项目背景:
自1995年美国诞生世界第一家网络银行SFNB(Security First Network Bank)以来,网络银行正以前所未有的速度在世界范围内迅猛发展。作为传统金融业与高科技产业相结合的产物,网络银行已成为网络经济时代金融业发展的必然选择。
SFNB依赖于Internet,没有传统的分支营业厅或自动柜员机(ATM),但可提供网上支票账户、网上支票异地结算、网上货币数据传输、网上互助服务、网上个人信贷等服务,所有金融服务完全通过Internet进行。另一种则是在现有商业银行基础上发展起来,把银行服务业务从传统领域扩展到Internet,开设新的电子服务窗口,即所谓传统业务的外挂电子银行系统。目前我国开办的网上银行业务都属于后一种。中国XX银行网上银行同样属于该类别。
由于在传统银行系统与Internet之间业务流的跨接,网上银行系统本身将直接承受来自Internet社区的巨大安全压力;而通过网上银行系统的间接导入,传统的银行业务系统同样面临各色访问行为带来的不确定影响,而且由于传统银行业务系统在整个信息资产中所占比重较大,风险代价要远远高于网上银行本身。因此,在进行网上银行建设时,需同时考虑对网上银行和银行业务系统二者的安全防护建设。
需求分析:
中国XX银行网银系统采取客户/网银中心/业务系统三层体系结构,提供信息服务、客户服务、帐务查询和支付转帐功能,其中信息服务和客户服务由总行指定部门在全行范围规划、运作和管理,网银中心具体实现帐务查询和实时交易功能,总行、分行实现业务主机系统与网银中心的实时连接。
(1)客户端采用标准的WWW浏览器。
(2)应用前端接受浏览器的访问,是网上银行与客户的交互界面。
(3)应用网关将客户交易请求发给主机业务服务器的交易处理程序,接收交易结果并发送给客户。
(4)通讯接口完成Web服务器与主机业务服务器的通讯处理。
(5)主机业务服务器接收服务器的交易请求,进行实时交易处理,然后将交易结果发给服务器。
(6)所有的账户信息都存放在银行主机业务服务器上,Web服务器中不存放任何账户信息。
从功能分类上,网银中心系统可以划分出以下多个分界点,这些分界点将整个系统分割成多个不同安全等级的安全域:
a) 应用前端系统与Internet客户端区域之间;
b) 应用前端系统与应用服务器集群之间;
c) 应用服务器集群与中心网关之间;
关键信息流定义为:
a) Internet客户端与应用前端系统之间的HTTP流量;
b) 应用前端系统与应用服务器集群之间的应用交互流量;
c) 应用服务器集群与中心网关之间的数据读写操作。
为了保证整个系统的高可用性,中国XX银行根据业务量的大小在链路、设备多个层次上实现链路冗余、多机集群、负载均衡等各项措施。因此,网络安全建设在进行必要的安全区分界点控制、敏感行为检测、关键数据记录等部署时,更应当注意对网银中心多链路、多机集群的拓扑特性提供支持。浏览URL http://www.qqread.com/erp/26/a536157004.html 
更多内容请看路由安全配置专题、系统安全设置、配置安全的操作系统专题,或进入讨论组讨论。
相关专题
- 警惕企业的“破窗”危机 (0次浏览)
- 不能说的秘密 IT企业为守护技术机密而战 (0次浏览)
