銀行外聯(lián)網絡安全解決預案全攻略

32/32銀行外聯(lián)網絡安全解決方案全攻略網絡的進展，正在引發(fā)一場人類文明的全然變革。網絡已成為一個國家最為關鍵的政治、經濟、軍事資源，成為國家實力的新象征。同時，進展網絡技術也是國民經濟現(xiàn)代化建設不可缺的一個必要條件。能否把握網絡給中國進展帶來的機遇，將會直接阻礙21世紀中國的生存。另一方面，網絡的進展也在不斷改變人們的工作、生活方式，使信息的獵取、傳遞、處理和利用更加高效、迅速。隨著科學技術不斷進展，網絡差不多成為人們生活的一個組成部分。隨著網絡的快速進展，各金融企業(yè)之間的競爭也日益激烈，要緊是通過提高金融機構的運作效率，為客戶提供方便快捷和豐富多彩的服務，增強金融企業(yè)的進展能力和阻礙力來實現(xiàn)的。為了適應這種進展趨勢，銀行在改進服務手段、增加服務功能、完善業(yè)務品種、提高服務效率等方面做了大量的工作，以提高銀行的競爭力，爭取更大的經濟效益。而實現(xiàn)這一目標必須通過實現(xiàn)金融電子化，利用高科技手段推動金融業(yè)的進展和進步，銀行外聯(lián)網絡的建設為進一步提高銀行業(yè)服務手段，促進銀企的進展提供了有力的保障，同時勢必為銀行業(yè)的進展帶來巨大的經濟效益。然而隨著網絡應用不斷擴大，它的反面效應也隨著產生。通過網絡使得黑客或工業(yè)間諜以及惡意入侵者侵犯和操縱一些重要信息成為可能，因而引發(fā)出網絡安全性問題。正如我國聞名計算機專家沈昌祥院士指出的："信息安全保障能力是21世紀綜合國力、經濟競爭實力和生存能力的重要組成部份，是世紀之交世界各國在奮力攀登的制高點"。二十世紀未，美國一些聞名網站、銀行、電子商務網站造受黑客攻擊；黑客入侵微軟竊取源代碼軟件等重要案件，都證明了網絡安全的嚴峻性，因此，解決銀行外聯(lián)網絡安全問題刻不容緩。一銀行外聯(lián)網絡安全現(xiàn)狀1、銀行外聯(lián)種類按業(yè)務分為：銀行外聯(lián)業(yè)務種類繁多，要緊有：證銀聯(lián)業(yè)務、社保IC卡、房改公積金治理系統(tǒng)、代收中聯(lián)通話費、代收移動話費、同城清算、人行稅銀庫企系統(tǒng)、人行銀行信貸登記系統(tǒng)、金融統(tǒng)計數據報送、國際收支數據報送、電子口岸、代收電費、代扣社保費、代收國稅、代收地稅、代收固話費、財局國庫集中系統(tǒng)、統(tǒng)發(fā)工資系統(tǒng)、代收財政罰款、物業(yè)維修基金、非稅系統(tǒng)、重要客戶系統(tǒng)等等。按單位分：隨著外聯(lián)業(yè)務的不斷擴大，外聯(lián)單位也不斷增加，要緊有：各個證券公司、社保局、房改辦、聯(lián)通公司、移動公司、海關、電力公司、國稅局、地稅局、電信公司、供水公司、政府政務網、人行金融網、銀行的重客單位等等。按線路分：外聯(lián)線路要緊以專線為主，部格外聯(lián)業(yè)務采納撥號方式，線路類型要緊有：幀中繼、SDH、DDN、城域網、撥號等。2、提供外聯(lián)線路的運營商依照外聯(lián)單位的不同需求，有多家運營商提供線路服務，要緊有：電信公司、盈通公司、網通公司、視通公司等3、銀行外聯(lián)網絡的安全現(xiàn)狀及存在問題外聯(lián)接入現(xiàn)狀示意圖：外聯(lián)接入分為總行、一級分行、二級分行三個接入層次，據統(tǒng)計有80％的外聯(lián)單位是通過二級分行及以下層次接入的，面對如此眾多的外聯(lián)接入單位，我行還沒有一個統(tǒng)一規(guī)劃的完善的外聯(lián)網絡安全防備體系，特不是關于有些二級分行的外聯(lián)網絡只有差不多的安全防護，只在外網的接入口使用防火墻進行安全操縱，整體而言，外聯(lián)網絡缺少一個統(tǒng)一規(guī)劃的完善的安全防備體系，抗風險能力低。下面，針對外聯(lián)網絡中要緊的安全風險點進行簡單分析：（1）外聯(lián)接入點多且層次低，缺乏統(tǒng)一的規(guī)劃和監(jiān)管，存在接入風險銀行外聯(lián)系統(tǒng)的接入五花八門，沒有一個統(tǒng)一的接入規(guī)劃和接入標準，總行、一級分行、二級分行、甚至經辦網點都有接入點，據統(tǒng)計80％的外聯(lián)接入差不多上通過二級分行及以下層次接入的，由于該層次的安全產品和安全技術資源都特不缺乏，因此對外聯(lián)接入的監(jiān)管操縱缺乏力度，存在著接入風險。（2）缺少統(tǒng)一規(guī)范的安全架構和策略標準在外聯(lián)網絡中，全行缺少統(tǒng)一規(guī)范的安全架構和訪問操縱策略標準，對眾多的外聯(lián)業(yè)務沒有分層分級設定不同的安全策略，在網絡層沒有統(tǒng)一的安全訪問操縱標準，比如：同意開放的端口、必須關閉的端口、需要操縱訪問的端口、安全傳輸協(xié)議等等；在外聯(lián)業(yè)務應用程序的編寫方面沒有統(tǒng)一的安全標準；在防火墻策略制定上也沒有統(tǒng)一的安全標準，因此外聯(lián)網絡的整體可控性不強。（3）缺乏數據傳送過程中的加密機制目前與外聯(lián)單位互相傳送的數據大部分差不多上明碼傳送，沒有統(tǒng)一規(guī)范的加密傳送機制。（4）缺少統(tǒng)一的安全審計和安全治理標準。外聯(lián)網絡沒有一個統(tǒng)一的安全審計和安全治理標準，在安全檢查和安全審計上沒有一套行之有效的方法。為解決當前外聯(lián)網絡所存在的安全隱患，我們必須構建一個完善的銀行外聯(lián)網絡安全架構，建立一套統(tǒng)一規(guī)劃的完善的外聯(lián)網絡安全防備體系。下面我們將從銀行外聯(lián)網絡安全規(guī)劃著手，進行外聯(lián)平臺的網絡設計，并對外聯(lián)平臺的安全策略進行統(tǒng)一規(guī)劃，相應地提出外聯(lián)業(yè)務平臺安全審計的內容以及如何進行外聯(lián)網絡的安全治理，設計一套完善的銀行外聯(lián)網絡安全解決方案。二銀行外聯(lián)網絡安全規(guī)劃1、外聯(lián)網絡接入銀行內部網的安全指導原則（1）外聯(lián)網（Extranet）接入內部網絡，必須遵從統(tǒng)一規(guī)范、集中接入、逐步過渡的原則。（2）總行關于外聯(lián)網絡接入內部網絡建立統(tǒng)一的安全技術和安全治理規(guī)范，一級分行參照規(guī)范要求對接入網路進行嚴格的操縱，同時應建立數據交換區(qū)域，幸免直接對業(yè)務系統(tǒng)進行訪問。（3）各一級分行按照集中接入的原則，建立統(tǒng)一的外聯(lián)網接入平臺，減少外聯(lián)網接入我行內部網絡的接入點，將第三方合作伙伴接入我行內部網的接入點操縱在一級分行，并逐步對二級行（含）以下的接入點上收至一級分行。（4）假如一個二級分行的外聯(lián)合作伙伴較多，從節(jié)約線路費用的角度考慮，能夠考慮外聯(lián)接入點選擇在二級分行，然后利用IPSec-VPN將二級分行的業(yè)務外聯(lián)平臺通過隧道與一級分行外聯(lián)平臺連接。（5）增加VPN的接入方式，與專線方式并存，接入點只設在一級分行及以上的層次，新增外聯(lián)業(yè)務可考慮采納VPN接入方式。（6）出于安全考慮，必須慎重選擇是否同意第三方合作伙伴使用銀行內部網絡系統(tǒng)構建其自身業(yè)務網絡的運作。（7）關于第三方合作伙伴通過互聯(lián)網接入內部網的需求，只能通過總行互聯(lián)網入口進行接入。2、外聯(lián)業(yè)務平臺規(guī)劃的策略與同業(yè)往來業(yè)務、重點客戶業(yè)務、中間代理業(yè)務互聯(lián)要求業(yè)務外聯(lián)平臺提供足夠的安全機制。多數外聯(lián)業(yè)務要求平臺穩(wěn)定、可靠。為了滿足安全和可靠的系統(tǒng)需求，具體策略如下：（1）采納防火墻和多種訪問操縱、安全監(jiān)控措施（2）采納專線為主、撥號備份為備的雙鏈路和主、備路由器增強可靠性（3）通過省行internet統(tǒng)一入口連接客戶的VPN接入請求，由省行或總行統(tǒng)一規(guī)劃VPN網絡，統(tǒng)一認證和加密機制（4）采納IPSec技術保證數據傳輸過程的安全（5）采納雙防火墻雙機熱備（6）采納IDS、漏洞掃描工具（7）設立DMZ區(qū)，所有對外提供公開服務的服務器一律設置在DMZ區(qū)，將外部傳入用戶請求連到Web服務器或其他公用服務器，然后Web服務器再通過內部防火墻鏈接到業(yè)務前置區(qū)（8）設立業(yè)務前置區(qū)，外聯(lián)業(yè)務平臺以及外聯(lián)業(yè)務前置機可放置此區(qū)域，阻止內網和外網直接通信，以保證內網安全（9）所有的數據交換差不多上通過外聯(lián)前置網進行的，在未采取安全措施的情況下，禁止內部網直接連接業(yè)務外聯(lián)平臺。（10）為防止來自內網的攻擊和誤操作，設置內部網絡防火墻（11）來自業(yè)務外聯(lián)平臺的特定主機經身份認證后才可訪問內部網指定主機。（12）具體實施時要緊考慮身份認證、訪問操縱、數據完整性和審計等安全指標。三外聯(lián)業(yè)務平臺設計1、外聯(lián)業(yè)務平臺的網絡架構業(yè)務外聯(lián)平臺包括邊界區(qū)、邊界防火墻區(qū)、IDS區(qū)、DMZ區(qū)、內部路由器、業(yè)務前置區(qū)、內部防火墻。架構如下圖：2、外聯(lián)業(yè)務平臺的安全部署邊界區(qū)邊界區(qū)包括三臺接入路由器，全部支持IPSec功能。一臺是專線接入的主路由器；一臺是撥號接入的備路由器，當主線路故障或客戶有撥號接入需求時客戶可通過此撥號路由器接入，撥號接入要有身份認證機制；還有一臺是VPN接入方式的路由器。將IPSec部署在邊界路由器上是保證端對端數據傳輸的完整性和機密性，愛護TCP/IP通信免遭竊聽和篡改。關于INTERNET的VPN接入方式,可并入分行INTERNET統(tǒng)一出口進行VPN隧道的劃分，連接有VPN接入需求的外聯(lián)單位。邊界防火墻區(qū)邊界防火墻區(qū)設置兩臺防火墻互為熱備份。在防火墻的內側和外側分不有一臺連接防火墻的交換機，從安全的角度動身，連接兩臺防火墻采納單獨的交換機，幸免采納VLAN造成的安全漏洞。兩臺防火墻之間的連接依照設備的不同而不同，以能夠可靠地為互相備份的防火墻提供配置同步和心跳檢測為準。入侵檢測IDS能夠實時準確地捕捉到入侵，發(fā)覺入侵能夠及時作出響應并記錄日志。對所有流量進行數據分析，過濾掉含有攻擊指令和操作的數據包，愛護網絡的安全，提供對內部攻擊、外部攻擊和誤操作的實時愛護。DMZ區(qū)建立非軍事區(qū)（DMZ）,是為不信任系統(tǒng)提供服務的孤立網段，它阻止內網和外網直接通信，以保證內網安全，在非軍事區(qū)上設置并安裝基于網絡的實時安全監(jiān)控系統(tǒng),所有對外提供公開服務的服務器一律設置在DMZ,其中.、E-mail、FTP、DNS服務器置于非軍事區(qū)（DMZ）內部路由器區(qū)內部路由器區(qū)設置一臺用于連接業(yè)務外聯(lián)平臺和業(yè)務前置區(qū)的路由器。業(yè)務前置區(qū)設立獨立的網絡區(qū)域與業(yè)務外聯(lián)平臺的交換信息，并采取有效的安全措施保障該信息交換區(qū)不受非授權訪問。內部防火墻內部防火墻能夠精確制定每個用戶的訪問權限，保證內部網絡用戶只能訪問必要的資源，內部防火墻能夠記錄網段間的訪問信息，及時發(fā)覺誤操作和來自內部網絡其他網段的攻擊行為。病毒防范和漏洞掃描在服務器、前置機上安裝網絡版防病毒軟件，及時在線升級防病毒軟件，打開防病毒實時監(jiān)控程序，設定定期查殺病毒任務，及時抵御和防范病毒。定期對網絡設備進行漏洞掃描，及時打系統(tǒng)補丁。路由采納靜態(tài)路由，邊界的主、備路由器采納浮動靜態(tài)路由，當主鏈路不通時，通過備份鏈路建立連接。網管從安全的角度考慮，業(yè)務外聯(lián)平臺的網管采納帶外網管。網管服務器和被治理設備的通訊通過單獨的接口。用PVLAN使被治理設備只能通過網管專用的接口與網管服務器連接，而被治理設備之間不能互通。為了防備網管服務器被操縱的可能性，規(guī)劃獨立的網管服務器為業(yè)務外聯(lián)平臺服務。網管平臺能夠對業(yè)務外聯(lián)平臺進行狀態(tài)治理、性能治理、配置治理、故障治理。帶外網管平臺采納單獨的交換機，以保證系統(tǒng)的安全。QOS在數據包通過內層防火墻進入治理區(qū)域后立即打上QOS標記，使外聯(lián)平臺的數據包按照規(guī)定的優(yōu)先級不占用網絡資源。四外聯(lián)業(yè)務平臺安全設計策略1外聯(lián)接入線路安全設計策略外聯(lián)接入線路有3種方式：傳統(tǒng)的專線方式、正在快速進展的基于公網的VPN方式、撥號方式。

專線方式，銀行傳統(tǒng)的外聯(lián)接入方式大部分差不多上采納專線與外單位相聯(lián)，專線的選擇有：幀中繼、DDN、SDH、ATM等等。專線的優(yōu)點是線路私有、技術成熟、穩(wěn)定，傳輸的安全性比較有保障，但也存在設備投入大，對技術維護人員的技術要求較高，線路費用昂貴、接入不靈活等缺點。同時由于對線路的信任依靠，大多數專線中傳遞的信息沒有考慮任何數據安全，明碼傳送，存在專門大的安全隱患。

VPN方式，現(xiàn)在國際社會比較流行的利用公共網絡來構建的私有專用網絡VPN（VirtualPrivateNetwork），用于構建VPN的公共網絡包括Internet、幀中繼、ATM等。在公共網絡上組建的VPN具有線路費用低廉，易于擴展，接入靈活，網絡通信安全，網絡設計簡單，特不是易于實現(xiàn)集中治理，減少接入點，接入點能夠只設在一級分行以上的層次，方便統(tǒng)一治理和安全操縱。

撥號方式，有些外聯(lián)單位只與銀行交換簡單的代收發(fā)文件，使用的間隔周期也比較長，為節(jié)約費用只按需撥號進行連接，撥號方式的特點是費用低廉但缺乏安全保障。這3種方式各有優(yōu)缺點，但從技術的成熟性和愛護現(xiàn)有設備投資的方面考慮，專線方式和撥號方式依舊我們的主流方式。但從長遠考慮，隨著VPN技術的成熟和合作伙伴應用互聯(lián)網的普及，VPN方式將會由于它顯著的優(yōu)點而逐漸成為主流，因此，我們引入VPN接入方式，目前我們三種接入方式并存，今后將逐漸用VPN方式取代專線方式和撥號方式，如此不僅能夠統(tǒng)一接入層次，減少接入點，降低線路費用，而且方便統(tǒng)一治理和安全操縱。關于接入專線的物理層和數據鏈路層安全是由運營商保障的，在邊界接入路由器上設置靜態(tài)路由、采納安全訪問操縱實現(xiàn)網絡層的安全操縱，為保證數據傳輸的機密性和完整性，建議在銀行外聯(lián)網絡中采納IPSec技術，在接入端統(tǒng)一安裝支持IPSec功能的接入路由器。關于VPN方式的接入，VPN盡管構建在公用數據網上，但能夠通過附加的安全隧道、用戶認證和訪問操縱等技術實現(xiàn)與專用網絡相類似的安全性能，從而實現(xiàn)對重要信息的安全傳輸。與企業(yè)獨立構建專用網絡相比，VPN具有節(jié)約投資、易于擴展、簡化治理等特點。關于撥號接入我們采納AAA認證的方式驗證撥入方的身份。2外聯(lián)業(yè)務平臺物理層安全設計策略物理層安全是指設備安全和線路安全，保障物理安全除了要遵守國家相關的場地要求和設計規(guī)范外，還要做好相關設備的備份、關鍵線路的備份、相應數據的備份。定期對網絡參數、應用數據、日志進行備份，定期對備份設備進行參數同步。3外聯(lián)業(yè)務平臺網絡層安全設計策略外聯(lián)業(yè)務平臺安全設計的重點確實是如何進行網絡層的安全防護，在網絡層我們采納了防火墻技術、入侵檢測技術、VPN技術、IPSec技術、訪問操縱技術等多種安全技術進行網絡層的安全防護。（1）部署邊界防火墻和內部防火墻在總行、一級分行、二級分行各級外聯(lián)接入點的邊界都應安裝邊界防火墻，邊界防火墻的任務有：

通過對源地址過濾，拒絕外部非法IP地址，有效地幸免外部網絡上與業(yè)務無關的主機的越權訪問，防火墻只保留有用的服務；

關閉其他不要的服務，可將系統(tǒng)受攻擊的可能性降低到最小限度，使黑客無機可乘；

制定訪問策略，使只有被授權的外部主機能夠訪問內部網絡的有限的IP地址，保證外部網絡只能訪問內部網絡中必要的資源，與業(yè)務無關的操作將被拒絕;

由于外部網絡對DMZ區(qū)主機的所有訪問都要通過防火墻，防火墻能夠全面監(jiān)視外部網絡對內部網絡的訪問活動，并進行詳細地記錄，通過分析能夠發(fā)覺可疑的攻擊行為；

關于遠程登錄的用戶，如telnet等，防火墻利用加強的認證功能，能夠有效地防止非法入侵；

集中治理網絡的安全策略，因此黑客無法通過更改某一臺主機的安全策略來達到操縱其他資源，獵取訪問權限的目的；

進行地址轉換工作，使外部網絡不能看到內部網絡的結構，從而使黑客攻擊失去目標。在內部網和業(yè)務前置區(qū)之間部署內部防火墻，內部防火墻的任務有：

精確制定每個用戶的訪問權限，保證內部網絡用戶只能訪問必要的資源

記錄網段間的訪問信息，及時發(fā)覺誤操作和來自內部網絡其他網段的攻擊行為。（2）部署入侵檢測系統(tǒng)入侵檢測是防火墻技術的重要補充，在不阻礙網絡的情況下能對網絡進行檢測分析，從而對內部攻擊、外部攻擊和誤操作進行實時識不和響應，有效地監(jiān)視、審計、評估網絡系統(tǒng)。入侵檢測和漏洞掃描技術結合起來是預防黑客攻擊的要緊手段。入侵檢測的要緊功能有：

檢測并分析用戶和系統(tǒng)的活動

核查系統(tǒng)配置和漏洞

評估系統(tǒng)關鍵資源和數據文件的完整性

識不已知的攻擊行為

統(tǒng)計分析異常行為

操作系統(tǒng)日志治理，并識不違反安全策略的用戶活動入侵檢測技術要緊能夠分為基于主機入侵檢測和基于網絡入侵檢測兩種?；谥鳈C的系統(tǒng)通過軟件來分析來自各個地點的數據，這些數據能夠是事件日志（LOG文件）、配置文件、PASSWORD文件等；基于網絡的系統(tǒng)通過網絡監(jiān)聽的方式從網絡中獵取數據，并依照事先定義好的規(guī)則檢查它，從而判定通訊是否合法。（3）應用VPN關于VPN接入方式，在接入端采納專用VPN設備，VPN的實現(xiàn)技術是通過公用網在各個路由器之間建立VPN安全隧道來傳輸用戶的私有網絡數據，用于構建這種VPN連接的隧道技術有IPSEC等。結合服務商提供的QOS機制，能夠有效而且可靠的使用網絡資源，保證了網絡質量。VPN大致包括三種典型的應用環(huán)境，即IntranetVPN,RemoteAccessVPN和ExtranetVPN。其中IntranetVPN要緊是在內部專用網絡上提供虛擬子網和用戶治理認證功能；RemoteAccessVPN側重遠程用戶接入訪問過程中對信息資源的愛護；而ExtranetVPN則需要將不同的用戶子網擴展成虛擬的企業(yè)網絡。我們所推舉使用的是ExtranetVPN，同時建議今后逐漸用VPN的外聯(lián)接入方式取代專線接入方式，VPN技術將是今后外聯(lián)接入的進展方向，VPN技術取代專線將指日可待。VPN技術的優(yōu)點要緊包括：

信息的安全性。虛擬專用網絡采納安全隧道(SecureTunnel)技術向用戶提供無縫(Seamless)的和安全的端到端連接服務，確保信息資源的安全。

方便的擴充性。用戶能夠利用虛擬專用網絡技術方便地重構企業(yè)專用網絡(PrivateNetwork)，實現(xiàn)異地業(yè)務人員的遠程接入，加強與客戶、合作伙伴之間的聯(lián)系，以進一步適應虛擬企業(yè)的新型企業(yè)組織形式。

方便的治理。VPN將大量的網絡治理工作放到互聯(lián)網絡服務提供者(ISP)一端來統(tǒng)一實現(xiàn)，從而減輕了企業(yè)內部網絡治理的負擔。同時VPN也提供信息傳輸、路由等方面的智能特性及其與其他網絡設備相獨立的特性，也便于用戶進行網絡治理。

顯著的成本效益。利用現(xiàn)有互聯(lián)網絡發(fā)達的網絡構架組建外聯(lián)網絡，從而節(jié)約了大量的投資成本及后續(xù)的運營維護成本。（4）應用IPSecIPSec由IETF下屬的一個IPSec工作組起草設計的，在IP協(xié)議層上對數據包進行高強度的安全處理，提供數據源驗證、無連接數據完整性、數據機密性、抗重播和有限業(yè)務流機密性等安全服務。各種應用程序能夠享用IP層提供的安全服務和密鑰治理，而不必設計和實現(xiàn)自己的安全機制，因此減少了密鑰協(xié)商的開銷，也降低了產生安全漏洞的可用性。IPSec彌補了由于TCP/IP協(xié)議體系自身帶來的安全漏洞，能夠愛護TCP/IP通信免遭竊聽和篡改，保證數據的完整性和機密性，有效抵御網絡攻擊，同時保持易用性。IPSec可連續(xù)或遞歸應用，在路由器、防火墻、主機和通信鏈路上配置，實現(xiàn)端到端安全、虛擬專用網絡（VPN）和安全隧道技術。IPSec的缺點是不能兼容NAT技術，當防火墻和路由器采納NAT技術對IP包進行地址轉換時，IPSec包不能通過。因此，需要使用IPSec功能時必須采納NAT-T技術實現(xiàn)IPSec穿越NAT。（5）網絡層的訪問操縱策略

禁止來自業(yè)務外聯(lián)平臺的的訪問直接進入內部網

限制能開通的服務或端口

設立與內部網隔離的指定的數據交換區(qū)，來自業(yè)務外聯(lián)平臺的的訪問只能到達指定的數據交換區(qū)

能對進入指定數據交換區(qū)的主體限制到主機

能通過代理實現(xiàn)指定客戶對內部網指定主機和業(yè)務的訪問4外聯(lián)業(yè)務平臺系統(tǒng)層安全設計策略操作系統(tǒng)因為設計和版本的問題，存在許多的安全漏洞，同時因為在使用中安全設置不當，也會增加安全漏洞，帶來安全隱患，因此要定期漏洞掃描，及時升級、及時打補丁。5外聯(lián)業(yè)務平臺應用層安全設計策略

依照銀行專用網絡的業(yè)務和服務，采納身份認證技術、防病毒技術以及對各種應用服務的安全性增強配置服務，保障網絡系統(tǒng)在應用層的安全。（1）身份認證技術

公開密鑰基礎設施（PKI）是一種遵循標準的密鑰治理平臺，能夠為所有網絡應用透明地提供采納加密和數字簽名等密碼服務所必需的密鑰和證書治理。在總行和省行網絡中心建立CA中心，為應用系統(tǒng)的可靠運行提供支持。

進入指定數據交換區(qū)必須進行基于口令的身份認證。以撥號方式連接業(yè)務外聯(lián)平臺時，在撥號連接建立之前，必須通過基于靜態(tài)口令、動態(tài)口令或撥號回呼的身份認證。為了配合全行的集中認證工程，認證服務器必須采納全行統(tǒng)一規(guī)定的標準協(xié)議，能夠支持多級認證體系結構。

在集中認證系統(tǒng)投入使用之前，AAA服務器能夠獨立完成認證、授權和審計任務。在集中認證體系投入使用之后，AAA服務器能夠實現(xiàn)向上級認證服務器的認證請求轉發(fā)，實現(xiàn)集中認證。（2）防病毒技術病毒是系統(tǒng)中最常見、威脅最大的安全來源。我們必須有一個全方位的外聯(lián)網病毒防備體系，目前要緊采納病毒防范系統(tǒng)解決病毒查找、清殺問題。五外聯(lián)業(yè)務平臺安全審計對進出業(yè)務外聯(lián)平臺的訪問必須進行審計，要求如下：

能夠生成進出業(yè)務外聯(lián)平臺的的訪問日志

日志內容包括訪問時刻、主體和客體地址信息、訪問方式、訪問業(yè)務、訪問成敗情況、持續(xù)時刻、同一訪問發(fā)起建立連接次數、本次訪問通信流量等

對所記錄的日志具有格式化的審計功能，能針對不同主體、客體、時刻段、訪問成敗等情況進行統(tǒng)計并形式化輸出

網絡審計，防止非法內連和外連

數據庫審計，以更加細的粒度對數據庫的讀取行為進行跟蹤

應用系統(tǒng)審計，例如公文流轉通過幾個環(huán)節(jié)，必須要有清晰的記錄

主機審計，包括對終端系統(tǒng)安裝了哪些不安全軟件的審計，并設置終端系統(tǒng)的權限等等

介質審計，包括光介質、磁介質和紙介質的審計，防止機密信息通過移動U盤、非法打印或者照相等多個環(huán)節(jié)從信息系統(tǒng)中泄密。

對重要服務器的操作要有記錄；

對外網（互聯(lián)網）連接記錄要有針對性的審計；

對網絡內的流量、網絡設備工作狀態(tài)進行審計；

對重要的數據庫訪問記錄要進行有效的審計六外聯(lián)網絡安全治理要保障外聯(lián)網絡安全運行，光靠技術操縱還遠遠不夠，還要注意加強在安全治理方面的工作。就現(xiàn)時期而言，網絡安全最大的威脅不是來自外部，而是內部的安全制度、操作規(guī)范和安全監(jiān)督機制。人是信息安全目標實現(xiàn)的主體，網絡安全需要全體人員共同努力，幸免出現(xiàn)"木桶效應"。為此應著重解決好幾個方面的問題。1、組織工作人員加強網絡安全學習，提高工作人員的維護網絡安全的警惕性和自覺性，提高保密觀念，提高安全意識，提高操作技能。2、加強治理，建立一套行之有效的外聯(lián)網絡安全治理制度和操作人員守則，建立定期檢查制度和有效的監(jiān)督體系。3、大力推進外聯(lián)應用軟件的標準化，研究各種安全機制，制造一個具有安全設置的開發(fā)環(huán)境。4、建立完善的治理制度（1）建立外聯(lián)網絡聯(lián)網規(guī)定和聯(lián)網操作流程。（2）建立責任分工制度，權限治理制度，明確崗位和