某市商業(yè)銀行網(wǎng)絡(luò)安全解決方案

某市商業(yè)銀行網(wǎng)絡(luò)平安解決方案某市商業(yè)銀行經(jīng)過多年的建設(shè)，已經(jīng)形成比擬完善的綜合網(wǎng)絡(luò)，整體結(jié)構(gòu)是通過廣域網(wǎng)連接的二級網(wǎng)絡(luò)，在二級網(wǎng)絡(luò)上運行著銀行業(yè)務(wù)系統(tǒng)、辦公自動化系統(tǒng)、代理業(yè)務(wù)系統(tǒng)等，由于應(yīng)用系統(tǒng)的復(fù)雜化，網(wǎng)絡(luò)平安體系的建立和網(wǎng)絡(luò)平安的全面解決方案更是迫在眉睫。根據(jù)某市商業(yè)銀行網(wǎng)絡(luò)的實際情況，本方案從以下幾個方面來解決某市商業(yè)銀行網(wǎng)絡(luò)的平安隱患。Internet接入平安中心生產(chǎn)網(wǎng)絡(luò)的網(wǎng)絡(luò)平安全網(wǎng)防病毒系統(tǒng)體系辦公自動化系統(tǒng)的平安生產(chǎn)前置機(jī)平安辦公網(wǎng)絡(luò)與生產(chǎn)網(wǎng)絡(luò)物理線路共享情況下保證生產(chǎn)網(wǎng)絡(luò)的平安一、技術(shù)平安手段需求分析1.1、網(wǎng)絡(luò)現(xiàn)狀網(wǎng)絡(luò)總體結(jié)構(gòu)：

圖一網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)目前某市商業(yè)銀行已經(jīng)建成了以中心網(wǎng)絡(luò)為一級網(wǎng)絡(luò)，支行與網(wǎng)點為二級網(wǎng)絡(luò)的生產(chǎn)網(wǎng)絡(luò)，同時還并行有一套覆蓋到辦公大樓、支行、網(wǎng)點的辦公自動化系統(tǒng)停可弦？行系統(tǒng)目前處于籌建階段，在圖一中辦公網(wǎng)局部沒有接入商業(yè)銀行生產(chǎn)網(wǎng)絡(luò)，虛線表示當(dāng)辦公自動化需要從生產(chǎn)主機(jī)獲得帳表信息時，才手工聯(lián)接兩個網(wǎng)絡(luò)，完成帳表信息導(dǎo)出之后，手工斷開兩個網(wǎng)絡(luò)之間的連接。在平安方案中需要在系統(tǒng)部署前統(tǒng)一考慮兩個網(wǎng)絡(luò)連接在一起之后的平安問題。OA效勞器在部署以后未來可能提供遠(yuǎn)程移動辦公支持，移動用戶通過遠(yuǎn)程接入Internet，利用瀏覽器訪問OA效勞器本身提供的Web效勞。OA效勞器本身基于LotusNotes建設(shè)。生產(chǎn)網(wǎng)絡(luò)是銀行網(wǎng)絡(luò)的最根本應(yīng)用。某市商業(yè)銀行生產(chǎn)網(wǎng)絡(luò)分為3個大的局部：第一局部：中心生產(chǎn)網(wǎng)絡(luò)核心包括以SNA網(wǎng)絡(luò)為根底的生產(chǎn)機(jī)系統(tǒng)，以兩臺RS9000作為生產(chǎn)系統(tǒng)，且互相備份。所有對生產(chǎn)主機(jī)的訪問均通過前置機(jī)群完成。第二局部：外聯(lián)單位。外聯(lián)單位是主要涉及到商業(yè)銀行與銀聯(lián)之間的結(jié)算等業(yè)務(wù)，企業(yè)通過各種多樣的方式接入商業(yè)銀行網(wǎng)絡(luò)，第三局部：支行及網(wǎng)點。某市商業(yè)銀行目前有多個網(wǎng)點和支行。通過DDN接入中心網(wǎng)絡(luò)。同時采用PSTN作為備份線路。由于目前辦公網(wǎng)絡(luò)雖然在邏輯上獨立于生產(chǎn)網(wǎng)絡(luò)，但是辦公網(wǎng)絡(luò)在物理線路上與生產(chǎn)網(wǎng)絡(luò)共享，因此生產(chǎn)網(wǎng)絡(luò)需要考慮來自辦公網(wǎng)絡(luò)的平安威脅。1.2、辦公網(wǎng)絡(luò)平安技術(shù)需求分析辦公自動化系統(tǒng)是基于Unix平臺的辦公自動化系統(tǒng)，某市商業(yè)銀行初步擬定采用LotusNotes作為辦公自動化的開發(fā)與運行平臺，利用LotusNotes自身提供的郵件效勞功能，對辦公自動化系統(tǒng)的用戶提供內(nèi)部辦公自動化效勞，同時利用LotusNotes系統(tǒng)自身提供的Web效勞功能，由于管理的需要，辦公系統(tǒng)要定期從生產(chǎn)主機(jī)上提取數(shù)據(jù)進(jìn)行統(tǒng)計分析生成報表。其中，信貸業(yè)務(wù)、帳務(wù)查詢數(shù)據(jù)要傳往辦公網(wǎng)上的效勞器，數(shù)據(jù)在這兩個網(wǎng)段上經(jīng)過加工，供其他系統(tǒng)查詢。因此，辦公網(wǎng)要保持與生產(chǎn)網(wǎng)的連接，同時生產(chǎn)主機(jī)也要為其提供相應(yīng)的效勞。在辦公網(wǎng)上還運行著許多與生產(chǎn)網(wǎng)無關(guān)的主機(jī)和工作站，結(jié)果造成生產(chǎn)網(wǎng)上的主機(jī)暴露于這些主機(jī)和工作站的直接訪問之下，從而造成系統(tǒng)的平安隱患。辦公自動化系統(tǒng)的平安技術(shù)需求如下：編號目標(biāo)需求內(nèi)容1.辦公自動化效勞器自身平安保證辦公自動化系統(tǒng)的根底運行平臺Unix操作系統(tǒng)的平安2.辦公自動化系統(tǒng)平臺自身平安保證辦公自動化系統(tǒng)的根底開發(fā)運行平臺LotusNotes系統(tǒng)的平安3.辦公自動化系統(tǒng)自身平安保證基于LotusNotes開發(fā)的辦公自動化系統(tǒng)本身平安4.遠(yuǎn)程移動辦公平安保證遠(yuǎn)程移動辦公用戶能夠平安可靠的使用本系統(tǒng)5.防病毒體系針對辦公自動化系統(tǒng)覆蓋面廣，終端以Windows系統(tǒng)為主體的特點，需要建立全網(wǎng)統(tǒng)一的防病毒體系6.實時網(wǎng)絡(luò)入侵檢測對內(nèi)部辦公自動化系統(tǒng)進(jìn)行分布式入侵行為的實時檢測，并實施統(tǒng)一集中管理表一辦公自動化系統(tǒng)的平安需求1.3、生產(chǎn)網(wǎng)絡(luò)平安技術(shù)需求分析某市商業(yè)銀行生產(chǎn)網(wǎng)絡(luò)是典型的銀行生產(chǎn)系統(tǒng)，以大型Unix主機(jī)為核心，采用SNA網(wǎng)絡(luò)；前置機(jī)圍繞大型Unix主機(jī)，負(fù)責(zé)將外圍IP網(wǎng)絡(luò)或其他網(wǎng)絡(luò)轉(zhuǎn)換到SNA網(wǎng)絡(luò)中。商業(yè)銀行與傳統(tǒng)銀行多級網(wǎng)絡(luò)的區(qū)別在于某市商業(yè)銀行生產(chǎn)網(wǎng)絡(luò)為二級網(wǎng)絡(luò)，在支行、網(wǎng)點等的業(yè)務(wù)連接到中心，必須通過前置機(jī)訪問中心網(wǎng)絡(luò)，在支行、網(wǎng)點不存在二級的前置機(jī)直接訪問核心網(wǎng)絡(luò)。目前商業(yè)銀行的生產(chǎn)網(wǎng)絡(luò)在中心節(jié)點與二級節(jié)點之間的沒有采用加密傳輸和認(rèn)證機(jī)制。生產(chǎn)網(wǎng)絡(luò)平安技術(shù)需求如下：編號目標(biāo)需求內(nèi)容1.生產(chǎn)機(jī)的平安保證生產(chǎn)系統(tǒng)主機(jī)的平安

2.前置機(jī)的平安保證前置機(jī)的平安3.網(wǎng)絡(luò)傳輸平安保證生產(chǎn)網(wǎng)絡(luò)傳輸?shù)钠桨?.系統(tǒng)審計建立網(wǎng)絡(luò)平安審計與系統(tǒng)審計機(jī)制5.實時網(wǎng)絡(luò)入侵檢測對生產(chǎn)網(wǎng)絡(luò)進(jìn)行分布式入侵行為的實時檢測，并實施統(tǒng)一集中管理表二生產(chǎn)網(wǎng)絡(luò)平安技術(shù)需求表1.4、網(wǎng)絡(luò)互聯(lián)平安某市商業(yè)銀行網(wǎng)絡(luò)互聯(lián)平安分為三局部：第一局部：與外部網(wǎng)絡(luò)的互聯(lián)平安。某市商業(yè)銀行網(wǎng)絡(luò)與移動、銀聯(lián)系統(tǒng)、人行、醫(yī)保和社保、電信等系統(tǒng)需要進(jìn)行網(wǎng)絡(luò)互聯(lián)，這局部網(wǎng)絡(luò)互聯(lián)的需求如下：編號目標(biāo)需求內(nèi)容1.訪問控制保證指定用戶訪問指定前置機(jī)2.過濾機(jī)制過濾與前置機(jī)業(yè)務(wù)無關(guān)訪問3.地址轉(zhuǎn)化保證前置機(jī)與外部網(wǎng)絡(luò)之間彼此隔離表三與外部網(wǎng)絡(luò)的互聯(lián)平安需求第二局部：內(nèi)部辦公網(wǎng)與生產(chǎn)網(wǎng)之間的互聯(lián)平安。內(nèi)部辦公網(wǎng)與生產(chǎn)網(wǎng)之間共享物理線路，兩個網(wǎng)絡(luò)物理上彼此互聯(lián)，這兩個網(wǎng)互聯(lián)的平安需求如下:編號目標(biāo)需求內(nèi)容1.保證各自網(wǎng)絡(luò)的平安邊界即辦公網(wǎng)絡(luò)的平安事故不能影響生產(chǎn)網(wǎng)絡(luò)的正常運行2.保證網(wǎng)絡(luò)的邏輯隔離即從辦公網(wǎng)絡(luò)內(nèi)部不能危害生產(chǎn)網(wǎng)絡(luò)3.保證網(wǎng)絡(luò)效勞質(zhì)量即保證生產(chǎn)網(wǎng)絡(luò)在現(xiàn)有帶寬需求中的效勞質(zhì)量，辦公網(wǎng)絡(luò)的應(yīng)用帶寬需求不應(yīng)影響生產(chǎn)網(wǎng)絡(luò)正常有序工作表四內(nèi)部辦公網(wǎng)與生產(chǎn)網(wǎng)之間互聯(lián)的平安需求第三局部：與公共系統(tǒng)的互聯(lián)平安。為了網(wǎng)上銀行系統(tǒng)能夠滿足企業(yè)用戶的需求，因此網(wǎng)上銀行系統(tǒng)需要與公共連接，同時某市商業(yè)銀行的信息網(wǎng)絡(luò)建設(shè)規(guī)劃中包括了通過Internet提供網(wǎng)上銀行業(yè)務(wù)，對網(wǎng)上銀行系統(tǒng)的互聯(lián)平安需求如下：編號目標(biāo)需求內(nèi)容1.撥號訪問路由接入的訪問控制對來自公共 網(wǎng)絡(luò)的訪問進(jìn)行控制，對匿名用戶的訪問資源進(jìn)行控制2.網(wǎng)上銀行應(yīng)用效勞器的平安保證應(yīng)用效勞器運行的操作系統(tǒng)平臺平安3.網(wǎng)上銀行應(yīng)用效勞系統(tǒng)的平安保證應(yīng)用效勞的自身平安4.實時網(wǎng)絡(luò)入侵檢測對針對網(wǎng)上銀行前置業(yè)務(wù)的攻擊進(jìn)行入侵行為的實時檢測，并實施統(tǒng)一集中管理表五網(wǎng)上銀行的互聯(lián)平安需求表二、針對平安風(fēng)險的技術(shù)解決手段2.1、防火墻技術(shù)防火墻可以作為不同網(wǎng)絡(luò)或網(wǎng)絡(luò)平安域之間信息的出入口，將內(nèi)部網(wǎng)和公眾網(wǎng)如Internet分開，它能根據(jù)企業(yè)的平安策略控制出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。在邏輯上，防火墻是一個別離器，一個限制器，也是一個分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動，保證了內(nèi)部網(wǎng)絡(luò)的平安。防火墻技術(shù)可以有效控制的風(fēng)險包括：利用Finger來開掘用戶信息利用TCP/IP指紋識別確定操作系統(tǒng)類型利用Telnet旗標(biāo)確定操作系統(tǒng)類型利用效勞的旗標(biāo)信息確定效勞類型用專用工具進(jìn)行效勞類型探測對效勞器進(jìn)行端口掃描利用Unix的FTP效勞漏洞一SITEEXEC漏洞利用Unix的FTP效勞漏洞一setproctitle()漏洞利用Bind效勞漏洞利用Telnet效勞漏洞利用后門與木馬利用rpc.mountd效勞漏洞利用sendmail效勞漏洞利用lpd效勞漏洞利用NFS效勞漏洞利用X-windows效勞漏洞綁定Shell端口利用IPC$列舉用戶名從AD上查找前置機(jī)主機(jī)WindowsRPCDCOM遠(yuǎn)程溢出一MS026WindowsRPCDCOM遠(yuǎn)程溢出一MS039網(wǎng)絡(luò)蠕蟲堵塞整個網(wǎng)絡(luò)，影響生產(chǎn)網(wǎng)絡(luò)利用前置機(jī)群與生產(chǎn)主機(jī)之間的信任關(guān)系攻擊生產(chǎn)網(wǎng)絡(luò)核心利用辦公自動化效勞器與前置機(jī)群或生產(chǎn)主機(jī)之間的信任關(guān)系攻擊生產(chǎn)網(wǎng)絡(luò)蠕蟲影響辦公網(wǎng)內(nèi)部Window平臺蠕蟲影響辦公網(wǎng)內(nèi)部郵件系統(tǒng)辦公網(wǎng)應(yīng)用形式較為豐富，因此對網(wǎng)絡(luò)帶寬消耗可能造成生產(chǎn)網(wǎng)的數(shù)據(jù)通信帶寬缺乏，從而導(dǎo)致生產(chǎn)網(wǎng)不暢通二級網(wǎng)點或支行與中心連接沒有必要的訪問控制和邊界控制手段，因此來自二級網(wǎng)點或支行局域網(wǎng)的用戶可能威脅辦公自動化系統(tǒng)和中心生產(chǎn)系統(tǒng)應(yīng)用防火墻技術(shù)之后，有效的控制了上述風(fēng)險的同時，可以簡化管理，同時本節(jié)提出的防火墻技術(shù)可以降低管理員的負(fù)擔(dān)，提供更多更靈活的選擇。2.2、 網(wǎng)絡(luò)防病毒體系計算機(jī)病毒感染所造成的威脅以及破壞是目前廣闊計算機(jī)用戶所面臨的主要問題。本方案采用網(wǎng)絡(luò)防病毒體系，要求網(wǎng)絡(luò)防病毒體系應(yīng)針對整個網(wǎng)絡(luò)或是單一的工作站都能進(jìn)行有效保護(hù)的防病毒解決方案?？梢詫indows2000/NT/95/98/3.x，以及DOS和Macintosh,NovellNetWare，Linux和UNIX等操作系統(tǒng)提供保護(hù)，作為一個一體化的網(wǎng)絡(luò)防病毒解決方案，應(yīng)具備特征代碼檢查方式和基于規(guī)那么的變態(tài)分析器病毒掃描程序，從而檢測到病毒。防病毒引擎可以從多個側(cè)面和途徑防止計算機(jī)病毒侵入系統(tǒng)，保護(hù)整個企業(yè)IT系統(tǒng)的平安，具有強(qiáng)大的功能和優(yōu)秀的可管理性。應(yīng)用網(wǎng)絡(luò)防病毒體系結(jié)構(gòu)之后，可控制網(wǎng)絡(luò)蠕蟲堵塞整個網(wǎng)絡(luò)，影響生產(chǎn)網(wǎng)絡(luò)、病毒威脅桌面PC等風(fēng)險：應(yīng)用了網(wǎng)絡(luò)防病毒技術(shù)之后，可以從三個層面有效防范病毒的傳播和蔓延：Internet下載軟盤和光盤傳播郵件傳播2.3、 網(wǎng)絡(luò)入侵檢測技術(shù)應(yīng)用入侵檢測的網(wǎng)絡(luò)監(jiān)測功能、攻擊行為檢查、高速流量捕獲、策略響應(yīng)、防火墻聯(lián)動、關(guān)聯(lián)事件分析等技術(shù)要素，可實現(xiàn)如下風(fēng)險的控制：利用LotusNotes的Web效勞器漏洞一LotusNotes口令認(rèn)證可被繞過利用LotusNotes的Web效勞器漏洞一LotusNotes配置信息被遠(yuǎn)程讀取利用Unix的FTP效勞漏洞一SITEEXEC漏洞利用Unix的FTP效勞漏洞一setproctitle()漏洞利用Bind效勞漏洞利用Telnet效勞漏洞利用后門與木馬利用rpc.mountd效勞漏洞利用sendmail效勞漏洞利用lpd效勞漏洞利用NFS效勞漏洞利用X-windows效勞漏洞WindowsRPCDCOM遠(yuǎn)程溢出一MS026WindowsRPCDCOM遠(yuǎn)程溢出一MS039TCP登錄會話劫持一發(fā)送一個偽造的報告到telnet/login/sh安裝木馬應(yīng)用網(wǎng)絡(luò)入侵檢測技術(shù)之后不僅有效控制了上述風(fēng)險，同時入侵檢測要求如自身平安性、抗【。，逃避、抗事件風(fēng)暴等技術(shù)要素，有效防止了入侵檢測自身引入的新的風(fēng)險，同時分級管理、多用戶權(quán)限、分布式部署的要求大大降低了管理員的負(fù)擔(dān)。2.4、 基于X.509證書的身份認(rèn)證技術(shù)與SSL技術(shù)針對某市商業(yè)銀行辦公自動化系統(tǒng)遠(yuǎn)程移動辦公平安認(rèn)證技術(shù)，本方案采用X509證書協(xié)議，為遠(yuǎn)程移動辦公的身份認(rèn)證提供根底保障。同時采用SSL技術(shù)實現(xiàn)了遠(yuǎn)程移動辦公用戶與辦公自動化效勞器之間的通信平安，在SSL中，利用如下平安機(jī)制保證認(rèn)證信息不被篡改和偽造：通過SSL協(xié)議完成客戶端〔瀏覽器〕和效勞器之間的雙向身份認(rèn)證?？蛻舳藬?shù)字證書和個人私鑰存儲在外部介質(zhì)如USB-key中。由統(tǒng)一的用戶管理中心中心為客戶端和效勞器分發(fā)的密鑰對，其密鑰長度＞1024bito認(rèn)證過程中使用證書撤消列表驗證證書有效狀態(tài)。應(yīng)用證書身份認(rèn)證與SSL技術(shù)以后控制的風(fēng)險如下：內(nèi)部命名標(biāo)準(zhǔn)情況下暴力破解口令利用內(nèi)部名單搜尋登錄辦公自動化系統(tǒng)的授權(quán)用戶利用公開的默認(rèn)口令嘗試辦公自動化系統(tǒng)獲取內(nèi)部公文獲取帳表系統(tǒng)報表數(shù)據(jù)獲取內(nèi)部通訊錄篡改公文內(nèi)容網(wǎng)絡(luò)竊聽，獲得更多播送信息竊聽以明文方式傳輸?shù)挠脩裘兔艽a匿名用戶利用WebSphare的Web效勞缺陷遠(yuǎn)程獲取敏感信息匿名用戶利用WebSphare的Web效勞缺陷遠(yuǎn)程繞過WebSphare的根本認(rèn)證缺乏有效的身份認(rèn)證手段識別遠(yuǎn)程企業(yè)用戶和匿名用戶企業(yè)用戶遠(yuǎn)程交易時數(shù)據(jù)傳輸缺乏加密保證2.5、網(wǎng)絡(luò)平安審計技術(shù)本方案采用網(wǎng)絡(luò)平安審計技術(shù)，主要針對使用互聯(lián)網(wǎng)訪問非法站點，傳遞和發(fā)布非法信息，內(nèi)部網(wǎng)絡(luò)中的資源濫用，內(nèi)部商業(yè)信息泄漏等等問題。對被監(jiān)控網(wǎng)絡(luò)中的Internet使用情況進(jìn)行監(jiān)控，對各種網(wǎng)絡(luò)違規(guī)行為實時報告，甚至對某些特定的違規(guī)主機(jī)進(jìn)行封鎖，以幫助網(wǎng)絡(luò)管理員對網(wǎng)絡(luò)信息資源進(jìn)行有效的管理和維護(hù)。應(yīng)用網(wǎng)絡(luò)平安審計技術(shù)以后可以控制的風(fēng)險包括：Internet資源被濫用獲取內(nèi)部公文獲取帳表系統(tǒng)報表數(shù)據(jù)獲取內(nèi)部通訊錄獲取口令文件的shadow，破解系統(tǒng)管理員口令2.6、VPN技術(shù)針對某市商業(yè)銀行保證生產(chǎn)網(wǎng)絡(luò)、辦公網(wǎng)以及通信機(jī)密性的需求，方案規(guī)劃系統(tǒng)采用VPN技術(shù)解決方案。應(yīng)用VPN技術(shù)以后可以控制的風(fēng)險包括：竊聽以明文方式傳輸?shù)挠脩裘兔艽a網(wǎng)絡(luò)竊聽，獲得更多播送信息TCP登