风险分析
金融网络系统由于涉及信息的敏感性自然会成为内部和外部黑客攻击的目标,面临的主要风险和威胁有:
非法访问:现有网络系统利用操作系统网络设备进行访问控制,而这些访问控制强度较弱,攻击者可以在任一终端利用现有的大量攻击工具发起攻击;由于整个网络通过公用网络互联同样存在连接终端进行攻击的可能;另一方面银行开发的很多增值业务、代理业务,存在大量与外界互连的接口,这些接口现在没有强的安全保护措施,外部网络通过这些接口攻击银行,可能造成巨大损失。
窃取PIN/密钥等敏感数据:一般银行信用卡系统和柜台系统采用的是软件加密的形式保护关键数据,安全的关键是对加密密钥的保护,而软件加密最大的安全隐患是无法安全保存加密密钥,程序员可修改程序使其运行得到密钥从而得到主机中敏感数据。
假冒终端/操作员:银行网络中存在大量远程终端通过公网与银行业务前置机相连,国内银行已出现多起在传输线路上搭接终端的案例,因此一般金融网络存在大量类似安全隐患。现有操作员身份识别惟一,但口令的安全性非常弱因此存在大量操作员假冒的安全风险。
截获和篡改传输数据:网络系统通过公网传输大量的数据没有加密,由于信息量大且采用的是开放的TCP/IP,现有的许多工具可以很容易的截获、分析甚至修改信息,主机系统很容易成为被攻击对象。
其他安全风险:主要有病毒、系统安全(主要有操作系统、数据库的安全配置)以及系统的安全备份等
解决方案
从金融网络的各种业务、总行和分行的连接和OA系统、网上银行各方面进行网络安全方面的设计:
防止来自外部的黑客攻击
防止来自内部的恶意攻击
网络资源访问控制
网络传输的实时监控
强大的安全审计
事件分析与告警
网络的对外出口处以及在总行和分行之间的连接都设置防火墙将是最理想的选择,对外防止黑客入侵,对内以防止内部人员的恶意攻击或由于内部人员造成的网络安全问题。在总行与分行连接点采用CyberWall-100防火墙,同时在重要的业务连接点采用双机热备技术,保证业务连续性。由于分行与INTERNET都有出口,也带来了一定的风险,建议在连接INTERNET的出口上配置CyberWall-80防火墙。
一般银行的通信线路涉及到:X.25、FR、DDN、ISDN、拨号等通信接口和协议,因此,最佳的方案是在网络层上采用先进的防火墙和VPN技术,以有效的阻止外来的攻击和保证业务数据在公网上的安全传输,同时在应用层上提供对敏感数据加密消息进行完整性鉴别及密钥管理。因此可以通过各级分行节点配备具有VPN模块的CyberWall来保证IP包的机密性。在业务系统中保护用户敏感信息防止信息被非法篡改,实现对业务数据加密、身份认证等安全功能。
通迅线路数据加密
在银行的广域网传输系统中,从总行到分行、分行到支行、支行到分理处等,广泛应用到帧中继、X.25、DDN、PSTN等等之类的通用线路,但这些线路大多数都是由通讯公司提供,与许多用户在一套系统上使用他们的业务,由于这些线路都是暴露在公共场所,这样很容易造成数据被盗。传输数据当中如果不进行数据加密,后果可想而知。所以对数据传输加密这是一非常重要的环节。
对网络数据加密大致分为以下几处区域:
· 应用层加密
建立应用层加密,应用程序对外界交换数据时进行数据加密。主要优点是使用方便、网络中数据从源点到终点均得到保护、加密对网络节点透明。缺点是某些信息以明文形式传输,容易被分析。此种加密已被广泛应用于各应用程序当中,并有相应的标准。
· 基于网络层的数据加密
在总部到各分行,以及分行到支行采用VPN加密技术进行数据加密。 VPN是通过标准的加密算法,对传输数据进行加密,在公用网上建立数据传输的加密“隧道”。加密实现是在IP层,与具体的广域网协议无关,也就是说适应不同的广域网信道(DDN、X.25、帧中继、PSTN等)。由于VPN技术已经拥有标准,因此所有的VPN产品可以实现互通。
· 防火墙自身的保护
要保护网络安全,防火墙本身要保证安全,由于系统供电、硬件故障等特殊情况的发生,使防火墙系统瘫痪,严重阻碍网络通讯,网络的安全就无法保证,所以要求防火墙有冗余措施及足够防攻击的能力。
CyberWall防火墙可实现了针对多种DoS和DDoS攻击的防范,在攻击包进入企业网络之前堵在门外,系统可以根据用户的设置对访问信息进行检查,从而抵挡住Synflood, Udpflood, Pingflood, TearDrop, Ping of Death, Smurf, Land等多种类型的DoS和DDoS攻击,另外CyberWall内置的Smart Protector入侵检测模块将防火墙与入侵检测功能有机的结合到一起,可检测超过200种攻击手法,在节约用户投资的同时,为特定需求的用户群提供了业界领先的一站式安全防御系统。