针对目前金融系统计算机犯罪频率越来越高,手段越来越复杂,银行损失金额越来越大的局面,我们以人民银行的金融区域网为例,探讨一下金融网络安全的实现方法。
网络系统结构
人民 银行牵头组建的金融区域网是一个三级结构的信息网络,三级分别是人行营业管理部数据处理中心(DPC)、商业银行数据处理中心(TCN)和清算网点(PCN),三级间分别通过不同模式的广域网连接。
人行数据处理中心(DPC)由两台互为备份的主机作为数据处理主机,并通过DDN为主干、PSTN为备份与商业银行数据处理中心(TCN)以及县级人行相连。
安全威胁分析
尽管目前的计算机犯罪的技术越来越先进,但仔细分析其攻击和入侵的方法,不外乎以下几个方面。
1.通过攻击接口进行非法入侵
根据局域网、广域网及服务器接口的情况,可以通过下面几种方式进行攻击:业务系统拒绝服务;通过猜测获得内部主机其他服务的访问权限;内部网络拓扑信息外泄;局域网中数据的截获。
2.针对系统自身存在缺陷进行攻击
利用系统(包括操作系统、支撑软件及应用系统)固有的或系统配置及管理过程中的安全漏洞,穿透或绕过安全设施的防护策略,达到非法访问直至控制系统的目的,并以此为跳板,继续攻击其他系统。此类攻击手段包括隐通道攻击、特络伊木马、口令猜测、缓冲区溢出等。
3.数据加密强度不够
针对数据加密强度薄弱,攻击者可以通过过往电缆上搭线等方法窃取信号,获取合法用户名、口令、密钥等关键信息。得到了这些信息,攻击者可以以合法身份从前门进入目标系统。
网络安全系统的设计
1.设计原则及思路
第一、所设计的网络安全系统必须遵循国家及金融系统的安全标准、管理规定、安全需求和发展规划。第二、尽量不影响业务处理性能、网络性能和网络拓扑结构。第三、综合考虑“访问控制-数据加密-安全检测-安全管理”等内容。第四、具有可管理性、易操作性,高效安装,便于维护与升级。
2.防火墙及加密机制
本方案采用的是东方华盾公司的SJW10 系列产品中的SJW10-M中心保密机(带密钥管理中心)、SJW10-L分支保密机,其中SJW10-M中心保密机兼作密钥管理中心,从而无需另配专门的主机,在内网中的能够访问该SJW10的PC都可以由Telnet或通过串口虚拟终端来进行管理。
SJW10系列VPN产品可以解决金融区域网上所运行系统面临的数据包过滤防火墙、数据传输机密性保护、数据传输完整性保护、节点认证、网络访问控制等主要网络层安全需求,同时可为其应用层安全(业务信息签名、认证等)方案的实现打下良好基础。现有系统在配置该产品后的网络拓扑结构如图所示。
人行数据处理中心(DPC)配置两台中心保密机SJW10 M型,分别串接在交换机和路由器之间。其中,实现和各商业银行数据处理中心(TCN)、各县人行系统的加密通信等安全功能。其中一台SJW10 M型兼作安全管理中心,负责全网内所有保密机的密钥分发和更换。
在各商业银行数据处理中心(TCN)各配置一台分支保密机SJW10 L型,串接于各自的外联路由器和内网之间,完成和中心保密机对应的加密通信和数据包过滤防火墙等功能。
各县人行系统的保密机各配置一台分支保密机SJW10 L型,串接于各自的外联路由器和县人行局域网之间,完成和中心保密机对应的加密通信和数据包过滤防火墙等功能。
3.入侵检测机制
采用ISS公司的RealSecure Network Engine运行在专门的工作站上,对网络入侵进行检测和响应。每一个RealSecure Network Engine监控一个网段,通过对网络上流过的数据包进行攻击特征的检测,识别出非法的企图并给予响应。
安全中涉及到的PC服务器共三台,2台用于安装RealSecure Network Engine,1台用于安装RealSecure Console。
4.漏洞扫描机制
ISS Internet Scanner是一个用于分析企业网络上的设备安全性的弱点评估产品,它针对操作系统、路由器、电子邮件、Web服务器、防火墙、业务服务器和应用程序进行检测,从而识别能被入侵者利用来进入网络的漏洞。
将ISS Internet Scanner软件装到DPC内部的一台装有Windows NT 4.0的PC服务器上,该服务器连接到内部网络的交换机、路由器、防火墙外面等位置,分配1个对应网段合法IP地址,该服务器应能够访问Ping通需要扫描的服务器、SJW10保密机、路由器和内部PC等。
