정보관리에 있어서의 정보보안 문제——MM
관련 검색 및 개인 경험을 통해 다음을 포함하는 방화벽 설계 사례가 제공됩니다.
1. 적용 배경
은행 및 금융 산업은 국가 핵심입니다. 건설 및 보호산업은 시장경제의 종합적 발전과 함께 금융기관의 운영 효율성 제고, 고객에게 편리하고 신속하며 다채로운 서비스 제공, 금융기관의 발전역량 제고 등을 중심으로 금융기관 간 경쟁이 점점 치열해지고 있습니다. 그리고 경쟁 우위를 강화하기 위해 영향력을 행사합니다. 서비스의 다양화와 애플리케이션의 증가로 인해 네트워크 보안 위험은 지속적으로 노출될 것이며, 뱅킹 시스템에는 수많은 영업비밀이 포함되어 있기 때문에 이러한 기밀정보가 온라인 전송 중에 유출되거나 분실될 경우 또는 유출로 인한 피해는 헤아릴 수 없을 것입니다. 최근 특정 은행 시스템의 특별한 비즈니스 요구와 잠재적인 네트워크 위험에 대응하여 Tianrongxin Company는 은행 네트워크 시스템의 보안을 효과적으로 보장하는 일련의 체계적인 보안 솔루션을 제안했습니다.
2. 보안 요구사항 분석
현재 은행의 주요 애플리케이션 사업 중 온라인 뱅킹, 전자상거래, 온라인 거래 시스템은 모두 인터넷 공용망을 통해 운영되고 있습니다. 인터넷 자체의 한계로 인해 인터넷의 광범위한 성격과 자유로 인해 해당 시스템은 악의적인 침입자의 표적이 될 가능성이 높습니다. 은행 네트워크 보안 위험은 여러 측면에서 발생합니다. 첫째, 인터넷으로 인한 위험: 은행의 시스템 네트워크가 전자상거래, 온라인 거래 및 기타 시스템과 같은 인터넷 공용 네트워크에 연결되면 악의적인 침입자에게 위험을 초래할 수 있습니다. 그리고 공격할 기회. 두번째. 외부 단위로 인한 위험: 또한 은행은 전화요금 징수 등 중개 업무와 서비스 기능을 지속적으로 추가하여 다른 단위와 네트워크를 상호 연결하며, 은행과 이들 단위 간의 관계는 완전한 신뢰가 아닐 수 있습니다. 따라서 은행은 외부 기관으로부터의 네트워크 시스템에 잠재적인 보안 위험이 있습니다. 제삼. 신뢰할 수 없는 도메인으로 인한 위험: 전국적으로 네트워크로 연결된 광범위한 은행을 포괄하는 모든 수준의 은행 간에 보안 위협이 있습니다. 넷째, 인트라넷의 위험입니다. 조사에 따르면 대부분의 네트워크 보안 사고는 내부 공격에서 비롯되며 유출이 발생하여 공격으로 이어질 수 있습니다. 위의 잠재적인 위험을 고려하여 은행 네트워크는 보안되지 않은 네트워크 또는 신뢰할 수 없는 도메인으로부터의 불법 또는 무단 액세스를 방지하고, 네트워크 전송 중 정보가 불법적으로 도난당하여 정보가 유출되는 것을 방지하며, 내부에 대한 다양한 소스의 악의적인 공격을 역동적으로 방지해야 합니다. 바이러스가 네트워크나 호스트에 침입하는 것을 방지하기 위해 외부 네트워크에 유입되는 데이터를 실시간으로 모니터링하여 특수 은행 애플리케이션을 위한 특정 애플리케이션 개발을 교육 및 기타 수단을 통해 수립하고 강화해야 합니다. 안전 예방 기술과 예방 인식 등은 위험을 초기에 차단할 수 있습니다.
3. 디자인(그림, 텍스트)
위의 은행 시스템에서 발생할 수 있는 보안 위험과 고객 요구를 고려하여 Tianrongxin은 안전하고 신뢰할 수 있는 보안 솔루션을 개발했습니다. 먼저, 컴퓨터 정보시스템 내 각종 장치의 물리적 보안 확보는 네트워크 환경 보안, 설계 보안, 미디어 보안 등 전체 네트워크 시스템의 보안을 확보하기 위한 전제조건이다. 지진, 홍수, 화재, 인적 조작 오류, 각종 컴퓨터 범죄 등의 환경사고로부터 컴퓨터 네트워크 장비, 시설, 기타 매체를 보호합니다. 또한 시스템, 네트워크, 애플리케이션 및 정보의 보안에 주의를 기울여야 합니다. 시스템 보안에는 운영 체제 보안이 포함되며, 애플리케이션 시스템 보안에는 네트워크 구조 보안, 액세스 제어, 보안 탐지 및 평가가 포함됩니다. 바이러스 방지 정보 보안에는 암호화된 전송, 정보 식별 및 정보 저장이 포함됩니다.
둘째, 은행 시스템에 저장될 수 있는 특수 애플리케이션의 경우 해당 애플리케이션의 안정성을 보호하기 위해 세부적인 분석 및 분석을 수행하여 목표 개발 및 맞춤형 애플리케이션을 수행해야 합니다. 애플리케이션이 항상 안전한지 확인하세요. 역동적이고 전체적인 네트워크 보안을 구축하는 또 다른 핵심은 장기적인 프로젝트 관련 정보 보안 서비스를 구축하는 것입니다. 보안 서비스에는 방향성 보안 컨설팅 및 교육, 정적 네트워크 보안 위험 평가 및 특별 이벤트에 대한 비상 대응이 포함됩니다.
또한 위에서 언급한 보안 위험 외에도 보안 장비 자체의 안정성이 매우 중요하므로 Tianrongxin 보안 솔루션의 방화벽은 이중 시스템 핫 백업 방식을 채택합니다. . 즉, 두 방화벽은 서로 백업하며, 하나는 마스터 방화벽이고 다른 하나는 슬레이브 방화벽입니다. 마스터 방화벽이 실패하면 슬레이브 방화벽이 마스터 방화벽의 작업을 대신합니다. 이는 사용자 네트워크 연결을 최대한 보장합니다. 은행의 네트워크 구조에 따라 Tianrongxin은 방화벽을 사용하여 전체 네트워크를 금융 네트워크 광역 네트워크, 독립 서버 네트워크 및 은행 내부 네트워크의 세 가지 물리적 제어 영역으로 나누었습니다.
위 3개 영역은 각각 방화벽의 3개 이더넷 인터페이스와 연결되어 방화벽에 접근통제 정책을 탑재해 3개 제어영역 간의 접근을 제한한다. 메인 방화벽과 슬레이브 방화벽은 CON-SOLE 케이블로 연결되어 두 방화벽 간의 하트비트 감지를 수행합니다.
4. 경험과 교훈(자신만의 통찰력을 추가해 보세요)
이번에 만든 보안 솔루션은 은행의 실제 애플리케이션과 사용자의 요구 사항과 긴밀하게 통합되어 있으며, 따라서 솔루션은 고도로 목표화되어 있으며 매우 좋은 결과를 얻습니다. 시스템 취약성 방지: 대부분의 최신 운영 체제에는 일부 보안 취약성과 백도어가 있으며 이러한 요소는 침입자가 악용하는 경우가 많습니다. 따라서 운영 체제를 안전하게 구성하고 최신 패치로 패치해야 하며, 보안 검사 및 평가를 수행하고, 보안 취약점을 탐지하고, 시스템 보안을 분석하고, 교정 조치를 제안하기 위해 해당 검사 소프트웨어를 사용해야 합니다. 신원 인증 강화: 응용 시스템의 보안을 위해 보안 구성도 반드시 사용해야 하는 서비스만 열고, 자주 사용하지 않는 프로토콜과 프로토콜 포트 번호는 닫도록 노력해야 합니다. 응용 시스템을 사용하면 사용자 로그인 신원 인증을 강화하여 사용자 사용의 합법성을 보장하고 로그인 사용자의 작업 권한을 엄격하게 제한하며 완료하는 작업을 최소한의 범위로 제한합니다. 포괄적인 네트워크 보안 제어: 우선, 네트워크 구조 레이아웃에서 은행 시스템 비즈니스 네트워크, 사무실 네트워크, 외부 장치와 상호 연결된 인터페이스 네트워크를 해당 애플리케이션 범위와 보안 및 기밀 수준에 따라 합리적으로 나누어 로컬 문제를 방지해야 합니다. . 위협은 전체 네트워크 시스템으로 확산됩니다. 동시에 액세스 제어가 강화됩니다. 모든 내부 LAN에서는 스위치의 VLAN 기능을 사용하여 외부 장치 네트워크와 신뢰할 수 없는 도메인 네트워크를 통해 다양한 부서 및 수준의 사용자 간의 간단한 액세스 제어를 실현합니다. 내부 및 외부 네트워크를 실현하거나 애플리케이션 계층에 액세스 제어 소프트웨어 시스템을 갖춘 서로 다른 신뢰 도메인 간의 격리 및 액세스 제어를 구현하여 원격 전화 접속에 대한 보안 액세스를 위해 근거리 통신망의 특정 애플리케이션에 대해 보다 세부적인 액세스 제어를 수행합니다. 사용자의 경우 방화벽 인증 메커니즘의 일회용 비밀번호를 사용하여 원격 전화 접속 사용자를 인증하여 원격 사용자의 보안 액세스를 보장합니다. 그런 다음 보안 탐지 및 평가를 수행합니다. 관리자로서 운영 체제 관점에서 네트워크 위반 이벤트 추적, 실시간 경보, 연결 차단 및 로그 작성을 위한 침입 탐지 시스템을 갖추고 독립적인 시스템 호스트의 보안을 평가합니다. 사용자 시스템 구성 및 사용자 구성의 보안 약점을 분석, 식별하고 교정 조치를 권장합니다.
키 인증: 제3자를 통한 인증서 발급, 즉 권위 있는 인증기관(Ca 인증센터)을 구축하는 방식을 도입했습니다. 이 뱅킹 시스템은 다양한 전문 은행과 협력하여 뱅킹 시스템의 CA 시스템을 구축하여 인증서 발급을 실현하고 이 시스템에서 비즈니스 거래를 보호할 수 있습니다. 다양한 암호화된 전송: 일반 은행 비즈니스 시스템의 경우 네트워크 계층 암호화 장비를 사용하여 네트워크의 데이터 전송 보안을 보호하는 것이 좋습니다. 온라인 뱅킹 및 온라인 거래와 같은 비즈니스 시스템은 온라인으로 전송되는 데이터의 기밀성을 보호하기 위해 애플리케이션 계층 암호화 메커니즘을 사용하여 암호화할 수 있습니다. 중지된 데이터 백업 및 복원: 데이터베이스를 보호하는 가장 안전하고 효과적인 방법은 백업 및 복원 시스템을 사용하는 것입니다. 백업 시스템은 실행 중인 데이터베이스 호스트에 사고가 발생했을 때 복구 시스템을 통해 최단 시간 내에 백업 데이터베이스 시스템을 정상 작동 상태로 복원하여 완전한 데이터베이스 정보를 저장할 수 있어 제공되는 서비스의 적시성과 연속성을 보장합니다. 은행 업무 시스템.
2. 관련 검색
1. 방화벽의 정의
방화벽은 네트워크 보안을 보장하고 액세스를 향상시키는 데 사용되는 시스템 또는 시스템 그룹입니다. 외부 사용자가 인트라넷 자원을 불법적으로 사용하는 것을 방지하고 인트라넷 장비가 파괴되는 것을 방지하며 민감한 데이터가 도난당하는 것을 방지하기 위한 제어입니다.
2. 방화벽을 사용하는 목적
다양한 해커로부터의 피해를 방지하고, 외부 네트워크로부터의 위협과 침입을 차단하며, 잠재적인 악의적 활동을 방지하는 역할을 합니다.
3. 방화벽의 특성(또는 일반 방화벽의 기본 특성)
(1) 확장성: 동적 애플리케이션 계층 필터링 기능과 인증을 결합하여 WWW 브라우저를 지원할 수 있습니다. HTTP 서버, FTP 및 기타 서버,
(2) 개인 데이터 암호화 지원: 인터넷을 통한 가상 사설망 및 비즈니스 활동이 손상되지 않도록 보장,
(3) 클라이언트 인증은 지정된 사용자만 내부 네트워크에 액세스하거나 서비스를 선택할 수 있도록 허용합니다. 기업의 로컬 네트워크와 지점, 비즈니스 파트너 및 모바일 사용자 간의 보안 통신의 추가 부분;
(4 ), 스푸핑 방지: 스푸핑 외부에서 네트워크 액세스를 얻는 일반적인 방법입니다. 이는 데이터 패킷이 네트워크 내부에서 오는 것처럼 보이게 합니다. 방화벽은 이러한 데이터 패킷을 모니터링하고 버릴 수 있습니다.
(5), C/S 모드 및 교차 플랫폼 지원: 한 플랫폼에서 실행되는 관리 모듈을 활성화하여 다른 플랫폼 모듈에서 실행되는 모니터링을 제어할 수 있습니다. .
4. 현재 방화벽의 한계
(1) 내부 공격을 막을 수는 없습니다.
(2) 방화벽을 통과하지 않는 연결로부터의 침입은 방지할 수 없습니다.
(3) 모든 새로운 위협을 자동으로 방어할 수는 없습니다.
5. 방화벽의 기본 기능 및 부가 기능
(1) 취약한 서비스가 인트라넷에 진입하는 것을 방지합니다.
(2) 액세스 포인트를 제어합니다.
(3) 중앙 집중식 보안 관리
(4) 네트워크 액세스 및 액세스 모니터링 및 감사
(5) 컴퓨터 검색 시도 감지; p>
(6) 트로이 목마 방지,
(7) 바이러스 백신 기능,
(8) VPN 기술 지원,
(9) ) 네트워크 주소 변환 NAT 기능을 제공합니다.
6. 방화벽의 종류
(1) 개념 분류: 네트워크 계층 방화벽, 애플리케이션 계층 방화벽.
(2) 기술 분류: 기존 방화벽, 분산 방화벽, 내장형 방화벽, 지능형 방화벽.
7. 방화벽의 주요 기술
패킷 필터링 기술, 프록시 서비스 기술, 회선 계층 게이트웨이 및 상태 감지 기술.
8. 방화벽의 일반적인 아키텍처
필터링 라우터 구조, 이중 호스트 구조, 보호된 호스트 게이트웨이 구조 및 보호된 서브넷 구조.
9. 방화벽 설계의 원칙과 전략
설계 원칙:
보안, 신뢰성, 확장성, 업그레이드 가능성, 호환성
방화벽 전반 두 가지 기본 설계 전략을 채택하십시오.
(1) 명시적으로 허용된 서비스 이외의 서비스에 대한 액세스를 거부합니다. 즉, 허용된 것으로 나열되지 않은 서비스는 금지됩니다.
(2) 명시적으로 거부된 서비스, 즉 금지 목록에 없는 서비스를 제외한 모든 서비스에 대한 액세스를 허용합니다.