告诉我们您的需要
联系方式 Contact
    服务热线:18503084992
    Mail:service@szzjit.com
    Tel:0755-26408358
    Fax:0755-26561950
    Adr:深圳市南山区南山大道新海大厦16C

网上银行安全系统建设方案

[ 2015/1/25 14:42:39 ]
解决方案概述
业务挑战

网上银行系统在蕴藏着无限商机的同时,也带来了风险,对于想开设网上银行服务的提供者来说,在系统建设之余也同样要解决安全问题。本文中所指的网上银行,包括了个人银行和企业银行两个概念,个人银行是指通过网络为个人银行业务提供服务,企业银行则是指通过网络为企业用户提供服务。两者相比,个人银行业务应该具有较简便的操作界面,而企业银行更注重整个环节的安全性。在网上银行的安全系统建设中关键的问题在于:

  • 保障网上银行业务系统本身的可用性、安全性、稳定性
  • 满足监管部门的合规性要求

解决之道

绿盟科技长期专注于网上银行的安全系统建设,充分理解银监会《电子银行安全评估指引》和人行《网上银行系统信息安全通用规范(试行)》中对网上银行的具体要求,并考虑到了网上银行的上线前安全评估、审批流程,结合银行业务和整体网络系统环境的基础上,为银行客户量身定制了网上银行的安全系统建设方案,以保证网上银行系统以最小变更、最快速度上线。

在网上银行安全系统建设中安全域的划分方法应是立体的,即:各个域之间不是简单的相交或隔离关系,而是在网络和管理上有不同的层次,安全区域按照接入类型分为:互联网接入区、外联网接入区、内部网接入区、内联网接入区。不同安全区之间由防火墙进行隔离,并在关键服务区部署成熟的IDS设备,可以让管理员及时的监控非法的恶意流量和攻击行为。安全区域内部各设备之间通过设备自带的访问控制功能,实施必要的访问控制。在DMZ区须部署入侵检测设备,统一接受集中部署的入侵检测中央服务器的控制,及时发现安全事件。在网银应用区(重要服务区)部署审计设备,审计系统各设备的操作。在网银系统互联网接入区出口部署流量清洗设备,DMZ区域web服务器前端部署web应用防火墙,网银应用区边界部署异常流量检测和过滤设备(IPS),防范来自互联网的各类异常流量,如大流量的拒绝服务攻击、针对web服务器的SQL注入攻击、跨站脚本攻击,蠕虫病毒等。


网上银行安全域划分与安全防护图

方案优势

绿盟科技在网上银行的安全系统建设中参照IATF,并从总体上参考人民银行推荐的网银拓扑设计方案,在每个安全域中又继续进行了细分并提出了安全域间以及域内的整体安全建设方法,具有如下优势:
  • 通过对安全威胁的处理方法,推荐的产品,包括其部署、应用的方式,都是在金融行业中有众多先例的,已经被广大金融行业单位所接受。
  • 在结合网上银行业务特点的情况下对现有的网络结构、服务器等重要系统尽量不进行外部介入来保障最小的影响。
  • 根据业务与运行的数据,进行安全区域的划分,将整体网络分割为不同的区域,并在边界进行严格的访问控制,来保证将安全事故的影响控制在最小的范围内。