金融企业等网络接入安全及防护_开题报告

文献综述

随着互联网的发展，越来越多的企业或金融机构之间要互相接入，在长距离、公网之间、企业内部如何传输、认证及保证数据安全保密等成为一个必须解决的安全问题。本文章在互联网前端接入防护，内部、分支机构网络远程安全接入，内部安全管理三个方面进行介绍分析。

第一部分：金融企业互联网接入区的安全防护架构

机构接入互联网最前端使用DDOS设备，后接入下一代防火墙，经IPS防御后，访问网页数据包到达WAF后才到达DMZ区服务器，通过网闸实现内外网数据同步。

DDOS设备布署在外网接入区最前端，进行异常流量分析检测和清洗。

NGFW下一代防火墙布署在DDOS后方，其功能有三大模块：1网络安全模块，包括身份认证、NAT地址转换、抗攻击、VPN虚拟局域网。2可视化应用管控模块，包括应用识虽、流量管控。3全面应用安全模块，包括漏洞、WEB安全、服务器、病毒防护。

IPS入侵防御设备是对防火墙性能的补充，具有应用协议智能识别、流量控制、网络病毒防御、上网行为管理和无线入侵防御等功能。

WAF(Web应用防护系统)设备防护WEB服务器，对从客户到网站服务器的访问流量和从网站服务器到客户的响应流量进行双向安全过滤，来防止因网站被攻击而导致网站被恶意篡改、恶意仿冒、敏感信息泄露、网站服务器被控制等事件的发生。

网闸布署在外网与内网之间，实现内网的数据摆渡到外网。外网数据无法能过TCP/IP访问内网。

第二部分：金融企业内部、分支机构网络远程安全接入

远程及安全接入解决方案为VPN、专线。VPN、专线传输安全控制主要涉及四个方面：1传输途径，在传输过程中可能导致信息被窃取和泄漏。2网络访问。3 网络隔离，如用VLAN隔离。4 数据加密和解密。数据加密、解密过程包括对数据源的加密、通讯加密、接收数据的解密等环节。加密技术可分为对称加密和不对称加密。

金融保险证券等对数据保密等级比较高，业务接入时要与银监、支付宝、银联对接。敏感数据不可能直接通过Internet进行明文传输，利用专线网络组网，通过运营商的传输SDH、MSTP等方式进行双上联接入，在二层进行隔离保证了，又保证业务保密性。总部的部分业务要与分支机构之间要进行三层通讯，采用运营商MPLS-VPN骨干网承载，其运行LDP协议不涉及机构的内部路由，机构之间采用虚拟路由表相到隔离。安全等级更高的情况下，采用MPLS-VPN加IPSec-VPN解决加密的要求。

企业客户因费用、移动办公因素考虑，采用IPSec-VPN、SSL-VPN技术方案接入。

第三部分：金融企业内部安全管理

在OSI模型中，第二层为数据链路层，对应的设备为交换机，存在的安全攻击为MAC欺骗、MAC泛洪、ARP欺骗、DHCP Snooping。通过划分不同的用户区域，如用户域、服务域、业务域，各个不同区域数据相对隔离，从而保障安全。第三层为网络层，对应的设备为路由器，存在的安全攻击为IP欺骗、Smurf攻击、ICMP攻击、地址扫描。针对其攻击原理及特性，配置静态表项、安全访问控制列表、黑白名单、阀值等，在设备上启用调用、限制安全功能，使路由、交换设备安全加固防护。

针对软件、操作系统的防护，采用防病毒服务器、补丁服务器C/S架构，终端设备安装客户端软件，通过后台服务器的统一管理并从云安全中心下载防御规则库，使用软件、系统漏洞减少，系统更加安全。

内部用户访问网络用服务器资源同样要求安全管理，访问控制的目的在于拒绝非法用户的访问并对合法用户的操作行为进行规范，只有经授权的访问主体，才允许访问特定的系统资源。在网络安全中的应用表现在五个方面：入网访问控制；权限访问控制；目录级安全控制；属性安全控制；服务器安全控制。

金融企业如何保障用户资金变化、资金流向等信息的机密性和完整性，是企业自身和用户最为关注的问题，也是在进行信息安全建设时首当其冲要考虑的问题。广泛采用的PKI (Public Key Infrastructure-公钥基础设施) 和认证中心CA组成PKI/CA架构的解决方案。PKI/CA 的工作原理就是通过发放和维护数字证书来建立一套信任网络，在同一信任网络中的用户通过申请到的数字证书来完成身份认证和安全处理。PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。

银行、证券等金融业机构使用堡垒机来完成对财务、会计操作的审计。其从功能上讲，堡垒机综合了核心系统运维和安全审计管控两大主干功能，从技术实现上讲，通过切断终端计算机对网络和服务器资源的直接访问，而采用协议代理的方式，接管了终端计算机对网络和服务器的访问。

^范文提纲

前端接入互联网

DDOS

NGFW下一代防火墙

IPS入侵防御

Web应用防护系统

网闸

内部网络远程安全接入

如何在互联网环境下安全接入

金融企业接入方案

      专线接入

IPSec-VPN接入

SSL-VPN接入

综合比较

MPLS-VPN安全问题解决方案

MPLS-VPN加密安全问题

       解决方案

内部安全管理

路由、交换机防护 

软件、操作系统防护

PKI/CA

访问控制技术

堡垒主机

结束语

网络安全需求层次可分为以下六个层面：1 业务信息安全：数据机密性、完整性、可用性、不可抵赖性等。2 网络节点:针对单个网络节点访问控制、安全审计等。3内部网络安全：网内的访问控制、安全审计等。4网络接入安全：主要是内外网安全隔离、访问控制。5物理安全：网络环境建设、网络设备防护。6法规顺从：司法取证。本文挑选了部分层面，讲述了金融企业等网络接入安全及防护，分别从互联网前端接入防护，内部、分支机构网络远程安全接入，内部安全管理三个个方面分析了需求及相应解决方案。

参考文献

[1]信息安全概论/李剑著-北京：机械工业出版社，2015.08 

[2]MPSL和VPN体系结构 MPLS and VPN Architectures 人民邮电出版社

[3]计算机网络/谢希仁著-第六版-北京：电子工业出版社，2013.06

[4]田松.金融行业网络安全及其控制 爱学术 .ixueshu.com  2017.04

[5] 构筑互联网金融企业网络安全长城 比特网 ://sec.chinabyte.com 2014.06

[6]冯东.浅谈互联网接入区和对外服务区的安全防护 道客巴巴 ://xueshu.baidu.com 2013^范文集

[7] 计算机网络安全及防护 百度文库  s://wenku.baidu.com 2013.11

[8]任慧.论大型企业中计算机网络安全防护体系.中国管理信息化 2010年第13卷第21期

[9] TCP/IP详解 卷1/凯文 R.福尔 -北京：机械工业出版社，2016.01

[10]路学刚.基层人民银行计算机网络安全探讨.Network Security 2012.04

[11]于顺森.探讨银行计算机网络安全管理.信息与电脑，2013年02月刊