1, 배경 적용
은행 금융업은 국가 중점 건설과 보호의 업종에 속한다. 시장경제가 전면적으로 추진되면서 금융기업 간의 경쟁이 갈수록 치열해지고 있다. 주로 금융기관의 운영 효율을 높이고, 고객에게 편리하고 다채로운 서비스를 제공하고, 금융기업의 발전 능력과 영향력을 강화함으로써 경쟁 우위를 제고하는 것이다. 서비스의 다양화로 인해 인터넷 보안의 위험은 응용 프로그램이 증가함에 따라 드러날 것이며, 은행 시스템에는 대량의 영업 비밀이 있기 때문에, 이러한 기밀 정보가 온라인 전송 과정에서 유출될 경우 정보가 손실되거나 유출될 수 있습니다. 손실은 헤아릴 수 없을 것이다. 최근 한 은행 시스템의 특수한 비즈니스 요구와 잠재적인 네트워크 위험에 대해 천영신은 은행 네트워크 시스템의 안전을 보장하는 체계적인 보안 솔루션을 제시했다.
2. 보안 요구 사항 분석
현재, 온라인 뱅킹, 전자 상거래 및 온라인 거래 시스템과 같은 은행의 주요 응용 프로그램은 인터넷 공용 네트워크를 통해 운영되고 있습니다. 인터넷 자체의 보편성과 자유성으로 인해 그 시스템은 악의적인 침입자의 목표가 될 가능성이 높다. 은행 네트워크 보안의 위험은 여러 가지 측면에서 비롯됩니다. 첫째, 인터넷의 위험입니다. 은행의 시스템 네트워크가 전자 상거래, 온라인 거래 등과 같은 인터넷에 연결된 경우 악의적인 침입자에게 공격의 조건과 기회를 줄 수 있습니다. 둘째, 다른 단위의 위험: 그리고 은행은 전화 요금 징수와 같은 중간 업무 및 서비스 기능을 지속적으로 증가시키기 때문에 다른 단위와의 네트워크는 상호 연결되어 있으며, 서로 완전히 신뢰하는 것은 아닙니다. 따라서 은행 네트워크 시스템에는 다른 단위의 보안 위험이 있습니다. 셋째, 불신 도메인의 위험: 적용 범위가 넓고 전국적으로 연결된 은행 간에 보안 위협이 있습니다. 넷째, 인트라넷의 위험. 대부분의 사이버 보안 사건은 내부에서 공격하는 것으로 조사됐다. 내부 공격과 누출이 발생할 수 있습니다. 공격을 일으킨 사건이 발생하다. 이러한 잠재적 위험의 경우, 은행 네트워크는 안전하지 않은 네트워크나 신뢰할 수 없는 도메인의 불법 액세스 또는 무단 액세스를 방지하고, 네트워크 전송 중 불법 정보 도용을 방지하여 정보 유출을 방지해야 합니다. 내외망의 각종 악의적인 공격을 동적으로 예방합니다. 네트워크 또는 호스트에 들어오는 데이터를 실시간으로 모니터링하여 네트워크 또는 호스트에 바이러스가 침입하는 것을 방지합니다. 은행의 특수 응용 프로그램을위한 구체적인 응용 프로그램 개발; 안전 관리 제도를 개발하고 보완하고, 교육 등을 통해 직원의 안전 예방 기술과 의식을 강화하여 미연에 방지해야 한다.
3, 프로그램 설계 (그림, 텍스트)
Tian Rongxin 은 위의 은행 시스템에 존재할 수있는 보안 위험 및 고객 요구 사항에 대한 안전하고 신뢰할 수있는 보안 솔루션을 개발했습니다. 첫째, 컴퓨터 정보 시스템의 다양한 장치에 대한 물리적 보안을 보장하는 것은 네트워크 환경, 설계, 미디어 보안과 관련된 전체 네트워크 시스템의 보안을 보장하는 전제 조건입니다. 컴퓨터 네트워크 장비, 시설 및 기타 미디어를 지진, 홍수, 화재 등의 환경 사고뿐만 아니라 사람의 실수나 오류 및 각종 컴퓨터 범죄로 인한 파괴 과정으로부터 보호합니다. 또한 시스템, 네트워크, 애플리케이션 및 정보 보안 (운영 체제 및 애플리케이션 시스템 보안 포함) 에도 주의를 기울여야 합니다. 네트워크 보안에는 네트워크 구조 보안, 액세스 제어, 보안 감지 및 평가가 포함됩니다. 응용 프로그램 보안에는 보안 인증 및 바이러스 보호가 포함됩니다. 정보 보안에는 암호화 전송, 정보 인증 및 정보 저장이 포함됩니다.
둘째, 은행 시스템에 존재할 수 있는 특수 어플리케이션의 보안을 보장하기 위해서는 상세한 분석, 용도에 맞는 개발, 맞춤형 개발을 통해 애플리케이션의 보안을 보장해야 합니다. 동적이고 포괄적인 네트워크 보안을 구축하는 또 다른 핵심은 장기적인 프로젝트 관련 정보 보안 서비스를 구축하는 것입니다. 안전 서비스에는 안전 상담 및 우산 방향 교육이 포함됩니다. 정적 네트워크 우산 위험 평가; 특수 사건에 대한 긴급 대응.
또한 위의 보안 위험 외에도 보안 장비 자체의 안정성이 매우 중요합니다. 이를 위해 천융신 보안 솔루션의 방화벽은 이중 시스템 핫 스페어 모드를 사용합니다. 즉, 두 개의 방화벽은 서로 백업되고, 하나는 주 방화벽입니다. 다른 하나는 방화벽에서 온 것입니다. 주 방화벽에 장애가 발생할 경우 방화벽에서 주 방화벽의 작업을 인계합니다. 이를 통해 사용자 네트워크의 연결을 극대화할 수 있습니다. 은행의 네트워크 구조에 따라 천융신은 방화벽을 통해 전체 네트워크를 금융 네트워크 광역 네트워크, 독립 서버 네트워크 및 은행 내부 네트워크의 세 가지 물리적 제어 영역으로 나눕니다.
위의 세 영역은 각각 방화벽의 이더넷 대여 인터페이스 3 개에 연결되어 방화벽에 액세스 제어 정책을 로드하여 세 제어 영역 간의 액세스를 제한합니다. 주 방화벽과 슬레이브 방화벽은 하나의 케이블로 연결되어 두 방화벽 사이의 하트비트를 탐지합니다.
4. 배운 교훈 (가능한 자신의 감정을 더하십시오)
이번에 우리가 한 보안 솔루션은 은행의 실제 응용과 사용자 요구를 밀접하게 결합한 것으로, 목표가 매우 강하여 좋은 효과를 거두었다. 시스템 취약점 방지: 현재 대부분의 운영 체제에는 침입자가 자주 이용하는 보안 취약점과 뒷문이 있습니다. 따라서 운영 체제에 대한 보안 구성 및 패치 설치를 수행하고, 해당 검색 소프트웨어를 사용하여 보안을 검사 및 평가하고, 보안 취약점을 감지하고, 시스템 보안을 분석하고, 시정 조치를 취해야 합니다. 인증 강화: 시스템 보안을 적용하기 위해서는 반드시 사용해야 하는 서비스만 개방하고 자주 사용하지 않는 프로토콜 및 프로토콜 포트 번호를 닫도록 보안을 구성해야 합니다. 애플리케이션 시스템에 대한 사용자 로그인 인증을 강화하고, 사용자 사용의 합법성을 보장하며, 로그인에 대한 운영 권한을 엄격하게 제한하고, 완료된 작업을 최소한으로 제한합니다. 포괄적인 네트워크 보안 제어: 첫째, 네트워크 구조 레이아웃에서 은행 시스템의 다른 단위와 상호 연결된 비즈니스 네트워크, 사무실 네트워크, 인터페이스 네트워크는 해당 애플리케이션 범위와 보안 수준에 따라 합리적으로 구분되어야 합니다. 현지 황소 생산의 위협이 전체 네트워크 시스템으로 확산되는 것을 방지해야 합니다. 동시에 액세스 제어 강화: 내부 LAN 내의 스위치를 통해 VLAN 기능을 분할하여 부서 및 사용자 수준 간에 간단한 액세스 제어를 제공합니다. 방화벽을 장착하여 내부 및 외부 네트워크 간 또는 서로 다른 트러스트 도메인 간의 격리 및 액세스 제어를 가능하게 합니다. 애플리케이션 계층이 장착된 액세스 제어 소프트웨어 시스템은 LAN 의 특정 애플리케이션에 대해 보다 세밀한 액세스 제어를 제공합니다. 원격 전화 접속 사용자의 보안 액세스의 경우 방화벽의 일회성 암호 인증 메커니즘을 사용하여 원격 전화 접속 사용자를 인증하여 원격 사용자의 보안 액세스를 보장합니다. 그런 다음 보안 탐지 및 평가 수행: 침입 탐지 시스템 장착, 네트워크 위반 추적, 실시간 경고, 연결 차단 및 기록 운영 체제의 관점에서 독립 시스템 호스트의 보안을 관리자로 평가 및 분석하고, 사용자 시스템 구성 및 사용자 구성의 보안 취약점을 파악하고, 시정 조치를 제시합니다.
키 인증: Dell 은 권위 있는 인증 기관 (Ca 인증 센터) 을 설립하는 제 3 자 발급 인증서를 도입했습니다. 은행 시스템은 다양한 전문 은행과 결합 될 수 있습니까? 동시에, 은행 시스템의 CA 시스템을 구축하여 인증서 발급 및 해당 시스템의 업무에 대한 안전한 거래를 가능하게 합니다. 암호화 전송은 다릅니다. 일반 은행 시스템의 경우 네트워크 계층 암호화 장치를 사용하여 네트워크를 통한 데이터 전송을 보호하는 것이 좋습니다. 온라인 뱅킹, 온라인 거래 등 비즈니스 시스템의 경우 애플리케이션 계층 암호화 메커니즘을 사용하여 온라인 데이터 전송의 기밀성을 보호할 수 있습니다. 데이터 백업 및 복구 중지: 데이터베이스를 보호하는 가장 안전하고 효과적인 방법은 백업 및 복구 시스템을 사용하는 것입니다. 백업 시스템은 상당히 완전한 데이터베이스 정보를 저장할 수 있습니다. 데이터베이스 호스트에 사고가 발생할 경우 복구 시스템을 통해 백업 데이터베이스 시스템을 가장 짧은 시간 내에 정상 작동 상태로 복구하여 은행 시스템이 제공하는 서비스의 적시성과 연속성을 보장할 수 있습니다.
둘째, 관련 검색
1, 방화벽 정의
방화벽은 네트워크 보안을 보장하는 시스템 또는 시스템으로, 네트워크 간 액세스 제어를 강화하고, 외부 사용자가 인트라넷 자원을 불법적으로 사용하는 것을 방지하며, 인트라넷 장치가 손상되지 않도록 보호하고, 인트라넷에 민감한 데이터가 도난되는 것을 방지합니다.
2, 방화벽 사용의 목적
각종 해커의 파괴를 방지하고, 외부 네트워크의 위협과 침입을 막고, 잠재적인 악의적인 활동을 예방하는 역할을 한다.
3, 방화벽 특성 (또는 일반적인 방화벽의 기본 특성)
(1), 공통성: 애플리케이션 계층의 동적 필터링 기능과 인증을 결합하여 WWW 브라우저, HTTP 서버, FTP 등의 서버 지원을 제공합니다.
(2) 개인 데이터에 대한 암호화 지원: 가상 사설 네트워크와 인터넷을 통한 비즈니스 활동이 손상되지 않도록 합니다.
(3) 클라이언트 인증은 지정된 사용자만 내부 네트워크에 액세스하거나 서비스를 선택할 수 있도록 허용합니다. 기업 로컬 네트워크와 지사, 비즈니스 파트너 및 모바일 사용자 간의 보안 통신의 추가 부분
(4) 안티 스푸핑 (Anti-spoofing): 스푸핑은 외부에서 네트워크 액세스를 얻는 일반적인 수단이며 패킷을 네트워크 내부에서 온 것처럼 보이게 합니다. 방화벽은 이러한 패킷을 모니터링하고 폐기할 수 있습니다.
(5) C/S 모드 및 크로스 플랫폼 지원: 한 플랫폼에서 실행되는 관리 모듈은 다른 플랫폼에서 실행되는 모니터링 모듈을 제어할 수 있습니다.
4, 현재 방화벽 제한
(1) 내부 공격을 막을 수 없다.
(2) 방화벽을 통과하지 않는 연결 침입을 막을 수 없다.
(3) 모든 새로운 위협을 자동으로 방어할 수는 없다.
5. 방화벽의 기본 및 부가 가치 기능
(1) 취약한 서비스가 인트라넷에 들어오는 것을 방지합니다.
(2) 제어 액세스 포인트;
(3) 중앙 집중식 안전 관리;
(4) 네트워크 액세스 및 액세스를 모니터링하고 감사합니다.
(5) 컴퓨터 스캔 시도 감지;
(6) 트로이 목마를 경계하라.
(7) 안티바이러스 기능;
(8) VPN 기술 지원
(9) 네트워크 주소 변환을 위한 NAT 기능을 제공합니다.
6. 방화벽 유형
(1) 개념 분류: 네트워크 계층 방화벽 및 애플리케이션 계층 방화벽.
(2) 기술 분류: 기존 방화벽, 분산 방화벽, 내장 방화벽, 지능형 방화벽.
7, 방화벽 주요 기술
패킷 필터링 기술, 프록시 서비스 기술, 회로 계층 게이트웨이, 상태 감지 기술
8. 방화벽의 공통 아키텍처
라우터 구조 필터링, 이중 호스트 구조, 호스트 게이트웨이 구조 마스킹, 서브넷 구조 마스킹
9. 방화벽 설계 원칙 및 전략
설계 원칙:
보안, 안정성, 확장성, 업그레이드 및 호환성
방화벽은 일반적으로 두 가지 기본 설계 전략을 사용합니다.
(1) 명시적 라이센스를 제외한 모든 종류의 서비스에 대한 액세스 거부를 금지합니다. 즉, 허용된 서비스로 나열되지 않습니다.
(2) 명시적 거부를 제외한 모든 유형의 서비스에 대한 액세스를 허용합니다. 즉, 금지로 표시되지 않은 서비스에 대한 액세스를 허용합니다.