名目銀行系統(tǒng)的安全設計1非法訪問 1竊取PIN/密鑰等敏感數(shù)據(jù) 1假冒終端/操作員 1截獲和篡改傳輸數(shù)據(jù) 1網(wǎng)絡系統(tǒng)可能面臨病毒的侵襲和集中的威逼 1其他安全風險 1銀行系統(tǒng)的網(wǎng)絡拓撲圖及說明 2銀行系統(tǒng)的網(wǎng)絡安全部署圖及說明 3敏感數(shù)據(jù)區(qū)的保護 3通迅線路數(shù)據(jù)加密 3防火墻自身的保護 4系統(tǒng)的網(wǎng)絡設備選型及說明 5核心層交換機 5會聚層交換機 5接入層交換機 6路由器 6效勞器 7安全配置說明 8防火墻技術 8網(wǎng)絡防病毒體系 8網(wǎng)絡入侵檢測技術 8網(wǎng)絡安全審計技術 9VPN技術 9總結 10一．銀行系統(tǒng)的安全設計黑客攻擊的目標，當前銀行面臨的主要風險和威逼有：非法訪問：銀行網(wǎng)絡是一個遠程互連的金融網(wǎng)絡系統(tǒng)。現(xiàn)有網(wǎng)絡系統(tǒng)利用操與外界互連的接口這些接口現(xiàn)在沒有強的安全保護措施存在外部網(wǎng)絡通過這些接口攻擊銀行，可能造成巨大損失。竊取PIN/密鑰等敏感數(shù)據(jù)：銀行信用卡系統(tǒng)和柜臺系統(tǒng)承受的是軟件加密的形式保護關鍵數(shù)據(jù)，軟件加密承受的是公開加密算法〔DES〕，因此安全的關鍵序員可修改程序使其運行得到密鑰從而得到主機中敏感數(shù)據(jù)。假冒終端/操作員假冒的安全風險。由于信息量大且承受的是開放的TCP/IP，現(xiàn)有的很多工具可以很簡潔的截獲、分析甚至修改信息，主機系統(tǒng)很簡潔成為被攻擊對象。網(wǎng)絡系統(tǒng)可能面臨病毒的侵襲和集中的威逼：黑客侵擾類似于網(wǎng)絡間諜，但前者沒有政治和經濟目的，利用自己精通計的資料，將機密信息在公用網(wǎng)上散發(fā)播送等。計算機病毒是一種依附在各種計算機程序中的一段具有破壞性、能自我繁引起整個系統(tǒng)或網(wǎng)絡紊亂，甚至造成癱瘓。〔主要有操作系統(tǒng)、數(shù)據(jù)庫的安全配置〕以及系統(tǒng)的安全備份等。二．銀行系統(tǒng)的網(wǎng)絡拓撲圖及說明了，整個銀行業(yè)、金融業(yè)都依靠于信息系統(tǒng)。交易網(wǎng)絡化、系統(tǒng)化、快速化和貨追蹤、可用性、抗抵賴性和牢靠性。為了適應金融業(yè)的需要，各家銀行都投資建網(wǎng)。但是，由于各種因素的制約，網(wǎng)絡的安全體系不完善，安全措施不完備，存在嚴峻的安全漏洞和安全隱患。這些安全漏洞和隱患有可能造成中國的金融風題。1500一層是營業(yè)點，二層是分理處，各司其職。2-1網(wǎng)絡拓撲圖三．銀行系統(tǒng)的網(wǎng)絡安全部署圖及說明敏感數(shù)據(jù)區(qū)的保護銀行系統(tǒng)內存在很多敏感數(shù)區(qū)域〔如銀行業(yè)務系統(tǒng)主機等，這些敏感的數(shù)據(jù)區(qū)功能。權主機訪問。對來訪用戶進展驗證。防上非法用戶侵入。用代理完成，以保證數(shù)據(jù)存儲區(qū)域的安全。前端業(yè)務系統(tǒng)及分行業(yè)務處理系統(tǒng)前端業(yè)務系統(tǒng)及分行業(yè)務處理系統(tǒng)交換機NetScreen-1003-1敏感數(shù)據(jù)區(qū)保護方案、DDN、PSTN等等之類的通用線路，但這些線路大多數(shù)加密，后果可想而知。所以對數(shù)據(jù)傳輸加密這是一格外重要的環(huán)節(jié)。對網(wǎng)絡數(shù)據(jù)加密大致分為以下幾處區(qū)域：應用層加密并有相應的標準。基于網(wǎng)絡層的數(shù)據(jù)加密在總部到各分行，以及分行到支行建議承受VPN加密技術進展數(shù)據(jù)加密。VPN標準VPN產品可以實現(xiàn)互通。固然，銀行可依據(jù)自身的需要，可選用專用加密設備進展數(shù)據(jù)傳輸加密。總行業(yè)務系總行業(yè)務系統(tǒng)DDN/FR分行1業(yè)務系統(tǒng)NetScreen-100NetScreen-100防火墻自身的保護

數(shù)據(jù)加密通道3-2VPN技術對數(shù)據(jù)傳輸進展加密要求防求防火墻有冗余措施及足夠防攻擊的力量。交換機NetScreen-100外網(wǎng)交換機內網(wǎng)交換機NetScreen-1003-3防火墻雙機備份方案四系統(tǒng)的網(wǎng)絡設備選型及說明核心層交換機型號：H3CS5500-24P-SI價格：￥8800應用層級：三層交換傳輸速率：10/100/1000交換機接口：10/100/1000MSFPCombo網(wǎng)管功能：支持FTP/TFTP加載升級、支持命令行接口〔CLI〕,Telnet,Console口進展配置、支持SNMPv1/v2/v3,WEB網(wǎng)管、支持RMON(RemoteHGMPv2NTPPing、支持VCT(VirtualCableTest)DLDP(DeviceLinkDetectionProtocol)detection會聚層交換機型號：H3CLS-3600-28P-SI價格：￥4900應用層級：三層傳輸速率：10/100/1000交換機接口：10/100BASE-T,1000BASE-SFPTelnetConsole口配置,支持SNMP,支持WEBMAC：16KVLAN接口數(shù)量：24網(wǎng)絡標準：IEEE802.1D,IEEE802.1w,IEEE802.1s模塊化插槽數(shù)：4接入層交換機型號：H3CLS-5024P-LI-AC價格：￥3650應用層級：二層傳輸速率：10/100/1000交換機接口：10/100/1000Base-T,SFPConsoleWEBMAC：8KVLAN接口數(shù)量：24網(wǎng)絡標準：IEEE802.1d,IEEE802.1x,IEEE802.3,IEEE802.3u,IEEE802.3x,IEEE802.3z,IEEE802.1Q,IEEE802.1p模塊化插槽數(shù)：4路由器型號：H3CRT-MSR3020-AC-H3價格：￥7900路由器類型：企業(yè)級路由器局域網(wǎng)接口：2防火墻功能：內置端口構造：模塊化路由器包轉發(fā)率：200KPPS2022ZB&ZCdeviationsforEuropeanUnionLVDDirective,IEC60950:1999+corr.Feb.2022,modified+allNationaldeviationsVPNVPN擴展插槽：11個其他掌握端口：ConsoleIP,IP,IP,MPLS,IPv6,廣域網(wǎng)協(xié)議,局域網(wǎng)協(xié)議Flash1024MB效勞器型號：X3500IT市場價格:20220具體參數(shù)：XeonE55202.26Ghz1066MHz5.86GT/s2*2GB2.5“SAS146GBSAS*1ServerRAIDMR10iDVD-ROM3PCI-ExpressGen2x8插槽,1PCI-ExpressGen2x161PCI-ExpressGen1x8插槽,1個33MHzPCI1個串口,1個顯卡接口,6USB2.0(42)；3RJ-45(2)IMM,可選的遠程治理920W3〔3，3，3〕五．安全配置說明防火墻技術Internet析器，有效地監(jiān)控了內部網(wǎng)和Internet之間的任何活動，保證了內部網(wǎng)絡的安全。防火墻技術可以有效掌握的風險包括：FingerTCP/IPTelnetBind、Telnet、NFS、X-windowsAD塞整個網(wǎng)絡，影響生產網(wǎng)絡。防火墻技術之后，有效的掌握了上述風險的同時，可以簡化治理。網(wǎng)絡防病毒體系計算機病毒感染所造成的威逼以及破壞是目前寬闊計算機用戶所面臨的主要問題。本方案承受網(wǎng)絡防病毒體系，可以對Windows2022/NT/95/98/3.x，DOSMacintosh,LinuxUNIX網(wǎng)絡、病毒威逼桌面PC等風險；應用了網(wǎng)絡防病毒技術之后，可以從三個層面有效防范病毒的傳播和集中;internet網(wǎng)絡入侵檢測技術防火墻聯(lián)動、關聯(lián)大事分析等技術要素，可實現(xiàn)如下風險的掌握：利用LotusNotesWebLotusNotesWeb－LotusNotesUnixFTPSITEEXECBindTelnet、NFS、X-windowsWindowsRPCDCOM－MS026WindowsRPCDCOM－MS039，telnet/login/sh。IDS大降低了治理員的負擔。網(wǎng)絡安全審計技術維護。應用網(wǎng)絡安全審計技術以后可以掌握的風險包括：Internet資源被濫用，獵取內部公文，帳表系統(tǒng)報表數(shù)據(jù)，內部通訊錄和口令文件的shadow，破解系統(tǒng)治理員口令VPN承受VPNVPNTCP登錄會話劫持－發(fā)送一個偽造的報告到telnet/login/shTCP登錄會話劫持－從已存在的telnet/l