银行网络安全设计方案完整篇.doc

银行网络安全设计方案1 目录

1 银行系统的安全设计(1)

1.1 银行网络基本情况(1)

1.2 镇银行各部门分配(1)

1.3 银行网络安全现状(2)

1.4 现象分析(5)

2 银行系统的网络拓扑图及说明(6)

3 银行系统的网络安全部署图及说明(7)

3.1 敏感数据区的保护(7)

3.2 通迅线路数据加密(7)

3.3 防火墙自身的保护(8)

4 系统的网络设备选型及说明(9)

4.1 核心层交换机(9)

4.2 汇聚层交换机(9)

4.3 接入层交换机(10)

4.4 路由器(10)

4.5 防火墙(11)

4.6 服务器(12)

5 安全配置说明(12)

5.1 防火墙技术(12)

5.2 网络防病毒体系(13)

5.3 网络入侵检测技术(13)

5.4 网络安全审计技术(13)

5.5 VPN技术(14)

总结(15)

一．银行系统的安全设计

1.1银行网络基本情况

随着信息技术的发展，社会的信息化程度提高了，网络银行、电子银行出现了，整个银行业、金融业都依赖于信息系统。交易网络化、系统化、快速化和货币数字经是当前金融业的特点，这对金融信息系统的安全保密性提出了严格的要求。金融信息系统必须保证金融交易的机密性、完整性、访问控制、鉴别、审计、追踪、可用性、抗抵赖性和可靠性。为了适应金融业的需要，各家银行都投资建网。但是，由于各种因素的制约，网络的安全体系不完善，安全措施不完备，存在严重的安全漏洞和安全隐患。这些安全漏洞和隐患有可能造成中国的金融风暴，给国家带来重

大损失，因此必须采取强有力的措施，解决银行网络的安全问题。

1.2银行各部门分配

1.2.1公司业务部

主要负责对公业务，审核等。

1.2.2个人业务部

主要负责个人业务，居民储蓄，审核。

1.2.3国际业务部

主要负责国际打包放款，国际电汇，外汇结算等。

1.2.4资金营运部

主要是资金结算。

1.2.5信贷审批部

负责各类贷款审批等。

1.2.6风险管理部

就是在银行评估、管理、解决业务风险的部门。银行的业务风险主要有：信贷的还款风险、会计的结算风险、新业务的试水风险、财务的管理风险、业务文件的法律风险等等。所有这些风险的控制，特别是前三类业务的风险控制，都是由风险管理部牵头制订解决办法的。

1.2.7会计结算部

安全防范为主题，强化会计结算基础管理工作，揽存增储、中间业务、保险、基金等各项任务，全员的防范意识、业务素质、核算质量、服务技能工作，加强管理、监督、检查与辅导，指导全员严格按照规章制度和操作流程办理业务，加强人员培训，提高业务素质和核算质量。

1.2.8出纳保卫部

主要负责现金管理、安全检查、监控管理、消防安全等安保工作。

1.2.9科技部

主要负责银行计算机软硬件方面的维护。

1.2.10人力资源部

主要负责银行内部人员的考勤。

1.3银行网络安全现状

1.3.1浦发银行安全现状

现在，信息攻击技术发展很快，攻击手段层出不穷，但银行网络日前的安全措施大部分仅是保密，极少采用数字签名，认证机制不健全，这完全不适应现代金融系统的安全需求。

具体表现在以下五个方面：

1）有投入，有人员，但投入不够，人员不固定。遇有冲突，立刻舍弃；

只求速上，不求正常、配套、协调建设，从根本上没有改变以前轻视安

全的做法。

2）对整个网络建设缺乏深入、细致、具体的安全体系研究，更缺乏建

立安全体系的迫切性。

3）有制度、措施、标准，但不完备，也没有认真执行，大部分流于形

式，缺乏安全宣传教育。

4）缺乏有效的监督检查措施。

5）从根本上没有处理好发展与安全的关系。

1.3.2浦发银行网络系统所面临的安全威胁和风险

由于金融信息系统中处理、传输、存贮的都是金融信息，对其进行攻击将获得巨额的金钱，而且，对金融信息系统的攻击，可能造成国家经济命脉的瘫痪和国家经济的崩溃，因此金融信息系统面临着巨大的风险和威胁。银行网络系统面

临的攻击手段较多，既有来自外部的，也有来自内部的。由于对银行网络系统的攻击可以获得较大的经济、政治、军事利益，因此银行网络系统成为敌对国家、犯罪集团、高智商犯罪分子的首选攻击目标。针对信息系统的新型攻击手段应运而生，各种被动攻击手段、主动攻击手段层出不穷。攻击者利用各种高科技手

段和仪器，利用网络协议本身的不安全性，路由器、口令文件、X11、Gopher的安全隐患，JavaApplet、Activex，CGI，数据库的安全隐患和其他计算机软硬件产品的不安全性，对信息系统实施攻击。对于金融信息系统，更严重的威胁来自各种主动攻击手段。主动攻击手段较多，如伪造票据、假冒客户、交易信息篡改与重放、交易信息销毁、交易信息欺诈与抵赖、非授权访问、网络间谍、“黑客”人侵、病毒传播、特洛伊木马、蠕虫程序、逻辑炸弹等。这些攻击完全能造成金融信息系统瘫痪、资金流失或失踪。这些攻击可能来自内部，也可能来自外部。

各种攻击将给金融信息系统造成以下几种危害：

1）非法访问：银行网络是一个远程互连的金融网络系统。现有网络系统利用操作系统网络设备进行访问控制，而这些访问控制强度较弱，攻击者可以在任一终端利用现有的大量攻击工具发起攻击；由于整个网络通过公用网络互连同样存在终端进行攻击的可能；另一方面银行开发的很多增值业务、代理业务，存在大量与外界互连的接口这些接口现在没有强的安全保护措施存在外部网络通过这些接口攻击银行，可能造成巨大损失。

2）窃取PIN/密钥等敏感数据：银行信用卡系统和柜台系统采用的是软件加密的形式保护关键数据，软件加密采用的是公开加密算法（DES），因此安全的关键是对加密密钥的保护，而软件加密最大的安全隐患是无法安全保存加密密钥，程序员可修改程序使其运行得到密钥从而得到主机中敏感数据。

3)假冒终端/操作员：银行网络中存在大量远程终端通过公网与银行业务前置机相连国内银行以出现多起在传输线路上搭接