用防火牆構築起銀行安全屏障

隨著防火牆技術的成熟和發展,防火牆已成為阻擋黑客攻擊銀行計算機網路的城牆。在計算機網路上安裝防火牆,建立更加堅實的安全體系結構是銀行業安全的重要事件。

  一 銀行對防火牆的要求

  用於銀行計算機網路的防火牆產品,根據使用位置不同,效能、功能、防護強度的要求也不盡相同。鑑於銀行計算機網路的安全需求,防火牆產品至少應能滿足以下要求。

  1. 功能要求

  具有訪問控制功能,包括對Http、FTP、SMTP、Telnet、NNTP等服務型別的訪問控制,可以通過制定策略來進行訪問控制,確保只允許符合網路安全策略的訪問和服務才能進出銀行內聯網。具有抗攻擊性,包括對防火牆本身和受保護網段的攻擊抵抗能力,能有效防止拒絕服務攻擊,保證銀行計算機網路上執行資訊的可用性、可靠性,能夠識別一些常用的攻擊手段如埠掃描等。支援地址轉換功能,不僅要支援靜態地址轉換、動態地址轉換還要支援IP地址與 TCP/UDP埠的轉換,能夠遮蔽被保護網路的細節。支援DMZ的連線方式,可以按照需要設定DMZ分割槽,防止IP地址欺騙。防火牆要適合銀行的網路接入模式、介面規範要求。防火牆要具有很高的可靠性,不應降低銀行計算機網路現有的可靠性。支援透明接入和透明連線,不影響原有網路設計和配置。


  2. 效能要求

  防火牆要適合銀行計算機網路的網路頻寬、效能指標等要求,不能成為網路瓶頸,或明顯影響網路工作效率;要求時延小、時延抖動小;吞吐量滿足網路頻寬需求;包轉發率達到網路要求;併發連線數不應限制系統的正常使用。

  3. 其他要求

  支援本地和遠端集中管理兩種管理方式功能,以便於網路管理員對網路的管理;審計日誌功能,按事先規定的方式進行記錄,支援對日誌的統計分析,提供多種統計分析手段;實時告警功能,對防火牆本身或受保護網段的非法攻擊支援多種告警方式(如聲光告警、Email告警、日誌告警等);使用者管理介面簡單友好等。

  防火牆的功能是相互影響的,有些功能能增強網路的安全性,但卻以網路的效能為代價;有些功能能增加網路的易用性,但卻以網路的安全性為代價。防火牆必須按實際應用合理配置,然後在安全、易用、效能等各個方面進行平衡。不正確的配置會導致安全漏洞,而過於嚴格的配置則會導致使用者使用不便

二 方案設計

  為適應當前銀行計算機網路發展趨勢,保護銀行內部網路,防止發生來自內部的安全攻擊,銀行計算機網路要求將內部網路劃分為受嚴格保護的內部網路和DMZ(非軍事區),防止因系統提供的對外服務存在不安全因素給內部網路帶來安全隱患。銀行內部網路是被保護的安全區,它不對外開放,也不對外提供任何服務,外部使用者檢測不到它的IP地址。DMZ又稱非軍事化區,它對外提供服務,系統開放的資訊都放在該區,由於它的開放性,常成為黑客攻擊的物件,存在一定的安全隱患。DMZ區可放置存在安全隱患的Email 伺服器、FTP 伺服器、WWW 伺服器等。為提高內部網路的安全,防止外部黑客通過DMZ進入內部網路,必須將內部網與DMZ分開。內部網路是需要嚴格保護的系統,需要制定相對嚴格的安全策略。在這種結構框架下,使用者可以靈活地針對每個區域的具體安全需求和實際情況制定相應的安全策略。圖1是用具有DMZ功能的防火牆構建銀行計算機網路的安全體系框架。 vf I*fBil

  銀行計算機網路中,總行區域網是核心部分,大量的資訊在此集中彙總,各分行之間交換的大量資料由此轉發,重要性最高; 其下依次是分行、省會城市支行、地市支行。由於各級銀行的資訊重要程度不同,難免有來自系統內部的攻擊,因此防火牆不僅要設定在內聯網和外部網之間,各級銀行計算機網路之間也要設定防火牆。

  圖1 銀行網路安全體系框架圖

  



  防火牆是否能充分發揮作用,不僅與產品緊密相關,防火牆的日常執行管理也至關重要。防火牆安全規則的編寫、安全引數的配置、日誌的檢視與備份、報警資訊的及時處理、軟體升級等日常執行管理工作都影響防火牆的使用效率。

  銀行計算機網路的防火牆系統可採用獨立管理與集中管理相結合的模式,上級管理部門通過對本區域執行資料和記錄的分析,制定防火牆策略,各區域網可在遵守上級管理部門制定策略的前提下具體配置自己的的防火牆。

  三 選型

  現在國內防火牆生產廠家日趨增多,生產出的防火牆在功能、效能、管理等各個方面上各具差異,價格也各不相同。銀行在進行防火牆選型時要正確評估各個廠家的防火牆,綜合考慮以下幾個方面的因素選出適合銀行計算機網路並且質優價廉的產品。

  1.防火牆自身的安全性

  防火牆安全指標可歸結為兩個問題: 防火牆是否基於安全(甚至是專用)的作業系統; 防火牆是否採用專用的硬體平臺。只有基於安全的作業系統並採用專用硬體平臺的防火牆才可能保證防火牆自身的安全。

  2.系統是否穩定

  目前,由於種種原因,國內有些防火牆尚未最後定型或未經過嚴格的測試就推向了市場,其穩定性不能保證。防火牆的穩定性情況可以通過以下方式看出:國家權威機構的測評認證,如公安部電腦保安產品檢測中心和資訊產業部的測評認證。與其他產品相比,是否獲得更多的國家權威機構的認證、推薦等。另外,防火牆的使用者量也至關重要,特別是使用者們對於防火牆的評價、廠商開發研製的歷史,這些都是考察其穩定性的重要指標。

  3.是否高效

  高效能是防火牆的一個重要指標,它直接體現了防火牆的可用性,也體現了使用者使用防火牆所需付出的安全代價。如果使用防火牆而帶來了網路效能較大幅度的下降,就意味著安全代價過高,使用者無法接受。

  4.是否可靠

  可靠性對防火牆訪問控制裝置尤為重要,直接影響受控網路的可用性。從系統設計上,提高可靠性的措施一般是提高本身部件的強健性、增大設計閥值和增加冗餘部件,這要求有較高的生產標準和設計冗餘度,如使用電源熱備份、系統熱備份等

5.功能是否靈活

  對通訊行為的有效控制,要求防火牆有一系列不同級別、滿足不同使用者安全控制需求的功能。功能設定的多樣性、清晰性、難易性對使用者非常重要。銀行各級計算機網路有不同安全級別,需要的防火牆也應有級別的差異。

  6.管理是否簡便

  在充分考慮安全需要的前提下,必須提供方便靈活的管理方式。

  7.是否具有可擴充套件、可升級性

  一方面,銀行計算機網路不是一成不變的,隨著業務的發展,銀行計算機網路會提出新的安全需求;另一方面,黑客的攻擊手段也會有所改進。如果不支援防火牆升級的話,銀行就必須進行硬體上的更換。

  8.技術與售後服務

  對於來自不同廠家但具有相近功能和效能的產品,應當優先選擇具有更強的綜合經濟實力、技術研究開發背景、技術支援服務和市場拓展能力及國家重點支援的廠家的產品,這對於保護使用者的投資,得到持續的支援和產品升級是至關重要的。

  9.注意選擇3~4種產品

  一種產品被攻破後,將導致整個系統的癱瘓,如果選擇幾種的話,那麼這種同時被攻破的機率就會大大降低。同時考慮到各個廠商的服務體系在全國的不均衡性,各地區銀行系統採用的防火牆應該選用本地區服務體系比較健全的廠商。另一方面,考慮到防火牆管理成本的問題,不應選擇過多廠商的產品。