《Juniper银行业安全解决方案.doc》由会员分享,可在线阅读,更多相关《Juniper银行业安全解决方案.doc(4页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、Juniper层次化安全解决方案简介(银行业)一、我国银行网络现状在金融业日益现代化、国际化的今天,我国的各大银行注重服务手段进步和金融创新,不仅依靠电子化建设实现了城市间的资金汇划,消费结算、储蓄存取款、信用卡交易的电子化、开办了电话银行等多种服务,而且以资金清算系统、信用卡异地交易系统形成了全国性的网络化服务。此外,许多银行开通了SWIFT系统,并与海外银行建立了代理行关系,各种国际结算业务往来的电文可在境内外之间瞬间完成接收与发送,为企业国际投资,贸易和其他交往以及个人汇入汇出境外汇款,提供了便捷的金融服务。我国银行网络总体是一个银行内部业务系统,采取总行到省行及地市分行的三级网络结构。
2、整体网络分为三级节点:总行数据中心为一级的节点;省行网络中心为二级的节点;各地市银行网络中心、各支行网络中心为三级节点。从网络业务内容上看,整体分为业务网与办公自动化网(OA),网络一方面通过路由器与上(下)级银行互连,另一方面业务网通过路由器,经广域网与外单位(如其它银行、电信、证券公司等)互连。二、银行网络安全风险分析 银行外联业务的兴起以及与相关行业部门(例如公安、税务、电信、电力、证券、商业)业务往来增多,地市分行的外联网也在逐步扩大,网上银行正蓬勃发展,以上种种网络环境要求银行网要有很高的可靠性、安全性和保密性。由于目前网络的应用的自由性、广泛性以及黑客的“流行”,银行面临着各种安全
3、威胁。如:非授权访问、信息泄露、数据被篡改或丢失等。一旦信息泄露或者信息混乱,将给银行自身信誉、社会稳定、国家安全带来巨大影响。根据银行网络业务特点及应用特点,存在的主要安全风险如下(本方案将不涉及物理安全考虑因素):l 远程办公访问:对于银行系统,一般是不允许从Internet对内部办公网发起访问的,但一些银行允许在外出差的领导或特殊IT职员,通过Internet访问办公网内的特点资源,如Notes服务,消息发布服务等。引入的风险包括未授权的访问、消息泄露、病毒侵入等等。l 网上银行系统:目前许多银行的网络提供与Internet连接的基于WEB的网上银行服务,但现有的网络安全防范措施还很薄弱
4、,存在的安全风险主要有对网银服务的拒绝服务攻击,扫描,应用层攻击,未授权的访问等等l OA系统:银行办公系统不仅提供办公自动化,而且还可能涉及到如财务数据报表、领导决策等机密信息,办公网的安全威胁主要来自于办公网内机密信息的传输,办公网对生产网的管理访问,办公网的Internet接入,病毒扩散等等l 银行中间业务系统:银行在要求扩大社会服务面的前提下,应运而生的是各项中间业务的蓬勃发展,如代发工资、代收电费、代收水费、代收煤气费、代收电话费、代收税款、办理证券转帐等等;银行的服务手段也从传统的柜台发展到ATM、自助终端、电话银行等自助式的服务方式,最后发展到完全通过网络进行资金的结算,同时银行
5、因业务需要和相关行业部门打交道的机会也在同步增长,由于中间业务的另一方可能处于一个较为开放的网络环境中,而且中间业务委托方的网络很可能与INTERNET网络进行互连,所以中间业务网络环境的复杂性和开放性成为中间业务网络系统潜在威胁的最大来源。l 业务生产系统:银行生产业务系统涉存放着大量重要的数据库信息,包含无数客户的帐户信息,是银行网最关键的资产。由于生产系统的重要性,一般来讲银行生产网都严格与其它网络隔离,并且处于网络的核心位置。主要面临的安全风险有对业务服务器的非法访问、拒绝服务攻击、应用层攻击等等。三、Juniper 层次化安全解决方案事实上入侵与攻击事件本身是不可避免的,这是我们大家
6、的共识,目前越来越多的银行认识到,通过建立一个由多种安全技术组成的层次化的相互协同工作的安全解决方案,可以给攻击者造成重重羁绊,将有效的降低企业防护网被攻破的风险。同时,层次化的安全解决方案将为网络安全管理员争取更多的响应时间,及时调整安全策略,避免更多的损失。层次化安全解决方案的最终目标就是保护网络上的重要资产免受破坏,它由完整的多层次互补的安全技术协同工作,提供客户需要的安全防护级别当某层防护被攻破,资产仍然会受到另一层的保护。以下列出了银行网络有可能部署的安全防护层:安全防护层用途描述FireWall通过控制“谁”访问“什么”来提供保护Anti-DoS防护、抵御拒绝服务攻击Deep In
7、spection深度检测功能,提供轻量级的应用层入侵防护VPN(SSL & IPSec)通过加密、认证的安全通道保护数据传输安全Anti-Virus提供桌面级、服务器级及网关级的病毒防御Intrusion Detection & Prevention抵御众多复杂的攻击手法,例如应用层攻击Personal FireWall保护个人计算机的内容安全,从而实现企业网络的安全Juniper 宽广的安全产品线以及专门为安全定制的各类安全产品为银行网络提供了必要的、严密的安全防护层,从远程办公访问、网银系统、各级办公网互联到核心生产网提供适应各自特点的保护机制。安全功能高度集成化的安全产品使得某项特定的安
8、全功能(如防火墙中的Anti-DoS功能)即可以独立的作为一个安全层来部署,也可以与其他防护机制在同一层中统一管理部署,可完全根据用户的需要选择。根据层次化安全方法论,我们针对银行网络的业务特点和面临的安全威胁,给出如下的层次化安全解决方案(由于篇幅限制,具体细节无法在文中描述)安全防护层远程办公访问安全网银安全OA系统中间业务系统业务生产系统FirewallYesYesYesYesYesAnti-DoSNoYesNoNoYesDeep InspectionNoOptionNoOptionNoIPSec VPNNoNoYesNoNoSSL VPNYesNoNoNoNoAnti-VirusYes
9、NoYesNoNoIDPNoYesNoYesYes-individual server protectionPersonal FirewallYesNoYesNoNo四、Juniper层次化安全解决方案的优势l 多层保护机制,如果某层出现安全裂缝,其它保护层仍可以有效的阻止攻击,减少损失l 可根据各系统网络不同的安全需求、性能需求和管理需求,部署对应的、适当的安全防护手段l 高性能的ASIC专用硬件,提供有保障的性能表现,在最苛刻的条件下,仍可以保持性能的稳定性。l 为安全专门设计制作的安全设备与操作系统,提供高度可靠性与稳定性l SSL VPN, IDP, Firewall等产品均支持高冗余
10、结构(HA)部署,提供7X24小时连续不间断工作能力。Juniper防火墙还支持特有的Active-Active Full Mesh 部署方式,最大化的保障用户网络可靠性。l 充足的物理端口密度和VLAN子接口密度提供给用户更细粒度的安全域划分能力,通过单一设备增强整体网络的安全保护级别,减少额外设备投资。l 多种工作模式、多种NAT方式、路由协议、VLAN及 MPLS等网络协议的支持,使得Juniper 层次化解决方案具备出色的组网能力,使安全产品无缝集成进用户现有网络,并可以最小的配置改动完成网络结构变更。l 统一的集中管理解决方案,消除了分散管理终端带来的管理复杂性、人员成本与维护成本,提高管理效率,保证安全策略的一致性。