金融行业网络安全解决方案
1 概述
-- 金融业务信息化、网络化、社会化、全球化是金融行业发展的必然趋势。现今各金融机构为了提高自己的竞争优势,争取更大的经济效益,纷纷在改进服务手段、增加服务功能、完善业务品种、提高服务效率等方面做了大量的工作。而要达到这一目标必须通过金融电子化,利用高科技手段来提升自己的工作效率。看一下目前银行的主要应用诸如:储蓄、信用卡、IC卡、国际业务、电子汇兑、电子邮件、电子公文、网上银行、网上交易系统、新的综合对公业务、国际业务信贷系统,这些业务的正常运作无一不在依赖网络,其网络的畅通与可靠运行已真正成为金融业正常运转的首要条件。
---那么,金融业作为对络系统的实时性、不间断性、高可靠性、可用性的要求更为苛刻的行业,怎样选择一套优秀的网络管理软件来保证网络不间断的运行呢,我们认为应从以下几方面进行考虑:
以业务为中心
-- 保持以业务为中心是全面网络管理解决方案最重要的因素。完整而理想的网络管理解决方案应根据应用环境和网络对业务流程及用户需求的端到端关联关系管理网络及其所有设备。除向管理员报告服务器上的流程受阻,路由器上的流量过载或网络出现瓶颈外,理想的解决方案应提供更多的功能。它应该能通过基于策略的网络管理主动采取行动,如重新启动停止的流程等。它还应该能向有关人员发出警报,如通过电子邮件或寻呼等。最后,同时也是最重要的是,它必须能够提供方便且强大的方法,显示将受影响的业务过程、业务部门甚至于个人。
为应用软件和服务提供环境
-- 网络管理应确定服务水平在实际应用中的含义,其关键任务是保证网络及其部件能提供应用与用户完成业务流程或交易处理所需的资源。其工作不仅仅只依赖于保持X台服务器,通过Y条链路连接或运行在Z速度下。服务水平需求因行业的不同而不同,如联机股票交易所的任务是保证数百万小时实时处理100%的准确性。全面网络管理解决方案必须能向网络管理员提供对其至关重要的管理方式(如前一个交易中的帧中继管理及后一个交易中交易处理服务器的接入和可用性),该解决方案还必须提供有意义的数据,衡量服务水平与企业需要之间的匹配程度,从而使之用于报告、趋势分析和容量规划。
可用性和性能管理
-- 今天,网络的设备仅有”可用性”是不够的,只有为业务提供最优性能才能使之立足。可用性和设备状态,可访问性和网络拓扑、性能测量和管理都是当今网络管理的组成部分。性能测量应当融入全面网络管理解决方案并与之紧密配合这一指标,而不仅仅是做事后诸葛。
端到端管理能力
-- 老式的网络管理平台一般一次只查看网络的一部分,这种方法不足以管理当今相互联系如此紧密的网络。如今,每个步骤、过程和设备紧密联系才能完成真正的电子交易处理。只有了解和管理每个网络部件和链路(端到端)才能保证用户和业务部门及时获得所需的服务,完成相应的交易处理
可扩展性
-- 几年前,只有《财富》列举的100家大公司才对网络的可扩展性感兴趣。随着技术成本的降低、互连计算机的增加以及电子商务的出现,可扩展性在也变得重要起来。对大型企业而言,这个问题就更重要、更复杂。因此,可扩展性成为用户选择网络管理解决方案的一个重要标准。
性能价格比
-- 当今的网络管理问题包括各部门需求之间的冲突。它们必须以较少的人员保证开机时间,无需增加硬件,就可以保证高性能和带宽,保证安全性,但同时还要保持系统的可访问性和简单性。需要满足企业需求的网络管理员几乎无须花很多经费购买硬件、雇佣人员或进行复杂的支持培训。全面网络管理解决方案必须功能强大,效率高、成本、开发费用和硬件需求低。
易用性和接口一致性
-- 紧跟性能价格比的是对易用性和接口一致性的需求。网络管理员或其他员工花费大量时间、金钱和精力,将功能重叠且用户接口不一致的多种解决方案和工具连接在一起的时代一去不复返了。网络管理员知道解决方案供应商可能偶尔需要外部的工具,但他们没有兴趣或精力将不一致甚至相互冲突的用户界面集成在一起。完整、强大的解决方案必须简单、直观、易于使用和一致,这样才能提高开发的效率。
标准支持
-- 真正全面的网络管理解决方案应该支持标准的工业标准SNMP,将其纳入自己的体系结构。这样,无论网络管理员以后选择哪种技术或设备,解决方案都能监视和管理整个网络。
集成性
- -即使解决方案提供最”完整”的一套特性和功能,用户也可能另外需要针对特殊设备的管理器,利用第三方厂商或内部开发工具才能满足需求。网络管理解决方案必须能容易、紧密地与这些特殊设备的管理器和工具相集成。它必须能在自己网络环境下启动特殊设备的工具,并提供灵活的与这些工具交换信息的方法。这样,用户无需再为同样信息保留多个文件或数据库。
灵活性
- -各厂商和客户对”灵活性”的理解各不相同。在最低限度下,任何网络管理解决方案都必须能适应客户的特殊需求。这些”管理结构”的构造有关,如按地区、按业务部门、按平台、或按客户决定构造等。它应该能适应主要业务的突然变化。例如,假设公司并购了另一家拥有5000多个节点的公司,应该不用重新设计其网络管理体系结构,而是只需去增加管理节点去管理这些新增设备。它应该能灵活地处理网络流量、事件数量和类型的突增,或者新增的网络资源。总之选择的网管软件应该是”自适应的”,这样在出现新政策后,只需少量延迟或努力就能在网络管理框架中实施。
2 需求分析
---网络管理的目的在于为面向业务和管理的应用系统提供网络服务;为行内面向总行、各级分行、部门和个人的网络服务提供通讯支持;为应用系统的上线提供与网络通信相关的技术参考和依据;通过对历史数据的分析统计,为领导提供决策支持。网管系统应该能有效地管理网络资源,监控网络的相关操作,定位和解决网络故障,测定和跟踪网络数据流量的变化趋势。
---网络管理不是一个局部性的工作,为了确保整个网络的通畅,为了及时定位、快速修复网络故障,必须对整个网络实行全面管理,从而做到对整个网络的运行状况了如指掌。因此不允许存在任何网络管理的孤岛和死角。
2.1 X行网络环境综述
---中国XX银行通信子网是以总行为中心、各省分行为分中心,覆盖各地市行的分级分布式骨干网络系统,它以Nway2220交换机连接总行和各个省分行,形成一级网,以IGX交换机连接省分行和省内的各个市分行,形成二级网,一级网和二级网都是以DDN线路为主要通信介质形成的帧中继交换网,两个网通过路由器或IBM 374X连接起来。整个网担负着X行综合业务数据(包括对公、储蓄、办公自动化以及语音等多种业务)的实时传输任务。
通信子网的稳定、可靠运行是XX银行提高服务质量和工作效率的重要保证。
XX银行通信子网结构如下图所示:
---(拓扑图略)
---对于X行这样全球性的分级分散的大型网络,仅仅依赖于集中式的网管系统是很难对整个网络实施有效管理的。分布式管理是一种比较好的解决方案。但是值得注意的是,分布式管理在结构划分上,虽然比较容易做到与总行-省行-地市行的组织管理体系相一致,但是在对各级网管中心和网管员之间的相互配合、相互协作、相互支持、相互流动等方面的支持上,各厂商网管系统的差异是很大的。
2.2 X行网络管理实现目标
---随着数据大集中的推进,网络的高可用性就显得越来越重要,另外,当业务系统不能正常工作时,有可能是网络线路问题造成的,但也有可能是由于其他系统资源的问题造成的,为了准确地分析故障原因,总行、省行在网络管理方面需要更有效、集中的管理,只有这样,才能与数据大集中的业务应用模式相匹配,才能更好地保证银行业务系统的正常运行。因此,总行需要了解省行网络的运行状况,省行也需要了解地市行网络的运行状况。如果市行没有有效的网络管理手段,则无法及时向省行上报网络运行的管理数据;如果总行与省行、省行与市行之间缺乏必要和及时的网管信息沟通,则无法保证全面掌握整个网络的运行状况,及时发现和排除故障隐患。
基于以上考虑,提出以下总目标:
---X行网络管理系统的总体目标是:配合数据大集中的进程,为总行对省行网络管理的监督指导提供方便有效的技术手段和工具;为省行强化网管中心职能、发挥承上启下的纽带作用提供解决方案;为地市行实现本地网络管理功能提供最终产品。从而对X行各级网络的配置、故障、性能、状态实现集中指导下的分布管理。
3 网络管理产品建议
---NetWin2000是北京华信亿码科技发展有限公司针对中国网络管理的实际需求而设计开发的综合网络管理系统。其遵循国际通行的SNMP协议,采用先进的分布式管理技术,可以用来管理任何规模的网络以及各种网上资源。
---NetWin2000的分布式管理框架具有多种管理模式,主要包括UMG/LMG上下位管理模式,SMG/MMG主从管理模式,C/S客户机服务器管理模式,以及B/S浏览器管理模式。在NetWin2000管理平台下可以轻松构筑小到单个局域网,大至全球范围的网络管理体系。(示意图如下)
---NetWin2000的管理客户端子系统为用户设计了非常友好的全中文全图形界面,在功能上集网络配置、故障、性能及安全管理于一身,并且提供了完整的日志管理和任务调度功能。
---NetWin2000的性能管理模块具有管理数据三维动态分析功能。可以根据用户自定义的性能指标体系,对来自不同数据源的采集数据进行分析、归纳、计算和统计,并且自动生成性能分析报告。
-- NetWin2000的一系列客户化定制工具可以对管理对象的识别条件、管理策略、事件内容、设备面板进行客户化定制,从而在满足通用管理需求的前提下,进一步满足不同用户的个性化管理之需要。
NetWin2000的3W网管服务器WebNMS提供了基于互联网浏览器的网络监视功能。
4 维护体系建议
4.1 管理人员职责划分
-4.1.1 网络管理人员
主要职责为根据网络环境和应用系统需求的变化不断完善网络管理系统,包括:
网管系统的升级安装、配置和参数调整。
在需求变化时,开发、测试新的网管功能。
网管系统的日常技术支持和维护。
与其他网络管理模块的整合。
制定管理策略并负责实施。
对历史数据进行统计分析,提供一定周期内的网络运行情况报告
网管主机的运行管理及数据备份。
-4.1.2 网络维护人员
主要职责为借助网络管理系统对网络资源进行运行维护,包括:
处理网络事件,定位和解决网络故障。
根据网络运行情况对网络管理人员提出功能变更需求。
配置网络设备参数。
对网络运行情况进行分析,针对具体事件提出分析报告。
对日常网络运行中的问题以及应用系统提出的通讯问题进行技术支持。
-4.1.3日常监控人员
主要职责为对网络日常运行情况进行监控,包括:
监控、纪录网络日常运行情况。
简单问题的定位及处理。
及时将网络问题反映给网络维护人员。
4.2 职责分工
---X行网络的以上三类网络管理维护人员的具体职责分工可以设计为:
网络管理人员网络维护人员日常监控人员
开发、测试问题定位
管理工具集成问题解决
安装、配置和参数调整设备管理
网管技术支持设备维护
统计分析技术支持
策略制定问题响应(7x24)
版本升级
网络管理系统技术支持(5x8) 网络运行管理运行监控(7x24)
4.3问题响应级别
---X行网络管理系统的三类人员负责网络运行的日常管理,监控网络的运行情况,响应各应用系统提出的网络问题,解决通讯故障,保障网络的正常运行。
---问题的解决可以采取分层管理,逐层提交的方式,一旦某一问题在一定的时间周期内没有得到有效处理,此问题将被提交到更高层次的管理维护人员。其流程如下表所示:角色级别描述
日常监控人员级别1 监控纪录问题。
网络维护人员级别2 定位故障,处理问题。
网络管理人员级别2 协助定位故障,处理问题。
决策人员级别3 提出决策,制定策略
支持厂商级别3 CISCO, Motorola, IBM, HP … etc
金融行业网络安全
金融行业网络安全管控解决方案方案背景 随着全球信息技术的快速发展与金融行业IT信息化的不断深入,信息科技在金融系统中的应用越来越广,金融机构对信息系统的依赖程度也越来越大,与此同时,金融机构遭受内部攻击、违规操作以及信息泄露等安全威胁也在不断增加。根据美国FBI的相关调查,75%以上的信息安全案件,都是与内部人员有关。在国内的各种信息安全案件中,内部员工作案或者内外勾结作案也占了绝大多数。面对金融体系改革与WTO国际结轨的双重压力,金融机构抵御来自内部的攻击与违规操作风险的能力还有待提高,为此国家相关主管部门也在积极促进信息科技审计工作的推进,意在促进国内金融体系建立起信息安全技术保障机制,以防止金融系统风险的发生。2006年国务院国有资产监督管理委员会向各中央企业发布了《中央企业全面风险管理指引》,要求中央企业加强内控,降低企业风险,并在指引中对内控审计和IT技术建设风险管理信息系统均提出了明确的要求。同年,银监会对国内商业银行也提出了强化内部控制与审计的要求(银监会63号文和313号文),要求不仅仅要加强安全建设,同时也要对IT系统的相关操作进行全面采集和审计。此外,萨班斯法案404条款的相关实施细则要求公众公司必须确保与财务相关的IT系统的安全性和可审计性,这对于在美上市的国内企业又提出了要求。这些政策的相继出台为国内金融机构实施信息安全IT综合审计工作提供了指导与要求。 需求分析 金融信息系统是技术密集、资金密集、大型复杂、网络化的人机系统。金融行业进行信息化建设起步较早,但传统的IT审计方式主要是利用系统的日志功能,将分散在各地、不同种类的系统设备日志分别进行管理,各系统单独存储,形成信息孤岛,导致日志信息分散,互不相通,安全策略难以保持一致。此外,目前常见的安全控制措施,如防火墙、入侵检测等,都是在网络或主机安全层面来进行防护,对于业务层的安全,很少涉及。随着攻击手段的不断发展,攻击行为及违规行为日益向纵深化、混合化方向发展,利用现有系统日志的方式已经不能满足对网络的
Maixin金融行业CRM解决方案 一、方案简介 IT技术和信息化改变了金融竞争的规则,也使客户在寻求金融服务时有了巨大的选择空间。为了抢占更大的市场份额,获得更多的高端客户,越来越多的金融服务企业开始选用上海脉信CRM客户关系管理解决方案。由于结合了企业的自身需求和特点,Maixin金融行业CRM可以帮助企业最大限度地利用客户资源,包括对现有客户的管理和潜在客户的挖掘。 无论是零售银行业务、理财还是保险业务,上海脉信Maixin金融CRM系统都能利用Microsoft平台帮助您全方位掌握客户的情况,从而: 能在所有渠道上交付高质量的一致性服务 识别高价值客户,帮助建立客户忠诚度 充分利用新的创收机会 与核心系统和现有应用进行整合,从而进一步延伸IT 投资的价值 采用XRM 框架迅速交付各类客户端管理和金融行业应用 二、方案功能 针对金融行业企业对CRM系统的不同需求,Maixin金融行业CRM管理系统可提供定制化的CRM解决方案,通过业务系统平台化提高工作效率及客户满意度。 Maixin金融行业CRM系统解决方案包括: 1、理财咨询平台 使用上海脉信Maixin CRM 系统可进一步增加销售机会,降低管理成本。加深对客户的全面了解,从而根据客户的需求和偏好量身定制个性化服务,以在提高客户满意度的同时与其建立更持久的关系。 在统一系统中捕获并跟踪所有潜在顾客的详细情况,以确定更多符合资质条件的潜在客户 充分发挥界面熟悉、以及与Maixin CRM自身的无缝集成的优势,员工能够迅速使用CRM 深入了解情况,以帮助您实现升级销售和交叉销售的最大化 实现流程自动化,以简化管理工作,从而将更多时间用于客户拓展 根据与客户进行互动的实时信息制定新的战略 2、机构客户平台 高效管理客户群,按时交付以留住更多客户,进而提高收入。作为微软全球金牌合作伙伴,欧唯特信息系统通过全面整合研发、订单管理、CRM 以及通信系统等不同系统来帮助您实现上述目标。 为销售人员和渠道商提供统一平台 推动内外部统一协作 提供所有客户活动的全面视图 监控研发成本和贸易流程,有助于确定能吸引客户的产品类别
(金融保险)银行网络数据中心设计方案
2、系统设计总体方案XX银行全国数据集中工程
目录 第1章前言8 第2章概述9 第3章网络设计原则10 第4章总体架构设计11 4.1结构设计11 4.1.1结构设计策略11 4.1.2分区模块设计11 4.1.3分层设计12 4.1.4物理部署设计12 4.2上海全国数据中心局域网拓朴13 4.3网络核心层14 4.4生产区14 4.5运行管理区15 4.6MIS区16 4.7广域接入区16 4.8OA接入控制区17 4.9生产外联17 4.10设备选型推荐18
4.10.1S8500简介20 4.10.2AR28-80简介27 第5章服务器接入设计32 第6章VLAN和SPANNINGTREE设计33 6.1VLAN简述33 6.2VLAN注册协议(GVRP)34 6.3VLAN设计36 6.4STP设计36 6.5VRRP37 第7章IP地址设计38 第8章路由选择和设计40 8.1路由协议选择40 8.2路由边界40 8.3路由协议设计(OSPF)41 8.3.1OSPFArea设计41 8.3.2OSPFProcessID42 8.3.3OSPFRouterID43 8.3.4OSPF链路Metric43 8.3.5OSPFMD5认证43 8.3.6选路规划44
8.4静态路由44 第9章QOS设计44 9.1Q O S服务模型45 9.1.1Best-Effortservice45 9.1.2Integratedservice45 9.1.3Differentiatedservice46 9.1.4服务模型选择47 9.2Q O S实现技术48 9.2.1报文分类48 9.2.2拥塞管理48 9.2.3拥塞避免50 9.2.4流量监管和整形51 9.3农行数据中心Q O S设计52 第10章可靠性设计55 10.1可靠性概述55 10.2设备级可靠性设计56 10.2.1引擎(含主控及交换网)57 10.2.2电源61 10.2.3模块和端口61 10.2.4系统软件62
瑞斯康达针对金融行业接入网络优化解决方案
一、客户需求分析 近年来,随着金融行业业务的拓展和改革的深入,以往普遍采用的接入网点 组网系统逐渐暴露出很多缺点,金融行业都开始建设接入网系统,逐步建设覆盖 全市的收费营业厅网络。 这是激烈社会竞争、 网络技术发展、 银行业务迅速发展、 现有资源最大化有效利用的需要,也才能提高对用户的服务质量,实现整体运营 成本的降低。随着金融应用的飞速发展和分行的不断增多,金融行业原有的网络 系统,需要进一步提高稳定性、扩展性、可维护性与互连性如,各分行连接广域 网和连接局域网的核心设备都是单机运行,需要进一步提高安全性,同时,新业 务的快速增长对带宽也提出了更高的要求。 为了有效地应对后 WTO 时代所带来的挑战, 建立起可持续发展的比较竞争优 势,在与行业用户充分沟通中了解用户的真正需求和迫切需要解决的问题,瑞斯 康达提出的解决方案配合驻地运营商以帮助金融行业全面推进规范化管理, 提升 作为基础设施之一的接入网络系统,从而推动整网的优化,有效的支持客户业务 的综合应用以及线路扩容。
二、网络现状分析 金融系统现有计费网主要是两种接入方式: 一种是采用租用运营商 DDN 专线的方式来实现的,由于 DDN 网对业务可靠性 的要求以及对电路处理的复杂性,其高昂的价格限制了 DDN 节点的普及,从而使 得 DDN 网的覆盖范围只能够集中在经济相对发达的城镇或是城市里相对发达的 主要区域,而诸如农村等广大市场无法顾及。也就是说,传统的 DDN 网络在第三 级上还具有很好的利润优势,然而在第四级上其投入产出比就比较低了。一般农 村储蓄所每天的交易很少,需要的带宽也就是 1 到 2 个 64K,为此将 DDN 网络覆 盖到农村显然很难收回投资。由于 DDN 是为数据业务设计的,在需要数据、语音 混合接入的时候往往要和 PSTN 结合,组网复杂,而且不便于统一管理。DDN 网 络提供数据带宽太小,已经不能满足日益增长的银行业务数据量的需求。 另外一种虽然是采用自己的线路和设备,但是由于原有设备的汇聚性和扩展
安全企业谈等保2.0(五)--云端互联网金融业务的安全要求及解决方案
安全企业谈等保2.0(五)云端互联网金融业务的安全要求及解决方案 编者按 互联网金融业务系统上云后的安全是当下热点,本文梳理了等级保护云计算安全和非银行金融机构安全监管这两方面的合规性要求,将两者加以融合、针对其主要的安全问题和需求,提出云端互联网金融的安全防护、安全检测和安全监测三大类措施与安全服务解决方案。 正文 目前,公有云的建设发展成为互联网时代的风向标,如阿里云、亚马逊等建立的公有云规模增长迅速。在移动互联网发展推波助澜之下,依托移动互联网开展P2P网贷、线上理财、消费金融、三方支付业务的企业为了享受公有云提供的快捷、弹性架构,从而纷纷将应用系统部署到云上。 首先,合规要求方面,《信息系统安全等级保护基本要求云计算扩展要求》(以下简称“《云等保》”)定义云计算服务带来了“云主机”等虚拟计算资源,将传统IT环境中信息系统运营、使用单位的单一安全责任转变为云租户和云服务商双方“各自分担”的安全责任。这点明确了企业作为云租户,其应用系统都需要定级且符合对应等级安全控制措施要求。2016年12月银监会发布了188号文,《中国银监会办公厅关于加强非银行金融机构信息科技建设和管理的指导意见》(以下简称“《指导意见》”),对信托公司和金融资产管理公司、企业集团财务公司、金融租赁公司、汽车金融公司、消费金融公司、货币经纪公司等非银行金融机构信息科技建设、信息科技风险防范提
出了要求。《指导意见》第五章节指出“加强网络区域划分和隔离;通过部署防病毒、防攻击、防篡改、防泄密、防抵赖等措施提升系统抵御内外部攻击破坏的能力;”。对于云上应用系统的安全防护明确提出了安全建设要求。 其次,参考安全咨询机构对于2002年至2017年3月之间公开报道的敏感信息泄露案例的数据分析发现: ■ 敏感信息泄露呈现上升趋势——泄露手段从以黑客入侵等技术手段为主向技术手段与收买内部员工、内部管理不善等非技术手段结合并用发展,特别是对非技术手段的运用,近几年呈现出较快速的增长,企业对可能的应用系统攻击行为没有安全检测防护措施。 ■ 敏感信息泄露涉及行业广泛——重点集中在互联网、制造业、政府机构及金融行业,特别是互联网行业信息泄露事件呈现高速增长趋势,需要引起警惕。 ■ 敏感信息泄露的追责难度大——基于IP的审计,难以准确定位责任人,难以将IP地址与具体人员身份准确关联,导致发生安全事故后,追查责任人成为新的难题。 由此,安全威胁与应用安全风险与企业业务经营如影随形。应用系统部署到云上的企业需要考虑在公有云上应用系统的安全防护解决思路。 绿盟科技建议从满足合规要求作为起点,业务在“云上”的企业都需要符合《云等保》安全要求,非银行金融机构接受国家主管单位合规监管,未持牌开展业务或违规经营将会后果严重。同时,为了达到业务正常开展需要的安全防护水平,安全服务也应纳入,解决应用系统安全检测和安全监测需要。
互联网金融业务 手写电子签名解决方案 北京数字认证股份有限公司中国·北京市海淀区北四环西路68号左岸工社15层TEL:86-10-58045600FAX:86-10-58045678 邮政编码:100080 2015.7
目录 1.方案背景 (1) 2.现状分析 (1) 3.需求说明 (1) 4.解决方案 (2) 4.1.整体结构 (2) 4.2.身份认证设计.............................错误!未定义书签。 4.3.线下PC、PAD签约模式方案 (3) 4.3.1. 4.3.2.方案组成 (4) 业务流程 (4) 4.4.线上APP签约模式方案 (5) 4.4.1. 4.4.2.方案组成 (5) 业务流程 (5) 4.5.线上短信签约模式方案 (6) 4.5.1. 4.5.2.方案组成 (6) 业务流程 (7) 4.6.总体部署 (7) 5.司法鉴定服务 (8) 6.产品清单 (9) 7.方案特点 (10) 8.方案应用推广现状 (10)
1.方案背景 在当下多元化的互联网金融模式中,互联网金融门户模式正在快速崛起。互联网金融不是互联网和金融业的简单结合,而是在实现安全、移动等网络技术水平上,被用户熟悉接受后,自然而然为适应新的需求而产生的新模式及新业务。 为规范互联网金融公司网络营销平台业务,保证平台在后续交易中的合规性,维护有关各方的合法权益,提升平台公信力,需要在网络营销涉及的电子协议中加入依靠可靠的第三方电子认证机构提供合法的电子认证。 2.现状分析 互联网金融依托线上、线下平台,快速、便捷、持续地为客户提供服务,目前很多互联网金融公司已完成网贷平台建设,在交易过程中,涉及借款人、出借人、平台、小贷公司/担保机构四方参与者,由于依托互联网平台,交易中各方参与者的真实身份无法确定,而电子交易平台直接关系资金、财产等敏感内容,虚假的用户身份可能直接导致交易各方的财产损失。 各参与者之间需要在网贷平台上签署服务合同或其他文件,为使相关凭证符合《中华人民共和国电子签名法》中的规定要求,需通过电子签章与认证的方式确保平台出具的文档具有法律效力。 3.需求说明 结合互联网金融公司的运营模式和业务情况,交易各方需要在平台上签署电子合同,必须确保签名人身份真实,签名后电子合同符合司法机构的要求,具备法律效力,同时保证业务过程中的签署的安全性,可靠性。核心需求包括:强实名认证:投资人或借款人在平台注册时需要通过身份审核(公安部身份认证)、密码校验、身份证照片留存、人脸识别等。 互联网金融业务电子合同的合法性:电子合同需要具有与纸质合同同样的法
金融业网络安全自查报告 欢迎来到,下面是给大家整理收集的关于金融业网络安全自查报告,供大家阅读参考。 为认真贯彻关于州银监局转发的《开展银行业金融机构网络安全自查工作的通知》精神,我行专门召开了以网络安全为主题的会议,并草拟了网络安全责任制和有关规章制度,由我行科技部统一管理,各科室负责各自的网络安全工作。严格落实有关网络安全方面的各项规定,采取了多种措施防范安全有关事件的发生,总体上看,我行网络安全工作做得比较扎实,效果也比较好,近年来未发现泄密问题。 一、计算机涉密信息管理情况 今年以来,我行加强组织领导,强化宣传教育,落实工作责任,加强日常监督检查,将涉密计算机管理抓在手上。对于计算机磁介质(软盘、U盘、移动硬盘等)的管理,采取专人保管、涉密文件单独存放,严禁携带存在涉密内容的磁介质到上网的计算机上加工、贮存、传递处理文件,形成了良好的安全保密环境。对涉密计算机实行了与国际互联网及其他公共信息网物理隔离,并按照有关规定落实了安全措施,到目前为止,未发生一起计算机失密、泄密事故。 二、计算机和网络安全情况 一是网络安全方面。我行配备了防病毒软件、网络隔离卡,采用了强口令密码、数据库存储备份、移动存储设备管理、数据加密等安全防护措施,明确了网络安全责任,强化了网络安全工作。
二是日常管理方面切实抓好内网、外网和应用软件“五层管理”,确保“涉密计算机不上网,上网计算机不涉密”,严格按照要求处理光盘、硬盘、优盘、移动硬盘等管理、维修和销毁工作。重点抓好“三大安全”排查:一是硬件安全,包括防雷、防火、防盗和电源连接等;二是网络安全,包括网络结构、安全日志管理、密码管理、IP管理、互联网行为管理等;三是应用安全,包括邮件系统、资源库管理、软 件管理等。 三、硬件设备使用合理,软件设置规范,设备运行状况良好。 我行每台终端机都安装了防病毒软件,系统相关设备的应用一 直采取规范化管理,硬件设备的使用符合国家相关产品质量安全规定,单位硬件的运行环境符合要求,打印机配件、色带架等基本使用设备原装产品;防雷地线正常,对于有问题的防雷插座已进行更换,防雷 设备运行基本稳定,没有出现雷击事故;UPS基本运转正常。网站系 统安全有效,无任何安全隐患。 四、通讯设备运转正常 我行网络系统的组成结构及其配置合理,并符合有关的安全规定;网络使用的各种硬件设备、软件和网络接口是也过安全检验、鉴 定合格后才投入使用的,自安装以来运转基本正常。 五、严格管理、规范设备维护 我行对电脑及其设备实行“谁使用、谁管理、谁负责”的管理 制度。在管理方面我们一是坚持“制度管人”。二是强化信息安全教育、提高员工计算机技能。同时在行内开展网络安全知识宣传,使全
银行业网络安全现状 YKK standardization office【 YKK5AB- YKK08- YKK2C- YKK18】
一.银行业信息化现状 21世纪的今天,信息技术的发展完全改变了人们传统的生活方式和生活观念,在以网络应用为核心的数字化时代到来之际,金融界率先引进了电子信息和网络技术,计算机网络与信息技术不仅深入了金融企业的内部管理体系,也使我们在注入银行卡、网上交易等业务中,越来越多的享受到了信息化所带来的高效和便利。网络银行的出现,使得银行客户在任何地方和任何时候都能得到银行的服务,它拓展了银行的业务发展空间,使用因特网进行的商务活动突破了时间与空间的限制。 目前,全球发达国家大约有85%的主要银行已经建有自己的业务网站,中国银行,,%)界实现银行机构信誉化的进程也在不断地加快,可以说开拓数字化、网络化的电子金融业业务,已经成为国内金融界发展的战略重点。据报道,中国银行业金融电子化建设已经具有相当的规模,计算机和通信网络在银行已经得到普遍的应用,银行系统的存款贷款、代理、结算,ATM,信用卡同城清算,已经基本实现了计算机和网络化,据不完全统计,中国银行、中国交通银行,计算机化已经达到了100%,中国建设银行达到了90%以上,中国交通银行达到了85%以上,农业银行也达到了80%以上。 我国金融业拥有世界先进水平的大型计算机、小型计算机、PC 服务器、刀片服务器等各类计算机,建立了覆盖全国的网络通信系统,开发了大量金融信息和业务处理系统,形成了比较完整的金融信息基础设施体系。数据集中工程基本完成。以国有商业银行为代
表的各金融机构实现了业务数据的集中处理,统一、规范了业务操作流程,重新设计了营运流程。建立了集中式的数据中心,有效提高了数据处理能力和整体可靠性,为管理信息系统提供了基础数据,为下一步实现经营集约化、管理信息化、决策智能化奠定了基础。 核心业务系统成功投产。以数据集中为依托,部分商业银行研制开发了涵盖全行业务处理、经营管理、决策分析和服务渠道的全功能银行业务系统。部分保险公司陆续启动了“集中的财务系统”、“保险数据仓库”、“集中的IT运行平台”、和“网络安全系统”等信息化建设项目,提高了信息系统的整合应用能力,为业务发展提供了有力的支撑。 二.未来几年我国银行业信息化发展的趋势 1.加强IT治理,提高信息化管理水平。未来几年,银行业要建立起适应数据大集中技术环境和银行组织变革要求的信息组织体系,合理配置科技资源,努力构建面向业务、服务导向、分工合理、协作紧密、运作高效的专业信息化组织架构。 要建立IT战略和计划的流程,保证IT战略与企业战略的一致性,确保IT技术投资决策符合本行远景。建立统一的项目管控组织和制度流程,加强项目协调和管控,加强需求、方案设计、投产验证等关键阶段的管理,确保项目过程的有效控制。建立统一的IT策略,推进企业IT技术标准化,统一IT架构、规范IT技术采用,提高效率、降低成本。进一步完善供应商管理机制,加强供应商的有效控制,为银行信息化发展提供安全高效的外部资源支持。
金融行业信息化解决方案 行业信息化背景 与整个社会环境相适应,银行业随着数据通信技术的发展,不仅改变了银行与客户相互联系的方式,也改变了银行的服务方式、产品营销方式和交易处理方式。数据通信技术的发展极大推动了银行业的业务创新,特别是在移动银行和移动电子商务方面大胆探索。对于金融行业来讲,移动的实时数据交换已是业务发展的必然要求。 随着移动通讯技术的普及,移动金融服务的实时数据交换是金融业业务发展方向,消费行为正日益从固定消费地点模式向各种不限地域、不限时间、不受固定通讯线路限制,随时进行交易的模式发展,移动支付方式的出现日新月异地改变着人们的消费习惯,使刷卡支付逐渐成为付款、消费的主流。银行卡消费作为提高银行个人金融安全性,保护个人隐私性及避免差错,降低风险的手段起着巨大的推动作用。 解决方案移动金融行业信息化解决方案有四个部分组成:■ 移动办公方案: 将短信和GPRS等信息无线传输方式应用到日常办公中,提供工作效率; ■ 无线ATM 方案:利用移动网络覆盖,将各个ATM机通过移动网络接入银行业务系统; ■ 无线POS 方案:利用无线网络将各个POS机接入银行业务系统; ■ 手机钱包方案:通过移动手机方便了广大市民进行小额帐单支付; ■ 银信通方案: 利用中国移动的全国覆盖的GSM网络和短消息系统,为银行客户提供帐户资金变更信息服务等。北京移动金融行业信息化解决方案——移动办公方案 行业信息化现状及面临的挑战 随着金融行业企业信息化程度的不断提高,企业人员在办公中的电子化、信息化程度也越来越高,电子公文系统逐渐代替了纸质公文的传递、电子邮件系统可能是每天工作中第一个打开的程序,种种办公自动化系统为企业提供方便的同时,越来越多的不便却是传统的办公自动化系统无法解决的。 客户需求分析 在企业的日常办公中,在很多情况下都需要迅速把信息通知到很多人,比如紧急情况通知到负责人、会议的通知、公司行政部门的各种通知等,传统的通知办法存在着一些不便。 解决方案 移动办公解决方案将短信应用与企业办公结合在一起,为企业提供了使用短信的方式迅速大规模发送通知的功能。该方案具有以下优势: 发送速度快,可以同时向几百人发送通知 可以查看短信到达状态报告,确认用户是否接收到通知 使用方便,操作简单 使用无线上网的功能,无论用户身处何方,北京移动通信全面覆盖的网络都可以使用户轻松接入到互联网,访问网页、收发电子邮件。很多企业为了安全,内部网络使用了VPN(虚拟专用网)技术,无论企业的内部网络是什么结构,北京移动通信的解决方案都有与之相对应的网络解决方案,使得用户可以随时随地通过笔记本无线上网访问企业内部网络,处理办公; 北京移动金融行业信息化解决方案——无线ATM方案 客户面临的问题 A TM机(自动取/存款机)是银行使用量很大的自助式终端,以往每台A TM机均通过DDN 的方式与总部联网。从使用情况看,存在三大问题: 1、线路到位周期长 2、机动性差、很难移动布置 3、通信线路的成本太高
目录 前言 (2) 第一章需求分析 (3) 一、衡阳市商业银行的网络以及应用现状 (3) 二、衡阳市商业银行的网络建设目标 (4) 第二章网络方案设计 (6) 一、方案设计目标 (6) 二、方案设计原则 (7) 三、方案说明 (7) 四、关键技术的实现 (11) 第三章方案特点 (13) 第四章产品简介 (15) 第五章网络支持与服务 (18) 第六章项目管理与实施 ....................................错误!未定义书签。
前言 金融业一直是计算机技术应用最多和最广泛的一个行业,这在中国市场经济蓬勃发展,金融体制改革为领导、国有商业银行为主体、多种金融机构分工协作的格局日益形成,特别是大量外资银行涌入,使银行间的商业竞争开始激烈。 在这种环境下,如何有效地加快计算机技术的深入应用,加强技术改造更新,提高自身的业务服务能力和水平,是银行发展中的一项关键任务。单机、分系统的计算机应用模式已不能适应今天的需求。 国家推动的“三金”工程,为银行业的计算机系统提出了重要课题。只有一个广域联网的,实时高效的,安全可靠的,综合决策的银行计算机自动化管理系统,才能向客户提供最有效的服务,使各级领导部门实时掌握相关信息,使银行在激烈的竞争中立于不败之地。
第一章需求分析 一、衡阳市商业银行的网络以及应用现状 目前,衡阳市有6家城市信用社,近40个网点。其中有4家城市信用社业务属于单点运行,另外2家城市信用社业务属于辖内储蓄通存通兑。商业银行挂牌以后计划实现全辖内储蓄和信用卡的通存通兑。 1.银行数据分布结构进行调整 目前,各家城市信用社各自为政,不存在行政上的依赖关系。因此,各家信用社数据互相独立,业务互不干涉。如果商业银行挂牌成立以后,目前这种数据分布结构将严重影响行政上的管理和业务上的发展。因此,商业银行成立以后将采用数据大集中的模式。 2.电脑设备进行更新换代 目前,在6家信用社当中,有2家信用社使用DEC ALX 6200(5200)PC服务器,其余4家采用PC机。而且大部分机器是486档次,一方面机器老化,另一方面存在2000年问题。因此这些机器急需更换。另外,商业银行成立以后,将采用数据大集中进行处理,因此必须购置小型机来完成这项工作。小型机的选型要考虑到以下业务因素: ●普通业务笔数的增加:目前,6家城市信用社合计日平均业务量为 10,000笔/天。5到8年以后日平均业务量将达到100,000笔/天。 ●历史交易的联机保存:目前,大部分网点采用单机运行,业务量少,
金融行业 信息(内网)安全管理规定
ViaControl信息安全管理规定(参考) 第一章总则 第一条为了强化XX银行的信息安全管理,防范计算机信息技术风险,保障我行的电子文档安全,保障员工规范利用公司网络资源,保障网络及终端的软硬件资产安全,提高网络系统维护的响应能力和速度,保障公司计算机网络与信息系统安全和稳定运行,根据《中华人民共和国计算机信息系统安全保护条例》、《金融机构计算机信息系统安全保护工作暂行规定》等规定,结合本公司的实际,特制定本规定。 第二条本规定所称信息安全管理,是指在XX银行信息化项目立项、建设、运行、维护及废止等过程中保障计算机信息及其相关系统、环境、网络和操作安全的一系列管理活动。 第三条XX银行信息安全管理工作实行统一领导和分级管理。总行统一领导分支机构和直属企事业单位的信息安全管理,负责总行机关的信息安全管理。分支机构负责本单位和辖内的信息安全管理,各直属企事业单位负责本单位的信息安全管理。 第四条XX银行信息安全管理实行分管领导负责制,按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,逐级落实单位与个人信息安全责任制。 第五条本规定适用于XX银行总行机关、各分支机构和直属企事业单位(以下统称“各单位”)。所有使用XX银行网络或信息资源的其他外部机构和个人均应遵守本规定。 第六条信息安全管理制度辅助实施工具采用上海互普信息技术有限
公司生产的ViaControl威盾网络保安系统。 第七条任何单位和个人不得以任何理由逃避该安全制度的管理,不得利用联网计算机从事危害本地局域网服务器、工作站的活动,不得危害或侵入未授权的(包括CERNET或其它互联网在内的)服务器、工作站。不得从事危害国家利益、集体利益和公民合法利益的活动,不得危害计算机信息网络系统的全面安全。 第八条ViaControl控制台权限划分:
金融行业解决方案 一、金融行业信息安全概述 金融行业信息化系统经过多年的发展建设,目前信息化程度已达到了较高水平。信息技术在提高管理水平、促进业务创新、提升企业竞争力方面发挥着日益重要的作用。随着银行信息化的深入发展,银行业务系统对信息技术的高度依赖,银行业网络信息安全问题也日益严重,新的安全威胁不断涌现,并且由于其数据的特殊性和重要性,更成为黑客攻击的重要对象,针对金融信息网络的计算机犯罪的案件呈逐年上升趋势,特别是银行全面进入业务系统整合、数据大集中的新的发展阶段,以及银行卡、网上银行、电子商务、网上证券交易等新的产品和新一代业务系统的迅速发展,现在不少银行开始将部分业务放到互联网上,今后几年内将迅速形成一个以基于TCP/IP协议为主的复杂的、全国性的网络应用环境,来自外部和内部的信息安全风险将不断增加,这就对金融系统的安全性提出了更高的要求,金融信息安全对金融行业稳定运行、客户权益乃至国家经济金融安全、社会稳定都具有越来越重要的意义。金融业迫切需要建设主动的、深层的、立体的信息安全保障体系,保障业务系统的正常运转,保障企业经营使命的顺利实现。 二、金融业安全风险及需求分析
金融行业典型网络拓扑如下,通常为一个层次化的互联广域网体系结构: 2、1金融行业风险分析 金融行业网络系统面临的风险复杂多样,既有来自外部的,也有来自内部的。可以概括为以下三个大的方面: ·组织方面的风险。缺乏统一的安全规划和安全职责部门; ·技术方面的风险。安全保护措施不充分。尽管已经采用了一些安全技术和安全产品,但是目前安全技术的采用是不足的,存在大量这样、那样的风险和漏洞;·管理方面的风险。安全管理有待提高,安全意识培训、安全策略和业务连续性计划都需要完善和加强; 具体风险分析如下: ·缺乏对内部用户的行为控制和行为监管,表现在对内部人员的过分信任,没有可靠的管理手段往往是出现内部高科技犯罪的开始。 ·虽然制定了一系列信息安全规定,但是没有一个科学的评估方法和管理手段,
关于互联网金融的行业结构分析 来源:金窝窝 随着互联网技术的普及,金融行业正在潜移默化的发生着改变,近一年互联网金融正在迅速的发展,改变着我们的生活。对此,互联网金融是一个新兴产业,我们正处于起步阶段,需要在发展的过程中不断摸索,不可以忽视的是互联网与金融的产生,给我们的市场提供了广阔的空间。 互联网金融的定义 互联网金融是指以依托于支付、云计算、社交网络以及搜索引擎等互联网工具,实现资金融通、支付和信息中介等业务的一种新兴金融。 目前,“互联网金融”在全球还没有统一定义。市场人士将互联网企业从事金融的行为称为互联网金融, 而将传统金融机构利用互联网的业务称为金融互联网。不过, 随着金融和互联网的相互渗透、融合, 这一狭义概念的边界正变得模糊。广义上,任何涉及到了广义金融的互联网应用,都是互联网金融。本文认为, 互联网金融是传统金融行业与以互联网(目前主要是web2.0)为代表的现代信息科技, 特别是搜索引擎、移动支付、云计算、社会化网络和数据挖掘等, 相结合的新兴领域。一方面国内金融机构主动利用互联网平台改造传统业务模式, 另一方面互联网公司依赖技术和平台开始渗透到金融领域。目前主要的发展模式有:互联网金融不仅是金融与互联网的简单结合,而是传统金融行业与互联网精神的融合。 从内在原理看, 目前的互联网金融区别于传统金融表现在以下几个方面: 1.价值基础方面, 部分互联网金融企业拥有对客户服务和客户体验的单一追求。传统金融行业讲究股东利益、员工利益、客户利益三者平衡,在平衡中寻求持续发展。而目前一些包括互联网金融公司在内的互联网企业, 股东放弃短期回报, 员工满怀创造新天地的激情, 不计回报, 而唯独专注于客户服务和客户体验。这对机构过剩、业务同质、服务缺乏的金融行业所带来的冲击值得深思。 2.商业逻辑方面, 互联网金融是以大数据为基础进行风险定价, 形成信用体系。 3.财务模型方面, 互联网金融可以凭借其接近于零的边际成本, 通过基础服务的免费提供, 实现无边界的暴力扩张。 4.在经济原理方面, 互联网金融充分运用长尾分布理论, 通过规模经济和范围经济进行营利。 互联网金融行业的PEST分析 (一)政治法律因素
金融行业解决方案 概述 中国加入WTO后,国外银行业巨头最终将以国民待遇与中资商业银行在国内展开竞争,同时国内金融企业需要面对未来的业务模式: 混业、跨国、多渠道、增值及联合经营的全新挑战。新的业务模式和市场环境呼唤新的管理模式:集中管理、风险控制、客户至上、接轨国际和面向未来,新巴塞尔协议的要求和银行日趋国际化的环境,要求商业银行更加注重精确化、科学化的管理。由于金融业信息密集而不对称,信息化和风险防范是新的业务模式及管理模式成败的关键。 目前中国金融企业已有较完整的前台业务处理系统,并正在进行数据整合,但尚缺乏强大的后台支持管理系统;而这正是中国金融企业全面管理集中、全面成本控制、全面风险控制、全面客户服务和全面面向未来所必需的。从另一个角度看,中国金融企业基本上完成了或需要继续完成告别手工的电子化,下一步需要进行信息化(利用数据仓库和管理系统把数据转化为有用的信息以支持管理决策),并最终实现知识化(利用数据挖掘和管理学及金融学模型从信息中发现具有普遍意义的知识以优化管理决策)。将现代经营管理技术、财务管理技术、概率与数理统计技术、人工智能技术与计算机软件技术相结合是提高金融企业管理水平和核心竞争力的至关重要途径 金算盘软件公司凭借在企业信息化领域多年来卓有成效的研发工作经验,以及对金融行业的深入调查分析,基于先进的纯Interent技术架构,结合未来技术发展趋势和方向,推出了金算盘金融行业的解决方案(该方案着重于银行后台的全面管理),该方案具有全面性、可扩展性、可移植性、安全性、友好性和高效性等优势。
应用架构 特点 ?基于3C管理理念 因为银行等金融企业普遍采用一级法人制的垂直管理体系,所以金融行业的管理信息化必然是以大集中为其基本要求,这种要求正与金算盘提出的3C管理理念不谋而合,3C不但深度诠释了大集中的实质内涵,而且全面渗透到了金算盘金融行业解决方案中,在软件的每个细节都得到了体现。 管理大集权(Centralization) 通过金算盘的集团财务管理、全面预算管理、集团资产管理等系统,建立高效、顺畅的应用平台,实现对分子机构的集权管理与控制。 数据大集中(Concentration) 通过金算盘纯Internet架构的金融行业解决方案,可以实现总行和分子机构的全部数据集中部署,从而达到对整个集团的物流、资金流和信息流进行实时操作和控制,同时,减少由于数据分散管理带来的硬件投资和高维护成本。金算盘商业智能(BI)系统可以对集中后的海量数据进行实时分析。
XXX分行网络设计方案 目录 XXX分行网络设计方案 (1) 前言 (1) 第1章MPLS VPN简介 (2) 第2章 MPLS-VPN的客户解决方案 (3) 2.1网络设计框架图 (3) 2.2 广域网骨干区 (3) 2.3本地生产办公服务器区 (4) 2.4 大楼楼层汇聚区 (4) 2.5 广域网接入区 (5) 2.6 外联区域 (5) 第3章ip 地址规划 (6) 第4章路由协议 (6) 第5章MPLS VPN 规划 (7) 第6章网络备份及安全 (7) 6.1 网络备份 (7) 6.2 网络安全 (7) 前言 利用统一的计算机网络同时开展多种增值业务,是各大银行应用系统的最新发展趋势。将各种传统业务从专有系统环境移植到计算机网络上来,不仅可通过计算机网络带来更佳的灵活性、兼容性,而且还可以大大扩展服务范围,提高服务质量,降低运营成本。然而同时,网络资源的集中也带来了一系列新的问题,如不同业务系统在同一个网络上承载,如何有效的实现逻辑上的隔离、实现不同类别业务的区别服务等等都是需要仔细设计的环节。 随着中国金融系统网络大集中的逐步实施,网络业务横向集中,网络架构纵向集中的趋势日趋深刻,而业务网络物理统一,逻辑上要求安全隔离的呼声也越来越高,如何在统一的网络平台上高效、安全而经济的实现新一代金融网络的需求,成为金融用户、网络方案供应商、网络设备供应商面临的共同问题。 思科技术有限公司致力于提供面向用户的,可裁剪、可扩展、高效、实施简便的专业化金融网络解决方案,面向上述需求,思科公司推出了基于IOS系统网络产品平台MPLS和IPSEC技术的一体化VPN解决方案。
第1章MPLS VPN简介 随着社会的发展,企业日益扩张,客户分布日益广泛,合作伙伴日益增多,这种情况也使传统网络的功能缺陷越来越凸现:传统网络基于固定物理地点的专线连接方式已难以适应现代金融企业的需求。于是金融企业对于自身的网络建设提出了更高的需求,主要表现在网络的灵活性、安全性、经济性、扩展性等方面。 在这样的背景下,基于MPLS技术平台实现的虚拟私有网(简称为MPLS-VPN),以其独具特色的优势赢得了越来越多的金融企业的青睐。 MPLS是多协议标签交换协议的简称,多协议是指它能够支持多种三层协议;标签是一种短的,易于处理的,不包含拓扑信息,只具有局部意义的信息内容;MPLS的报文转发是基于标签的,在MPLS网络中,IP包在进入第一个MPLS设备时,MPLS边缘路由器分析IP 包的内容并且为这些IP包分配合适的标签。以后所有MPLS网络中节点都是依据这个标签作为转发依据。当IP包最终离开MPLS网络时,标签被边缘路由器分离。 MPLS可以在IP网中的实现的一种面向连接的特性。通过MPLS可以在IP网中提供一些原来只有ATM/ Frame Relay才能提供的业务,使得IP网络可以根据用户需求,提供形式多样、方便快捷的增值服务:VPN(包括二层和三层VPN)、流量工程和QoS、虚拟专线、电路交叉连接(CCC)等等,其中的MPLS VPN 就是其中一项重要的应用。 MPLS VPN可以分为BGP扩展实现的VPN和LDP扩展实现的VPN。根据PE(Provider Edge)设备是否参与VPN路由又细分为二层VPN和三层VPN。本次工程中,采用BGP扩展实现的三层MPLS VPN。 采用MPLS VPN技术可以把物理上单一的IP网络分解成逻辑上隔离的网络,并且每个VPN单独构成一个独立的地址空间,即VPN之间可以重用地址,在分配地址时不必考虑是否会与其他的VPN发生冲突,只需要考虑在本VPN之内不冲突即可,这样可以解决IP网络地址不足的问题,也方便与网络的扩展和变更。 MPLS VPN网络中,由三种设备:CE、PE和P路由器,CE(Custom Edge)是用户直接与服务提供商相连的边缘设备,一般也是路由器设备;PE(Provider Edge)是骨干网中的边缘设备,它直接与用户的CE相连;P路由器(Provider Router)是骨干网中不与CE直接相连的设备,P 路由器并也不知道有VPN的存在,仅仅负责骨干网内部的数据传输。但其必须能够支持MPLS协议,并使能该协议。PE位于服务提供商网络的边缘,所有的VPN的构建、连接和管理工作都是在PE上进行的。
金融行业WEB业务服务器安全解决方案 一、需求背景 某市城市商业银行已经实施了初步的安全建设,目前单独部署了2台防火墙和单机版防病毒,但已不能满足该商业银行业务发展及上级监管部门对信息安全提出的更高要求。经过漏洞评估,该商业银行发现生产网(包括核心服务器)与互联网的隔离不足,存在大量高危风险漏洞,且被攻击者利用并获得系统控制权限的可能性极大,为了加强信息安全保障,用户决定进行网络安全二期改造。 根据已经实施的风险评估,确认当前较为紧迫的安全需求包括: 安全域调整 划分单独的核心服务器区域,将原来统一部署在生产网核心交换机的应用服务器和数据库服务器等割接至新增的核心服务器交换机,该交换机接入生产网核心交换机,将核心服务器区置于单个VLAN中,同时用VLAN将生产网和办公网实现隔离。 内外网逻辑隔离 在生产网核与互联网之间部署UTM(统一威胁管理)设备,使其工作在透明模式,通过合理配置UTM的访问控制策略可降低无法修补的设备漏洞所造成的威胁,并将使用存在漏洞服务的终端控制在一定的范围内,对其访问行为进行日志记录。 核心服务器保护 该市城市商业银行业务系统均为WEB应用业务,通过之前进行的风险评估,确认这些WEB应用服务器均具有SQL注入漏洞,被攻击的可能性极大,威胁可能来自外部终端和内部终端,需要重点保护,因此需要部署一台可精确阻断SQL注入攻击的防御设备。 二、实施方案 通过对多家产品的横向测试,最终该市城市商业银行选择了启明星辰的天清汉马USG一体化安全网关产品作为内外网隔离设备,选择了启明星辰的天清IPS产品作为核心服务器保护设备,具体产品部署方案如下:
该方案在建设之初用户对网络进行了全面的风险评估,因此建设具有很强的针对性。来自互联网的威胁包括:网络入侵、病毒传播、非授权访问控制、资源滥用、非法言论传播等,天清汉马USG一体化安全网关具有功能全、性能高、应用简单等特点,适用于城市商业银行的内外网隔离需求。 城市商业银行网络中的核心服务器包含了最重要的业务系统以及数据资源,而针对服务器群的威胁主要是应用层威胁,具体来讲主要是针对WEB业务的应用威胁。目前针对WEB系统破坏力最强的威胁就是SQL注入,通过SQL注入入侵者可以获取WEB应用系统的完整权限,可以任意修改和窃取敏感数据,对城市商业银行来讲彻底屏蔽SQL注入威胁至关重要。而目前可选择的安全产品之中,只有启明星辰的天清IPS因为采用了基于原理的SQL注入检测与阻断技术,可以有效识别并阻断SQL注入攻击,因此城市商业银行选择了天清IPS作为核心服务器保护设备。产品上线后,通过天清IPS日志系统可以看出,有多起SQL注入攻击被成功阻断,用户信息系统的安全性得到了极大的提高。
金融行业解决方案 行业背景 金融行业按照客户类型划分可分为国有商业银行(政策性商业银行)、股份制商业银行(大型股份制商业银行、城市商业银行、农村信用社等)、证券、基金、期货、保险等,近年来为加强金融行业信息科技风险管理,各行业监管机构相继出台了针对信息科技安全的相关政策法规,如《商业银行信息科技风险管理指引》、《证券公司网上证券信息系统技术指引》、《期货公司信息技术管理指引》和《保险公司信息化管理工作指引》,可以看出目前各个金融行业客户对信息安全建设十分重视,纷纷加大信息科技管理方面的投入力度。 行业现状 金融行业客户出于信息业务安全和维护等多方面考虑,一般都会自己搭建数据中心,因此随着银行、证券行业业务量火热发展,信息安全风险也随之增大,业务访问效率同时也变成了网络和应用管理员最头疼的话题。 商业银行客户的业务系统一般包括核心应用系统、网上银行系统、办公系统、监控系统、认证系统等;证券基金客户的业务系统包括网上交易查询系统、银行结算系统、办公系统和门户网站等;保险行业客户业务系统包括CRM系统、核心业务系统、保单管理系统、财务系统等。各类不同的行业客户在信息系统建设和使用过程中都会遇到诸如物理层、网络架构、终端和操作系统、应用系统、核心业务数据等多方面的安全和优化问题,因此我们的方案主要针对以上各个方面。 建议网络架构
下载后可见 移动办公接入(SSLVPN网关): 客户为加强远程办公终端的安全性和易用性,采用SSLVPN的接入方式,利用对客户端安全检查、灵活定制访问策略和权限的技术手段,满足移动办公用户接入数据中心简单方便。 服务器负载均衡、应用优化(本地流量管理器): 由于网上交易系统都采用SSL 加密的方式,对于如何卸载服务器在处理SSL 加解密方面的压力,在不影响服务器性能的前提下,对数据进行加解密就变成了一个重要的话题,使用本地流量管理器,把大量用户的请求平均分发到多台服务器上面,同时能够对数据进行SSL 加速,卸载服务器处理SSL 加解密的压力。在站点之内,负载均衡产品能够同时对Web 前置服务器、应用服务器、数据库服务器、缓存服务器等多种服务器进行负载均衡。 各类应用安全防护(WEB防火墙、数据库安全审计、动态口令认证系统): 客户在数据中心的建设过程中最重要的就是核心业务系统,它包含了至关重要的应用系统服务器和核心数据,在核心业务系统中一般采用三层部署的标准架构,Web服务器、应用服务器、数据库,因此各类服务器的安全防护是客户最关心的重点,建议采用Web防火墙对Web服务器进行安全保护,避免针对服务器应用层和源代码攻击的风险,采用数据库安全审计平台对各类数据库操作,数据表调用和修