18禁网站免费,成年人黄色视频网站,熟妇高潮一区二区在线播放,国产精品高潮呻吟AV

學習啦 > 學習電腦 > 電腦安全 > 防火墻知識 > 用防火墻構筑起銀行安全屏障

用防火墻構筑起銀行安全屏障

時間: admin1 分享

用防火墻構筑起銀行安全屏障

隨著防火墻技術的成熟和發(fā)展,防火墻已成為阻擋黑客攻擊銀行計算機網(wǎng)絡的城墻。在計算機網(wǎng)絡上安裝防火墻,建立更加堅實的安全體系結構是銀行業(yè)安全的重要事件。
  一 銀行對防火墻的要求
  用于銀行計算機網(wǎng)絡的防火墻產(chǎn)品,根據(jù)使用位置不同,性能、功能、防護強度的要求也不盡相同。鑒于銀行計算機網(wǎng)絡的安全需求,防火墻產(chǎn)品至少應能滿足以下要求。
  1. 功能要求
  具有訪問控制功能,包括對Http、FTP、SMTP、Telnet、NNTP等服務類型的訪問控制,可以通過制定策略來進行訪問控制,確保只允許符合網(wǎng)絡安全策略的訪問和服務才能進出銀行內聯(lián)網(wǎng)。具有抗攻擊性,包括對防火墻本身和受保護網(wǎng)段的攻擊抵抗能力,能有效防止拒絕服務攻擊,保證銀行計算機網(wǎng)絡上運行信息的可用性、可靠性,能夠識別一些常用的攻擊手段如端口掃描等。支持地址轉換功能,不僅要支持靜態(tài)地址轉換、動態(tài)地址轉換還要支持IP地址與 TCP/UDP端口的轉換,能夠屏蔽被保護網(wǎng)絡的細節(jié)。支持DMZ的連接方式,可以按照需要設置DMZ分區(qū),防止IP地址欺騙。防火墻要適合銀行的網(wǎng)絡接入模式、接口規(guī)范要求。防火墻要具有很高的可靠性,不應降低銀行計算機網(wǎng)絡現(xiàn)有的可靠性。支持透明接入和透明連接,不影響原有網(wǎng)絡設計和配置。
  2. 性能要求
  防火墻要適合銀行計算機網(wǎng)絡的網(wǎng)絡帶寬、性能指標等要求,不能成為網(wǎng)絡瓶頸,或明顯影響網(wǎng)絡工作效率;要求時延小、時延抖動??;吞吐量滿足網(wǎng)絡帶寬需求;包轉發(fā)率達到網(wǎng)絡要求;并發(fā)連接數(shù)不應限制系統(tǒng)的正常使用。
  3. 其他要求
  支持本地和遠程集中管理兩種管理方式功能,以便于網(wǎng)絡管理員對網(wǎng)絡的管理;審計日志功能,按事先規(guī)定的方式進行記錄,支持對日志的統(tǒng)計分析,提供多種統(tǒng)計分析手段;實時告警功能,對防火墻本身或受保護網(wǎng)段的非法攻擊支持多種告警方式(如聲光告警、Email告警、日志告警等);用戶管理界面簡單友好等。
  防火墻的功能是相互影響的,有些功能能增強網(wǎng)絡的安全性,但卻以網(wǎng)絡的性能為代價;有些功能能增加網(wǎng)絡的易用性,但卻以網(wǎng)絡的安全性為代價。防火墻必須按實際應用合理配置,然后在安全、易用、性能等各個方面進行平衡。不正確的配置會導致安全漏洞,而過于嚴格的配置則會導致用戶使用不便

二 方案設計
  為適應當前銀行計算機網(wǎng)絡發(fā)展趨勢,保護銀行內部網(wǎng)絡,防止發(fā)生來自內部的安全攻擊,銀行計算機網(wǎng)絡要求將內部網(wǎng)絡劃分為受嚴格保護的內部網(wǎng)絡和DMZ(非軍事區(qū)),防止因系統(tǒng)提供的對外服務存在不安全因素給內部網(wǎng)絡帶來安全隱患。銀行內部網(wǎng)絡是被保護的安全區(qū),它不對外開放,也不對外提供任何服務,外部用戶檢測不到它的IP地址。DMZ又稱非軍事化區(qū),它對外提供服務,系統(tǒng)開放的信息都放在該區(qū),由于它的開放性,常成為黑客攻擊的對象,存在一定的安全隱患。DMZ區(qū)可放置存在安全隱患的Email 服務器、FTP 服務器、WWW 服務器等。為提高內部網(wǎng)絡的安全,防止外部黑客通過DMZ進入內部網(wǎng)絡,必須將內部網(wǎng)與DMZ分開。內部網(wǎng)絡是需要嚴格保護的系統(tǒng),需要制定相對嚴格的安全策略。在這種結構框架下,用戶可以靈活地針對每個區(qū)域的具體安全需求和實際情況制定相應的安全策略。圖1是用具有DMZ功能的防火墻構建銀行計算機網(wǎng)絡的安全體系框架。 vf I*fBil
  銀行計算機網(wǎng)絡中,總行局域網(wǎng)是核心部分,大量的信息在此集中匯總,各分行之間交換的大量數(shù)據(jù)由此轉發(fā),重要性最高; 其下依次是分行、省會城市支行、地市支行。由于各級銀行的信息重要程度不同,難免有來自系統(tǒng)內部的攻擊,因此防火墻不僅要設置在內聯(lián)網(wǎng)和外部網(wǎng)之間,各級銀行計算機網(wǎng)絡之間也要設置防火墻。
  圖1 銀行網(wǎng)絡安全體系框架圖
  


  防火墻是否能充分發(fā)揮作用,不僅與產(chǎn)品緊密相關,防火墻的日常運行管理也至關重要。防火墻安全規(guī)則的編寫、安全參數(shù)的配置、日志的查看與備份、報警信息的及時處理、軟件升級等日常運行管理工作都影響防火墻的使用效率。
  銀行計算機網(wǎng)絡的防火墻系統(tǒng)可采用獨立管理與集中管理相結合的模式,上級管理部門通過對本區(qū)域運行數(shù)據(jù)和記錄的分析,制定防火墻策略,各局域網(wǎng)可在遵守上級管理部門制定策略的前提下具體配置自己的的防火墻。
  三 選型
  現(xiàn)在國內防火墻生產(chǎn)廠家日趨增多,生產(chǎn)出的防火墻在功能、性能、管理等各個方面上各具差異,價格也各不相同。銀行在進行防火墻選型時要正確評估各個廠家的防火墻,綜合考慮以下幾個方面的因素選出適合銀行計算機網(wǎng)絡并且質優(yōu)價廉的產(chǎn)品。
  1.防火墻自身的安全性
  防火墻安全指標可歸結為兩個問題: 防火墻是否基于安全(甚至是專用)的操作系統(tǒng); 防火墻是否采用專用的硬件平臺。只有基于安全的操作系統(tǒng)并采用專用硬件平臺的防火墻才可能保證防火墻自身的安全。
  2.系統(tǒng)是否穩(wěn)定
  目前,由于種種原因,國內有些防火墻尚未最后定型或未經(jīng)過嚴格的測試就推向了市場,其穩(wěn)定性不能保證。防火墻的穩(wěn)定性情況可以通過以下方式看出:國家權威機構的測評認證,如公安部計算機安全產(chǎn)品檢測中心和信息產(chǎn)業(yè)部的測評認證。與其他產(chǎn)品相比,是否獲得更多的國家權威機構的認證、推薦等。另外,防火墻的用戶量也至關重要,特別是用戶們對于防火墻的評價、廠商開發(fā)研制的歷史,這些都是考察其穩(wěn)定性的重要指標。
  3.是否高效
  高性能是防火墻的一個重要指標,它直接體現(xiàn)了防火墻的可用性,也體現(xiàn)了用戶使用防火墻所需付出的安全代價。如果使用防火墻而帶來了網(wǎng)絡性能較大幅度的下降,就意味著安全代價過高,用戶無法接受。
  4.是否可靠
  可靠性對防火墻訪問控制設備尤為重要,直接影響受控網(wǎng)絡的可用性。從系統(tǒng)設計上,提高可靠性的措施一般是提高本身部件的強健性、增大設計閥值和增加冗余部件,這要求有較高的生產(chǎn)標準和設計冗余度,如使用電源熱備份、系統(tǒng)熱備份等

5.功能是否靈活
  對通信行為的有效控制,要求防火墻有一系列不同級別、滿足不同用戶安全控制需求的功能。功能設置的多樣性、清晰性、難易性對用戶非常重要。銀行各級計算機網(wǎng)絡有不同安全級別,需要的防火墻也應有級別的差異。
  6.管理是否簡便
  在充分考慮安全需要的前提下,必須提供方便靈活的管理方式。
  7.是否具有可擴展、可升級性
  一方面,銀行計算機網(wǎng)絡不是一成不變的,隨著業(yè)務的發(fā)展,銀行計算機網(wǎng)絡會提出新的安全需求;另一方面,黑客的攻擊手段也會有所改進。如果不支持防火墻升級的話,銀行就必須進行硬件上的更換。
  8.技術與售后服務
  對于來自不同廠家但具有相近功能和性能的產(chǎn)品,應當優(yōu)先選擇具有更強的綜合經(jīng)濟實力、技術研究開發(fā)背景、技術支持服務和市場拓展能力及國家重點支持的廠家的產(chǎn)品,這對于保護用戶的投資,得到持續(xù)的支持和產(chǎn)品升級是至關重要的。
  9.注意選擇3~4種產(chǎn)品
  一種產(chǎn)品被攻破后,將導致整個系統(tǒng)的癱瘓,如果選擇幾種的話,那么這種同時被攻破的幾率就會大大降低。同時考慮到各個廠商的服務體系在全國的不均衡性,各地區(qū)銀行系統(tǒng)采用的防火墻應該選用本地區(qū)服務體系比較健全的廠商。另一方面,考慮到防火墻管理成本的問題,不應選擇過多廠商的產(chǎn)品。

熱門文章

11307