六月丁香五月婷婷,丁香五月婷婷网,欧美激情网站,日本护士xxxx,禁止18岁天天操夜夜操,18岁禁止1000免费,国产福利无码一区色费

學習啦 > 學習電腦 > 電腦安全 > 防火墻知識 > 用防火墻構(gòu)筑起銀行安全屏障

用防火墻構(gòu)筑起銀行安全屏障

時間: admin1 分享

用防火墻構(gòu)筑起銀行安全屏障

隨著防火墻技術(shù)的成熟和發(fā)展,防火墻已成為阻擋黑客攻擊銀行計算機網(wǎng)絡(luò)的城墻。在計算機網(wǎng)絡(luò)上安裝防火墻,建立更加堅實的安全體系結(jié)構(gòu)是銀行業(yè)安全的重要事件。
  一 銀行對防火墻的要求
  用于銀行計算機網(wǎng)絡(luò)的防火墻產(chǎn)品,根據(jù)使用位置不同,性能、功能、防護強度的要求也不盡相同。鑒于銀行計算機網(wǎng)絡(luò)的安全需求,防火墻產(chǎn)品至少應(yīng)能滿足以下要求。
  1. 功能要求
  具有訪問控制功能,包括對Http、FTP、SMTP、Telnet、NNTP等服務(wù)類型的訪問控制,可以通過制定策略來進行訪問控制,確保只允許符合網(wǎng)絡(luò)安全策略的訪問和服務(wù)才能進出銀行內(nèi)聯(lián)網(wǎng)。具有抗攻擊性,包括對防火墻本身和受保護網(wǎng)段的攻擊抵抗能力,能有效防止拒絕服務(wù)攻擊,保證銀行計算機網(wǎng)絡(luò)上運行信息的可用性、可靠性,能夠識別一些常用的攻擊手段如端口掃描等。支持地址轉(zhuǎn)換功能,不僅要支持靜態(tài)地址轉(zhuǎn)換、動態(tài)地址轉(zhuǎn)換還要支持IP地址與 TCP/UDP端口的轉(zhuǎn)換,能夠屏蔽被保護網(wǎng)絡(luò)的細節(jié)。支持DMZ的連接方式,可以按照需要設(shè)置DMZ分區(qū),防止IP地址欺騙。防火墻要適合銀行的網(wǎng)絡(luò)接入模式、接口規(guī)范要求。防火墻要具有很高的可靠性,不應(yīng)降低銀行計算機網(wǎng)絡(luò)現(xiàn)有的可靠性。支持透明接入和透明連接,不影響原有網(wǎng)絡(luò)設(shè)計和配置。
  2. 性能要求
  防火墻要適合銀行計算機網(wǎng)絡(luò)的網(wǎng)絡(luò)帶寬、性能指標等要求,不能成為網(wǎng)絡(luò)瓶頸,或明顯影響網(wǎng)絡(luò)工作效率;要求時延小、時延抖動?。煌掏铝繚M足網(wǎng)絡(luò)帶寬需求;包轉(zhuǎn)發(fā)率達到網(wǎng)絡(luò)要求;并發(fā)連接數(shù)不應(yīng)限制系統(tǒng)的正常使用。
  3. 其他要求
  支持本地和遠程集中管理兩種管理方式功能,以便于網(wǎng)絡(luò)管理員對網(wǎng)絡(luò)的管理;審計日志功能,按事先規(guī)定的方式進行記錄,支持對日志的統(tǒng)計分析,提供多種統(tǒng)計分析手段;實時告警功能,對防火墻本身或受保護網(wǎng)段的非法攻擊支持多種告警方式(如聲光告警、Email告警、日志告警等);用戶管理界面簡單友好等。
  防火墻的功能是相互影響的,有些功能能增強網(wǎng)絡(luò)的安全性,但卻以網(wǎng)絡(luò)的性能為代價;有些功能能增加網(wǎng)絡(luò)的易用性,但卻以網(wǎng)絡(luò)的安全性為代價。防火墻必須按實際應(yīng)用合理配置,然后在安全、易用、性能等各個方面進行平衡。不正確的配置會導(dǎo)致安全漏洞,而過于嚴格的配置則會導(dǎo)致用戶使用不便

二 方案設(shè)計
  為適應(yīng)當前銀行計算機網(wǎng)絡(luò)發(fā)展趨勢,保護銀行內(nèi)部網(wǎng)絡(luò),防止發(fā)生來自內(nèi)部的安全攻擊,銀行計算機網(wǎng)絡(luò)要求將內(nèi)部網(wǎng)絡(luò)劃分為受嚴格保護的內(nèi)部網(wǎng)絡(luò)和DMZ(非軍事區(qū)),防止因系統(tǒng)提供的對外服務(wù)存在不安全因素給內(nèi)部網(wǎng)絡(luò)帶來安全隱患。銀行內(nèi)部網(wǎng)絡(luò)是被保護的安全區(qū),它不對外開放,也不對外提供任何服務(wù),外部用戶檢測不到它的IP地址。DMZ又稱非軍事化區(qū),它對外提供服務(wù),系統(tǒng)開放的信息都放在該區(qū),由于它的開放性,常成為黑客攻擊的對象,存在一定的安全隱患。DMZ區(qū)可放置存在安全隱患的Email 服務(wù)器、FTP 服務(wù)器、WWW 服務(wù)器等。為提高內(nèi)部網(wǎng)絡(luò)的安全,防止外部黑客通過DMZ進入內(nèi)部網(wǎng)絡(luò),必須將內(nèi)部網(wǎng)與DMZ分開。內(nèi)部網(wǎng)絡(luò)是需要嚴格保護的系統(tǒng),需要制定相對嚴格的安全策略。在這種結(jié)構(gòu)框架下,用戶可以靈活地針對每個區(qū)域的具體安全需求和實際情況制定相應(yīng)的安全策略。圖1是用具有DMZ功能的防火墻構(gòu)建銀行計算機網(wǎng)絡(luò)的安全體系框架。 vf I*fBil
  銀行計算機網(wǎng)絡(luò)中,總行局域網(wǎng)是核心部分,大量的信息在此集中匯總,各分行之間交換的大量數(shù)據(jù)由此轉(zhuǎn)發(fā),重要性最高; 其下依次是分行、省會城市支行、地市支行。由于各級銀行的信息重要程度不同,難免有來自系統(tǒng)內(nèi)部的攻擊,因此防火墻不僅要設(shè)置在內(nèi)聯(lián)網(wǎng)和外部網(wǎng)之間,各級銀行計算機網(wǎng)絡(luò)之間也要設(shè)置防火墻。
  圖1 銀行網(wǎng)絡(luò)安全體系框架圖
  


  防火墻是否能充分發(fā)揮作用,不僅與產(chǎn)品緊密相關(guān),防火墻的日常運行管理也至關(guān)重要。防火墻安全規(guī)則的編寫、安全參數(shù)的配置、日志的查看與備份、報警信息的及時處理、軟件升級等日常運行管理工作都影響防火墻的使用效率。
  銀行計算機網(wǎng)絡(luò)的防火墻系統(tǒng)可采用獨立管理與集中管理相結(jié)合的模式,上級管理部門通過對本區(qū)域運行數(shù)據(jù)和記錄的分析,制定防火墻策略,各局域網(wǎng)可在遵守上級管理部門制定策略的前提下具體配置自己的的防火墻。
  三 選型
  現(xiàn)在國內(nèi)防火墻生產(chǎn)廠家日趨增多,生產(chǎn)出的防火墻在功能、性能、管理等各個方面上各具差異,價格也各不相同。銀行在進行防火墻選型時要正確評估各個廠家的防火墻,綜合考慮以下幾個方面的因素選出適合銀行計算機網(wǎng)絡(luò)并且質(zhì)優(yōu)價廉的產(chǎn)品。
  1.防火墻自身的安全性
  防火墻安全指標可歸結(jié)為兩個問題: 防火墻是否基于安全(甚至是專用)的操作系統(tǒng); 防火墻是否采用專用的硬件平臺。只有基于安全的操作系統(tǒng)并采用專用硬件平臺的防火墻才可能保證防火墻自身的安全。
  2.系統(tǒng)是否穩(wěn)定
  目前,由于種種原因,國內(nèi)有些防火墻尚未最后定型或未經(jīng)過嚴格的測試就推向了市場,其穩(wěn)定性不能保證。防火墻的穩(wěn)定性情況可以通過以下方式看出:國家權(quán)威機構(gòu)的測評認證,如公安部計算機安全產(chǎn)品檢測中心和信息產(chǎn)業(yè)部的測評認證。與其他產(chǎn)品相比,是否獲得更多的國家權(quán)威機構(gòu)的認證、推薦等。另外,防火墻的用戶量也至關(guān)重要,特別是用戶們對于防火墻的評價、廠商開發(fā)研制的歷史,這些都是考察其穩(wěn)定性的重要指標。
  3.是否高效
  高性能是防火墻的一個重要指標,它直接體現(xiàn)了防火墻的可用性,也體現(xiàn)了用戶使用防火墻所需付出的安全代價。如果使用防火墻而帶來了網(wǎng)絡(luò)性能較大幅度的下降,就意味著安全代價過高,用戶無法接受。
  4.是否可靠
  可靠性對防火墻訪問控制設(shè)備尤為重要,直接影響受控網(wǎng)絡(luò)的可用性。從系統(tǒng)設(shè)計上,提高可靠性的措施一般是提高本身部件的強健性、增大設(shè)計閥值和增加冗余部件,這要求有較高的生產(chǎn)標準和設(shè)計冗余度,如使用電源熱備份、系統(tǒng)熱備份等

5.功能是否靈活
  對通信行為的有效控制,要求防火墻有一系列不同級別、滿足不同用戶安全控制需求的功能。功能設(shè)置的多樣性、清晰性、難易性對用戶非常重要。銀行各級計算機網(wǎng)絡(luò)有不同安全級別,需要的防火墻也應(yīng)有級別的差異。
  6.管理是否簡便
  在充分考慮安全需要的前提下,必須提供方便靈活的管理方式。
  7.是否具有可擴展、可升級性
  一方面,銀行計算機網(wǎng)絡(luò)不是一成不變的,隨著業(yè)務(wù)的發(fā)展,銀行計算機網(wǎng)絡(luò)會提出新的安全需求;另一方面,黑客的攻擊手段也會有所改進。如果不支持防火墻升級的話,銀行就必須進行硬件上的更換。
  8.技術(shù)與售后服務(wù)
  對于來自不同廠家但具有相近功能和性能的產(chǎn)品,應(yīng)當優(yōu)先選擇具有更強的綜合經(jīng)濟實力、技術(shù)研究開發(fā)背景、技術(shù)支持服務(wù)和市場拓展能力及國家重點支持的廠家的產(chǎn)品,這對于保護用戶的投資,得到持續(xù)的支持和產(chǎn)品升級是至關(guān)重要的。
  9.注意選擇3~4種產(chǎn)品
  一種產(chǎn)品被攻破后,將導(dǎo)致整個系統(tǒng)的癱瘓,如果選擇幾種的話,那么這種同時被攻破的幾率就會大大降低。同時考慮到各個廠商的服務(wù)體系在全國的不均衡性,各地區(qū)銀行系統(tǒng)采用的防火墻應(yīng)該選用本地區(qū)服務(wù)體系比較健全的廠商。另一方面,考慮到防火墻管理成本的問題,不應(yīng)選擇過多廠商的產(chǎn)品。

熱門文章

11307