锐捷新“SAFER”打造未来金融安全网络

秋风初起，一年一度的中国国际金融(银行)技术暨设备展览会在京如期召开。与往年的展会主题不同，今年金融展的内容紧紧围绕“数据大集中后的安全与应用”全面展开。在众多国内外参展企业当中，国内领先的网络设备及解决方案供应商——锐捷网络（原实达网络）展示了其全线网络产品及针对金融行业的解决方案和应用案例，并率先推出了基于“SAFER”网络架构的全新金融网络安全概念——“应用得心应手，安全无处不在”，不仅无缝契合了本次金融展的核心主题，还吸引了众多来自银行、保险、证券等不同金融领域参观者的关注。
　　“SAFER”是2002年金融展当中锐捷网络提出的金融网络解决方案，以独特的架构体系全面满足新一代金融网络对安全（Security）、适用（Application-based）、可扩展（Flexibility）、易用（Easy to use）、可靠（Reliability）等特性的要求。本届金融展，围绕未来“大集中后的安全”核心，“SAFER”被赋予了全新的内涵，对此锐捷网络的诠释是：新“SAFER”架构进一步深入考虑了现在和未来金融用户对安全性能的需求，在原有“SAFER”架构的基础上赋予了全方位的安全保障，核心体现为 “全民皆兵”、“全程联动”、“全面防御”、“全线定制”。
　　虽然只是言简意赅的四个词语，其中却蕴涵着锐捷网络多年来致力于金融信息化事业的丰富经验和积极探索，同时也传递出锐捷网络对中国金融信息化建设的深刻理解……
　　“大集中”需要“大安全”
　　2003年是中国进入WTO的第三年，众多外资银行等金融机构的争相涌入在很大程度上加速、加大着国内金融信息化的步伐和力度。现阶段，中国的金融信息化已经走过了“金融电子化”，正向“金融信息化”深层次迈进。在数据大集中之后，通过数据仓库、数据挖掘（DM）等日渐成熟的技术，加强客户和市场分析，构建新型银行经营管理体系已经成为必然的应用发展目标。在这一过程中，银行起步较早、发展较快，到目前为止已经基本完成了数据大集中的工作，而保险、证券和基金等其他领域的数据大集中工程则正在如火如荼的进行当中。
　　对此，锐捷网络认为：金融信息化的遍地开花有力地促进了传统运营模式和服务模式的现代化变革，使未来金融业务全面虚拟化的美好蓝图成为可能。但同时数据的集中也意味着风险的集中。锐捷网络进一步指出，我国当前的网络安全建设中存在着四大方面的欠缺：整体安全系统建设的欠缺；内部网络安全监控与防范的欠缺；智能与主动性安全防范体系建设的欠缺以及全面集中安全管理策略平台定制方面的欠缺。
　　在未来中国金融产业深化信息化建设的过程中，不管是新一代“AAA”式服务（任何时候(Anytime)、任何地方（Anywhere）、以任何方式(Anyhow)为客户提供方便、安全的金融服务）还是从Saving Bank向Service Bank转变，种种金融创新都将对网络的安全保障以及支持未来业务的综合性能提出更高的要求。在信息化建设作为银行等金融产业发展的主要技术支撑的同时，全方位的网络安全无疑已经成为金融创新的主要源动力。搭建稳定的网络平台，创造安全的应用环境，为金融业务的大集中浪潮提供最强的支撑力和实现保障已经成为网络厂商们所刻不容缓的职责和任务。
　　作为中国金融信息化的参与者和推动者，锐捷网络自成立以来，一直秉承“敏锐把握应用趋势，快捷满足客户需求”的理念，密切关注着中国金融信息化的发展和进程。凭借强大的自主研发实力，通过对国内金融用户实际需求和网络应用发展趋势的精准把握，锐捷网络总结和提炼出了 “SAFER”金融网络解决方案，并在新形势下加强和全面契合了安全方面的考虑，提出了数据大集中后未来金融网络应当“安全无处不在”的“大安全”理论。
　　锐捷网络认为：金融网络方案中的每个设备在研发的时候就应当考虑到整体的安全方案，网络安全不仅仅是网络中的某一个设备的事，而是方案内的每个设备都应具有网络安全方面的考虑，特别是与客户端直接相连的接入层。对全部网络构成元素和设备进行安全总动员，一起构筑金融网络立体化的防御工事，从而创造金融网络的安全环境、保证业务应用的“得心应手”。
　　新“SAFER”：安全无处不在，应用得心应手
　　在成熟的“SAFER”构架之下，全新的无处不在的“大安全”得到了最充分的体现，其核心通过四个词语基本涵盖：“全民皆兵”、“全程联动”、“全面防御”和“全线定制”。
　　全民皆兵：实现网络端到端的安全。锐捷网络认为，金融网络中的每一个设备都要具备安全防御功能。针对金融网络对安全的要求，锐捷网络在进行产品研发时将安全作为设计基础的重点，从整体金融网络解决方案的角度去部署每一个设备应该具有的安全特性，以此保证实现端到端的安全金融网络。比如，在接入安全性方面，锐捷网络提供了通过对用户的用户名/密码、IP地址、MAC地址、VLAN ID、Port号六元素的灵活绑定，实现不同级别的安全认证。同时在系统安全性方面，方案提供了线速2/3/4层访问控制列表，在提高网络安全性的同时，不会对交换性能产生影响。
　　全程联动：打造安全体系而非单个防御工事。锐捷网络认为，网络的安全是一个系统的工程，每一个设备不但承担着自己的安全职责，同时又需要做到协同作战共同保障网络安全。比如，网络接入层设备，作为用户接入的门户，需对每一个接入用户进行认证和数据分析，从而实现对用户访问有效的监控，保证用户身份的合法性。而网络的后台管理软件将会对接入设备收集到的数据进行分析，并做出决策让接入用户通过或者屏蔽，同时通过日志系统，及时记录做到有据可查。另外，在网络病毒日益泛滥的今天，可以有效的通过网络后台的安全管理平台，在交换机上智能的屏蔽接入端口，避免接入PC被病毒感染后导致网络瘫痪。如果网络可以达到这样的防御水平，那么近期肆虐的“冲击波”、“大无极”病毒就没有那么可怕了，其危险和造成的损失也将降低到最小程度。
　　全面防御：锐捷网络主张网络安全是主动而非被动防御。通过将安全防御系统分布在网络边缘（即战场第一线），能够将可能发生的各种网络攻击在接入层就进行有效的屏蔽。同时，由于将防御系统分布在网络边缘，就不会影响整体网络的数据处理速度，从而保证网络整体的性能。比如，可以通过二层交换机实现丰富的ACL功能，灵活的对营业业务、管理业务、语音业务以及视频应用的每一个用户的访问权限进行严格的控制，可以限制用户对某个子网或对某台服务器的访问，并且只能访问某些端口；对用户间的访问则进行灵活的控制，如果某个用户试图越权访问中心的服务器，本地交换机会阻断该数据包。这种防御方式一方面把用户的访问权限限制在了本地，根本不允许非法的访问通过网络主干。另一方面减轻了核心交换机的负载。同时锐捷安全交换机的所有ACL依靠硬件实现，所以不会影响交换机的性能。
　　全线定制：契合需求，量体裁衣。针对金融行业对网络安全的不同需要，锐捷网络可为用户提供不同的网络安全解决方案。例如，锐捷网络可以提供不同的安全认证级别，如多元素绑定可以根据用户需求进行灵活配置，从而实现不同级别的安全认证保障。同时，针对国情的差异性，锐捷网络还具有目前国内最全的产品线，保证不同层次用户的需求得到充分满足。
　　屏蔽内网隐患，护驾金融安全
　　提及金融网络安全防范，人们往往想到的是通过网络防火墙、外部入侵控制、访问控制来解决金融外网所带来的安全威胁而恰恰忽略了金融内网存在的严重安全隐患。有来自银行内部的报告显示，目前大多数金融犯罪根源都来自金融内部网络，由金融内网安全漏洞所引发的案件数量惊人。而根源往往来自于金融内网中未授权的访问、身份仿冒、报文窃听、破坏修改数据资源等。
　　鉴于此，在“大安全”理念的指导下，根据“SAFER”框架，锐捷网络研发了为金融网络安全量身定制的“网警”安全管理平台。锐捷网络“网警”安全管理平台专门针对银行内部局域网的潜在隐患，结合银行对网络平台的应用需求，主要在用户身份的唯一合法性认证、防止因内网用户与外网（INTERNET等）私立连接使金融网络对外暴露开放、及时准确记录跟踪用户上网行为有据可查、完善IP管理等四大方面对金融内网的隐患进行了屏蔽和防范，充分体现了“内网更安全，边缘也智能”安全管理思想。
　　针对用户身份的合法性认证，“网警”通过对包括用户帐号/密码、MAC地址、用户IP地址、交换机端口、VLAN ID在内的多元素灵活组合绑定，来实现不同级别的安全认证，从而有效屏蔽上述风险。
　　面向金融局域网中可能出现的通过个人PC上的MODEM拨号上INTERNET，锐捷网络“网警”安全管理平台能够将登陆INTERNET的内部用户剔除局域网，做到了拨号上INTERNET和访问局域网不能共存。
　　对于用户数最多、访问最频繁的网络，为了能有效的监控用户的网络行为，做到有据可查，锐捷网络的日志纪录系统LogServer能够对网络用户上网行为进行记录与分析、审计对核心关键信息的访问。用户上网行为的记录可以把包括源IP地址、目标IP地址、源端口、目的端口、源MAC、目的MAC、开始时间、最后发送时间和最后接受时间等详尽的网络流量记录。由于各级分行网络现在普遍的采用的是静态分配IP地址的方式，如果用户更改自己的网络配置，会导致冲突，引起多方不能使用网络，影响正常的办公；另外还可能发生IP地址盗用事件，利用盗用的IP地址，发表反动言论、进行恶意攻击等等，这样，会给金融行业的工作带来巨大的安全隐患和不便。对此，锐捷“网警”安全管理平台能实时检测到用户IP地址的改变，通过强制用户下线的方法，将用户至于局域网之外，能够有效的避免冲突带来的办公中断、也能够有效的避免IP盗用带来的安全事故。
　　结语：
　　应用是金融信息化的目的和归宿，而安全则是金融业永恒不变的主题。在未来业务全面集中的金融网络中，全面安全已经成为成功实现金融业务永续至关重要的先决条件。
　　作为国内领先的网络设备及解决方案提供商，锐捷网络自成立以来始终密切关注着中国信息化进程。同时，凭借锐捷强大的自主研发实力，已经成功推出了一系列服务于中国信息化的网络产品及解决方案。截至目前，锐捷网络已经成功服务了全国范围内万余例信息化建设项目。其中其为金融用户量身定制的新一代“SAFER”金融网络解决方案，在全国范围得到了广泛的应用。迄今为止，已经成功服务了包括工商银行、建设银行、农业银行、中国银行、交通银行、招商、民生以及中国人寿保险公司、中国人民保险公司在内的众多金融机构，在全国范围内精心打造了180余例金融信息化建设项目。
　　通过此次金融盛会，锐捷网络率先在业内所倡导的新一代金融网络安全概念以及对未来金融网络安全课题做出的一系列探索，无疑将给业界带来积极的推动作用和深远的影响。同时我们也已经看到并感受到，以锐捷网络为代表在民族IT产业中涌现出来的国内企业已经具备了领先的技术和成熟的理念，正在成长为现在和未来国家金融信息化过程中主要的担纲者，相信伴随着中国信息化的深入发展，必然迎来更大的发展空间。