概述
商业银行办公网承担着支撑银行日常运营的重要功能,例如银行征信审批业务、后督业务、OA系统等等,这些和银行运营相关的重要信息系统,都需要办公网为之提供安全、可靠的网络运行环境。Hillstone通过在银行办公网的互联网出口、纵向专线链路以及办公网和生产网的网络边界上部署下一代防火墙,从而抵御内外网络安全威胁,保护业务系统安全。可实现功能具体包括:
● 阻断来自互联网的网络攻击与恶意代码,保障办公网业务安全;
● 对远程接入进行用户身份认证及数据传输加密,保障远程访问安全;
● 采用多层次可靠性设计,提升设备稳定运行能力,支撑银行业务连续运行;
● 通过深度检测技术对各种网络流量进行识别、控制,保障关键业务的运行效率。
1、用户需求
商业银行网络根据业务可划分为网上银行、生产网、办公网等,其中办公网内的后督业务、征信审批业务、财务系统、OA系统等,都与银行内部的运作息息相关,因此办公网的安全建设在银行信息化建设中占据相当比重,特别是办公网通常与互联网直接连接,这就使办公网面临更多的外部安全威胁。此外,办公网和生产网之间,以及办公网的不同业务之间,也需要根据各个业务的安全需求制定相应的隔离与访问控制策略。典型商业银行办公网的安全需求包括:
● 能够有效隔离办公网与互联网,对互联网上常见的攻击行为以及病毒传播进行有效封堵,保护业务运行安全;
● 设备须具备可靠稳定运行能力,满足金融业务对网络高可靠性的要求;
● 在需要远程办公接入时,能够进行必要的鉴别、认证和授权机制,防止非法主机的远程接入,同时保障数据传输过程的安全;
● 由于办公网与互联网连接,即使已经制定了各种规章制度,但仍然需要技术层面的管控,避免非业务应用挤占关键业务的带宽资源。
2、解决方案
本方案中,分别在银行办公网的各个关键节点上部署Hillstone下一代防火墙,包括互联网出口、纵向专网出口、与生产网的网络边界等位置,通过实施安全防护和控制策略,对各办公业务进行隔离、保护。
随着恶意代码和黑客攻击技术的不断演变,办公网所面临的安全威胁,呈日益复杂化和多样化。Hillstone下一代防火墙在传统防火墙的基础上,支持基于行为特征的安全攻击检测,能够有效识别并阻断如CC等新型网络攻击,弥补了传统防火墙面对这类复杂、新型网络攻击无能为力的弊端。此外,Hillstone下一代防火墙内置了世界知名防病毒厂商的病毒库,能够有效清除网络恶意代码,并可自动更新病毒数据库信息,为业务安全提供实时保护。
金融业务具有跨地域的特点,但在信息安全上不能因为地理的分布性而给业务安全带来风险隐患,特别是远程办公需要利用VPN技术进行严格的身份认证和数据传输保护。Hillstone下一代防火墙支持丰富和灵活的VPN技术,包括L2TP,IPSec,SSL等多种VPN类型,能够根据网络特点和安全需求,为用户提供最适用的身份认证与数据加密功能,实现远程接入时的网络安全保护。特别是具有专利技术的PnP VPN技术,能够实现IPSec VPN的简单和快速部署。
银行业务所特有的3A(Anytime、Anywhere、Anyhow)服务是各家银行进行市场竞争的重要砝码,作为这项服务的基础技术支撑,信息网络需要提供高可靠性保障。Hillstone下一代防火墙在设计之初,便采用业界领先的全冗余架构设计方案,采用多平面分离、关键部件冗余备份、Bypass等技术提高设备自身可靠性。在此基础上,还支持AP及AA高可靠组网方式,实现网络会话的实时备份与同步,保障网络稳定、连续运行,为银行业务提供高可靠性保障。
由于办公网需要和互联网进行连接,因此需要采用网络应用控制来保障银行办公业务系统运行安全和运行效率。Hillstone下一代防火墙支持深度应用识别技术,能够精确识别各种网络应用,即使是利用HTTP协议进行P2P下载或网络聊天,下一代防火墙也能准确识别。在精确识别的基础上,Hillstone下一代防火墙提供了丰富的应用与带宽控制策略,避免非业务应用占用办公业务的网络带宽,保障银行办公业务高效、可靠运行。
3、方案效果
本方案通过在银行办公网的各个关键节点上部署Hillstone下一代防火墙,带来的效果:
● 更加全面的业务安全保护。下一代防火墙集成安全防护功能,能够抵御复杂和多样的互联网安全威胁,弥补传统防火墙在复杂攻击防护上的劣势,提供更全面的保护;
● 高可靠的安全保障。通过业界领先的全冗余架构设计及高可靠组网方案,提升设备可靠性,为银行业务可靠运行提供保障;
● 丰富的VPN接入方式选择。下一代防火墙支持多种VPN技术,为用户提供丰富的接入方式选择和高强度的身份认证与数据加密,保障业务系统接入安全;
● 为关键业务提供带宽资源保证。下一代防火墙支持深度应用识别,能够实现对各种网络应用的流量管控,从而优先保证关键业务的网络带宽,提升运行效率。