|
 |
|
 |
 首页 >> 网络产品 >> 网络解决方案 |
|
|
| 金融行业网络安全解决方案 [网络解决方案] |
| IT.com.cn |
| 2004-9-10 17:28:00 文/ |
|
一、银行信息网应用描述
随着银行网络规模的逐渐扩大,网上银行、代理缴款等新业务的开通,大批信息管理系统正在陆续投入运行,计算机系统在银行工作中的应用将日益广泛。与此同时,网络的安全问题也越来越显得重要起来。
(1)银行信息网现状及需求
银行信息网络现状: 信息网以银行总行为主节点,现已通过DDN专线与当地电信局相连、通过电信局以帧中继(X.25备份)方式与全国各地分行相连。总行及每个分行各有几个相对独立的局域网,分别处理人民币与外币业务及办公自动化系统;每个分行都有DDN出口与代理业务客户信息系统相连。目前有的银行系统已与Internet连接,开通了网上银行。银行在安全方面主要采取的措施有:对数据主机的访问控制通过系统本身的如数据库提供的身份认证机制,管理上的权限控制等,在数据传输上采用DES算法的加密方式,密钥认证。
网络安全的工作目标: 1. 使银行应用系统与国际互联网之间安全访问控制; 2. 使银行内部业务网络系统与代理业务客户之间安全访问控制。
网络安全策略分析: 银行信息网络分为总行与各地分行部分。总行作为一个网络整体目前与分行进行信息交流存在一个出口,接入电信主干网,有的还要连接到Internet;分行作为一个网络整体与当地电信也有一个出口连接,同时还通过一些其他连接出口,与代理业务客户信息系统相连。防火墙作为保护网络的重要工具,在网络的对外出口处设置防火墙是理想的选择,因此东大阿尔派公司建议银行信息网的对外出口设置NetEye防火墙加以防护。通过这种防火墙设置有效保证了银行信息网络系统免遭来自外部广域网非法的入侵、攻击。
银行总行分为内部应用网和供外部访问的WWW服务器、邮件服务器等两个部分,这种网络体系结构存在一个重要的问题:内部应用网是银行的核心网络,在网络安全性上要求非常高,只允许内部应用网的使用者对外部网进行访问同时必须严格禁止任何外部网在不经允许的情况下对内部应用网进行访问。由于WWW、邮件服务器需要与外部网络进行双向的信息交流,内部网的使用者可以通过他们向外部发送信息,同时需要他们能够为外部提供合法的信息。针对这种客观的情况采取分别保护、多级防护、互不影响的防护策略。因此东大阿尔派建议将WWW、邮件服务器等网络应用服务器单独放置在一个网络区域内,称之为DMZ非军事化区,通过NetEye防火墙提供的网络地址转换功能(NAT)实现对外提供网络服务,将其与银行内部应用网分离开。这种结构有明显的好处,即使DMZ区由于与外部进行信息交流而遭到破坏也不会影响内部网的安全,因此是一种理想的安全结构。
银行分行只有内部应用网部分,因此可选用不带DMZ区型号的NetEye防火墙,以控制代理业务客户对应用网的安全访问。
在下面会详细介绍网络安全规划图与网络安全防护方案。
|
|
| 更多相关:
网络解决方案 |
|
| [第一页] 1 2 3 4 5 6 7 [下一页] [最后一页]
|
|
 相关文章 |
|
|
|
|
 |
|
 |
|
|
IT产品报价快速通道