永久五行公式公式规律
安全挑戰

近年來我國網上銀行業務發展迅猛,大型銀行的網上銀行交易總額、開戶數量、業務處理量已位居世界前列,網上銀行經營范圍遍及全國并在海外快速擴張,一旦業務停頓,可能影響全行乃至整個金融體系的正常運轉,并影響社會穩定。

網上銀行系統業務數據的大集中實現了業務數據的集中處理,但是銀行業務服務的連續性風險也隨之集中。大到自然災害、設計規劃不當,小到意外的人為錯誤,都可能會導致系統故障,直接威脅全行范圍內的業務開展,嚴重的甚至造成業務中斷。

為加強網上銀行系統安全,促進網上銀行規范、健康發展,有效增強網上銀行系統的信息安全防范能力。2012年5月8日,中國人民銀行向銀行業金融機構發布了《網上銀行系統信息安全通用規范JR/T 0068-2012》行業標準(以下簡稱《規范》)。《規范》涉及網上銀行系統的技術、管理和業務運作三個方面,分為基本要求和增強要求兩個層次,基本要求為最低安全要求,增強要求為三年內應達到的安全要求。《規范》將作為網上銀行系統安全建設、內部信息安全檢查和合規性審計的依據,同時給網上銀行系統安全建設和改造升級提供了依據。

保證網銀信息系統的安全穩定運行,進而使銀行業務持續開展,就成為了用戶安全建設的最根本目標。


解決方案

按照《網上銀行系統信息安全通用規范》要求,本方案具體安全設計如下: 

外聯區域:該區域主要包括實現網上銀行系統與Internet的安全接入的網絡設備,防護重點是防御來自互聯網的DDOS拒絕服務攻擊、非法訪問、黑客攻擊等。同時應考慮保障鏈路及應用的可用性。主要部署產品:抗DDOS系統、鏈路負載均衡、防火墻、入侵防御IPS、應用負載均衡。

網站服務區域:該區域主要包括網銀web服務器、網絡設備,通過部署Web應用防火墻(WAF)、網頁防篡改系統、SSL VPN網關(加密機,支持國密算法)。抵御來自互聯網針對網站的攻擊、網頁篡改。同時實現用戶身份認證、傳輸加密等。

測試區域:該區域主要包括網銀系統的開發測試系統。通過部署防火墻防止網絡的非法訪問。

核心交換區域:該區域主要包括核心交換網絡設備。通過部署網絡審計系統實現核心網絡訪問行為的安全審計。

網銀應用區域:該區域主要包括網銀的應用系統服務器等。通過防火墻及入侵檢測系統防止網絡非法訪問、實現攻擊行為的入侵監測。

網銀數據區域:該區域主要包括網銀系統的數據庫服務器等。通過防火墻、入侵檢測的部署防止網絡非法訪問、實現攻擊行為的入侵監測;以數據庫審計實現數據庫訪問的安全審計。

安全管理區域:該區域主要包括實現對網銀系統安全管理、安全運維的系統通過堡壘機實現對運維過程操作進行審計,以日志審計和安全管理平臺,對全網資產進行監控和管理。

銀行生產核心區域:該區域主要包括銀行內部核心業務系統。通過防火墻防范來自網銀區域的非法訪問。

異地容災中心:該區域主要實現網銀系統數據的備份容災。以備份存儲系統、容災系統實現。


建設效果

本方案從技術的角度,闡述了網上銀行系統面臨的安全風險問題,提出了整體安全技術措施和相關產品方案。從管理角度,分析了網上銀行系統面臨的安全管理問題,提出了安全管理的措施和方案。從整體安全規劃的角度,提出了網上系統的整體安全建設規劃。

具體實現效果如下:

微信圖片_20180720165913.jpg滿足業務發展

本方案設計,以滿足業務系統發展為出發點,深入分析業務系統的安全現狀,然后在提出安全解決方案,有效的滿足業務發展需求的同時達到安全防護需求。

微信圖片_20180720165913.jpg滿足行業合規

本方案設計,遵循國家信息安全政策和金融行業相關標準,滿足客戶安全需求的同時,又能滿足國家標準、行業標準的安全要求。

微信圖片_20180720165913.jpg構建縱深防御安全體系

本方案設計,遵循縱深防御的安全設計思想,通過網絡、主機、應用、數據、業務連續性、管理等方面,分域、分層的進行安全設計,通過多種管理和技術手段的有機結合,構建全方位、多層次、可動態發展的縱深安全防范體系。


典型案例
QUICK CONTACT
快捷通道
產品中心
解決方案
安全研究
技術支持
關于我們
永久五行公式公式规律