榕基RJ-iTop銀行網路安全解決方案(轉)

post0發表於2007-08-12
榕基RJ-iTop銀行網路安全解決方案(轉)[@more@]

    隨著我國金融改革的進行,各個銀行紛紛將競爭的焦點集中到服務手段上,不斷加大資訊化建設的投入,擴大計算機網路規模和應用範圍。但電子化在給銀行帶來利益的同時,也給銀行帶來了新的安全問題,並且這個問題現在顯得越來越緊迫。

    原因主要有三個:一是伴隨我國經濟體制改革,特別是金融體制改革的深入、對外開放的擴大,金融風險迅速增大。防範和化解金融風險成了各級政府和金融部門非常關注的問題。二是當前計算機網路應用頻繁,系統的安全性漏洞風險也隨之增加。多年以來,銀行迫於競爭壓力,不斷擴大電子化網點、推出電子化新品種,忽略了計算機管理制度和安全措施的建設,使電腦保安問題日益突出。三是計算機知識日益普及,金融網路向國際化發展,計算機犯罪技術也在不斷提高,利用計算機技術進行犯罪的案件呈逐年上升趨勢,這也迫切要求銀行資訊系統具有更高的安全防範體系。

    銀行資訊系統安全性總的原則可以歸納為:制度防內,技術防外。所謂“制度防內”,是要建立嚴密的計算機管理規章制度、執行規程,形成內部各層人員、各職能部門、各應用系統的相互制約關係,杜絕內部漏洞,並建立良好的故障處理反應機制,保障銀行資訊系統的安全正常執行。“技術防外”主要是指從技術手段上加強安全措施,防止外部駭客的入侵。在本案例中,我們在不影響銀行正常業務的基礎上建立了銀行的安全防護體系,從而使銀行網路系統的安全性達到令人放心的水平。

一、系統環境

    某省建設銀行網路系統是一個綜合資訊系統,由總部和多個支行組成。其中總部和各個支行都有內部業務網和內部辦公網,透過DDN與人行、銀聯、稅務、證券公司等重要的金融部門相連,並透過光纖和Internet相連,網路架構十分龐大、複雜。

    現有網路採用內外兩套物理上完全獨立的網路,分別用做內部業務網和內部辦公網,聯接入Internet使用。應用系統上的安全,主要考慮了包括WEB、FTP、郵件系統、DNS等網路基本服務,以及業務系統、辦公自動化系統、電子商務系統等等在內的安全性。

二、應用過程

    由於該省建設銀行的網路系統龐大,結構複雜,如果採用傳統的機架方式的或者軟體方式的網路漏洞掃描產品,很難在短時間內有效地進行網路漏洞的掃描和及時的進行系統加固,所以考慮採用榕基手持式漏洞掃描產品進行系統漏洞的偵測。

    RJ-iTop網路隱患掃描系統的手持式掃描產品分成手持式硬體裝置和主機端軟體。手持式硬體裝置主要負責漏洞資訊的收集,主機端軟體負責安全評估分析和報表列印。在掃描建行的網路時,只需要單獨使用手持式裝置就可以了。手持式裝置在使用過程中只需要一個使用者提供一個埠,支援TCP/IP協議就可以開始掃描工作,與使用者的網路環境相對獨立,不需要額外的其他配置。而軟體方式的掃描工具,需要使用者提供特定的執行環境和平臺安裝掃描軟體,無形中花費了較多的時間,降低了工作效率。掃描的物件主要包括提供主要服務的核心區主機和網路裝置(路由器、交換機、防火牆等),針對這些不同的情況,在掃描的過程中選擇了系統預設的掃描策略,進行針對服務和平臺的掃描,提高了掃描的有效性,加快了掃描進度。

    其次,掃描結束後,可以將龐大的網路系統中各個節點系統的掃描結果集中放到網管機中,並生成掃描報告,分析並及時的實施加固。

    RJ-iTop可掃描國際最新的CVE漏洞庫中公佈的全部漏洞,榕基公司透過各種渠道也收集了大量最新出現的系統漏洞,數量已達到1850個,對使用者來說,及時發現這些系統漏洞將對維護系統的安全性有直接的幫助。

    在對該省建行網路系統進行掃描的時候需要掃描網路中位於不同的防火牆或者是交換機後面的伺服器,針對這種分散式的網路結構,榕基手持掃描器充分發揮了支援分散式掃描的特性,進行輕易的移動就可以完成掃描。

    最後,由於手持式掃描裝置的軟體完全固化,使軟體自身安全得到更好的保障,在掃描的整個過程中對被查單位的目標系統不會造成影響。榕基的漏洞掃描產品透過了國家公安部、安全部、解放軍等多個部門的許可認證,目前已經在上述領域得到了廣泛的應用。

來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/8225414/viewspace-950961/,如需轉載,請註明出處,否則將追究法律責任。

相關文章