新一代及未來金融網(wǎng)絡(luò)安全

新一代及未來金融網(wǎng)絡(luò)安全

秋風(fēng)初起，一年一度的中國國際金融技術(shù)暨設(shè)備展覽會(huì)在京如期召開，與往年的展會(huì)主題不同，今年金融展的內(nèi)容緊緊圍繞“數(shù)據(jù)大集中后的安全與應(yīng)用”全面展開。在眾多國內(nèi)外參展企業(yè)當(dāng)中，國內(nèi)領(lǐng)先的網(wǎng)絡(luò)設(shè)備及解決方案提供商——銳捷網(wǎng)絡(luò)展示了其全線網(wǎng)絡(luò)產(chǎn)品及針對(duì)金融行業(yè)的解決方案和應(yīng)用案例，同時(shí)率先推出了基于“SAFER”網(wǎng)絡(luò)架構(gòu)的全新金融網(wǎng)絡(luò)安全概念——“應(yīng)用得心應(yīng)手，安全無處不在”，不僅無縫契合了本次金融展的核心主題，還吸引了眾多來自銀行、保險(xiǎn)、證券等不同金融領(lǐng)域參觀者的關(guān)注。

“SAFER”是2002年金融展當(dāng)中銳捷網(wǎng)絡(luò)提出的金融網(wǎng)絡(luò)解決方案，以獨(dú)特的架構(gòu)體系全面滿足新一代金融網(wǎng)絡(luò)對(duì)安全(Security)、適用(Application-based)、可擴(kuò)展(Flexibility)、易用(Easytouse)、可靠(Reliability)等特性的要求。本屆金融展，圍繞未來“大集中后的安全”核心，“SAFER”被賦予了全新的內(nèi)涵，對(duì)此銳捷網(wǎng)絡(luò)的詮釋是：新“SAFER”架構(gòu)進(jìn)一步深入考慮了現(xiàn)在和未來金融用戶對(duì)安全性能的需求，在原有“SAFER”架構(gòu)的基礎(chǔ)上賦予了全方位的安全保障，核心體現(xiàn)為“全民皆兵”、“全程聯(lián)動(dòng)”、“全面防御”、“全線定制”。

雖然只是言簡(jiǎn)意賅的四個(gè)詞語，其中卻蘊(yùn)涵著銳捷網(wǎng)絡(luò)多年來致力于金融信息化事業(yè)的豐富經(jīng)驗(yàn)和積極探索，同時(shí)也傳遞出銳捷網(wǎng)絡(luò)對(duì)中國金融信息化建設(shè)的深刻理解……

“大集中”需要“大安全”

2003年是中國進(jìn)入WTO的第三年，眾多外資銀行等金融機(jī)構(gòu)的爭(zhēng)相涌入在很大程度上加速、加大著國內(nèi)金融信息化的步伐和力度。現(xiàn)階段，中國的金融信息化已經(jīng)走過了“金融電子化”，正向“金融信息化”深層次邁進(jìn)。在數(shù)據(jù)大集中之后，通過數(shù)據(jù)倉庫、數(shù)據(jù)挖掘(DM)等日漸成熟的技術(shù)，加強(qiáng)客戶和市場(chǎng)分析，構(gòu)建新型銀行經(jīng)營管理體系已經(jīng)成為必然的應(yīng)用發(fā)展目標(biāo)。在這一過程中，銀行起步較早、發(fā)展較快，到目前為止已經(jīng)基本完成了數(shù)據(jù)大集中的工作，而保險(xiǎn)、證券和基金等其他領(lǐng)域的數(shù)據(jù)大集中工程則正在如火如荼的進(jìn)行當(dāng)中。

對(duì)此，銳捷網(wǎng)絡(luò)認(rèn)為：金融信息化的遍地開花有力地促進(jìn)了傳統(tǒng)運(yùn)營模式和服務(wù)模式的現(xiàn)代化變革，使未來金融業(yè)務(wù)全面虛擬化的美好藍(lán)圖成為可能。但同時(shí)數(shù)據(jù)的集中也意味著風(fēng)險(xiǎn)的集中。同時(shí)，銳捷網(wǎng)絡(luò)進(jìn)一步指出，我國當(dāng)前的網(wǎng)絡(luò)安全建設(shè)中存在著四大方面的欠缺：整體安全系統(tǒng)建設(shè)的欠缺；內(nèi)部網(wǎng)絡(luò)安全監(jiān)控與防范的欠缺；智能與主動(dòng)性安全防范體系建設(shè)的欠缺以及全面集中安全管理策略平臺(tái)定制方面的欠缺。

在未來中國金融產(chǎn)業(yè)深化信息化建設(shè)的過程中，不管是新一代“AAA”式服務(wù)還是從SavingBank向ServiceBank轉(zhuǎn)變，種種金融創(chuàng)新都將對(duì)網(wǎng)絡(luò)的安全保障以及支持未來業(yè)務(wù)的綜合性能提出更高的要求。在信息化建設(shè)作為銀行等金融產(chǎn)業(yè)發(fā)展的主要技術(shù)支撐的同時(shí)，全方位的網(wǎng)絡(luò)安全無疑已經(jīng)成為金融創(chuàng)新的主要源動(dòng)力。搭建穩(wěn)定的網(wǎng)絡(luò)平臺(tái)，創(chuàng)造安全的應(yīng)用環(huán)境，為金融業(yè)務(wù)的大集中浪潮提供最強(qiáng)的支撐力和實(shí)現(xiàn)保障已經(jīng)成為網(wǎng)絡(luò)廠商們所刻不容緩的職責(zé)和任務(wù)。

作為中國金融信息化的參與者和推動(dòng)者，銳捷網(wǎng)絡(luò)自成立以來，一直秉承“敏銳把握應(yīng)用趨勢(shì)，快捷滿足客戶需求”的理念，密切關(guān)注著中國金融信息化的發(fā)展和進(jìn)程。憑借強(qiáng)大的自主研發(fā)實(shí)力，通過對(duì)國內(nèi)金融用戶實(shí)際需求和網(wǎng)絡(luò)應(yīng)用發(fā)展趨勢(shì)的精準(zhǔn)把握，銳捷網(wǎng)絡(luò)總結(jié)和提煉出了“SAFER”金融網(wǎng)絡(luò)解決方案，并在新形勢(shì)下加強(qiáng)和全面契合了安全方面的考慮，提出了數(shù)據(jù)大集中后未來金融網(wǎng)絡(luò)應(yīng)當(dāng)“安全無處不在”的“大安全”理論。

認(rèn)為：金融網(wǎng)絡(luò)方案中的每個(gè)設(shè)備在研發(fā)的時(shí)候就應(yīng)當(dāng)考慮到整體的安全方案，網(wǎng)絡(luò)安全不僅僅是網(wǎng)絡(luò)中的某一個(gè)設(shè)備的事，而是方案內(nèi)的每個(gè)設(shè)備都應(yīng)具有網(wǎng)絡(luò)安全方面的考慮，特別是與客戶端直接相連的接入層。對(duì)全部網(wǎng)絡(luò)構(gòu)成元素和設(shè)備進(jìn)行安全總動(dòng)員，一齊構(gòu)筑金融網(wǎng)絡(luò)立體化的防御工事，從而創(chuàng)造金融網(wǎng)絡(luò)的安全環(huán)境、保證業(yè)務(wù)應(yīng)用的“得心應(yīng)手”。

新“SAFER”：安全無處不在，應(yīng)用得心應(yīng)手

在成熟的“SAFER”構(gòu)架之下，全新的無處不在的“大安全”得到了最充分的體現(xiàn)，其核心通過四個(gè)詞語基本涵蓋：“全民皆兵”、“全程聯(lián)動(dòng)”、“全面防御”和“全線定制”。

全民皆兵：實(shí)現(xiàn)網(wǎng)絡(luò)端到端的安全。銳捷網(wǎng)絡(luò)認(rèn)為，金融網(wǎng)絡(luò)中的每一個(gè)設(shè)備都要具備安全防御功能。針對(duì)金融網(wǎng)絡(luò)對(duì)安全的要求，銳捷網(wǎng)絡(luò)在進(jìn)行產(chǎn)品研發(fā)時(shí)將安全作為設(shè)計(jì)基礎(chǔ)的重點(diǎn)，從整體金融網(wǎng)絡(luò)解決方案的角度去部署每一個(gè)設(shè)備應(yīng)該具有的安全特性，以此保證實(shí)現(xiàn)端到端的安全金融網(wǎng)絡(luò)。比如，在接入安全性方面，銳捷網(wǎng)絡(luò)提供了通過對(duì)用戶的用戶名／密碼、IP地址、MAC地址、VLANID、Port號(hào)六元素的靈活綁定，實(shí)現(xiàn)不同級(jí)別的安全認(rèn)證。同時(shí)在系統(tǒng)安全性方面，方案提供了線速2/3/4層訪問控制列表，在提高網(wǎng)絡(luò)安全性的同時(shí)，不會(huì)對(duì)交換性能產(chǎn)生影響。

全程聯(lián)動(dòng)：打造安全體系而非單個(gè)防御工事。銳捷網(wǎng)絡(luò)認(rèn)為，網(wǎng)絡(luò)的安全是一個(gè)系統(tǒng)的工程，每一個(gè)設(shè)備不但承擔(dān)著自己的安全職責(zé)，同時(shí)又需要做到協(xié)同作戰(zhàn)共同保障網(wǎng)絡(luò)安全。比如，網(wǎng)絡(luò)接入層設(shè)備，作為用戶接入的門戶，需對(duì)每一個(gè)接入用戶進(jìn)行認(rèn)證和數(shù)據(jù)分析，從而實(shí)現(xiàn)對(duì)用戶訪問有效的監(jiān)控，保證用戶身份的合法性。而網(wǎng)絡(luò)的后臺(tái)管理軟件將會(huì)對(duì)接入設(shè)備收集到的數(shù)據(jù)進(jìn)行分析，并做出決策讓接入用戶通過或者屏蔽，同時(shí)通過日志系統(tǒng)，及時(shí)記錄做到有據(jù)可查。另外，在網(wǎng)絡(luò)病毒日益泛濫的今天，可以有效的通過網(wǎng)絡(luò)后臺(tái)的安全管理平臺(tái)，在交換機(jī)上智能的屏蔽接入端口，避免接入PC被病毒感染后導(dǎo)致網(wǎng)絡(luò)癱瘓。如果網(wǎng)絡(luò)可以達(dá)到這樣的防御水平，那么近期肆虐的“沖擊波”、“大無極”病毒就沒有那么可怕了，其危險(xiǎn)和造成的損失也將降低到最小程度。

全面防御：銳捷網(wǎng)絡(luò)主張網(wǎng)絡(luò)安全是主動(dòng)而非被動(dòng)防御。通過將安全防御系統(tǒng)分布在網(wǎng)絡(luò)邊緣，能夠?qū)⒖赡馨l(fā)生的各種網(wǎng)絡(luò)攻擊在接入層就進(jìn)行有效的屏蔽。同時(shí)，由于將防御系統(tǒng)分布在網(wǎng)絡(luò)邊緣，就不會(huì)影響整體網(wǎng)絡(luò)的數(shù)據(jù)處理速度，從而保證網(wǎng)絡(luò)整體的性能。比如，可以通過二層交換機(jī)實(shí)現(xiàn)豐富的ACL功能，靈活的對(duì)營業(yè)業(yè)務(wù)、管理業(yè)務(wù)、語音業(yè)務(wù)以及視頻應(yīng)用的每一個(gè)用戶的訪問權(quán)限進(jìn)行嚴(yán)格的控制，可以限制用戶對(duì)某個(gè)子網(wǎng)或?qū)δ撑_(tái)服務(wù)器的訪問，并且只能訪問某些端口；對(duì)用戶間的訪問則進(jìn)行靈活的控制，如果某個(gè)用戶試圖越權(quán)訪問中心的服務(wù)器，本地交換機(jī)會(huì)阻斷該數(shù)據(jù)包。這種防御方式一方面把用戶的訪問權(quán)限限制在了本地，根本不允許非法的訪問通過網(wǎng)絡(luò)主干。另一方面減輕了核心交換機(jī)的負(fù)載。同時(shí)銳捷安全交換機(jī)的所有ACL依靠硬件實(shí)現(xiàn)，所以不會(huì)影響交換機(jī)的性能。

全線定制：契合需求，量體裁衣。針對(duì)金融行業(yè)對(duì)網(wǎng)絡(luò)安全的不同需要，銳捷網(wǎng)絡(luò)可為用戶提供不同的網(wǎng)絡(luò)安全解決方案。例如，銳捷網(wǎng)絡(luò)可以提供不同的安全認(rèn)證級(jí)別，如多元素綁字可以根據(jù)用戶需求進(jìn)行靈活配置，從而實(shí)現(xiàn)不同級(jí)別的安全認(rèn)證保障。同時(shí)，針對(duì)國情的差異性，銳捷網(wǎng)絡(luò)還具有目前國內(nèi)最全的產(chǎn)品線，保證不同層次用戶的需求得到充分滿足。

屏蔽內(nèi)網(wǎng)穩(wěn)患，護(hù)駕金融安全

提及金融網(wǎng)絡(luò)安全防范，人們往往想到的是通過網(wǎng)絡(luò)防火墻、外部入侵控制、訪問控制來解決金融外網(wǎng)所帶來的安全威脅而恰恰忽略了金融內(nèi)網(wǎng)存在的嚴(yán)重安全隱患。有來自銀行內(nèi)部的報(bào)告顯示，目前大多數(shù)金融犯罪根源都來自金融內(nèi)部網(wǎng)絡(luò)，由金融內(nèi)網(wǎng)安全漏洞所引發(fā)的案件數(shù)量驚人。而根源往往來自于金融內(nèi)網(wǎng)中未授權(quán)的訪問、身份仿冒、報(bào)文竊聽、破壞修改數(shù)據(jù)資源等。

鑒于此，在“大安全”理念的指導(dǎo)下，根據(jù)“SAFER”框架，銳捷網(wǎng)絡(luò)研發(fā)了為金融網(wǎng)絡(luò)安全量身定制的“網(wǎng)警”安全管理平臺(tái)。銳捷網(wǎng)絡(luò)“網(wǎng)警”安全管理平臺(tái)專門針對(duì)銀行內(nèi)部局域網(wǎng)的潛在隱患，結(jié)合銀行對(duì)網(wǎng)絡(luò)平臺(tái)的應(yīng)用需求，主要在用戶身份的唯一合法性認(rèn)證、防止因內(nèi)網(wǎng)用戶與外網(wǎng)私立連接使金融網(wǎng)絡(luò)對(duì)外暴露開放、及時(shí)準(zhǔn)確記錄跟蹤用戶上網(wǎng)行為有據(jù)可查、完善IP管理等四大方面對(duì)金融內(nèi)網(wǎng)的隱患進(jìn)行了屏蔽和防范，充分體現(xiàn)了“內(nèi)網(wǎng)更安全，邊緣也智能”安全管理思想。

針對(duì)用戶身份的合法性認(rèn)證，“網(wǎng)警”通過對(duì)包括用戶帳號(hào)／密碼、MAC地址、用戶IP地址、交換機(jī)端口、VLANID在內(nèi)的多元素靈活組合綁定，來實(shí)現(xiàn)不同級(jí)別的安全認(rèn)證，從而有效屏蔽上述風(fēng)險(xiǎn)。

面向金融局域網(wǎng)中可能出現(xiàn)的通過個(gè)人PC上的MODEM撥號(hào)上INTERNET，銳捷網(wǎng)絡(luò)“網(wǎng)警”安全管理平臺(tái)能夠?qū)⒌顷慖NTERNET的內(nèi)部用戶剔除局域網(wǎng)，做到了撥號(hào)上INTERNET和訪問局域網(wǎng)不能共存。

對(duì)于用戶數(shù)最多、訪問最頻繁的網(wǎng)絡(luò)，為了能有效的監(jiān)控用戶的網(wǎng)絡(luò)行為，做到有據(jù)可查，銳捷網(wǎng)絡(luò)的日志紀(jì)錄系統(tǒng)LogServer能夠?qū)W(wǎng)絡(luò)用戶上網(wǎng)行為進(jìn)行記錄與分析、審計(jì)對(duì)核心關(guān)鍵信息的訪問。用戶上網(wǎng)行為的記錄可以把包括源IP地址、目標(biāo)IP地址、源端口、目的端口、源MAC、目的MAC、開始時(shí)間、最后發(fā)送時(shí)間和最后接受時(shí)間等詳盡的網(wǎng)絡(luò)流量記錄。

由于各級(jí)分行網(wǎng)絡(luò)現(xiàn)在普遍的采用的是靜態(tài)分配IP地址的方式，如果用戶更改自己的網(wǎng)絡(luò)配置，會(huì)導(dǎo)致沖突，引起多方不能使用網(wǎng)絡(luò)，影響正常的辦公；另外還可能發(fā)生IP地址盜用事件，利用盜用的IP地址，發(fā)表反動(dòng)言論、進(jìn)行惡意攻擊等等，這樣，會(huì)給金融行業(yè)的工作帶來巨大的安全隱患和不便。對(duì)此，銳捷“網(wǎng)警”安全管理平臺(tái)能實(shí)時(shí)檢測(cè)到用戶IP地址的改變，通過強(qiáng)制用戶下線的方法，將用戶至于局域網(wǎng)之外，能夠有效的避免沖突帶來的辦公中斷、也能夠有效的避免IP盜用帶來的安全事故。

結(jié)語：

應(yīng)用是金融信息化的目的和歸宿，而安全則是金融業(yè)永恒不變的主題。在未來業(yè)務(wù)全面集中的金融網(wǎng)絡(luò)中，全面安全已經(jīng)成為成功實(shí)現(xiàn)金融業(yè)務(wù)永續(xù)至關(guān)重要的先決條件。

作為國內(nèi)領(lǐng)先的網(wǎng)絡(luò)設(shè)備及解決方案提供商，銳捷網(wǎng)絡(luò)自成立以來始終密切關(guān)注著中國信息化進(jìn)程。同時(shí)，憑借銳捷強(qiáng)大的自主研發(fā)實(shí)力，已經(jīng)成功推出了一系列服務(wù)于中國信息化的網(wǎng)絡(luò)產(chǎn)品及解決方案。截至目前，銳捷網(wǎng)絡(luò)已經(jīng)成功服務(wù)了全國范圍內(nèi)萬余例信息化建設(shè)項(xiàng)目。其中其為金融用戶量身定制的新一代“SAFER”金融網(wǎng)絡(luò)解決方案，在全國范圍得到了廣泛的應(yīng)用。迄今為止，已經(jīng)成功服務(wù)了包括工商銀行、建設(shè)銀行、農(nóng)業(yè)銀行、中國銀行、交通銀行、招商、民生以及中國人壽保險(xiǎn)公司、中國人民保險(xiǎn)公司在內(nèi)的眾多