提高保密觀念，提高安全意識，提高操作技能。2、加強(qiáng)治理，建立一套行之有效的外聯(lián)網(wǎng)絡(luò)安全治理制度和操作人員守則，建立定期檢查制度和有效的監(jiān)督體系。3、大力推進(jìn)外聯(lián)應(yīng)用軟件的標(biāo)準(zhǔn)化，研究各種安全機(jī)制，制造一個具有安全設(shè)置的開發(fā)環(huán)境。4、建立完善的治理制度（1）建立外聯(lián)網(wǎng)絡(luò)聯(lián)網(wǎng)規(guī)定和聯(lián)網(wǎng)操作流程。（2）建立責(zé)任分工制度，權(quán)限治理制度，明確崗位和