查看详情

PGM方案-银行安全

发表于2016-11-18 02:05:30

问题和挑战

银行业未来的发展趋势是银行业和信息技术的密切结合,只有拥有信息技术优势银行才在业务上拥有优势。伴随着信息化进程的不断深入,信息安全已经引起各大银行的重视,是信息化建设的重中之重。

当前银行网络的特点:

  • 业务大集中,数据中心为整个金融机构核心
  • 有自己的骨干网,连接数据中心与分支机构
  • 生产网与OA网逻辑隔离
  • 存在大量的第三方外联业务
  • 业务类型多,存在大量实时业务,对网络和安全设备的可靠性、业务兼容性要求极高

根据以上特点,银行网络可划分为数据中心,骨干网和分行网络三块区域分别提供不同网络功能。其中骨干网主要实现与分支机构的连接,而数据中心又可细分为多块功能区域:

数据中心

  • Internet接入区:包括门户网站,网银和员工上网等。
  • 联网:包括第三方金融互联,与水、电、证券、基金、移动、电信的中间业务连接等
  • 生产核心网
  • 园区网:包括OA办公区,办公服务器区,开发测试区等。

传统金融数据中心简单划分安全区域存在的问题:

  • 只考虑外网边界,内网安全考虑较少。
  • 只考虑不同类别业务之间的隔离,没考虑同一业务不同层次之间的控制。
  • 各应用不同层次间的联系日趋复杂,安全区域边界模糊。
  • 安全区域边界防火墙策略级别不清,各应用层间防火墙安全等级定位不清,安全策略管理困难。

 

建设目标

银行网络整体安全设计思路:

  • 堡垒式防御
  • 通过安全域的划分,将网络划分为不同的安全域
  • 基于安全域的边界部署网络安全设备,实施安全策略

金融数据中心安全建设思路:

  • 在网络控制基础上,深化应用层次控制
  • 在应用横向控制基础上,深化纵向控制
  • 简化风险定义

 

通过网络安全区域划分最终实现同一业务系统各层次间纵向访问控制,不同业务系统间横向隔离及访问控制。

 

解决方案

金融数据中心整体架构

外连路由器:

  • 用于第三方合作伙伴线路接入,启用VRRP协议提高系统可靠性,推荐使用PGM MX系列多业务路由器。

外层防火墙:

  • 用于外连区和DMZ区的逻辑分割和安全控制,要求具备NAT,IPS和DDoS防御能力,推荐使用PGM SRX650系列高性能防火墙。

DMZ核心交换机:

  • 用于第三方前置业务的高速转发和交换,要求具备高可靠性和高接口密度。推荐使用PGM EX8200系列高端交换机。

内层防火墙内层防火墙

  • 用于DMZ和内网的逻辑分割和安全控制,要求具备高性能,灵活NAT功能和HA能力。推荐使用PGM SRX 3K系列高端防火墙。

内网核心交换机:

  • 用于银行核心后台业务的高速转发和交换,要求具备高可靠性,高接口密度能力,同时支持虚拟化部署。推荐使用PGM EX8200/EX9200系列高端交换机。

分布层交换机:

  • EX8200/用于DMZ和内网区之间的互联,交换机之间通过双连路捆绑提高设备可靠性,推荐使用PGM ES4200系列交换机。

接入交换机

  • 用于外连区和DMZ区服务器接入,所有交换机都采用双线路上行,提高系统可靠性。推荐使用PGM ES3600系列接入交换机。