金融业已经成为信息技术和网络技术发展的最大受益者之一。金融行业网络系统的建设,提高了金融业务处理的水平,改善了金融行业的经营环境,增强了金融信息的可靠性,促进了各项新业务的开展。
随着金融服务的多样化和金融业务应用不断增多,网络安全风险也日益暴露出来。银行网络安全的风险来自多个方面:其一:来自互联网的风险:电子商务、网上支付等系统与互联网相连,有可能给恶意的入侵者带来攻击银行内部系统的条件和机会。其二:来自外单位的风险:代收电话费等银行中间业务使得银行网络与其它单位网络相联,因此,银行网络系统存在着来自外单位的安全隐患。其三:来自内部网的风险:据统计,大多数网络安全事件、攻击来自于内部,如果内部安全管理措施不到位,极易发生内部攻击事件的发生。
为了有效应对和控制银行系统存在的网络风险,首先从网络结构布局上,对银行系统业务网、办公网、与外单位互联的接口网络按各自的应用范围、安全保密程度进行合理区域划分,以免局部产生的威胁,传播到整个网络系统;同时,加强访问控制,与外单位网络、不信任域网络之间通过配备防火墙来实现内、外网或不同信任域之间的隔离与访问控制。
为了适应银行网络安全防护的高性能和高可用性要求,防火墙我们推荐采用NetEye 防火墙5200-IP391。NetEye FW5200-IP391可提供高达3Gbps的防火墙性能,最多支持8个千兆接口,具备强大的攻击防御能力,有效防范来自不安全网络或不信任域的非法访问或非授权访问,动态防范各种来自内外网络的恶意攻击,保护内部关键服务器的正常运行。银行可以将不同的安全域分别连接在NetEye 防火墙5200-IP391的以太网接口上,并通过在防火墙上加载访问控制策略,对不同安全区域间的访问进行限制。
为了满足银行业务对高可用性的要求,NetEye FW5200-IP391可以采用HA模式部署,主防火墙与备份防火墙之间通过心跳线连接,并启用连接表同步功能,两台防火墙之间实时同步连接信息,这样即使主备防火墙发生切换也不会导致业务连接中断,充分保证银行业务的稳定运行。
为了增强应用系统的安全性,在配置NetEye FW5200-IP391安全策略时,尽量做到只开放必须使用的服务,而关闭不经常用的协议及协议端口号。同时对应用系统的使用加强用户登录身份认证以确保用户使用的合法性,严格限制登录者的操作权限,将其完成的操作限制在最小的范围内。
银行通常在内部局域网内通过交换机划分VLAN功能来实现不同部门、不同级别用户之间的访问控制,NetEye FW5200-IP291最多支持1023个VLAN,可以方便地设置VLAN间的访问控制策略,同时采用全新的三层交换技术消除了原来复杂的工作模式概念,带来了极大的部署和配置的灵活性。三层交换技术的采用使得VLAN、TRUNK、Channel等技术能够很方便地在防火墙上实施。NetEye FW5200-IP391直观简单的Web界面和管理特性也使得银行安全管理人员能够对其轻松地进行管理和维护。
NetEye FW5200-IP391采用Nokia公司IP系列安全平台中的IP391硬件,IP系列安全平台经过全球财富500强用户的广泛使用和市场检验,其领先的设计、可靠性得到全球高端用户的一致认可,是银行等关键行业用户千兆网络安全防护建设的非常好的解决方案。