企业网中金融系统专网的设计与研究

作者:王 领 赵静静时间:2015-02-07 09:16:26  来源:  阅读次数:938次 ]

企业网中金融系统专网的设计与研究

 

王  领  中国平煤神马集团平顶山信息通信技术开发公司  467000

 

赵静静  中国平煤神马集团平煤股份一矿  467000

 

【文章摘要】

 

   本文重点研究在与互联网连接的企业局域网中如何部署安全、稳定的金融系统专网,保证企业财务、资金系统在局域网中安全传输,有效避免企业金融系统因连接开放式网络受到来自网络威胁的可能性。

 

【关键词】

 

金融专网 ;信息安全 ;企业专网

 

项目背景 

 

近年来随着企业信息化建设的飞速发展,企业的OA、财务、资金等金融系统已由过去基于C/S架构的应用系统过渡到了B/S架构的网络应用系统。而财务、资金等系统因为涉及的数据都是对企业经济生产休戚相关的敏感数据,因此数据的安全性尤其需要特别关注。此外由于计算机技术的普及,近年来企业因数据泄露、丢失引发的信息安全事件屡见不鲜,因此对于企业网来说加强金融系统的网络安全控制至关重要。

 

项目需求 

 

本项目重点研究如何在开放的企业局域网中建立安全、稳定的金融系统专网,从而保证企业中金融系统的安全、稳定运行。项目需要解决以下问题 :

 

1)专网终端计算机的安全准入、业务人员的身份确认。

 

金融系统专网中对于接入层面来说,面临的威胁主要来自于终端计算机和使用计算机的业务人员。因此要建立安全的金融系统专网首先就必须解决接入层设备和人员的安全。

 

2)业务系统数据在企业网络传输过程中的数据加密。企业网普遍具有Internet的访问权限,因此在非专网环境中,必须解决金融系统敏感数据在局域网传输过程中的加密问题,防止数据被窃听、篡改,保证数据传输过程中的可靠性。

 

3)金融系统专网中数据流的流径安全可控。对于金融系统专网来说,网络核心端数据流的流径都是经过严格要求和限制的,也就是说数据一旦到达金融系统网络核心侧,则它的数据流向目标就是确定的,能否访问都是根据系统安全需求预定义的。

 

4)金融系统专网中异常数据行为的分析与监测。为有效对金融系统专网中的异常数据访问流量进行监测和控制,需要添加网络数据分析和检测设备对网络中的重要数据流量进行分析,及时发现异常数据流,防范网络攻击对系统造成影响。企业网中金融系统专网的设计与研究 王  领  中国平煤神马集团平顶山信息通信技术开发公司  467000赵静静  中国平煤神马集团平煤股份一矿  4670003 研究内容 考虑到企业网中的业务用户对企业金融系统的访问需求,金融系统专网需要从网络系统安全、主机系统安全和数据访问过程安全三个方面对专网进行整体性的安全加固,从而实现专网系统的整体安全。

 

3.1 网络系统安全架构

 

3.1.1 逻辑安全区域划分

 

按照不同的网络数据访问权限对网络划分不同的逻辑安全区域,对于不同的逻辑安全区域,则根据需要采取不同的网络隔离技术(如虚拟局域网VLAN技术)或物理隔离技术进行安全隔离。逻辑安全区域之间的互访数据流通过网络安全设备进行严格的访问策略控制,确保逻辑安全区域内部数据安全、不同的逻辑安全区域之间的数据互访过程安全。

 

3.1.2 路由器的选择与部署

 

路由器除具备一般的三层路由的数据转发和路由数据信息交换外,还应具备身份鉴别、数据访问控制和数据信息加密等功能。这样可在专网内部通过部署路由器进行网络互联和网络之间数据访问流的访问策略控制,而在专网与外部网络连接的网络边界处,应在部署路由器进行网络互联的同时部署防火墙进行互访数据的安全过滤,以确保进出专网的数据访问流均是安全可控的数据。

 

3.1.3 防火墙的选择及其部署

 

防火墙是部署在不同网络逻辑安全域之间及网络边界进行安全防护的网络安全设备。因此金融系统专网中可在专网核心侧部署数据转发性能更高的基于ASIC架构的硬件防火墙,而在网络边界处则可部署防护能力更胜一筹的基于NP机构的硬件防火墙。通过异构防火墙的部署一方面可以实现专网内部数据转发性能的安全和效率最大化,另一方面,可以实现网络边界进出数据安全的高安全可控。

 

3.1.4 入侵检测系统及其部署

 

入侵检测系统(IDS)是实时网络攻击预警和响应系统。它可以部署在有重要数据需要保护的网络或网络上任何有风险存在的地方,通过实时监控网络访问数据,能够发现并记录网络攻击和具有破坏性的网络数据流。

 

3.2 主机系统安全架构

 

主机安全系统应具有用户认证、账号密码质量控制、主机防火墙、审计日志等功能。主机安全系统对UNIX操作系统所提供的特殊功能有:目录和文件保护、进程保护、网络连接保护等额外的功能;对Windows操作系统提供的额外特殊的保护有:注册表保护、文件保护、任务委派、增强文件保护、增强口令保护、程序路径保护等手段。

 

3.3 数据访问安全架构

 

要求数据访问过程具备数据加密及数据完整性校验功能。数据加密和数据完整性校验主要实现手段包括:加密算法、加密软件、密钥系统和密钥管理系统、信息摘录、数字签名等。加密的主要目的是提高信息和信息系统的机密性、完整性和抗抵赖性,即保证业务管理系统在进行业务处理时提供以下的保护 :

 

1)数据的机密性保护

 

2)保证信息传递的完整性

 

设计方案 

 

4.1 接入安全控制

 

金融系统专网用户采用专用终端对金融系统服务器进行系统维护。该专用终端不与互联网及企业办公网络互通。该专网在接入交换机位置进行IP/MAC绑定,防止未授权用户访问网络。有权访问专网应用的只有金融系统指定人员,其他人员无权访问 ;

 

4.2 身份鉴别

 

所有金融系统业务用户统一通过安全网关,进行身份鉴别。金融系统所有人员进行业务操作必须使用U-KEY经过服务器进行身份认证后方可操作。U-KEY按人员配备,并逐个进行登记备案。

 

4.3 网络访问控制

 

在金融系统核心防火墙、人行防火墙和银企防火墙配置了严格的安全区域划分和访问策略限制,各安全区域彼此隔离,只有访问策略允许的数据访问流才能通过,其余数据访问一律禁止。金融系统网络不具备互联网资源访问权限,企业内外网成员单位用户由金融系统核心防火墙策略控制仅具有访问安全网关的权限 ;

 

4.4 终端及服务器防病毒

 

金融系统专网服务器和业务维护计算机安装企业版防病毒软件,并统一通过企业版防病毒服务器进行专网服务器和计算机的病毒库自动升级。防病毒服务器通过离线升级包进行病毒库升级,并对专网服务器和计算机配置定时病毒库更新任务和病毒全盘查杀任务,实现专网服务器和计算机终端的主机安全。

 

4.5 网络攻击检测

 

在金融系统专网中部署网络攻击检测系统(IDS)对所有访问服务器区的数据流量进行安全监控,发现并记录可疑数据包,然后由网络管理人员对可以数据包的数据访问行为进行分析,确认异常数据访问行为,从而定位存在安全隐患的数据访问主机或服务器。

 

4.6 线路及设备安全

 

所有金融系统专网对外连接的网络设备均采用双设备、双链路冗余备份,保证在单台设备或单条链路故障的情况下,网络通讯及系统应用正常。连接金融系统专网的数据专线,采用租用不同运营商的专线,接入不同的路由器,保证专线链路的高安全、高可靠。

 

4.7 终端及服务器系统安全评估

 

针对金融系统所有的计算机终端及服务器,每三个月会对设备进行一次系统安全评估,针对扫描到的系统漏洞进行安全加固,保证各终端及服务器的系统安全。对新接入金融系统专网的设备和主机在接入前也要对其进行安全评估,在确认安全后方可接入金融系统专网。

1998论文网(www.lw1998.com),是一个专门从事期刊推广论文发表论文写作指导的机构。本站提供一体化论文发表解决方案:省级论文/国家级论文/核心论文/CN论文

投稿邮箱:lwww1998@126.com

客服Q Q:论文投稿82713016

联系电话:18602588568 蒋老师

广告推荐

文章评论

共有 0 位网友发表了评论

阅读排行

推荐文章

1998论文发表网联系我们

    论文发表 职称论文 毕业论文 客服联系方式:


    论文发表咨询QQ: 82713016


    论文发表投稿信箱: lwww1998@126.com


    论文发表咨询电话: 18602588568


    工作时间:上午9:00-下午9:00(节假日上班)

携程网酒店预定携程网首页彼岸苏安羽毛球拍选购艺龙网酒店预定新疆特产