某市商业银行网络安全项目

背景介绍

某市商业银行是某省第一家地方性股份制商业银行。目前在某市银行同业的经营规模仅次于该市的四大国有银行,居第5 位。目前主要业务包括:零售业务、公司业务、国际业务、资金业务等。

随着金融服务的多样化和金融业务应用不断增多,网络安全风险防御压力也日益突出。银行网络安全的风险来自多个方面:首先,来自互联网的风险。电子商务、网上支付等系统与互联网相连,有可能给恶意的入侵者带来攻击银行内部系统的条件和机会。其二,来自外单位的风险。代收电话费等银行中间业务使得银行网络与其它单位网络相联,因此,银行网络系统存在着来自外单位的安全隐患。其三,来自内部网的风险。据统计,大多数网络安全事件、攻击来自于内部,如果内部安全管理措施不到位,极易发生内部攻击事件。

为了提升某市商业银行网络的安全防护能力,同时响应国家安全等级保护的要求,需要在核算业务网和管理信息网的网络核心部署千兆位线速防火墙设备,以实现对各个网络区域的访问控制,并利用防火墙的攻击防御能力提高整体网络的安全性。本次项目中,某市商业银行网络在核算业务网和管理信息网的网络核心采用了东软NetEye千兆防火墙,部署在两个系统网络的核心处,并分别实现了2台防火墙之间的双机部署。

关键挑战

在本次项目中防火墙的部署需要重点考虑以下几点:

  • 对于复杂业务的支持:某市商业银行具有众多的业务系统,并且所有业务系统均需要通过核算业务网和管理信息网网络,这就要求部属的防火墙具备对各种复杂业务应用的支持。
  • 对核心防火墙性能的要求:某市商业银行核算业务网和管理信息网作为整个系统网络的骨干支撑,承担了大规模的网络流量。部署在这两个系统核心的防火墙必须具备千兆线速能力,并且能够支持端口聚合功能(实现多链路的捆绑提升骨干带宽,同时实现多链路间的备份),保证部署的防火墙不成为核心网络的性能瓶颈。
  • 对高可用性的解决:某市商业银行核算业务网和管理信息网均部署核心交换机和核心路由器,并利用动态路由实现全链路的动态传输。这就要求部署的防火墙能够实现A-A的部署模式,并且2台防火墙之间必须能够支持状态信息的实时同步,以实现防火墙的故障接管不会导致网络连接的中断。

解决方案

本次项目中,为了适应银行网络安全防护的高性能和高可用性要求,采用了东软NetEye千兆防火墙分别部署在某市商业银行核算业务网和管理信息网的网络核心处,提供高达3Gbps的防火墙性能,并配备8个千兆接口。分别采用A-A双机部署模式,并利用端口聚合实现了骨干带宽的提升。

实施效果

项目实施完成后,有效的防止了内部不同网络区域对核心服务器系统的直接访问,避免内部人员利用操作系统及设备漏洞或配置漏洞入侵系统,并利用防火墙内置的强大的攻击防御功能,有效防止来自各个网络区域的网络攻击。东软千兆防火墙凭借先进的技术优势、丰富的功能及稳定的性能充分满足网络的安全及未来发展的需求,在某市商业银行的应用非常成功,为商业银行网络的正常运行提供了有力地保证。

通过本次项目实施,用户对于东软防火墙的线速性能、复杂业务应用的支持、端口聚合(以太网通道)功能、双机A-A部署以及双机状态信息同步功能均表示高度认可。产品的优异性能与稳定表现也给用户留下了深刻印象,并得到了某市商业银行的高度评价:“这款产品管理系统的解决方案为商业银行整个信息系统的正常运行提供了强有力的保障。”