網上銀行安全系統建設方案
責編:admin |2015-04-07 13:18:36業務挑戰
網上銀行系統在蘊藏著無限商機的同時,也帶來了風險,對于想開設網上銀行服務的提供者來說,在系統建設之余也同樣要解決安全問題。本文中所指的網上銀行,包括了個人銀行和企業銀行兩個概念,個人銀行是指通過網絡為個人銀行業務提供服務,企業銀行則是指通過網絡為企業用戶提供服務。兩者相比,個人銀行業務應該具有較簡便的操作界面,而企業銀行更注重整個環節的安全性。在網上銀行的安全系統建設中關鍵的問題在于:
- 保障網上銀行業務系統本身的可用性、安全性、穩定性
- 滿足監管部門的合規性要求
解決之道
綠盟科技長期專注于網上銀行的安全系統建設,充分理解銀監會《電子銀行安全評估指引》和人行《網上銀行系統信息安全通用規范(試行)》中對網上銀行的具體要求,并考慮到了網上銀行的上線前安全評估、審批流程,結合銀行業務和整體網絡系統環境的基礎上,為銀行客戶量身定制了網上銀行的安全系統建設方案,以保證網上銀行系統以最小變更、最快速度上線。
在網上銀行安全系統建設中安全域的劃分方法應是立體的,即:各個域之間不是簡單的相交或隔離關系,而是在網絡和管理上有不同的層次,安全區域按照接入類型分為:互聯網接入區、外聯網接入區、內部網接入區、內聯網接入區。不同安全區之間由防火墻進行隔離,并在關鍵服務區部署成熟的IDS設備,可以讓管理員及時的監控非法的惡意流量和攻擊行為。安全區域內部各設備之間通過設備自帶的訪問控制功能,實施必要的訪問控制。在DMZ區須部署入侵檢測設備,統一接受集中部署的入侵檢測中央服務器的控制,及時發現安全事件。在網銀應用區(重要服務區)部署審計設備,審計系統各設備的操作。在網銀系統互聯網接入區出口部署流量清洗設備,DMZ區域web服務器前端部署web應用防火墻,網銀應用區邊界部署異常流量檢測和過濾設備(IPS),防范來自互聯網的各類異常流量,如大流量的拒絕服務攻擊、針對web服務器的SQL注入攻擊、跨站腳本攻擊,蠕蟲病毒等。
方案優勢
綠盟科技在網上銀行的安全系統建設中參照IATF,并從總體上參考人民銀行推薦的網銀拓撲設計方案,在每個安全域中又繼續進行了細分并提出了安全域間以及域內的整體安全建設方法,具有如下優勢:
通過對安全威脅的處理方法,推薦的產品,包括其部署、應用的方式,都是在金融行業中有眾多先例的,已經被廣大金融行業單位所接受。
在結合網上銀行業務特點的情況下對現有的網絡結構、服務器等重要系統盡量不進行外部介入來保障最小的影響。
根據業務與運行的數據,進行安全區域的劃分,將整體網絡分割為不同的區域,并在邊界進行嚴格的訪問控制,來保證將安全事故的影響控制在最小的范圍內。