网上银行网络安全架构探讨
某银行储蓄业务的网络安全设计
某银行储蓄业务的网络安全设计1. 引言网络安全已成为银行业务中不可忽视的重要因素之一。
银行的储蓄业务是其重要的核心业务之一,因此需要采取一系列有效的网络安全措施来保护客户的资金安全和个人隐私。
本文将探讨某银行储蓄业务的网络安全设计,包括网络架构设计、用户身份验证、数据加密、漏洞管理等方面。
2. 网络架构设计网络架构设计是网络安全的基础,直接关系到整个系统的安全性。
某银行储蓄业务的网络架构应采用三层结构,分别为外部网络、内部网络和数据存储区域。
外部网络是指连接银行系统与客户终端设备的网络,它需要采取防火墙、入侵检测系统(IDS)等安全设备,防止未经授权的访问和攻击。
内部网络是银行系统内部各个业务系统之间的交互网络,也是银行内部员工进行工作的网络。
内部网络应采取网络分隔技术,将不同的业务系统隔离开来,避免一台被攻陷的设备传播到其他设备。
数据存储区域是储存客户资金和个人隐私信息的地方,需要严格控制访问权限和加强访问审计。
数据存储区域应采用专用服务器和分布式存储系统,确保数据的安全和可靠性。
3. 用户身份验证用户身份验证是保护客户资金安全和个人隐私的关键。
某银行储蓄业务的用户身份验证应采用多因素认证方式,包括账号和密码、短信验证码、指纹识别等。
用户在进行储蓄业务操作前,需要通过多重身份验证才能获得授权,提高安全性。
应设置密码策略,要求用户设置强密码,定期更换密码,并提醒用户定期检查账户,发现异常情况及时报告。
4. 数据加密数据加密是保护客户隐私和资金安全的重要手段之一。
某银行储蓄业务的数据传输过程中应采用加密通道,确保数据在传输过程中不被窃取或篡改。
常用的加密算法有SSL/TLS协议和AES算法等。
在数据存储过程中,敏感数据也需要进行加密,包括客户的账户信息、交易记录等,并将密钥独立保存,确保数据在存储过程中不被非法获取。
5. 漏洞管理漏洞管理是保障网络系统安全的重要环节。
某银行储蓄业务的网络管理人员应定期对系统进行漏洞扫描和安全评估,及时修补系统中存在的漏洞。
银行网络安全架构
银行网络安全架构银行网络安全架构是指银行为了保护其网络安全,采取的一系列防护措施和技术体系。
由于银行数据的重要性,银行网络安全架构需要具备高度可靠、稳定、高效的特点,以保障客户的资金安全和个人信息的保密性。
银行网络安全架构主要包括以下几个方面的内容:1. 信息安全策略:银行需要制定一套科学完善的信息安全策略,明确相关人员的责任和义务,规定网络使用规范,完善信息安全的管理体系。
2. 安全评估与检测:银行需要定期对其网络进行安全评估与检测,检查网络是否存在安全隐患,确定是否有未知攻击。
3. 防火墙:银行需要建立高防火墙网络,阻断恶意攻击和入侵,降低银行网络被黑客攻击的风险。
4. 数据备份与恢复:银行需要制定一套完善的数据备份与恢复计划,确保在网络被攻击或其他突发事件导致数据丢失时,能够及时恢复数据,避免对客户造成不必要的损失。
5. 安全认证与身份验证:银行需要采用多种身份验证技术,比如指纹识别、虹膜识别、密码等,确保只有合法用户可以访问银行的网络系统和敏感数据。
6. 安全事件响应:银行需要建立快速响应机制,及时发现并处理所有可能的安全事件,最大限度地减少损失。
7. 网络监控和入侵检测系统:银行需要建立完善的网络监控和入侵检测系统,监测所有网络流量,及时发现并阻止潜在的安全威胁。
8. 安全教育和培训:银行需要加强员工的安全意识和技能培训,提高员工的安全防范能力,防止内部人员犯罪行为造成的安全隐患。
9. 合规与监管要求:银行需要根据国家的相关法律法规和监管要求,制定相应的安全措施,确保银行网络的合规性和安全性。
总之,银行网络安全架构需要建立多层级、多重防护的安全体系,以提供有效的安全保障和防御能力。
只有建立稳固的银行网络安全架构,才能保障银行的正常运营和客户资金的安全。
影响网上银行的安全因素和风险防范对策
影响网上银行的安全因素和风险防范对策随着互联网和移动设备的使用率不断增加,网上银行已经成为人们日常生活中的一部分。
尽管网上银行为人们提供了极大的便利,但也带来了安全风险。
本文将从影响网上银行安全的因素和针对风险的防范对策两个方面进行探讨。
一、影响网上银行安全的因素1. 网络技术安全隐患:网络技术不断更新,黑客们也不断找寻漏洞获取盈利,例如黑客可能会利用悬空会话攻击、钓鱼邮件、木马病毒扰乱用户的在线银行平台账户并窃取用户账户信息。
2. 用户信息泄露:用户的个人信息包含账户信息、密码、手机号、身份证号等,用户不慎泄露信息会给黑客利用的机会。
3. 网络病毒和黑客攻击:恶意软件和黑客攻击时常发生,以窃取用户的敏感信息。
不法分子通过网络病毒等手段,针对网上银行系统进行攻击,从而窃取用户账户信息。
4. 缺乏用户的安全意识:许多用户在使用网上银行时没有足够的安全意识,例如不定期修改密码,公共场合不保护好电脑屏幕等,使得账户被盗的风险增大。
二、风险防范对策1. 建立完善的防护策略:银行应建立先进的网络安全机制,及时检测网络攻击、窃取等问题,有定期的安全检测与修补工作。
2. 强化身份验证:加强身份验证,要求用户使用多层身份验证。
例如使用口令、数字证书、指纹等多层身份认证方式,降低身份被盗的风险。
3. 提供安全设置:提供更安全的设置选项,例如为每一个账号提供短信验证码服务,可以监控异常操作。
同时,账户中应有复杂密码设置、安全级别设置等防护措施。
4. 提高用户的安全意识:提高用户的安全意识对于网上银行的安全非常重要。
银行可通过宣传及时提醒用户使用网上银行过程中需要注意的事项。
5. 实时监控:及时监控系统,发现安全漏洞和问题,可以更快地进行处理和修补,及时保障用户的账户安全。
总之,网上银行在给人们带来巨大便利的同时,也存在着不可避免的安全风险。
银行和用户应加强防范意识,提高安全防范技术,共同保障网上银行的安全。
网上银行安全系统框架
5
密码算法
• 流密码算法 • 分组密码算法 – 对称密码算法
• DES • AES
– 非对称密码算法(公钥密码算法)
• RSA
– 椭圆曲线密码算法 – 数字文摘算法
98-0413, Cobra
PC screen
6
对称密码算法
• 数据加密和解密使用相同的密钥,通信双方必须掌
握相同的密钥,此密钥必须保密,不能公开。
98-0413, Cobra
PC screen
20
安全套接层协议SSL
• SSL安全通道的特性 – 信道是经过认证的 – 信道是保密的 – 信道是可靠的
98-0413, Cobra
PC screen
21
银行网络架构调研报告
银行网络架构调研报告一、引言随着信息技术的飞速发展,银行业务对网络的依赖程度日益加深。
一个稳定、高效、安全的网络架构对于银行的正常运营和业务发展至关重要。
为了深入了解银行网络架构的现状和发展趋势,我们进行了此次调研。
二、调研目的本次调研旨在全面了解银行网络架构的组成、特点、运行机制以及面临的挑战,为银行网络架构的优化和升级提供参考依据。
三、调研对象与方法我们选取了多家具有代表性的银行作为调研对象,包括国有大型银行、股份制银行和城市商业银行。
调研方法主要包括访谈、实地考察和文献研究。
四、银行网络架构的组成(一)核心网络核心网络是银行网络架构的中枢,负责连接各个分支机构和业务系统。
通常采用高速、高可靠的网络设备,如路由器和交换机,以确保数据的快速传输和稳定连接。
(二)分支机构网络分支机构通过专线或虚拟专用网络(VPN)与核心网络相连,实现数据的交互和业务的协同。
(三)数据中心网络数据中心承载着银行的关键业务系统和数据,网络架构要求具备高可用性、高性能和强大的扩展性。
(四)办公网络用于满足银行员工日常办公的网络需求,包括访问内部业务系统、互联网等。
五、银行网络架构的特点(一)高安全性银行网络涉及大量的客户资金和敏感信息,因此安全性是首要考虑的因素。
采用多种安全技术,如防火墙、入侵检测系统、加密技术等,保障网络的安全。
(二)高可用性银行业务要求网络时刻保持畅通,以避免业务中断带来的损失。
通过冗余设计、备份机制等确保网络的高可用性。
(三)高性能大量的交易数据和业务处理需要网络具备强大的性能,以保证快速响应和处理。
(四)严格的合规性银行网络架构必须符合相关的法律法规和监管要求。
六、银行网络架构的运行机制(一)流量管理通过合理规划网络带宽、设置优先级等方式,确保关键业务的流量得到优先保障。
(二)故障监测与恢复实时监测网络状态,一旦出现故障能够迅速定位并采取恢复措施,减少业务影响。
(三)安全防护机制定期进行安全漏洞扫描、更新安全策略,防范网络攻击。
网上银行网络安全对策浅谈
摘 要 : 网上银 行 作 为一 种 全 新 的银 行 客 户服 务 提 交渠 道 ,使 客 户在 享 受 银行 提 供 的服 务 时不 受 时 间、 间 的 限 制 , 空 因此 近 几 年 各 商 业银 行 的 网上 银 行 业 务 发 展 迅 速 , 安 全 性 但 始 终 是 用 户 与银 行 的关 注 重 点 。
务器 向验签服务器发起验签请求 。
R A服务器与验签服务器都与 A P服务器 问有数据交互 , P 但 R A服务器还需要通过互联网( 或专线 ) C C 与 F A的 C A服务器相 连, 因此 , A与验签服务器应部署在不 同的安全区域内。通常是 R 将R A与 WE B服务器 部署在一个安全区域内 ,而将 验签 服务器 与 A P服务 器部署 在一个 安全 区域 内 , P P A P服务器与 R A服务 器的访 问需要通过防火墙作访 问控制 。 11 综 合 业 务 系统 、 .. 5 网银 前 置 、 网银 管 理服 务 器 网银 的账务处理 、 客户数据及密码的存放都在综合业务系统 中完成 。网银前置( E B系统 ) 或 S 负责将 A P服务器 提交 的业务 P
各商业银行 由于 自身业务 系统 的差异 ,对网银系统应用架 构会有不 同的设计 , 但基本 的技术构成是类似 的 , 其各部分 的功
能也 相 似 。 1 . 网银 W E .1 1 B服 务 器
网银 D ( B 数据库 ) 服务器的主要作用是保存 、 共享各种及 时 业务数据 ( 如客户 支付金额 ) 和静态数据( 如利率表 )支持业务信 , 息系统的运作 , 对登 录客 户进 行合法性检查 。D B服务器通常需 要与存储整列连接 , 并且 D B服务器 通常采用 双机互为备份 的方 式以保证高可用性 。 网银 D B服务器与网银 A P服务器 的安全防护需求基本相 P 同, D 但 B服务器 只允许来 自 A P服务器的访问 , B服务器禁 P WE 止直接访 问 D B服务器 。A P服务器与 D P B服务器可以部署在同 个安全 区域 内, 也可分别部署 在两个不 同的安全区域 内。如部 署在 同一安全区域内 , A P与 D 则 P B服务器将 以同一个 防火墙作 为安全边界 , A P与 D 而 P B之间的互访控制可通过接入交换机上 的 A L实现。建议将 A P与 D C P B分别部署于各 自独立 的安全区
四大银行网上银行安全性比较概述
四大银行网上银行安全性比较概述1. 技术安全性:工商银行、农业银行、中国银行和建设银行都采用了先进的加密技术,保护客户的交易和隐私信息。
它们都提供了多重身份验证、虚拟键盘输入等安全措施,以防止账户被盗或信息泄漏。
2. 防范措施:四大银行都建立了完善的防范措施,包括实时监控、异常交易提示、验证码验证等,以最大程度地确保客户账户安全。
同时,它们也提供了网上交易风险评估和安全设置调整等功能,以便客户根据个人需求调整安全级别。
3. 安全体系:工商银行、农业银行、中国银行和建设银行都建立了完善的安全体系,包括国际标准的信息安全管理体系和安全运营管理规程等,以确保网上银行服务的正常运行和安全性。
4. 客户服务:四大银行在网上银行安全方面也提供了专门的客户服务团队,负责处理客户的安全问题和投诉。
客户可以通过客服热线、在线客服等渠道与银行及时沟通,以解决安全隐患和疑问。
综上所述,工商银行、农业银行、中国银行和建设银行的网上银行服务都具有较高的安全性。
客户在使用网上银行服务时,应该通过官方渠道下载客户端,避免使用公共网络进行交易,随时更新安全软件,保护个人信息,提高账户的安全级别。
同时,如果遇到安全问题,要及时与银行客服联系,以获得专业的安全建议和帮助。
在当今的数字时代,随着互联网的普及和移动设备的普遍使用,网上银行已成为人们日常生活中不可或缺的一部分。
然而,随之而来的安全隐患也日益凸显,尤其是在个人隐私和财产安全方面。
因此,银行安全性成为了客户选择网上银行的一个重要考量因素。
值得一提的是,四大银行都具备着较高的信誉和客户基础,也能够通过严格的安全性测试。
但是,对于客户而言,选择适合自己的银行和网上银行服务的安全性还需要综合考虑自身的实际需求和习惯。
以下是一些客户在选择银行时可以考虑的一些方面:1. 加密技术和隐私保护:在网上银行中,加密技术和隐私保护无疑是至关重要的。
用户可以通过了解银行采用的加密技术、隐私政策等方式来评估银行的安全性水平。
网上银行安全系统(1)
三、安全系统架构
PPDRR 安全模型 安全系统网络拓扑图 安全策略 安全防护方案 安全检测方案 安全恢复方案
网上银行安全系统(1)
三、安全系统架构
3.1PPDRR 安全模型
构建完善的安全系统解决方案,安全模型的选择至关 重要。PDR 模型是由 ISS 公司最早提出的入侵检测的 一种模型。PDR 是防护(Protection)、检测 (Detection)和响应(Response)的缩写。三者构成 了一个首尾相接的环,也即“防护 -> 检测 -> 响应 -> 防护”的一个循环。PDR 模型有很多变体,在银行网 络中最著名的是 PPDRR 模型。增加了策略 (Policy) 和 恢复 (Recovery)。PPDRR 模型是典型的、公认的安全 模型。它是一种动态的、自适应的安全网上银模行安型全系,统(1可) 适应
网上银行安全系统(1)
2020/12/13
网上银行安全系统(1)
一、网上银行安全系统概述 二、网上银行系统安全需求 三、安全系统架构 四、安全检测方案 五、评价
网上银行安全系统(1)
一、网上银行安全系统概述
背景
安全是网上银行应用推广的基础,网上银行的安全系统 是为了保证网上银行系统的数据不被非法存取或修改, 保证业务处理按照银行规定的流程被执行。 如何保证网 上银行交易系统的安全,关系到银行内部整个金融网的 安全,也关系到银行客户的资金安全。因此,网上银行 的安全建设至关重要。
网上银行安全系统(1)
3.4安全防护方案
身份认证系统 权限控制系统 边界控制 防病毒网关 传输加密 安全的操作系统
网上银行安全系统(1)
3.4安全防护方案
3.4.1身份认证系统 网上银行应用系统中的安全防护的第一道防线是身份 认证。身份认证的技术有很多,可以分为两类:软件 认证和硬件认证。其中软件认证多为用户自己知道的 秘密信息,譬如用户名和密码。硬件认证包括 IC 卡, 基于生物学信息的身份认证,比如指纹识别,虹膜识 别,面部识别等。
我国网上银行采用的安全技术与措施分析
我国网上银行采用的安全技术与措施分析一、实验目的与内容登陆国内各家网上银行,以中国建设银行、中国招商银行、中国农业银行以及中国工商银行为例,了解我国网上银行采用的安全技术与措施(或手段等),从而对比分析各家银行的网银业务中,安全措施的严格性与可靠性、方便性等。
二、实验过程1﹒中国建设银行网络安全是中国建设银行网上银行()应用的关键和核心。
为了能让客户安全、放心地使用网上银行,建设银行制定了以下安全策略,以全面保护客户的信息资料与资金的网上交易安全:(1)短信服务建设银行网上银行提供了从登录、查询、交易直到退出的每一个环节的短信提醒服务,客户可以直接通过网上银行捆绑其手机,随时掌握网上银行使用情况。
(2)动态口令卡动态口令是一种动态密码技术,简朴地说,就是客户每次在网上银行进行资金交易时使用不同的密码,进行交易确认。
建设银行推出的网上银行动态口令卡是一种大小、形状与银行卡同样的卡片,俗称刮刮卡。
每张卡片覆盖有30个不同的密码,客户在使用网上银行过程中,需要输入交易密码时,只需按顺序输入刮刮卡上的密码即可,每个密码只可以使用一次。
(3)网银盾如图1所示,为中国建设银行网银盾:图1 中国建设银行网银盾(4)双密码控制,并设定了密码安全强度网上银行系统采用登录密码和交易密码两种控制,并对密码错误次数进行了限制,超过限制次数,客户当天即无法进行登录。
在客户初次登录网上银行时,系统将强制规定用户修改在柜台签约时预留的登录密码,并对密码强度进行了检测,规定客户不能使用简朴密码,有助于提高客户端的安全性。
(5)交易限额控制网上银行系统对各类资金交易均设定了交易限额,以进一步保证客户资金的安全。
如表1,为中国建设银行网上银行交易限额表:表1 中国建设银行网上银行交易限额表(6)E路护航网银安全组件“中国建设银行E路护航网银安全组件”,涉及网银安全检测工具、网银安全控件、密码保护控件等一系列安全增值服务,并且通过升级至最新的网银盾管理工具,可进一步提高网银盾的安全性,实现“所见即所签”功能,有效防范木马病毒的侵袭,通过使用网银盾证书更新工具,在客户端进行证书更新,提高证书更新成功率。
从系统的观点谈银行IT安全生产 附银行系统网络安全问题与解决措施
本文针对提升商业银行IT系统的运行保障水平,从系统科学和控制论的观点出发,对银行IT系统提出了一种基于系统关联分析的故障定位方法,对报警信息整合和利用进行了研讨。
我国商业银行IT系统稳定运行面临的挑战随着我国商业银行IT系统建设日益重视自主可控技术,分布式核心、主机下移在未来一段时间内逐渐成为趋势。
一方面信息系统日益复杂,另一方面新技术新产品存在一个逐渐成熟的过程,都对IT系统的稳定运行提出了新的挑战。
数据中心如何才能保障IT系统的稳定运行?一旦发生故障如何做到快速响应、快速定位、快速解决、第一时间恢复生产?本文试图应用系统科学、控制论的观点探讨银行IT系统的子系统关联流程分析、报警信息整合、故障定位和处理,并结合行业实践和本人经验,给出一些可供参考的建议。
从系统科学、控制论观点看银行IT系统控制IT系统运维的系统、控制论观点系统科学是研究系统的结构与功能关系、演化和调控规律的科学,是一门新兴的综合性、交叉性学科。
它与控制论有着紧密的联系。
系统/控制理论的基本观点包括系统观点、信息观点、反馈观点和控制观点。
l^系统观点系统论从整体上研究事物,把事物(对象)看成是一个由各个部分(要素)组成的系统。
对这个系统,要研究其各部分功能上的联系。
控制论把系统与其它事物的联系概括为“输入''(外部对系统的影响)以及“输出”(系统对外部的影响)。
根据系统观点,对于银行IT系统,本身可以看作一个大的系统,各个应用和基础架构(应用服务器、数据库服务器、网络交换机、通讯链路、各种终端、负载均衡设备和其它类型设备等)可以看成是这个大系统的子系统。
我们可以对银行IT系统的多个子系统建立因素关联分析法。
对于每个系统列出支持系统,上游系统和下游系统。
在故障发生时,及时对关联的系统进行关注和处理。
例如,由于系统同时发生故障的几率较小,在多个系统同时发生故障时,如果这些系统并非互相依赖,则可以找出这些系统的共同支持系统,从而迅速判断故障定位。
银行工作中的网络安全与防范措施
银行工作中的网络安全与防范措施随着互联网的快速发展,银行业务也逐渐向线上转移。
然而,网络安全问题也随之而来,给银行工作带来了新的挑战。
在这篇文章中,我们将探讨银行工作中的网络安全问题,并介绍一些防范措施。
首先,让我们了解一下银行工作中存在的网络安全问题。
银行作为金融机构,拥有大量用户的敏感信息,如个人身份证号码、银行账号和密码等。
黑客和网络犯罪分子时刻准备着对这些信息进行攻击和窃取。
他们可以通过各种手段,如钓鱼网站、恶意软件和网络钓鱼邮件等,来获取用户的账户信息。
一旦黑客入侵了银行的系统,他们可以窃取大量的财务数据,并对用户的资金安全造成严重威胁。
为了保护用户的资金安全和个人信息,银行采取了一系列的网络安全防范措施。
首先,银行会建立强大的防火墙系统,以阻止未经授权的访问。
这些防火墙可以检测和拦截潜在的攻击,并保护银行的服务器和数据库。
其次,银行会使用加密技术来保护用户的数据传输过程。
通过使用SSL(Secure Socket Layer)和TLS (Transport Layer Security)等加密协议,银行可以确保用户的数据在传输过程中不会被窃取或篡改。
此外,银行还会定期对系统进行安全漏洞扫描和修复,以确保系统的稳定性和安全性。
除了技术手段,银行还重视员工的网络安全教育和培训。
银行会定期组织网络安全培训课程,向员工传授有关网络安全的知识和技能。
员工将学习如何识别和防范网络攻击,并了解应对应急情况的措施。
此外,银行还会制定严格的网络安全政策和操作规范,要求员工遵守相关规定,确保他们的行为不会给银行的网络安全带来风险。
然而,尽管银行采取了这些网络安全防范措施,但仍然无法完全消除风险。
黑客和网络犯罪分子的技术水平不断提高,他们不断寻找新的攻击方法。
因此,银行需要不断更新和改进网络安全技术和措施,以应对新的威胁。
此外,用户也应该提高自己的网络安全意识,不轻易泄露个人敏感信息,定期更改密码,并注意防范钓鱼网站和恶意软件的攻击。
银行计算机网络系统的安全探讨
行的出现 ,电子商务的 日趋普及 ,为客户提供了方便快捷 、 见报道的计算机 网络犯罪案件来看 ,多数 网 丰富多彩的金 融服 务,以增强 自己的竞争实 力。但是 , 随着 络犯罪者都很年轻 ,他们宣称 ,自己并不知
计算机网络系统应 用的不断增加 , 其安全风险问韪也不时地 道这样做是 犯罪 另外 ,目前 国内多数 网络
密的泄漏等。 其 中, 第三 种是 当前 Itrc 网络所面临 ne t a
的最大威胁 , 是当今网上银行、 电子商务 、 政
一
银 行 网 络 系 统 安 全 的 重 要 性
府上 网工程等顺利发展的最大障碍 ,也是银
在我国加入 WT O后,金融行业的竞争更加激烈,从央 行 网络安全 策略最需要解决的 问韪 。 行到其他 各类金融企业都纷纷利用计算机网络 系统 , 网上银 导致 网络攻击的原 因有方方面面 ,从已
;
保 计 机 息 统 种 备 物 证 算 信 系 各 设 的
5 位密码 i 理安全是保障整个网络系统安全的前 行远程控制都较难 :一 方面 ,系统必须 可作 为密码字符的共有 9 个,7
9 而多数用户在选择 兰 提 物理安全是保 护计 算机网络设备 、 提供一定的途径许可外 系统的访问 ;另 的总量就是 6 万亿 。 设施免遭地震 、水灾、火灾等环境事故
2年 从 物 理 上讲 ,计 算 机 网 络安 全 是 脆 使控制技术本身并无缺陷 , 在选用控制 举 ,前者要用 2 1 ,但 使用较短的密
弱的 。就 如通信 领域 所面临 的问题 一 系统时 还有 一个平 衡 的 问题 :控 制太 码被破解 的概 率却要大得多。
样 ,网络涉及的设备 分布极为广泛 ,任 严 ,合法用户的正常 使用将受到影响 ; 何个人或组织都不可能时刻对这些设备 控 制太松 ,就会有漏洞。要做到恰到好 进 行 全 面 的监 控 。安 置 在 不 能 上锁 位 置 处 的控 制并 不是一件容 易的事 。
银行工作中的网络安全与防护措施
银行工作中的网络安全与防护措施随着信息技术的飞速发展,网络安全问题日益突出。
特别是在银行业务中,网络安全和信息防护措施必须得到高度重视和强化。
本文将从三个方面探讨银行工作中的网络安全与防护措施,包括网络安全意识的培养、技术手段的应用以及安全管理措施的实施。
1. 网络安全意识的培养网络安全意识的培养是银行工作中网络安全防护的基础。
银行机构应加强员工网络安全知识的培训,提高其识别网络威胁和防范网络风险的能力。
通过定期组织内部培训、外部专家讲座等形式,加强员工的网络安全意识,使其了解网络攻击的危害性和防范方法。
同时,鼓励员工积极报告可疑信息,共同提升整个银行机构的网络安全防护能力。
2. 技术手段的应用银行在工作中广泛应用各种技术手段来提升网络安全与防护措施。
首先,银行应建立完善的网络安全体系,包括防火墙、入侵检测系统等,以实现对网络数据的实时监控和分析。
其次,采用数据加密技术保护敏感信息的传输和存储,确保客户数据的安全性。
此外,银行还可以通过建立灵活的访问控制机制、强化密码安全管理等手段,限制和防范恶意攻击者对系统的入侵和篡改。
3. 安全管理措施的实施除了培养员工的安全意识和应用技术手段,银行还需要制定和实施一系列安全管理措施,以确保网络安全与防护的有效性。
首先,建立健全的网络安全管理制度和规范,明确员工的工作职责和行为准则,严禁泄露客户信息和对内部数据进行滥用。
其次,增强内部监督和审计力度,及时发现和处理网络安全事件,加强对员工操作行为的监控。
此外,建立紧急响应机制,定期进行安全演练和应急处置演练,提高银行对网络安全事件的应对能力。
综上所述,银行工作中的网络安全与防护措施至关重要。
通过培养员工的网络安全意识、应用各种技术手段以及制定和实施安全管理措施,银行可以有效地提升网络安全的能力和防范风险的能力。
只有以全面的措施保障网络安全,才能为客户提供更加可靠和安全的金融服务。
招行银行的网络安全与信息保护机制
招行银行的网络安全与信息保护机制随着互联网的快速发展和普及,越来越多的用户选择了网上银行作为他们的支付和理财方式。
然而,随之而来的是网络安全问题的日益凸显。
作为国内最大的商业银行之一,招商银行对于网络安全和信息保护非常重视。
为了保障客户财产安全和隐私保护,招行银行实施了一系列严密的网络安全措施和信息保护机制。
一、招行银行的网络安全防护体系为了有效应对网络安全威胁,招行银行采取了一系列的网络安全防护措施。
1. 防火墙系统:招行银行建立了专业的防火墙系统,对所有网络流量进行严格的监控和过滤,确保恶意攻击无法突破银行系统。
2. 入侵检测系统(IDS)和入侵防御系统(IPS):招行银行引入了入侵检测系统和入侵防御系统,能够及时发现并阻止任何未经授权的系统入侵,确保系统的安全性。
3. 数据加密:招行银行采用了先进的数据加密技术,对客户敏感信息进行加密传输,有效防止黑客窃取用户信息。
4. 安全认证机制:招行银行引入了多种安全认证技术,包括用户身份验证、数字证书等,确保用户在进行网络交易时的安全性。
二、招行银行的信息保护机制除了网络安全,招行银行还十分重视客户信息的保护。
1. 客户信息收集与使用:招行银行仅在法律许可的范围内收集和使用客户信息,严格遵守相关法律法规,保护客户的隐私权。
2. 信息加密与传输:招行银行在客户信息的传输过程中采用SSL技术进行加密,确保客户信息不被黑客窃取。
3. 安全审计:招行银行建立了完善的安全审计机制,定期对系统进行安全检测和监控,及时发现和解决潜在的安全风险。
4. 内部安全体系:招行银行严格限制内部员工对客户信息的访问权限,确保客户信息不被泄露。
三、招行银行的风险识别与应对能力招行银行具备强大的风险识别和应对能力,能够有效识别和应对各种网络安全威胁。
1. 实时监控系统:招行银行建立了实时监控系统,能够对系统运行情况进行24小时不间断监控,及时发现和处理异常情况。
2. 异常交易监测:招行银行通过大数据分析和风险模型建立,能够准确识别出异常交易,及时阻止并通知客户。
银行网络安全架构
银行网络安全架构随着信息技术的迅猛发展和银行业务的日益数字化,银行网络安全架构的设计和建设变得至关重要。
银行作为金融机构,拥有大量用户的财务信息和敏感数据,需要确保网络系统的安全稳定,以保护用户的资金和信息安全。
银行网络安全架构是一个复杂的系统,主要由以下几个方面组成:一、外部安全防护:银行需要建立强大的防火墙系统,通过检查和过滤进出银行网络的数据包,防止未经授权的外部访问。
此外,还需要建立入侵检测和入侵防御系统,及时发现和应对潜在的网络攻击。
二、内部安全保障:银行需要对内部员工的网络访问权限进行严格管理,确保只有合法授权的人员能够访问敏感信息。
可以采用访问控制技术和身份认证技术,限制员工的网络权限,并使用加密技术对敏感数据进行保护。
三、安全监控和日志管理:银行需要实时监控网络系统的运行状态,及时发现并处理异常情况。
可以通过网络监控、入侵检测、日志分析等技术手段,对网络系统进行全面的监控和管理。
同时,还需要建立完善的日志管理机制,记录和存储安全事件和操作记录,以便追踪和审计。
四、灾备和容灾:银行网络安全架构需要具备灾备和容灾能力,以应对各种突发事件和灾难。
银行可以建立分布式系统和多机房架构,确保网络系统的高可用性和容错性。
此外,还需要定期进行备份和复原,以保证关键数据的可恢复性和完整性。
五、安全培训和教育:银行网络安全架构的建设需要与员工的安全意识和技能培养相结合。
银行应该定期组织网络安全培训和教育,提高员工对网络安全问题的认识和理解。
同时,还要加强对员工的安全行为规范的约束和监督,确保员工不泄漏敏感信息,不从事违规操作。
在实际的网络安全架构设计中,银行还需要根据具体情况选择合适的技术方案和产品。
常见的技术手段包括加密技术、访问控制技术、防火墙技术、入侵检测和入侵防御技术、安全日志管理技术等。
同时,银行还需要定期进行安全评估和漏洞扫描,及时修复系统中存在的安全漏洞,提高网络系统的安全性和稳定性。
我国网上银行存在的问题及对策
我国网上银行存在的问题及对策随着互联网的不断发展,网上银行已经成为了现代金融行业的一个重要组成部分,在人们的生活中起到了越来越大的作用。
然而,在我国的网上银行服务中仍然存在许多问题,这些问题对于用户的使用体验和安全性都存在较大的影响。
因此,本文将从问题的层面出发,分析我国网上银行存在的问题并提出相应的对策。
一、风险管理问题1、账户密码安全问题在我国的网上银行中,很多用户还存在账户密码过于简单、容易被猜测的情况,这很容易导致他人通过猜测获得用户的账号和密码,再通过网络盗窃等手段实现非法操作。
因此,银行应该通过强制要求用户设置密码复杂度、定期更新密码等方式来提高密码安全性,同时还应该提供用户身份验证技术来避免身份被盗用。
2、网络攻击风险问题在我国的网上银行中,由于银行网络的复杂性和用户的安全意识不足,使得银行自身会遭受网络攻击风险的威胁。
例如,有些黑客会通过网络攻击手段获取用户的账号和密码,然后在网上银行中盗窃用户的财产。
因此,银行应该进行严谨的网络安全评估、及时更新网络安全技术、以及加强其员工的安全意识帮助消除这一风险。
3、虚假网站欺诈问题虚假网站欺诈是一种常见的网上银行犯罪行为,它通过仿冒银行网站、误导用户操作等方式来欺骗用户,从而获得用户的账户和密码等重要信息。
在面对这种风险时,银行应该建立完善的反欺诈体系,例如,根据网络地址反查信息、提供验证码、以及通过依据用户的使用习惯等情况来增强反欺诈尝试。
二、服务策略问题1、服务质量提升随着用户对于网上银行的需求和期望不断提高,银行应该重视服务质量的提升以满足用户的需求。
例如,银行应该加强客服的应对技巧与责任心,避免陷入恶性竞争与出现服务水平下降的情况,同时还应该加强系统的可靠性与免除各种系统漏洞。
2、跨界经营问题在我国的银行网上银行业务中,许多银行也开始涉足金融领域之外的其他领域,但由于银行的专业性有限,使得他们往往在这些领域经验欠缺、缺乏专业性。
因此,银行应该注重开发新的技术来满足用户跨界付款、投资的需求,同时还应该通过与其他金融或技术公司的协作合作以寻求更多的技术支持。
银行网络架构调研报告
技术创新,变革未来
现状调研分析思路
银行网络系统现状调研分析思路:
AAA服务 DNS/NTP服务 全局负载均衡
④ 网 络 安 全 服 务
③ 网络扩展服务
应用负载均衡
IP地址规划 Intranet网络互联 数据中心网络互联
② 网络基础服务
Extranet网络互联
路由协议规划 Internet互联网接入 网络功能域划分
⑤ 网 络 管 理 服 务
① 数据中心分布及定位
主数据中心 同城灾备数据中心 异地灾备数据中心
1
网络基础服务:数据中心网络互联
同城数据中心
主数据中心
异地数据中心
DWDM 密集波分技术
同城数据中心 异地数据中心
同城数据中心之间,分别采用不同运营商的冗余裸光纤+DWDM 技术,实现IP网和FC-SAN网的互联互通
核心交换区内联区灾备生产区分支行分支行dc核心交换区dc核心交换区网络架构优化建议网络服务关注点现状分析优化建议网络基础服务功能域划生产区交换机与核心交换区交换机复用不利于安全控制和故障隔离增加独立的核心交换区交换机负责连接各功能域数据中心互联异地灾备中心只有到主中心的链路一旦主中心网络中断无法为同城灾备中心提供备份服务增加异地灾备中心到同城灾备数据中心的专线满足灾备要求同城灾备互联使用的是交换机trunk口通过dwdm直连方式这样2个数据中心交换机都在一个stp域中不利于故障隔离同城灾备中心互联使用macinip技术隔离stp和广播外联区网络架构atm只有到数据中心的链路缺乏冗余链接建议将atm放在内联区并增加到同城灾备数据中心的备份链路前置机放在生产区不利于管理及安全控制将前置机放在外联区前置机内外均有防火墙保护并且防火墙要异构部分第三方线路只到数据中心缺乏冗余有条件的话配备同城灾备中心灾难恢复所需的外联链路互联网区网络架构主中心的dmz区域和同城灾备中心的互联网区域不能互相提供灾备服务将同城灾备中心的互联网区扩建为与主中心相同网络架构的dmz区两个区域互为灾备网络扩展服务dns服务未部署dns域名解析系统应用系统主要通过ip地址方式进行互访不利于应用系统灾备切换后的快速访问用户无法实现透明访问
网络银行发展中存在的问题及对策
网络银行发展中存在的问题及对策网络银行是近年来银行业务发展的一种趋势,它为人们提供了便利的银行服务和高效的资金管理。
然而,在网络银行的发展中仍然存在一些问题,这些问题包括安全性问题、法律监管问题以及金融创新问题等。
本论文将就这些问题进行探讨,并提出相应的对策。
一、安全性问题网络银行的安全性问题是网络银行发展中需要重点关注的问题。
现如今,网络攻击、数据泄露等安全威胁不断增多,这些威胁会直接影响到网络银行的安全。
首先,网络银行需要建设强大的网络安全防护体系。
这一方面需要银行投入足够的资金购买网络安全设备、加强网络防护措施;另一方面,还需要对内部人员加强安全教育。
银行内部员工需要知道如何创建强密码、如何识别和避免网络诈骗等常见的安全威胁。
其次,银行还需要优化用户验证机制。
用户验证机制是确保银行账户真实性和保护账户安全的基石。
随着黑客攻击技术的不断发展,单一身份验证机制逐渐变得脆弱。
因此,银行应当运用多种身份验证技术,如用户手机号码、指纹、人脸识别等,以及采用双重身份认证机制,进一步提高账户安全水平。
最后,针对数据泄露等事件,银行需要完善一套应急响应机制。
银行要及时发现并处理异常、风险事件,以求尽早找出漏洞并进行修复工作,确保银行数据的安全,提高网络银行的服务质量和用户黏性。
二、法律监管问题网络银行作为一种新兴的金融服务方式,其法律监管和市场监管都显得尚不完善。
现如今,网络银行面对的法律问题和市场问题还有待进一步完善。
首先,银行应当遵守国家法律法规,注重用户隐私保护。
随着监管的不断完善和银行的自我约束,没有按照国家的法律规定、擅自泄露用户信息等问题会得到更严厉的惩罚。
银行的风险管理机制应当不断完善,进行规范化的操作,防范不法行为,确保银行的合法权益。
其次,银行应当尽快明确监管机构的角色和职责。
监管机构应当针对性的进行监管规制,并规范化操作流程,提高监管效率。
防范潜在风险的发生并及时处置风险事件,保障广大消费者的权益。
网上银行安全架构设计浅析
网银 的登录界面和操作环境 , 银 AP 服 务器 发起业 P 务逻 辑 ,根据用户交易请求获取相关数据 ,完成 银交 易。合理的安全架构没计使得数据流r清晰 u控 ,各类 u J r
可实现业务流量在多台服 务器『 的均匀分配 ,从而提升 安全技术手段有机结合 ,有效地保障 r 上银行的信息 日 J
务器 提 交 的业 务 请 求经 过 协 议 处理 、数 据格 式 转 换 或 加 刚上 银 行用 户 数据 通过 S L』 密 再经 过 流量 清洗 和 S J u
密后转交到综合业务系统的主机进行处理 ;网银管理服 I SIS检测 ,到达 网银 We 服务器 ,We 服 务器提供 D/ P b b 务器实现 银用户管理功能 ( 如开户 、 注销 、 征书下载 、 密码修改等 ) 对其要求主要是保障服 务高可用性 与 .
A的身份认证 。随后 ,客户的请求 但是 ,同其他任何行业一样 。网络安全风 险的阴霾 服 务器 ,同时进行 R 如 同网络技术的孪生子 ,伴 随着网络技术在金融行业的 数据通过加密后传达至网上银行应用 ( P AP )服务器并
全面应用而全面笼罩在金融行业各个业务角落。尤其是 与 银 行 的核 心 业 务 系统 主机 进 行 联 机 ,享 受全 方 位 的 网 网上银行系统 ,由于其基础环境的开放性和不确定性 , 使其和传统银行业务相比会面临更大的技术风险 , 因此 , 上金融服 务。另一方 面,银行网点通过登录网银管理服 务器进行 客户证书签发 、客户信息管理 等相关操作 ,整
业务的响应速度和服 务高可 性 。在访问安全方面 ,可 安全 以通过异构的防火墙系统进行 访问权 限控制 ,通过漏洞扫描设备实现整体
网上银行的安全性分析与研究
网上银行的安全性分析与研究摘要:随着网上银行的迅速发展,其安全问题倍受关注。
结合网上银行的发展现状,研究分析了网上银行采用的安全技术,并对其今后的发展进行了展望。
关键词:网上银行;安全性;分析0 引言随着网络技术的飞速发展,目前Internet已渗透到每个家庭每个用户,成为人们生活当中不可或缺的部分,而网上购物等新的消费方式正在逐渐影响着人们的生活。
因此,网上银行是金融业的一大变革,是信息化时代的产物。
网上银行又被称为网络银行、在线银行,是Internet上的虚拟银行。
网上银行以传统的银行为基础,利用新的经营理念和经营模式,提供一些新兴业务。
对银行本身而言,网上银行就是传统银行的一种延伸、一种补充,与传统银行相比,网上银行的优势在于,不仅可以降低银行的经营成本,而且还可以增加业务交易量,从而获得更大的利益。
对用户而言,网上银行不受时间和空间的限制,用户只要有一台连向Internet的计算机,不管在任何地方、任何时间都能够进行网上交易,从而节省了用户的宝贵时间,解除了用户排队长龙的烦恼。
目前比较流行的网上购物,用户足不出户就可以尽情遨游淘宝商城,购买自己心仪的宝贝。
1 网上银行安全性研究的必要性世界上第一家网上银行成立于1995年,美国的“安全第一”网上银行,而我国的网上银行起步较晚,2000年至2005年,以招商银行和工商银行为代表的商业银行在市场的驱动下,利用网上银行的优势,快速发展我国网上银行业务,成为我国网上银行的领头军。
之后,各家银行纷纷开设了自己的网上银行。
我国网上银行业务虽然起步比较晚,但发展相当快。
起初,我国网上银行多集中在沿海地区的大城市,比如北京、上海、广州、南京等。
目前,已经蔓延到了全国各地,正逐步向中小城市深入。
近几年,为了提高网上银行的交易额,各个银行不断创新网上银行产品,在个人网银方面理财产品的种类不断增加,企业网银方面银行逐步开展银行企业直联和网上信贷等业务。
随着网上银行业务的大范围推广,我国网上银行用户规模发展迅猛。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
网上银行网络安全架构探讨2010年03月12日文/康乐从分析网银系统的应用架构入手,规划网银服务器端应具备的网络安全架构网上银行作为一种全新的银行客户服务提交渠道,使客户在享受银行提供的服务时不受时间、空间的限制,因此近几年各商业银行的网上银行业务发展迅速。
据CFCA《2009中国网上银行调查报告》显示,全国城镇人口中,个人网银用户的比例为20.9%,企业网银用户的比例为40.5%。
网银业务高速发展的同时,安全性始终是用户与银行的关注重点。
对用户而言,提升防范意识并掌握必要的安全技术措施才能有效规避交易风险。
对于银行来说,采用合理的网络安全架构,综合运营各类安全技术手段(如防火墙、入侵检测、数字证书等),才能避免网络安全问题造成的损失。
一、网银网络安全需求分析各商业银行由于自身业务系统的差异,对网银系统应用架构会有不同的设计,但基本的技术构成是类似的,其各部分的功能也相似。
图1是较为典型的网银应用系统结构:图1 网银系统结构图1.网银WEB服务器网银WEB服务器是网银业务面向互联网客户的主用界面,当前互联网上有很多基于WEB 应用的攻击,由于网银WEB直接暴露于互联网上,因此WEB服务器前不仅要通过防火墙实现基于网络层或传输层的访问控制,通过部署IPS实现深度安全检测,还需要通过流量清洗设备实现DDOS攻击防御。
另外,由于安全防护要求不同,建议将网银WEB服务器与银行门户WEB服务器部署在不同的网络区域内,以防止门户WEB的安全漏洞对网银业务的影响。
网银WEB服务器与用户浏览器间通过HTTPS协议保证数据的私密性与完整性,为了减少WEB服务器进行密钥交换与加解密的工作负担,建议在WEB服务器前部署SSL卸载设备。
当前多数厂家生产的服务器负载分担设备兼具SSL卸载功能,因此在网银WEB服务器前部署负载分担设备既可实现HTTPS协议加速,又可实现业务负载分担和服务高可用性。
2.网银APP服务器网银APP(应用)服务器提供网银系统的业务逻辑,包括会话管理、提交后台处理以及向WEB服务器提交应答页面等。
APP服务器与WEB服务器共同构成网银业务(如网上支付与结算、网银转帐、基金交易、网上理财等)运行环境。
由于WEB服务器与互联网客户浏览器之间承载数据的SSL协议不具备数字签名功能,所以网银客户端的数字签名通常由浏览器插件程序完成,而服务器端的验签工作则由单独的验签服务器完成。
客户签名的交易数据经由WEB服务器提交给APP服务器,再由APP服务器向验签服务器发起验签请求。
上述工作流程决定了APP服务器作为网银系统的核心组件,应保障其服务高可用性与网络访问安全性。
在APP服务器前部署服务器负载分担设备可实现业务流量在多台服务器间的均匀分配,从而提升业务的响应速度和服务高可用性。
另外,部署负载分担设备后,可根据网银业务量的大小动态配置APP服务器,可提高业务扩展能力。
从安全角度考虑,由于APP服务器与网银WEB服务器所处的安全区域不同,因此在网银WEB服务器与APP服务器之间应部署防火墙实现访问控制。
APP服务器前通常不需要部署IPS设备,一方面原因是APP服务器不接受直接来自互联网的访问流量,安全风险较低,另一方面原因是当前市场上各类IPS产品的价格都比较高,在部署更多IPS设备将增加网银系统的建设成本。
3.网银DB服务器网银DB(数据库)服务器的主要作用是保存、共享各种及时业务数据(如客户支付金额)和静态数据(如利率表),支持业务信息系统的运作,对登录客户进行合法性检查。
DB服务器通常需要与存储整列连接,并且DB服务器通常采用双机互为备份的方式以保证高可用性。
网银DB服务器与网银APP服务器的安全防护需求基本相同,但DB服务器只允许来自APP 服务器的访问,WEB服务器禁止直接访问DB服务器。
APP服务器与DB服务器可以部署在同一个安全区域内,也可分别部署在两个不同的安全区域内。
如部署在同一安全区域内,则APP与DB服务器将以同一个防火墙做为安全边界,而APP与DB之间的互访控制可通过接入交换机上的ACL实现。
建议将APP与DB分别部署于各自独立的安全区域,并以不同的防火墙做安全边界,这样部署有更高的安全性,更清晰的安全策略以及更好的网络可扩展性。
4.RA服务器、签名验证服务器RA服务器与签名验证(验签)服务器都是与网银交易中数字签名相关的系统。
RA (Registration Authority,数字证书注册审批机构)服务器是PKI体系中CA服务器的延伸,RA负责向CFCA(中国金融认证中心)的CA或银行自建的CA申请审核发放证书。
验签服务器负责对用户提交的交易数据进行数字签名验证。
RA服务器与验签服务器都与APP服务器间有数据交互,但RA服务器还需要通过互联网(或专线)与CFCA的CA服务器相连,因此RA与验签服务器应部署在不同的安全区域内。
通常是将RA与WEB服务器部署在一个安全区域内,而将验签服务器与APP服务器部署在一个安全区域内,APP服务器与RA服务器的访问需要通过防火墙做访问控制。
5.综合业务系统、网银前置、网银管理服务器网银的帐务处理、客户数据及密码的存放都在综合业务系统中完成。
网银前置(或ESB系统)负责将APP服务器提交的业务请求经过协议处理、数据格式转换或加密后转交到综合业务系统的主机进行处理。
位于网点的客户端通过访问网银管理服务器实现网银用户管理功能(如开户、注销、证书下载、密码修改等)。
上述三种业务系统都部署在银行数据中心内网区,APP服务器与三者间都存在直接或间接的访问关系,由于网银APP服务器与数据中心内网区分属不同的网络安全区域,所以两者间的网络通信需要通过防火墙进行访问控制。
二、网银分区安全部署要求前文从网银业务的角度分析了网银系统中各类服务器的网络安全需求,各服务器区以防火墙作为区域安全边界,为提高网银的整体安全性,各区域边界防火墙采用不同厂家的产品,由此在整体布局上形成了“多层异构防火墙”安全架构,如图2所示。
从业务功能上考虑,还可将这种安全架构划分成四个功能区域:互联网接入区、DMZ区(接入WEB服务器、RA服务器)、网银业务区(接入APP服务器、DB服务器)、数据中心内网区。
图2 网银的网络安全架构各功能区域的网络安全部署要求如下:1)互联网接入区●部署链路分担设备,提供多ISP的互联网接入,并承担网银域名解析;●部署流量清洗,防御DDOS攻击;●部署外网边界防火墙,实现互联网与DMZ区隔离。
2)DMZ区●部署网银WEB服务器、门户WEB服务器,RA服务器;●部署IPS,为WEB服务器提供深层安全保护;●部署SSL卸载&服务器负载分担设备,优化HTTPS响应速度并保证WEB业务高可用性;●部署WEB-APP边界防火墙,实现DMZ与网银业务区的隔离。
3)网银业务区●部署网银APP服务器、网银DB服务器、验签服务器;●APP服务器前可部署服务器负载分担设备,用于业务优化和提高可用性;●APP服务器与DB服务器间可部署防火墙实现访问控制;●部署内网边界防火墙,实现网银业务区与数据中心服务器区间的隔离。
4)数据中心内网区●部署综合业务系统主机、网银前置(或ESB系统)服务器、网银管理服务器;●采用“核心——边缘”分区模块化架构,各服务器区围绕网络核心区部署,各服务器区与网络核心区之间通过防火墙做访问控制。
三、网银分区安全架构典型拓扑图3是根据上文中归纳的网银网络安全架构设计的网络拓扑,各功能区间采用串行方式连接,在连接点通过防火墙实现区域间的访问控制。
在这种拓扑下,业务流量沿着“互联网接入区”、“DMZ”、“网银业务区”、“数据中心内网区”的方向流动,跨区域流量都要经过防火墙的过滤,考虑到异构安全性的优势,各区域边界防火墙应采用不同厂商的设备。
图3 网银串行网络拓扑图4是网银的扁平化网络拓扑,虽然结构上与串行拓扑不同,但两者的网络安全架构是相同的。
这种设计吸取了数据中心“核心——边缘”模式的优点,在网银网络中部署核心交换机,网银的各功能区围绕核心交换机部署,在各功能区的汇聚交换机上部署安全(防火墙、IPS)和应用优化设备(负载分担、SSL卸载)。
扁平化部署的好处是扩展性好,例如在图4的拓扑中将个人网银WEB服务器与企业网银WEB服务器部署在一个区域内,未来当服务器数量增加时,可在核心交换上扩展出一个新网络区域,做为企业网银WEB服务器的接入,而当前区域只做个人网银WEB服务器的接入。
图4 网银扁平化网络拓扑在网银的互联网接入区建议部署“流量清洗设备”以实现对DDOS等攻击行为的防护。
如图5所示,流量清洗设备用与网银的互联网出口路由器建立BGP Peer,并发布BGP更新路由通告,路由器将进入网银的流量都转发到清洗设备上,清洗设备对进入的流量做监控检查,当没有DDOS攻击流量时,清洗设备会将报文回注到网银出口路由器,此后报文将进行正常转发流程。
当发现DDOS攻击流量时,清洗设备会将DDOS报文删除,并将正常流量回注到网银出口路由器,此时正常网银流量不受影响,用户的业务处理能够顺利进行。
图5 流量清洗设备部署方式为了规避运营商出口故障带来的网络可用性风险,网银出口通常会租用两个或多个运营商出口(电信、网通等)。
如图6所示,链路负载设备通过动态域名解析方式,能够利用就近性算法动态计算链路的质量,保证用户访问WEB服务器的链路是当前最优的链路。
另外,链路分担设备还通过健康性检测,可以检查链路内任意节点的连通性,从而有效保证整条路径的可达性。
图6 链路分担设备部署方式四、结束语网银业务的高技术性、无纸化和瞬时性的特点,决定了其经营风险要高于实体银行业务,而技术风险又是网银风险的核心内容,也是金融机构和广大客户最为关注的问题,这些技术风险主要包括交易主体的身份识别、交易过程的商业机密、电子通信的安全、交易和其他记录的保存和管理等。
只有采用合理的安全架构,综合运营各类安全技术手段(如防火墙、入侵检测、数字证书等),才能有效预防技术风险可能造成的经济损失和信用影响。