品牌
其他厂商性质
所在地
近年来我国网上银行业务发展迅猛,大型银行的网上银行交易总额、开户数量、业务处理量已位居世界前列,网上银行经营范围遍及全国并在海外快速扩张,一旦业务停顿,可能影响全行乃至整个金融体系的正常运转,并影响社会稳定。
网上银行系统业务数据的大集中实现了业务数据的集中处理,但是银行业务服务的连续性风险也随之集中。大到自然灾害、设计规划不当,小到意外的人为错误,都可能会导致系统故障,直接威胁全行范围内的业务开展,严重的甚至造成业务中断。
为加强网上银行系统安全,促进网上银行规范、健康发展,有效增强网上银行系统的信息安全防范能力。2012年5月8日,向银行业金融机构发布了《网上银行系统信息安全通用规范JR/T 0068-2012》行业标准(以下简称《规范》)。《规范》涉及网上银行系统的技术、管理和业务运作三个方面,分为基本要求和增强要求两个层次,基本要求为安全要求,增强要求为三年内应达到的安全要求。《规范》将作为网上银行系统安全建设、内部信息安全检查和合规性审计的依据,同时给网上银行系统安全建设和改造升级提供了依据。
保证网银信息系统的安全稳定运行,进而使银行业务持续开展,就成为了用户安全建设的最根本目标。
按照《网上银行系统信息安全通用规范》要求,本方案具体安全设计如下:
外联区域:该区域主要包括实现网上银行系统与Internet的安全接入的网络设备,防护重点是防御来自互联网的DDOS拒绝服务攻击、非法访问、攻击等。同时应考虑保障链路及应用的可用性。主要部署产品:抗DDOS系统、链路负载均衡、防火墙、入侵防御IPS、应用负载均衡。
网站服务区域:该区域主要包括网银web服务器、网络设备,通过部署Web应用防火墙(WAF)、网页防篡改系统、SSL VPN网关(加密机,支持国密算法)。抵御来自互联网针对网站的攻击、网页篡改。同时实现用户身份认证、传输加密等。
测试区域:该区域主要包括网银系统的开发测试系统。通过部署防火墙防止网络的非法访问。
核心交换区域:该区域主要包括核心交换网络设备。通过部署网络审计系统实现核心网络访问行为的安全审计。
网银应用区域:该区域主要包括网银的应用系统服务器等。通过防火墙及入侵检测系统防止网络非法访问、实现攻击行为的入侵监测。
网银数据区域:该区域主要包括网银系统的数据库服务器等。通过防火墙、入侵检测的部署防止网络非法访问、实现攻击行为的入侵监测;以数据库审计实现数据库访问的安全审计。
安全管理区域:该区域主要包括实现对网银系统安全管理、安全运维的系统通过堡垒机实现对运维过程操作进行审计,以日志审计和安全管理平台,对全网资产进行监控和管理。
银行生产核心区域:该区域主要包括银行内部核心业务系统。通过防火墙防范来自网银区域的非法访问。
异地容灾中心:该区域主要实现网银系统数据的备份容灾。以备份存储系统、容灾系统实现。
本方案从技术的角度,阐述了网上银行系统面临的安全风险问题,提出了整体安全技术措施和相关产品方案。从管理角度,分析了网上银行系统面临的安全管理问题,提出了安全管理的措施和方案。从整体安全规划的角度,提出了网上系统的整体安全建设规划。
具体实现效果如下:
满足业务发展
本方案设计,以满足业务系统发展为出发点,深入分析业务系统的安全现状,然后在提出安方案,有效的满足业务发展需求的同时达到安全防护需求。
满足行业合规
本方案设计,遵循国家信息安全政策和金融行业相关标准,满足客户安全需求的同时,又能满足国家标准、行业标准的安全要求。
构建纵深防御安全体系
本方案设计,遵循纵深防御的安全设计思想,通过网络、主机、应用、数据、业务连续性、管理等方面,分域、分层的进行安全设计,通过多种管理和技术手段的有机结合,构建、多层次、可动态发展的纵深安全防范体系。