摘要:提及金融網絡安全防范,人們往往想到的是通過網絡防火墻、外部入侵控制、訪問控制來解決金融外網所帶來的安全威脅而恰恰忽略了金融內網存在的嚴重安全隱患。有來自銀行內部的報告顯示,目前大多數金融犯罪根源都來自金融內部網絡,由金融內網安全漏洞所引發的案件數量驚人。而根源往往來自于金融內網中未授權的訪問、身份仿冒、報文竊聽、破壞修改數據資源等。
關鍵詞:金融管理,經濟技術,管理制度
鑒于此,在“大安全”理念的指導下,根據“SAFER”框架,銳捷網絡研發了為金融網絡安全量身定制的“網警”安全管理平臺。銳捷網絡“網警”安全管理平臺專門針對銀行內部局域網的潛在隱患,結合銀行對網絡平臺的應用需求,主要在用戶身份的唯一合法性認證、防止因內網用戶與外網(INTERNET等)私立連接使金融網絡對外暴露開放、及時準確記錄跟蹤用戶上網行為有據可查、完善IP管理等四大方面對金融內網的隱患進行了屏蔽和防范,充分體現了“內網更安全,邊緣也智能”安全管理思想。
針對用戶身份的合法性認證,“網警”通過對包括用戶帳號/密碼、MAC地址、用戶IP地址、交換機端口、VLAN ID在內的多元素靈活組合綁定,來實現不同級別的安全認證,從而有效屏蔽上述風險。
2003年是中國進入WTO的第三年,眾多外資銀行等金融機構的爭相涌入在很大程度上加速、加大著國內金融信息化的步伐和力度。現階段,中國的金融信息化已經走過了“金融電子化”,正向“金融信息化”深層次邁進。在數據大集中之后,通過數據倉庫、數據挖掘(DM)等日漸成熟的技術,加強客戶和市場分析,構建新型銀行經營管理體系已經成為必然的應用發展目標。在這一過程中,銀行起步較早、發展較快,到目前為止已經基本完成了數據大集中的工作,而保險、證券和基金等其他領域的數據大集中工程則正在如火如荼的進行當中。
對此,銳捷網絡認為:金融信息化的遍地開花有力地促進了傳統運營模式和服務模式的現代化變革,使未來金融業務全面虛擬化的美好藍圖成為可能。但同時數據的集中也意味著風險的集中。同時,銳捷網絡進一步指出,我國當前的網絡安全建設中存在著四大方面的欠缺:整體安全系統建設的欠缺;內部網絡安全監控與防范的欠缺;智能與主動性安全防范體系建設的欠缺以及全面集中安全管理策略平臺定制方面的欠缺。
全民皆兵:實現網絡端到端的安全。銳捷網絡認為,金融網絡中的每一個設備都要具備安全防御功能。針對金融網絡對安全的要求,銳捷網絡在進行產品研發時將安全作為設計基礎的重點,從整體金融網絡解決方案的角度去部署每一個設備應該具有的安全特性,以此保證實現端到端的安全金融網絡。比如,在接入安全性方面,銳捷網絡提供了通過對用戶的用戶名/密碼、IP地址、MAC地址、VLAN ID、Port號六元素的靈活綁定,實現不同級別的安全認證。同時在系統安全性方面,方案提供了線速2/3/4層訪問控制列表,在提高網絡安全性的同時,不會對交換性能產生影響。
全程聯動:打造安全體系而非單個防御工事。銳捷網絡認為,網絡的安全是一個系統的工程,每一個設備不但承擔著自己的安全職責,同時又需要做到協同作戰共同保障網絡安全。比如,網絡接入層設備,作為用戶接入的門戶,需對每一個接入用戶進行認證和數據分析,從而實現對用戶訪問有效的監控,保證用戶身份的合法性。而網絡的后臺管理軟件將會對接入設備收集到的數據進行分析,并做出決策讓接入用戶通過或者屏蔽,同時通過日志系統,及時記錄做到有據可查。另外,在網絡病毒日益泛濫的今天,可以有效的通過網絡后臺的安全管理平臺,在交換機上智能的屏蔽接入端口,避免接入PC被病毒感染后導致網絡癱瘓。如果網絡可以達到這樣的防御水平,那么近期肆虐的“沖擊波”、“大無極”病毒就沒有那么可怕了,其危險和造成的損失也將降低到最小程度。
全面防御:銳捷網絡主張網絡安全是主動而非被動防御。通過將安全防御系統分布在網絡邊緣(即戰場第一線),能夠將可能發生的各種網絡攻擊在接入層就進行有效的屏蔽。同時,由于將防御系統分布在網絡邊緣,就不會影響整體網絡的數據處理速度,從而保證網絡整體的性能。比如,可以通過二層交換機實現豐富的ACL功能,靈活的對營業業務、管理業務、語音業務以及視頻應用的每一個用戶的訪問權限進行嚴格的控制,可以限制用戶對某個子網或對某臺服務器的訪問,并且只能訪問某些端口;對用戶間的訪問則進行靈活的控制,如果某個用戶試圖越權訪問中心的服務器,本地交換機會阻斷該數據包。這種防御方式一方面把用戶的訪問權限限制在了本地,根本不允許非法的訪問通過網絡主干。另一方面減輕了核心交換機的負載。同時銳捷安全交換機的所有ACL依靠硬件實現,所以不會影響交換機的性能。
面向金融局域網中可能出現的通過個人PC上的MODEM撥號上INTERNET,銳捷網絡“網警”安全管理平臺能夠將登陸INTERNET的內部用戶剔除局域網,做到了撥號上INTERNET和訪問局域網不能共存。
對于用戶數最多、訪問最頻繁的網絡,為了能有效的監控用戶的網絡行為,做到有據可查,銳捷網絡的日志紀錄系統LogServer能夠對網絡用戶上網行為進行記錄與分析、審計對核心關鍵信息的訪問。用戶上網行為的記錄可以把包括源IP地址、目標IP地址、源端口、目的端口、源MAC、目的MAC、開始時間、最后發送時間和最后接受時間等詳盡的網絡流量記錄。
由于各級分行網絡現在普遍的采用的是靜態分配IP地址的方式,如果用戶更改自己的網絡配置,會導致沖突,引起多方不能使用網絡,影響正常的辦公;另外還可能發生IP地址盜用事件,利用盜用的IP地址,發表反動言論、進行惡意攻擊等等,這樣,會給金融行業的工作帶來巨大的安全隱患和不便。對此,銳捷“網警”安全管理平臺能實時檢測到用戶IP地址的改變,通過強制用戶下線的方法,將用戶至于局域網之外,能夠有效的避免沖突帶來的辦公中斷、也能夠有效的避免IP盜用帶來的安全事故。
在未來中國金融產業深化信息化建設的過程中,不管是新一代“AAA”式服務(任何時候(Anytime)、任何地方(Anywhere)、以任何方式(Anyhow)為客戶提供方便、安全的金融服務)還是從Saving Bank向Service Bank轉變,種種金融創新都將對網絡的安全保障以及支持未來業務的綜合性能提出更高的要求。在信息化建設作為銀行等金融產業發展的主要技術支撐的同時,全方位的網絡安全無疑已經成為金融創新的主要源動力。搭建穩定的網絡平臺,創造安全的應用環境,為金融業務的大集中浪潮提供最強的支撐力和實現保障已經成為網絡廠商們所刻不容緩的職責和任務。
作為中國金融信息化的參與者和推動者,銳捷網絡自成立以來,一直秉承“敏銳把握應用趨勢,快捷滿足客戶需求”的理念,密切關注著中國金融信息化的發展和進程。憑借強大的自主研發實力,通過對國內金融用戶實際需求和網絡應用發展趨勢的精準把握,銳捷網絡總結和提煉出了“SAFER”金融網絡解決方案,并在新形勢下加強和全面契合了安全方面的考慮,提出了數據大集中后未來金融網絡應當“安全無處不在”的“大安全”理論。
