思科金融服务事业网络安全应用案例

毋庸质疑,互联网的发展为传统企业创造了无限商机。电子商务的提出和迅猛发展更为传统企业发展提供了无限的想象空间。面对挑战、把握商机当然是众多企业家处心积虑的问题。银行作为国民经济发展中的重要决定因素之一,走向"以客户为中心"的服务角色已经是一种市场发展的必然。—不断发展的网络经济、客户需求,必然要求银行内部自身建立起稳定安全可靠的网络系统,保证银行业务的正常开展。

由于我国即将加入WTO,外国银行将大规模地进入我国金融市场,外国银行凭其庞大的经营规模、雄厚的资金实力、优良的资产质量,特别是较高的科技化程度,必然会与国内商业银行在"黄金客户"上展开激烈竞争,加强自身建设,提供更优质的金融服务以吸引更多客户,是国内各大商业银行面临的问题。

广东发展银行自1988年正式成立以来,不断扩展银行业务种类和范围,逐渐树立起自己活跃的股份制商业银行形象。在北京、上海、大连、南京、深圳等主要大中城市,广东发展银行先后设立了400多个分支机构,储蓄业务、公司业务、国际业务、存贷款业务、信用卡业务、离岸银行业务等业务种类都已成熟,特别是近期银行卡的业务推广十分成功,在国内银行同业中处于领先地位。努力提高自身业务水平和服务水准一直是银行发展宗旨。同时银行服务标准与国际金融市场接轨,提供更优质的服务是广东发展银行近年的目标。

面临新技术、新理念,保证金融贸易顺利实现电子化、自动化、网络化,当然是银行不可回绝的问题。提供面向客户的高质量的金融服务是广东发展银行发展的必然趋势。新的发展要求和契机无疑对银行的软硬件设施提出了新的挑战。其中网络的运行情况,尤其是网络安全问题尤其突出。

顺应时代和技术的发展,广东发展银行决定逐步建立起基于IP技术的业务骨干网,改进目前的网络基础平台,选用国际最先进的网络软硬件产品。保证传统业务和新兴的服务渠道,如网络银行、新一代客户服务中心等业务的稳定、安全、高效的运行。  

商业需求期待网络改造

考察目前全行的网络情况,随着分行数量的不断增加及ATM、信用卡等新业务的开展,网络安全面临挑战。在黑客行动猖獗的今天,广发行原有的网络系统在安全性及运行效率上有待提高,以迎接潜在的网上风险。

由于总行和各分行地理位置上的特点,它们都有与其它网络系统(互联网)接入需求,网络对外连接出口必然成为黑客攻击的主要对象。如何解决关键出口的安全性问题,是网络安全性建设的首要问题。在网络关键出口需要设置PIX防火墙作安全隔离,防止银行内部网络受未授权用户的侵犯是可行的方案。

在网络安全上,防止非法的访问是一方面,而对网络活动施行实时动态的监测,是及时发现非法访问的另一有效途径。网络关键链路和接口要有监控,使出现的问题及时发现及时解决;而定期对网络实施静态扫描也可以发现潜在威胁。

原有的网络系统还存在维护费用高,技术复杂的缺点。因此网络改造要求有先进友好的网络管理软件以降低网络维护费用。

网络改造打造新的发展空间

通过审慎的调查研究和亲身产品使用,广东发展银行最终选择了思科的网络安全产品。思科良好的企业形象、先进的网络技术及产品服务水平是全球金融企业普遍信任的前提。而广东发展银行与思科良好的合作关系更是促成此次合作的重要因素。通过双方的密切合作,确立了对全行网络系统实行全面改造的目标,以达到网络安全要求。

根据思科公司面向网络安全端到端的SAFE(Security Architecture for E-Business)解决方案,结合现有运行网络的实际情况,双方通力合作,完成了网络安全性设计。思科的SAFE解决方案能够考虑潜在的安全性威胁,并考虑相关的相应速度、性能、可扩展性、安全管理、服务质量以及语音支持。模块组成的SAFE包括思科整体安全策略制定、思科安全PIX防火墙、思科IOS防火墙特性、思科入侵检测系统以及思科VPN系统。

思科的SAFE方案的模块化方法为银行网络提供了最大的灵活性。使广东发展银行能够针对特定的业务来选择特定的模块。SAFE同时也提供了根据业务需要逐步实现安全的Cisco AVVID基础设施的可能。这保护了银行在现有安全设施上的投资,降低整个网络系统的费用。客户同时也可知道每一个模块的工作原理及在整个思科网络安全框架中的作用。客户同时也能够与思科系统公司网络安全专家共同设计及检测安全系统。

在整个网络的安全性设计上,思科公司进行了全面的规划,制定了整体的安全策略。同时对局域网、广域网以及外联网与Internet等公共信息网互连的安全保障规定。使用思科的安全策略管理器CSPM指定整体的安全策略,并实施定期的监控和改进。原有的应用服务器与其他系统服务器以及办公及管理信息系统相连,存在一定的安全隐患。在此次系统改造中这一问题得到了解决,通过采用内部防火墙,两者实现了安全隔离,应用主机安全性得到更好的保障。

改建后的网络在广域网中心增设了专用的路由器。原来既作为DLSw+节点又作为广域网路由的中心路由器实现功能上的拆分,新增专门路由器作为DLSw+路由器,负责SNA和TCP/IP的协议转换。所有路由器位于高性能防火墙的两侧,防止外部对应用主机的非法操作,同时网络对SNA协议的处理能力也得到提高。

银行网络对外的对外连接在采用了防火墙后实现与外部的安全隔离,同时地址翻译技术屏蔽了内部网络地址和结构,在防止黑客攻击方面做到防患于未然。

有限投资创造无限利益

从2000年12月以来,广东发展银行网络安全性改造工程在思科公司的密切配合下顺利实施。从改造的效果上来看,实现了预期的目标。

明确细致的全行整个数据集中网络系统的安全需求在此次网络建设中的得以满足。整个银行具有了完整、规划全面的安全结构体系。从主机系统、网络系统、应用系统、办公管理信息系统、用户系统等方面,解决了整个数据集中网络系统及各子系统和有关关键环节的安全隐患和安全漏洞。

考虑现有的银行情况,存贷业务、信用卡业务等都有更高标准的安全保证。而新的网络安全设施及技术更保证了广东发展银行进一步发展网上银行业务,扩展安全的网上金融服务种类。以使用迅猛发展的网络经济、新的经营模式。

综观广东发展银行网络安全性建设,整个工程带来的效益是不能简单地进行估计的。网络孕育着新的发展契机,触网的银行服务有了更高水准的安全性措施,必然对其找到新的业务增长点,进而提高金融服务效益作出巨大的贡献。