NetEye银行网络安全解决方案

（《计算机世界》 2002/08/12 第30期 《信息安全产品导购》*专刊*－成功案例－*推荐* 原文见这里）

银行网络的风险分析

??现阶段，银行网络系统几乎没有其他安全措施，就目前的网络结构而言，银行网络系统存在的安全风险有以下几种：

1. 缺乏安全认证手段。银行各系统的登录及远程操作目前的安全手段是用户的帐号与密码，缺乏有效的安全认证手段，一旦密码被盗用，就可以轻而易举地进入银行的业务系统。

2. 外联网络缺乏安全防护。各银行与外单位联网大都是和内部网络共用同一设备，内外网络之间缺乏清晰的界限和隔离手段，这是非常大的安全隐患。

3. 业务系统间缺乏有效的访问控制措施。银行的各业务系统虽然在逻辑上相互隔离，但一般是共用一个物理网络，没有有效隔离，存在安全隐患。

4. 缺乏安全审计及监控机制。对于银行内部员工的违规操作和恶意侵入没有有效的监控机制。

5. 黑客攻击。很多银行已经开始或即将开始为客户提供网上信息服务和网上银行业务服务，电子商务的发展要求银行提供网上支付服务，外部黑客会成绩而入，通过Internet对系统进行攻击。

总结起来，上述风险主要存在于四个安全管理层面：物理安全、网络安全、信息安全和用户安全，如下图所示：

NetEye应用案例

??针对银行网络的特点，东软股份自行开发了，具有自主版权的一系列网络安全产品，如NetEye防火墙和NetEye IDS网络入侵检测系统。NetEye防火墙3.1是NetEye防火墙系列中的最新版本，该系统在性能，可靠性，管理性等方面较NetEye防火墙3.0大大提高，达到了运营级的水准。东软NetEye IDS 2.0利用独创的数据包截取技术对网络进行不间断的监控，扩大网络防御的纵深，采用先进的基于网络数据流实时智能分析技术判断来自网络内部和外部的入侵企图。

??下面以某银行为例，介绍东软NetEye网络安全产品在银行的实际应用。在该案例中，银行网络系统的应用环境如下：

1. 省行和多个地市分行分别通过DNN、FR、X.25及其他通讯手段连接，互联方式主要采用TCP/IP;

2. 全辖各行通过总行的Internet出口访问Internet，进行Web浏览、收发Email、FTP等应用；

3. 由于业务需要，省行（及下辖各地市行）与同城的其他机构采用TCP/IP进行互联；

4. 省分行有基于TCP/IP的业务系统；

5. 省市行计算机系统设备多；

6. 全辖范围内的WAN互联速率从19.2kbps到256kbps；

7. 在广域网上传输的数据部分使用了应用层的加密技术；

??在该应用方案中，所有DDN连接的地方都设置了NetEye防火墙，对各个DDN连接的IP数据流进行过滤，并且省行的防火墙和地市、县行的防火墙之间建立VPN加密隧道，以保证数据传递的安全。NetEye3.1防火墙在流过滤平台基础上，进行应用级插件升级、各种攻击方式的及时响应和升级，动态保护网络安全，有效保证以后的升级及扩展。


??内部网的主要二层交换机上都连接了NetEye IDS 2.0,以帮助系统对付网络攻击，扩展系统管理员的安全管理能力（包括安全审计、监视、攻击识别和响应），提高信息安全基础结构的完整性。