神州数码商业银行网上交易系统安全解决方案.ppt

《神州数码商业银行网上交易系统安全解决方案.ppt》由会员分享，可在线阅读，更多相关《神州数码商业银行网上交易系统安全解决方案.ppt（22页珍藏版）》请在三一办公上搜索。

1、神州数码商业银行网上交易系统安全解决方案,商业银行信息科技安全管理规划依据,银行业金融机构信息系统风险管理指引,中华人民共和国银行业监督管理法,中华人民共和国商业银行法,中华人民共和国外资银行管理条例,2009年中国开始针对上市公司强制执行企业内控规范-业界称之为中国的“塞班斯法案”,网上银行系统信息安全保障评估准则,金融机构计算机信息系统安全保护工作暂行规定,商业银行安全保障体系架构,网上银行系统信息安全规划介绍,网上银行信息安全参考规范及安全要求网上银行信息安全现状及安全规划网上银行信息安全解决方案产品资源,网上银行信息安全参考规范及安全要求,一、网上银行定义 网上银行业务是指商业银行等银

2、行业金融机构利用计算机和互联网为客户提供的银行服务。网上银行是银行传统业务的电子化表现形式，拓展了银行服务的时间和空间。网上银行是现代信息技术在银行管理及其金融服务中的拓展，是促使金融服务组织机构与服务形式创新的重要成果之一。网上银行通过国际互联网这一公共资源及其相关技术实现银行与客户之间安全、方便、友好连接，为客户提供多种金融服务。信息安全保障是网上银行系统建设和运行中必须解决的基础和根本性问题，它关系到客户与银行的切身利益。网上银行系统是一种特定的信息系统（即用于采集、处理、存储、传输、分发和部署信息的整个基础设施、组织结构、人员和组件的总和），它的信息安全保障工作必须结合银行行业的特点，

3、以风险和策略为出发点和核心，即从网上银行系统所面临的风险和所处的环境出发制定网上银行系统的安全保障策略，通过在网上银行系统的整个生命周期中从技术、工程、管理和人员等方面提出安全保障要求，确保信息的保密性、完整性和可用性特征，实现和贯彻组织机构策略并将风险降低到可接受的程度，达到保护网上银行的信息和信息系统资产，从而保障网上银行业务安全、可靠开展的最终目的。,网上银行信息安全保障涵盖内容（一）,二、网上银行系统信息安全保障涵盖以下几个方面:网上银行系统信息安全保障应贯穿网上银行系统的整个生命周期，包括规划组织、开发采购、实施交付、运行维护和废弃五个阶段，以获得网上银行系统信息安全保障能力的持续性

4、；b)网上银行系统信息安全保障不仅涉及安全技术，还应综合考虑安全管理、安全工程和人员安全等，以全面保障网上银行系统安全。在安全技术上，不仅要考虑具体的产品和技术，更要考虑网上银行系统的安全技术体系架构；在安全管理上，不仅要考虑基本安全管理实践，更要结合组织的特点建立相应的安全保障管理体系，形成长效和持续改进的安全管理机制；在安全工程上，不仅要考虑网上银行系统建设的最终结果，更要结合系统工程的方法，注重工程各个阶段的规范化实施；在人员安全上，要考虑与网上银行系统相关的所有人员包括规划者、设计者、管理者、运营维护者、评估者、使用者等的安全意识以及安全专业技能和能力等；c)网上银行系统信息安全保障是

5、基于过程的保障。通过风险识别、风险分析、风险评估、风险控制等风险管理活动，降低网上银行系统的风险，从而实现网上银行系统信息安全保障；,d)网上银行系统信息安全保障的目的不仅是保护信息和资产的安全，更重要的是通过保障 网上银行系统的安全，保障网上银行系统所支持的业务，从而达到实现组织机构使命的目的；e)网上银行系统信息安全保障是主观和客观的结合。通过在技术、管理、工程和人员方面 客观地评估安全保障措施，向网上银行系统的所有者提供其现有安全保障工作是否满足其安全保障目标的信心。因此，它是一种通过客观证据向网上银行系统所有者提供主观信心的活动，是主观和客观综合评估的结果；f)保障网上银行系统安全不仅

6、是系统所有者自身的职责，而且需要社会各方参与，包括电信、电力、国家信息安全基础设施等提供的支撑。保障网上银行系统安全不仅要满足系统所有者自身的安全需求，而且要满足国家相关法律、政策的要求，包括为其它机构或个人提供保密、公共安全和国家安全等社会职责。,网上银行信息安全保障涵盖内容（二）,网上银行信息安全区域涵盖内容,网上银行信息系统安全域通常由五个部分组成：外部区域：网上银行的公众用户和第三方系统可以通过互联网或专用网访问网上银行业务 系统；网上银行业务系统；银行内部其他系统：各银行内部核心业务系统；公钥基础设施。,网上银行系统主要包括：客户端、网上银行访问子网和网上银行业务系统、CA和中间隔离

7、设备。外部区域：网上银行的用户，安装网上银行客户端，通过互联网访问网上银行；安全域1：网上银行访问子网，主要提供客户的web 访问和证书认证；安全域2：网上银行业务系统，主要进行网上银行的业务处理；银行内部系统：银行处理系统，主要进行银行内部的数据处理。图中CA是证书颁发和管理机构，它主要为银行客户、银行工作人员以及网上银行WEB服务器等设备提供公开密钥证书服务。某些银行安全区域1和安全区域2合为一个安全区域。,网上银行信息安全区域示意图,网上银行信息系统技术体系逻辑图,技术体系是信息系统描述的基础，需要对现有的各种应用、相应的网络基础设施和所使用的技术标准进行描述，这些描述将帮助了解网上银行

8、系统并为进一步描述业务系统提供基础和支持。技术体系描述包括业务支持层、系统服务层和基础设施层的描述。,网上银行信息系统业务体系逻辑图,网上银行业务体系描述：网上银行业务主要包括几个方面：“个人客户业务”、“企业客户业务”和“其他服务”；个人客户业务：针对银行的个人客户开展的网上银行业务，包括：帐户查询、帐单支付、转帐/汇款业务、证券业务、债券基金业务、外汇买卖、服务设置、主动通知、代理缴费、B2C等服务；企业客户业务：针对银行的企业客户开展的网上银行业务，包括：帐务查询、网上转帐、代发工资、签发电子票据、证券业务、债券基金业务、外汇买卖、代理缴费、内部资金调拨、报表统计、主动通知、B2B等服务

9、；其他服务业务：针对银行开展的网上银行新业务，包括：政府财政部门、税务、审计，以及今后可能推出的新业务等服务。,网上银行系统信息安全规划介绍,网上银行信息安全参考规范及安全要求网上银行信息安全现状及安全规划网上银行信息安全解决方案厂商资源,网络安全,其他：日志审计及集中管理,网络架构安全,应用安全和数据安全,数据库安全,操作系统平台的安全,物理安全,安全管理,安全评估,安全策略,整体安全技术因素,其他：日志审计及集中管理,应用安全和数据安全,数据库安全,操作系统平台的安全,网络安全,网络架构安全,物理安全,安全管理,安全评估,安全策略,商业银行安全模型规划框架,网上银行信息安全技术保障要求,S

10、ecurity and Value-Added Business GroupDigital China(China)Limited,网络防火墙访问隔离网络入侵检测系统。【注：本阶段银行IT投入的重点为业务系统的基础信息建设】,网上银行负载均衡系统网上银行SSL证书加速银行网页主动防御系统消费者认证系统。,网络安全评估业务系统网的安全隔离终端防病毒Internet接口的安全防护网络准入控制上网行为管理网络链路负载及广域网流控系统,网络安全改造及运维服务内部合规性审计服务银行日志审计系统核心数据中心审计及保护内部业务负载均衡。,BSM流程优化综合运维监控系统第三方运维外包,新型业务系统建设,联机综

11、合业务系统建设,网络优化及安全基础建设,网络安全深化及内部控制,业务管理合规性及业务优化,安全、优化及管理构架,内部网络,网络可视管理网络异常行为分析DDoS清洗NACIPS/IDS防火墙身份认证系统政策法规遵循无线网络管理,边缘接入,数据中心,运维管理,访问控制防火墙防病毒网关防内容泄露网关带宽QoS管理NACIP Sec/SSL VPN广域网加速上网代理网关多链路出口管理网络可视管理,网银应用负载管理银行应用可靠性管理网银IPS一级防护内部系统防火墙隔离数据库安全网关网银系统WEB应用防火墙反垃圾邮件系统资源虚拟化管理数据加密系统数据灾难备份,智能KVM管理运维审计管理运维监控系统安全日志

12、事件审计系统弱点管理入侵检测审计安全策略管理业务服务管理安全评估及加固服务内部规范审计控制咨询IT流程优化咨询,网上银行系统信息安全规划介绍,网上银行信息安全参考规范及安全要求网上银行信息安全现状及安全规划网上银行信息安全解决方案厂商资源,网上银行信息系统全景图,网络攻击及入侵（入侵防御系统防护）：当客户遇到互联网的非法攻击和入侵的时候，势必对网上应用和交易系统产生影响，造成访问效率下降、网络拥堵等状况，采用主动式入侵防御系统利用高可靠识别攻击，精确判断入侵及攻击行为并作出相应的反应来解决客户遇到的上述问题。链路负载均衡（多链路控制器）：客户为了避免出现链路单点故障，保证链路接入的高可用性，用

13、户都采用不同运营商的多条链路接入，采用链路负载均衡产品，把访问外网资源的内网用户按照要求负载均衡到两条链路，任何一条链路出现故障，都能够实时发现，自动把请求转发至正常的链路；同时把访问内网资源的用户自动导向到访问质量最优的链路，并实时监控链路的状态，如果某一链路出现故障，自动切换到其他正常链路。安全区域划分和隔离（防火墙）：客户在数据中心根据不同的安全级别划分出不同的访问区域，不同的区域之间互相访问需要通过安全设备进行隔离，根据不同的安全级别设定策略进行访问控制，通过多种检测机制，发现攻击流量，实时进行阻断，提高应用系统的安全性。,客户需求及方案要点（一）,互联网流量管理和优化（全局流量控制器

14、、Web加速器）：客户开展电子商务和网上交易业务，需要考虑客户端采用不同接入方式和终端种类，因此通过采用全局流量管理设备对处在不同地理位置和运营商接入的终端用户选择服务效率最佳的数据中心，采用Web加速设备利用数据流量优化加速的手段提高访问速度，确保客户满意度的提升。移动办公接入（SSLVPN网关）：客户为加强远程办公终端的安全性和易用性，采用SSLVPN的接入方式，利用对客户端安全检查、灵活定制访问策略和权限的技术手段，满足移动办公用户接入数据中心简单方便。服务器负载均衡、应用优化（本地流量管理器）：由于网上交易系统都采用 SSL 加密的方式，对于如何卸载服务器在处理 SSL 加解密方面的压

15、力，在不影响服务器性能的前提下，对数据进行加解密就变成了一个重要的话题，使用本地流量管理器，把大量用户的请求平均分发到多台服务器上面，同时能够对数据进行 SSL 加速，卸载服务器处理 SSL 加解密的压力。在站点之内，负载均衡产品能够同时对 Web 前置服务器、应用服务器、数据库服务器、缓存服务器等多种服务器进行负载均衡。,客户需求及方案要点（二）,客户需求及方案要点（三）,各类应用安全防护（WAB防火墙、数据库安全审计、动态口令认证系统）：客户在数据中心的建设过程中最重要的就是核心业务系统，它包含了至关重要的应用系统服务器和核心数据，在核心业务系统中一般采用三层部署的标准架构，Web服务器-

16、应用服务器-数据库，因此各类服务器的安全防护是客户最关心的重点，建议采用Web防火墙对Web服务器进行安全保护，避免针对服务器应用层和源代码风险的攻击，采用数据库安全审计平台对各类数据库操作，数据表调用和修改的动作进行审计和告警，保证在数量繁多的用户访问数据库的情况下行为能够进行审计。动态口令认证系统确保网上交易系统用户帐户和口令的密码保护，形成“双因素”强身份认证。日志收集和分析（统一日志审计平台）：在金融行业各个监督管理机构下发的政策法规文件中，日志统一收集、分析和保存是必不可少的一项重点要求，系统日志保存期限按照风险等级不同来区分，至少不得少于一年，采用统一日志审计平台能够满足各种法规政

17、策的要求，制定相关策略和流程，管理所有生产系统的活动日志，以支持有效的审核、安全取证分析和预防欺诈。不同平台和品牌的存储之间协同优化（虚拟存储系统）：客户在构建数据存储系统的时候如果采用了异构的部署方式，系统中会出现不同平台和品牌的存储服务器，使用起来会造成很大的不便，采用虚拟存储系统可以把各种基于NAS协议的存储服务进行虚拟化管理，实现无缝数据迁移、存储负载均衡和异构部署等多种优化功能。,网上银行系统信息安全规划介绍,网上银行信息安全参考规范及安全要求网上银行信息安全现状及安全规划网上银行信息安全解决方案厂商资源,网上银行系统方案库,数据应用,网络传输,Application,已经买了很多产品了，为什么还是不断的出现新问题？,F5 链路负载均衡方案F5 wanjet广域网加速方案Bluecoat Mach5广域网优化方案Bluecoat Packteer流量优化方案,F5 LTM Web应用负载均衡方案F5 VOIP应用优化方案F5 CDN媒体网优化方案Bluecoat CDN媒体网优化方案Bluecoat移动业务加速方案F5应用服务器负载均衡方案F5数据库优化方案（涉及研发改动）,找到问题的真正元结所在，提供切实有效的方法！,