中国农业银行一级分行网络安全方案设计
- 格式:pdf
- 大小:1.89 MB
- 文档页数:61
四川大学硕士学位论文中国农业银行一级分行网络安全方案设计姓名:侯凯涛申请学位级别:硕士专业:电子与通信工程指导教师:周安民;范原辉20030101F565237中国农业银行一级分行网络安全方案设计工程领域研究生侯凯涛电子与通信工程指导老师周安民范原辉摘要中国农业银行计算机安全建设工作正在与时俱迸,从过去关注信息的保密、完整、可用、可控和不可否认的个体信息安全,继而发展到现今的关注整体网络安全的建设。
本论文从农业银行总行的角度来研究全国农业银行一级分行网络安全的建设。
笔者详细分析了一级分行网络安全建设的必要性和技术可行性;提出了银行网络安全建设的技术要求和实现目标:从网络安全基础设施建设、网络系统安全、管理信息系统安全等方面分析了农业银行现有网络安全各项需求,在此基础上进一步提出了建设农业银行网络管理安全中心的新概念。
并对各部分需求有针对性地进行了局部和整体的网络安全方案设计。
该设计部分己由一级分行实施,经验证确有较强的现实指导意义。
关键词:中国农业银行一级分行网络安全设计DesignofNetworkSecurityof1st—LevelBranchofTheAgricultureBankofChinaField:Electronics&CommunicationEngineeringGraduatestudent:HouKaitaoSupervisor:ZhouAnmin,FanYuanhuiABSTRACTnledevelopmentworkofA鲥cultureBankofChinacomputersecurityisgrowingwiththetime.ThecontentofinformationsecurityfoCUSshiRsfromthetraditionalconfidentiality,integfity,availability,controllableandauditingtotheconstructionoffull・scaleinformationsecurityframework.Thisthesisprimarilystudiestheconstructionoffull-scaleinformationsecurityframeworkoftheAgricultureBankofChina.Theauthoranalyzesthenecessityandtechnicalfeasibilityofdesignandbuildingsuchsecurityframeworkforthebankenvironment;andputforwardthetechnicalrequirementandgoalsofthesecurityframeworkconstruction;Basedontheanalysesofthebusinessrequirementsinfuundationfacilitiesconstruction,networksecurity,managementinformationsystemsecurity,businesssystemsecurityofthebank,theauthorfurtherraisedthenewconceptionofconstructionoftheSMCintheAgricultureBankofChina:thelocalandwholesolutionfortheABChasbeenproposedandimplementedinsome1st.LevelDataCenter.Itisbeenprovedthattheworkhasgreatguidanceonthefurtherwork.Keywords:theAgriculturalBankofChina,Provincebranch,NetworkSecurityDesign1引言随着金融电子化技术的发展,以计算机技术、通讯技术、互联网技术为代表的现代信息技术对金融业务经营和管理的支撑与推动作用日益明显,经济全球化、信息全球化、金融全球化的浪潮促进了银行计算机网络的前进步伐,银行计算机网络『F逐渐从~个相对封闭的网络变成一个全面开放的网络。
这一方面便于银行为社会提供更快捷、更方便、更便利的金融服务,但另一方面也大大增加了银行计算机网络系统受到安全威胁与攻击的可能性“1。
据资料显示,在己发现的银行计算机犯罪案例中,金钱诈骗占36%,非法使用资源占34%,信息篡改占8%,偷窃资料占12%,破坏软件占2%,其它占8%。
在已破获的、采用计算机技术进行金融犯罪的人员中,外部非授权人员占i0%,外部授权人员占15%,内部菲授权人员占17%,内部授权入员占58%。
每年全世界银行因计算机犯罪而遭受的损失高达数十亿美元,我国银行界遭受的损失也逾上亿元人民币。
因此,必须采取切实合理的技术与管理措施,加强对银行计算机网络系统的安全防范与管理,及时有效地发现并阻止计算机犯罪事件的发生㈨。
1.1银行网络安全建设的意义加强网络安全建设是确保银行资金安全、保护客户利益的需要。
银行业务经营与管理行为主要表现对资金的运用与管理,在计算机系统中银行的资金具体体现就是数据.要确保银行资金安全和客户利益不受损害就必须保证数据的安全性,网络安全建设就是要保证数据在采集、传输、处理、存储过程中安全性的一项基础性工程。
加强银行网络安全建设可有效地防止计算机犯罪,为发现计算机犯罪行为和惩办罪犯提供有力的证据。
近几年来,银行计算机犯罪事件不断发生,无论是涉及犯罪金额和数量上都呈上升趋势,计算机犯罪所采用的技术也越来越先进,犯罪手法也越来越高明。
只有加强网络系统安全建设,才能建立有效的计算机安全防范与管理机制,及时发现计算机犯罪行为,制止计算机犯罪事件的发生。
加强计算机网络安全建设有助于进~步拓展商业银行的业务经营范围,提高商业银行的市场竞争能力。
Internet等新颖计算机技术促使银行业务不断创新,出现了自助银行、网上银行、电子商务等新颖银行业务模式,这些业务的开展需要建立相应的安全控制措施,应用以PKI为代表的公钥加密体系技术为确保这些新业务的开展提供了安全的技术保证啪1。
1.2银行信息系统的发展趋势随着中国加入世界贸易组织,国内银行、证券、保险业必将全面对外开放,不可避免地要经受国外银行业的严峻挑战。
同时随着我国金融电子化进~步发展,银行既要保障有强固的银行内部业务网络,又要扩展业务,利用互联网、无线网等尽可能多的通讯途径对全国甚至全球个人实行24小时金融电子服务。
金融信息网络的安全已经成为银行业各级领导和广大工作人员关心的重要问题【23】o农业银行的网络经过多年的建设,已经形成比较完善的综合网络,典型的省行整体结构是一个通过WAN连接的多级网络,整个内部网络分为三个层次:省级分行、地市分行和县支行(包括营业网点),在多级网络上运行着对公业务、储蓄业务、银行卡业务、中间业务、电子汇兑、自助服务、事后监督、管理信息、经营数据综合分析、国际业务等十大基础应用系统,覆盖了经营管理各个环节。
农业银行对公、储蓄、银行卡、中间业务系统和管理信息系统均实现了省际大联网。
白助银行在各地分行成功上线。
同时,农业银行已经开始大规模发展银行卡业务,具备了广泛开展电子银行和电子商务的支付基础。
目前农业锓行金融电子化呈现三大趋势:l_经营集约化——由业务数据分类处理向集中处理转变,使资金清算、柜台业务、信用卡业务等数据源统一。
2.数据集中化——银行核心数据向上集中,由总行统一处理,既提高了效率又便于开发新的金融业务,更提高了风险控肯I…。
m力。
3.用户个人化——争取通过各种通讯手段实现网上银行、网上证券交易、手机银行等等新业务。
那些想将银行业务局限于专用网络而与互联网和无线两隔绝的想法都不符2合金融电子化业务进展的要求。
随着应用系统的复杂化以及内部网络与外部网络之间联系增多,建立整体的网络安全体系迫在眉睫。
1.3网络安全建设的总体目标根据农业银行电子化建设“十五”规划的实施意见,银行网络安全建没的总体目标是:以网络安全为突破口,配合全行企业网建设,建立网络安全检测系统,采取各种有效措施,建成网络安全监控中心,实现实时监控,为企业网的安全运行提供保障:建立从总行到各分支机构的网络防病毒立体防护和快速反应系统,制订计算机病毒防治工作规范,对计算机病毒防治进行统一管理,紧急处理计算机病毒破坏事件:利用密码技术完成计算机系统终端安全改造工程,确保客户资金安全。
“十五”期末,基本建成密码技术、计算机病毒防治、身份认证、访问控制、审计跟踪、入侵检测和灾难恢复等多层次、全方位技术防范体系”…。
中国农业银行一级分行网络安全方案设计是“中国农业银行计算机安全体系建设项目”的核心部分,本人作为该建设项目的项目经理,负责该体系的总体设计工作,其中包括总体框架设计、总体及分部需求设计、总体及分部安全解决方案设计等工作。
本文既是选取了本人实际工作中的重点部分,作为专题研究。
1.4银行网络安全建设的原则银行网络安全建设应满足和遵循以下的特点/原则:。
”≯先进性:采用的技术具有前瞻性,能够满足同类信息系统跨平台的移植和推广要求:≯可靠性:遵循国家有关安全标准和规定,符合中国农业银行信息系统的网络接入模式、接口规范、带宽和性能要求,尽量不影响业务处理性能、网络性能。
确保安全系统自身能够确保安全正常运行。
≯可扩展性:不存在一劳永逸的安全保障系统,随着技术的发展,安全问题也层出不穷,因此,银行计算机网络安全建设必须具有可扩展性和3持续性:>可维护性:从具体的应用角度出发,满足业务和管理的需要。
一方面,安全系统本身必须是易于集中管理、可维护的,另一方面,安全系统对其管理对象的管理必须是方便的、简单的。
42网络安全基础设施建设2.1系统总体结构网络安全基础设旖主要包括信任管理平台、授权管理平台、统一密钥管理平台、物理设施、操作系统、重要数据等。
长期以来,银行在网络安全基础设施方面的建设远远落后于信息系统的建设,对安全建设缺乏统一的部署。
银行网络系统安全建设的总体结构示意图1如下:图1银行网络系统安全建设的总体结构示意PKI统一信任管理平台和统一授权平台构成了银行信息系统建设的安全基础。
PKI统一信任管理平台利用非对称公钥技术、采用数字证书为银行信息系统构建了一个统一的信任环境,它通过各种安全网关、安全代理系统和安全客户端等安全软件为应用系统提供数据加密、签名、安全传输等安全服务。
统一授权管理平台建立在PKI统一信任管理平台之上,利用数字证书标识用户的身份,建立起数字证书与权限、资源的映射关系,从而实现基于PKI的授权管理机制,同时,统一授权管理平台的实现采用了国际上公认的信任和授权标准SAML(SecurityAssertionMarkupLanguage),系统具有很强的可伸缩性和可扩展性,并可以根据具体规模需求,灵活建设。