網(wǎng)上銀行安全系統(tǒng)建設(shè)方案
責(zé)編:admin |2015-04-07 13:18:36業(yè)務(wù)挑戰(zhàn)
網(wǎng)上銀行系統(tǒng)在蘊(yùn)藏著無限商機(jī)的同時,也帶來了風(fēng)險,對于想開設(shè)網(wǎng)上銀行服務(wù)的提供者來說,在系統(tǒng)建設(shè)之余也同樣要解決安全問題。本文中所指的網(wǎng)上銀行,包括了個人銀行和企業(yè)銀行兩個概念,個人銀行是指通過網(wǎng)絡(luò)為個人銀行業(yè)務(wù)提供服務(wù),企業(yè)銀行則是指通過網(wǎng)絡(luò)為企業(yè)用戶提供服務(wù)。兩者相比,個人銀行業(yè)務(wù)應(yīng)該具有較簡便的操作界面,而企業(yè)銀行更注重整個環(huán)節(jié)的安全性。在網(wǎng)上銀行的安全系統(tǒng)建設(shè)中關(guān)鍵的問題在于:
- 保障網(wǎng)上銀行業(yè)務(wù)系統(tǒng)本身的可用性、安全性、穩(wěn)定性
- 滿足監(jiān)管部門的合規(guī)性要求
解決之道
綠盟科技長期專注于網(wǎng)上銀行的安全系統(tǒng)建設(shè),充分理解銀監(jiān)會《電子銀行安全評估指引》和人行《網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范(試行)》中對網(wǎng)上銀行的具體要求,并考慮到了網(wǎng)上銀行的上線前安全評估、審批流程,結(jié)合銀行業(yè)務(wù)和整體網(wǎng)絡(luò)系統(tǒng)環(huán)境的基礎(chǔ)上,為銀行客戶量身定制了網(wǎng)上銀行的安全系統(tǒng)建設(shè)方案,以保證網(wǎng)上銀行系統(tǒng)以最小變更、最快速度上線。
在網(wǎng)上銀行安全系統(tǒng)建設(shè)中安全域的劃分方法應(yīng)是立體的,即:各個域之間不是簡單的相交或隔離關(guān)系,而是在網(wǎng)絡(luò)和管理上有不同的層次,安全區(qū)域按照接入類型分為:互聯(lián)網(wǎng)接入?yún)^(qū)、外聯(lián)網(wǎng)接入?yún)^(qū)、內(nèi)部網(wǎng)接入?yún)^(qū)、內(nèi)聯(lián)網(wǎng)接入?yún)^(qū)。不同安全區(qū)之間由防火墻進(jìn)行隔離,并在關(guān)鍵服務(wù)區(qū)部署成熟的IDS設(shè)備,可以讓管理員及時的監(jiān)控非法的惡意流量和攻擊行為。安全區(qū)域內(nèi)部各設(shè)備之間通過設(shè)備自帶的訪問控制功能,實(shí)施必要的訪問控制。在DMZ區(qū)須部署入侵檢測設(shè)備,統(tǒng)一接受集中部署的入侵檢測中央服務(wù)器的控制,及時發(fā)現(xiàn)安全事件。在網(wǎng)銀應(yīng)用區(qū)(重要服務(wù)區(qū))部署審計設(shè)備,審計系統(tǒng)各設(shè)備的操作。在網(wǎng)銀系統(tǒng)互聯(lián)網(wǎng)接入?yún)^(qū)出口部署流量清洗設(shè)備,DMZ區(qū)域web服務(wù)器前端部署web應(yīng)用防火墻,網(wǎng)銀應(yīng)用區(qū)邊界部署異常流量檢測和過濾設(shè)備(IPS),防范來自互聯(lián)網(wǎng)的各類異常流量,如大流量的拒絕服務(wù)攻擊、針對web服務(wù)器的SQL注入攻擊、跨站腳本攻擊,蠕蟲病毒等。
題-15.jpg)
方案優(yōu)勢
綠盟科技在網(wǎng)上銀行的安全系統(tǒng)建設(shè)中參照IATF,并從總體上參考人民銀行推薦的網(wǎng)銀拓?fù)湓O(shè)計方案,在每個安全域中又繼續(xù)進(jìn)行了細(xì)分并提出了安全域間以及域內(nèi)的整體安全建設(shè)方法,具有如下優(yōu)勢:
通過對安全威脅的處理方法,推薦的產(chǎn)品,包括其部署、應(yīng)用的方式,都是在金融行業(yè)中有眾多先例的,已經(jīng)被廣大金融行業(yè)單位所接受。
在結(jié)合網(wǎng)上銀行業(yè)務(wù)特點(diǎn)的情況下對現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)、服務(wù)器等重要系統(tǒng)盡量不進(jìn)行外部介入來保障最小的影響。
根據(jù)業(yè)務(wù)與運(yùn)行的數(shù)據(jù),進(jìn)行安全區(qū)域的劃分,將整體網(wǎng)絡(luò)分割為不同的區(qū)域,并在邊界進(jìn)行嚴(yán)格的訪問控制,來保證將安全事故的影響控制在最小的范圍內(nèi)。
- 周鴻祎領(lǐng)銜!百所高校+企業(yè)組團(tuán)亮相ISC.AI 2025“紅衣課堂”
- 港科大發(fā)布大模型越獄攻擊評估基準(zhǔn),覆蓋6大類別37種方法
- 引領(lǐng)智能運(yùn)維!全新FortiAIOps 3.0重新定義IT運(yùn)營
- MirageFlow:一種針對Tor的新型帶寬膨脹攻擊
- 英偉達(dá)約談事件的制度邏輯與趨勢展望
- 國家互聯(lián)網(wǎng)信息辦公室發(fā)布《國家信息化發(fā)展報告(2024年)》
- 火狐中國終止運(yùn)營:辦公地?zé)o人,用戶賬號數(shù)據(jù)面臨清空
- 25年一直未變!網(wǎng)絡(luò)安全永恒的“十大法則”
- 關(guān)于征集數(shù)據(jù)安全評估標(biāo)準(zhǔn)化應(yīng)用實(shí)踐案例的通知
- ISC.AI 2025主題前瞻:ALL IN AGENT,全面擁抱智能體時代!