某市商業(yè)銀行網(wǎng)絡(luò)安全解決方案

1、某市商業(yè)銀行網(wǎng)絡(luò)安全解決方案某市商業(yè)銀行經(jīng)過多年的建設(shè)，已經(jīng)形成比較完善的綜合網(wǎng)絡(luò)，整體結(jié)構(gòu)是通過廣域網(wǎng)連接的二級網(wǎng)絡(luò)，在二級網(wǎng)絡(luò)上運行著銀行業(yè)務(wù)系統(tǒng)、辦公自動化系統(tǒng)、代理業(yè)務(wù)系統(tǒng)等，由于應(yīng)用系統(tǒng)的復(fù)雜化，網(wǎng)絡(luò)安全體系的建立和網(wǎng)絡(luò)安全的全面解決方案更是迫在眉睫。根據(jù)某市商業(yè)銀行網(wǎng)絡(luò)的實際情況，本方案從以下幾個方面來解決某市商業(yè)銀行網(wǎng)絡(luò)的安全隱患。Internet接入安全中心生產(chǎn)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全全網(wǎng)防病毒系統(tǒng)體系辦公自動化系統(tǒng)的安全生產(chǎn)前置機安全辦公網(wǎng)絡(luò)與生產(chǎn)網(wǎng)絡(luò)物理線路共享情況下保證生產(chǎn)網(wǎng)絡(luò)的安全一、 技術(shù)安全手段需求分析1.1、網(wǎng)絡(luò)現(xiàn)狀網(wǎng)絡(luò)總體結(jié)構(gòu)：圖一 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)目前某市商業(yè)銀行已經(jīng)建成了

2、以中心網(wǎng)絡(luò)為一級網(wǎng)絡(luò)，支行與網(wǎng)點為二級網(wǎng)絡(luò)的生產(chǎn)網(wǎng)絡(luò)，同時還并行有一套覆蓋到辦公大樓、支行、網(wǎng)點的辦公自動化系統(tǒng)?？上?？行系統(tǒng)目前處于籌建階段，在圖一中辦公網(wǎng)部分沒有接入商業(yè)銀行生產(chǎn)網(wǎng)絡(luò)，虛線表示當(dāng)辦公自動化需要從生產(chǎn)主機獲得帳表信息時，才手工聯(lián)接兩個網(wǎng)絡(luò)，完成帳表信息導(dǎo)出之后，手工斷開兩個網(wǎng)絡(luò)之間的連接。在安全方案中需要在系統(tǒng)部署前統(tǒng)一考慮兩個網(wǎng)絡(luò)連接在一起之后的安全問題。OA服務(wù)器在部署以后未來可能提供遠(yuǎn)程移動辦公支持，移動用戶通過遠(yuǎn)程接入Internet，利用瀏覽器訪問OA服務(wù)器本身提供的Web服務(wù)。OA服務(wù)器本身基于Lotus Notes建設(shè)。生產(chǎn)網(wǎng)絡(luò)是銀行網(wǎng)絡(luò)的最根本應(yīng)用。某市商業(yè)銀

3、行生產(chǎn)網(wǎng)絡(luò)分為3個大的部分：第一部分：中心生產(chǎn)網(wǎng)絡(luò)核心包括以SNA網(wǎng)絡(luò)為基礎(chǔ)的生產(chǎn)機系統(tǒng)，以兩臺RS9000作為生產(chǎn)系統(tǒng)，且互相備份。所有對生產(chǎn)主機的訪問均通過前置機群完成。第二部分：外聯(lián)單位。外聯(lián)單位是主要涉及到商業(yè)銀行與銀聯(lián)之間的結(jié)算等業(yè)務(wù)，企業(yè)通過各種多樣的方式接入商業(yè)銀行網(wǎng)絡(luò)，第三部分：支行及網(wǎng)點。某市商業(yè)銀行目前有多個網(wǎng)點和支行。通過DDN接入中心網(wǎng)絡(luò)。同時采用PSTN作為備份線路。由于目前辦公網(wǎng)絡(luò)雖然在邏輯上獨立于生產(chǎn)網(wǎng)絡(luò)，但是辦公網(wǎng)絡(luò)在物理線路上與生產(chǎn)網(wǎng)絡(luò)共享，因此生產(chǎn)網(wǎng)絡(luò)需要考慮來自辦公網(wǎng)絡(luò)的安全威脅。1.2、辦公網(wǎng)絡(luò)安全技術(shù)需求分析辦公自動化系統(tǒng)是基于Unix平臺的辦公自動化

4、系統(tǒng)，某市商業(yè)銀行初步擬定采用Lotus Notes作為辦公自動化的開發(fā)與運行平臺，利用Lotus Notes自身提供的郵件服務(wù)功能，對辦公自動化系統(tǒng)的用戶提供內(nèi)部辦公自動化服務(wù)，同時利用Lotus Notes系統(tǒng)自身提供的Web服務(wù)功能，由于管理的需要，辦公系統(tǒng)要定期從生產(chǎn)主機上提取數(shù)據(jù)進行統(tǒng)計分析生成報表。其中，信貸業(yè)務(wù)、帳務(wù)查詢數(shù)據(jù)要傳往辦公網(wǎng)上的服務(wù)器，數(shù)據(jù)在這兩個網(wǎng)段上經(jīng)過加工，供其他系統(tǒng)查詢。因此，辦公網(wǎng)要保持與生產(chǎn)網(wǎng)的連接，同時生產(chǎn)主機也要為其提供相應(yīng)的服務(wù)。在辦公網(wǎng)上還運行著許多與生產(chǎn)網(wǎng)無關(guān)的主機和工作站，結(jié)果造成生產(chǎn)網(wǎng)上的主機暴露于這些主機和工作站的直接訪問之下，從而造成系統(tǒng)

5、的安全隱患。辦公自動化系統(tǒng)的安全技術(shù)需求如下：編號目標(biāo)需求內(nèi)容1. 辦公自動化服務(wù)器自身安全保證辦公自動化系統(tǒng)的基礎(chǔ)運行平臺Unix操作系統(tǒng)的安全2. 辦公自動化系統(tǒng)平臺自身安全保證辦公自動化系統(tǒng)的基礎(chǔ)開發(fā)運行平臺Lotus Notes系統(tǒng)的安全3. 辦公自動化系統(tǒng)自身安全保證基于Lotus Notes開發(fā)的辦公自動化系統(tǒng)本身安全4. 遠(yuǎn)程移動辦公安全保證遠(yuǎn)程移動辦公用戶能夠安全可靠的使用本系統(tǒng)5. 防病毒體系針對辦公自動化系統(tǒng)覆蓋面廣，終端以Windows系統(tǒng)為主體的特點，需要建立全網(wǎng)統(tǒng)一的防病毒體系6. 實時網(wǎng)絡(luò)入侵檢測對內(nèi)部辦公自動化系統(tǒng)進行分布式入侵行為的實時檢測，并實施統(tǒng)一集中管理表

6、一 辦公自動化系統(tǒng)的安全需求 1.3、生產(chǎn)網(wǎng)絡(luò)安全技術(shù)需求分析某市商業(yè)銀行生產(chǎn)網(wǎng)絡(luò)是典型的銀行生產(chǎn)系統(tǒng)，以大型Unix主機為核心，采用SNA網(wǎng)絡(luò)；前置機圍繞大型Unix主機，負(fù)責(zé)將外圍IP網(wǎng)絡(luò)或其他網(wǎng)絡(luò)轉(zhuǎn)換到SNA網(wǎng)絡(luò)中。商業(yè)銀行與傳統(tǒng)銀行多級網(wǎng)絡(luò)的區(qū)別在于某市商業(yè)銀行生產(chǎn)網(wǎng)絡(luò)為二級網(wǎng)絡(luò)，在支行、網(wǎng)點等的業(yè)務(wù)連接到中心，必須通過前置機訪問中心網(wǎng)絡(luò)，在支行、網(wǎng)點不存在二級的前置機直接訪問核心網(wǎng)絡(luò)。目前商業(yè)銀行的生產(chǎn)網(wǎng)絡(luò)在中心節(jié)點與二級節(jié)點之間的沒有采用加密傳輸和認(rèn)證機制。生產(chǎn)網(wǎng)絡(luò)安全技術(shù)需求如下：編號目標(biāo)需求內(nèi)容1. 生產(chǎn)機的安全保證生產(chǎn)系統(tǒng)主機的安全2. 前置機的安全保證前置機的安全3. 網(wǎng)絡(luò)

7、傳輸安全保證生產(chǎn)網(wǎng)絡(luò)傳輸?shù)陌踩?. 系統(tǒng)審計建立網(wǎng)絡(luò)安全審計與系統(tǒng)審計機制5. 實時網(wǎng)絡(luò)入侵檢測對生產(chǎn)網(wǎng)絡(luò)進行分布式入侵行為的實時檢測，并實施統(tǒng)一集中管理表二 生產(chǎn)網(wǎng)絡(luò)安全技術(shù)需求表1.4、網(wǎng)絡(luò)互聯(lián)安全某市商業(yè)銀行網(wǎng)絡(luò)互聯(lián)安全分為三部分：第一部分：與外部網(wǎng)絡(luò)的互聯(lián)安全。某市商業(yè)銀行網(wǎng)絡(luò)與移動、銀聯(lián)系統(tǒng)、人行、醫(yī)保和社保、電信等系統(tǒng)需要進行網(wǎng)絡(luò)互聯(lián)，這部分網(wǎng)絡(luò)互聯(lián)的需求如下：編號目標(biāo)需求內(nèi)容1. 訪問控制保證指定用戶訪問指定前置機2. 過濾機制過濾與前置機業(yè)務(wù)無關(guān)訪問3. 地址轉(zhuǎn)化保證前置機與外部網(wǎng)絡(luò)之間彼此隔離表三 與外部網(wǎng)絡(luò)的互聯(lián)安全需求第二部分：內(nèi)部辦公網(wǎng)與生產(chǎn)網(wǎng)之間的互聯(lián)安全。內(nèi)部辦公網(wǎng)

8、與生產(chǎn)網(wǎng)之間共享物理線路，兩個網(wǎng)絡(luò)物理上彼此互聯(lián)，這兩個網(wǎng)互聯(lián)的安全需求如下：編號目標(biāo)需求內(nèi)容1. 保證各自網(wǎng)絡(luò)的安全邊界即辦公網(wǎng)絡(luò)的安全事故不能影響生產(chǎn)網(wǎng)絡(luò)的正常運行2. 保證網(wǎng)絡(luò)的邏輯隔離即從辦公網(wǎng)絡(luò)內(nèi)部不能危害生產(chǎn)網(wǎng)絡(luò)3. 保證網(wǎng)絡(luò)服務(wù)質(zhì)量即保證生產(chǎn)網(wǎng)絡(luò)在現(xiàn)有帶寬需求中的服務(wù)質(zhì)量，辦公網(wǎng)絡(luò)的應(yīng)用帶寬需求不應(yīng)影響生產(chǎn)網(wǎng)絡(luò)正常有序工作表四 內(nèi)部辦公網(wǎng)與生產(chǎn)網(wǎng)之間互聯(lián)的安全需求第三部分：與公共電話系統(tǒng)的互聯(lián)安全。為了網(wǎng)上銀行系統(tǒng)能夠滿足企業(yè)用戶的需求，因此網(wǎng)上銀行系統(tǒng)需要與公共電話連接，同時某市商業(yè)銀行的信息網(wǎng)絡(luò)建設(shè)規(guī)劃中包括了通過Internet提供網(wǎng)上銀行業(yè)務(wù)，對網(wǎng)上銀行系統(tǒng)的互聯(lián)安全需求

9、如下：編號目標(biāo)需求內(nèi)容1. 撥號訪問路由接入的訪問控制對來自公共電話網(wǎng)絡(luò)的訪問進行控制，對匿名用戶的訪問資源進行控制2. 網(wǎng)上銀行應(yīng)用服務(wù)器的安全保證應(yīng)用服務(wù)器運行的操作系統(tǒng)平臺安全3. 網(wǎng)上銀行應(yīng)用服務(wù)系統(tǒng)的安全保證應(yīng)用服務(wù)的自身安全4. 實時網(wǎng)絡(luò)入侵檢測對針對網(wǎng)上銀行前置業(yè)務(wù)的攻擊進行入侵行為的實時檢測，并實施統(tǒng)一集中管理表五 網(wǎng)上銀行的互聯(lián)安全需求表二、針對安全風(fēng)險的技術(shù)解決手段2.1、防火墻技術(shù)防火墻可以作為不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的出入口，將內(nèi)部網(wǎng)和公眾網(wǎng)如Internet分開，它能根據(jù)企業(yè)的安全策略控制出入網(wǎng)絡(luò)的信息流，且本身具有較強的抗攻擊能力。在邏輯上，防火墻是一個分離器，

10、一個限制器，也是一個分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動，保證了內(nèi)部網(wǎng)絡(luò)的安全。防火墻技術(shù)可以有效控制的風(fēng)險包括：利用Finger來發(fā)掘用戶信息利用TCP/IP指紋識別確定操作系統(tǒng)類型利用Telnet旗標(biāo)確定操作系統(tǒng)類型利用服務(wù)的旗標(biāo)信息確定服務(wù)類型用專用工具進行服務(wù)類型探測對服務(wù)器進行端口掃描利用Unix的FTP服務(wù)漏洞SITE EXEC漏洞利用Unix的FTP服務(wù)漏洞setproctitle()漏洞利用Bind服務(wù)漏洞利用Telnet服務(wù)漏洞利用后門與木馬利用rpc.mountd服務(wù)漏洞利用sendmail服務(wù)漏洞利用lpd服務(wù)漏洞利用NFS服務(wù)漏洞利用X-windo

11、ws服務(wù)漏洞綁定Shell端口利用IPC$列舉用戶名從AD上查找前置機主機Windows RPC DCOM遠(yuǎn)程溢出MS026Windows RPC DCOM遠(yuǎn)程溢出MS039網(wǎng)絡(luò)蠕蟲堵塞整個網(wǎng)絡(luò)，影響生產(chǎn)網(wǎng)絡(luò)利用前置機群與生產(chǎn)主機之間的信任關(guān)系攻擊生產(chǎn)網(wǎng)絡(luò)核心利用辦公自動化服務(wù)器與前置機群或生產(chǎn)主機之間的信任關(guān)系攻擊生產(chǎn)網(wǎng)絡(luò)蠕蟲影響辦公網(wǎng)內(nèi)部Window平臺蠕蟲影響辦公網(wǎng)內(nèi)部郵件系統(tǒng)辦公網(wǎng)應(yīng)用形式較為豐富，因此對網(wǎng)絡(luò)帶寬消耗可能造成生產(chǎn)網(wǎng)的數(shù)據(jù)通信帶寬不足，從而導(dǎo)致生產(chǎn)網(wǎng)不暢通二級網(wǎng)點或支行與中心連接沒有必要的訪問控制和邊界控制手段，因此來自二級網(wǎng)點或支行局域網(wǎng)的用戶可能威脅辦公自動化系統(tǒng)和中

12、心生產(chǎn)系統(tǒng)應(yīng)用防火墻技術(shù)之后，有效的控制了上述風(fēng)險的同時，可以簡化管理，同時本節(jié)提出的防火墻技術(shù)可以降低管理員的負(fù)擔(dān)，提供更多更靈活的選擇。2.2、網(wǎng)絡(luò)防病毒體系計算機病毒感染所造成的威脅以及破壞是目前廣大計算機用戶所面臨的主要問題。本方案采用網(wǎng)絡(luò)防病毒體系，要求網(wǎng)絡(luò)防病毒體系應(yīng)針對整個網(wǎng)絡(luò)或是單一的工作站都能進行有效保護的防病毒解決方案?？梢詫indows 2000/NT/95/98/3.x，以及DOS和Macintosh,Novell NetWare，Linux和UNIX等操作系統(tǒng)提供保護，作為一個一體化的網(wǎng)絡(luò)防病毒解決方案，應(yīng)具備特征代碼檢查方式和基于規(guī)則的變態(tài)分析器病毒掃描程序，從而

13、檢測到已知病毒。防病毒引擎可以從多個側(cè)面和途徑防止計算機病毒侵入系統(tǒng)，保護整個企業(yè)IT系統(tǒng)的安全，具有強大的功能和優(yōu)秀的可管理性。應(yīng)用網(wǎng)絡(luò)防病毒體系結(jié)構(gòu)之后，可控制網(wǎng)絡(luò)蠕蟲堵塞整個網(wǎng)絡(luò)，影響生產(chǎn)網(wǎng)絡(luò)、病毒威脅桌面PC等風(fēng)險：應(yīng)用了網(wǎng)絡(luò)防病毒技術(shù)之后，可以從三個層面有效防范病毒的傳播和蔓延：Internet下載軟盤和光盤傳播郵件傳播2.3、網(wǎng)絡(luò)入侵檢測技術(shù)應(yīng)用入侵檢測的網(wǎng)絡(luò)監(jiān)測功能、攻擊行為檢查、高速流量捕獲、策略響應(yīng)、防火墻聯(lián)動、關(guān)聯(lián)事件分析等技術(shù)要素，可實現(xiàn)如下風(fēng)險的控制：利用Lotus Notes的Web服務(wù)器漏洞Lotus Notes口令認(rèn)證可被繞過利用Lotus Notes的Web服務(wù)

14、器漏洞Lotus Notes配置信息被遠(yuǎn)程讀取利用Unix的FTP服務(wù)漏洞SITE EXEC漏洞利用Unix的FTP服務(wù)漏洞setproctitle()漏洞利用Bind服務(wù)漏洞利用Telnet服務(wù)漏洞利用后門與木馬利用rpc.mountd服務(wù)漏洞利用sendmail服務(wù)漏洞利用lpd服務(wù)漏洞利用NFS服務(wù)漏洞利用X-windows服務(wù)漏洞Windows RPC DCOM遠(yuǎn)程溢出MS026Windows RPC DCOM遠(yuǎn)程溢出MS039TCP登錄會話劫持發(fā)送一個偽造的報告到telnet/login/sh安裝木馬應(yīng)用網(wǎng)絡(luò)入侵檢測技術(shù)之后不僅有效控制了上述風(fēng)險，同時入侵檢測要求如自身安全性、抗ID

15、S逃避、抗事件風(fēng)暴等技術(shù)要素，有效避免了入侵檢測自身引入的新的風(fēng)險，同時分級管理、多用戶權(quán)限、分布式部署的要求大大降低了管理員的負(fù)擔(dān)。2.4、基于X.509證書的身份認(rèn)證技術(shù)與SSL技術(shù)針對某市商業(yè)銀行辦公自動化系統(tǒng)遠(yuǎn)程移動辦公安全認(rèn)證技術(shù)，本方案采用X509證書協(xié)議，為遠(yuǎn)程移動辦公的身份認(rèn)證提供基礎(chǔ)保障。同時采用SSL技術(shù)實現(xiàn)了遠(yuǎn)程移動辦公用戶與辦公自動化服務(wù)器之間的通信安全，在SSL中，利用如下安全機制保證認(rèn)證信息不被篡改和偽造：通過SSL協(xié)議完成客戶端（瀏覽器）和服務(wù)器之間的雙向身份認(rèn)證?？蛻舳藬?shù)字證書和個人私鑰存儲在外部介質(zhì)如USB-key中。由統(tǒng)一的用戶管理中心中心為客戶端和服務(wù)器分

16、發(fā)的密鑰對，其密鑰長度1024bit。認(rèn)證過程中使用證書吊銷列表驗證證書有效狀態(tài)。應(yīng)用證書身份認(rèn)證與SSL技術(shù)以后控制的風(fēng)險如下：已知內(nèi)部命名規(guī)范情況下暴力破解口令利用內(nèi)部名單搜尋登錄辦公自動化系統(tǒng)的授權(quán)用戶利用公開的默認(rèn)口令嘗試辦公自動化系統(tǒng)獲取內(nèi)部公文獲取帳表系統(tǒng)報表數(shù)據(jù)獲取內(nèi)部通訊錄篡改公文內(nèi)容網(wǎng)絡(luò)竊聽，獲得更多廣播信息竊聽以明文方式傳輸?shù)挠脩裘兔艽a匿名用戶利用WebSphare的Web服務(wù)缺陷遠(yuǎn)程獲取敏感信息匿名用戶利用WebSphare的Web服務(wù)缺陷遠(yuǎn)程繞過WebSphare的基本認(rèn)證缺乏有效的身份認(rèn)證手段識別遠(yuǎn)程企業(yè)用戶和匿名用戶企業(yè)用戶遠(yuǎn)程交易時數(shù)據(jù)傳輸缺乏加密保證2.5、網(wǎng)

17、絡(luò)安全審計技術(shù)本方案采用網(wǎng)絡(luò)安全審計技術(shù)，主要針對使用互聯(lián)網(wǎng)訪問非法站點，傳遞和發(fā)布非法信息，內(nèi)部網(wǎng)絡(luò)中的資源濫用，內(nèi)部商業(yè)信息泄漏等等問題。對被監(jiān)控網(wǎng)絡(luò)中的Internet使用情況進行監(jiān)控，對各種網(wǎng)絡(luò)違規(guī)行為實時報告，甚至對某些特定的違規(guī)主機進行封鎖，以幫助網(wǎng)絡(luò)管理員對網(wǎng)絡(luò)信息資源進行有效的管理和維護。應(yīng)用網(wǎng)絡(luò)安全審計技術(shù)以后可以控制的風(fēng)險包括：Internet資源被濫用獲取內(nèi)部公文獲取帳表系統(tǒng)報表數(shù)據(jù)獲取內(nèi)部通訊錄獲取口令文件的shadow，破解系統(tǒng)管理員口令2.6、VPN技術(shù)針對某市商業(yè)銀行保證生產(chǎn)網(wǎng)絡(luò)、辦公網(wǎng)以及通信機密性的需求，方案規(guī)劃系統(tǒng)采用VPN技術(shù)解決方案。應(yīng)用VPN技術(shù)以后可以控制的風(fēng)