金融行業(yè)網(wǎng)絡(luò)安全解決方案實用文檔

金融行業(yè)解決方案

行業(yè)背景

金融行業(yè)按照客戶類型劃分可分為國有商業(yè)銀行（政策性商業(yè)銀行）、股份制商業(yè)銀行（大型股份制商業(yè)銀行、城市商業(yè)銀行、農(nóng)村信用社等）、證券、基金、期貨、保險等，近年來為加強(qiáng)金融行業(yè)信息科技風(fēng)險管理，各行業(yè)監(jiān)管機(jī)構(gòu)相繼出臺了針對信息科技安全的相關(guān)政策法規(guī)，如《商業(yè)銀行信息科技風(fēng)險管理指引》、《證券公司網(wǎng)上證券信息系統(tǒng)技術(shù)指引》、《期貨公司信息技術(shù)管理指引》和《保險公司信息化管理工作指引》，可以看出目前各個金融行業(yè)客戶對信息安全建設(shè)十分重視，紛紛加大信息科技管理方面的投入力度。

行業(yè)現(xiàn)狀

金融行業(yè)客戶出于信息業(yè)務(wù)安全和維護(hù)等多方面考慮，一般都會自己搭建數(shù)據(jù)中心，因此隨著銀行、證券行業(yè)業(yè)務(wù)量火熱發(fā)展，信息安全風(fēng)險也隨之增大，業(yè)務(wù)訪問效率同時也變成了網(wǎng)絡(luò)和應(yīng)用管理員最頭疼的話題。

商業(yè)銀行客戶的業(yè)務(wù)系統(tǒng)一般包括核心應(yīng)用系統(tǒng)、網(wǎng)上銀行系統(tǒng)、辦公系統(tǒng)、監(jiān)控系統(tǒng)、認(rèn)證系統(tǒng)等；證券基金客戶的業(yè)務(wù)系統(tǒng)包括網(wǎng)上交易查詢系統(tǒng)、銀行結(jié)算系統(tǒng)、辦公系統(tǒng)和門戶網(wǎng)站等；保險行業(yè)客戶業(yè)務(wù)系統(tǒng)包括CRM系統(tǒng)、核心業(yè)務(wù)系統(tǒng)、保單管理系統(tǒng)、財務(wù)系統(tǒng)等。各類不同的行業(yè)客戶在信息系統(tǒng)建設(shè)和使用過程中都會遇到諸如物理層、網(wǎng)絡(luò)架構(gòu)、終端和操作系統(tǒng)、應(yīng)用系統(tǒng)、核心業(yè)務(wù)數(shù)據(jù)等多方面的安全和優(yōu)化問題，因此我們的方案主要針對以上各個方面。

建議網(wǎng)絡(luò)架構(gòu)下載后可見下載后可見

移動辦公接入（SSLVPN網(wǎng)關(guān)）：

客戶為加強(qiáng)遠(yuǎn)程辦公終端的安全性和易用性，采用SSLVPN的接入方式，利用對客戶端安全檢查、靈活定制訪問策略和權(quán)限的技術(shù)手段，滿足移動辦公用戶接入數(shù)據(jù)中心簡單方便。

服務(wù)器負(fù)載均衡、應(yīng)用優(yōu)化（本地流量管理器）：

由于網(wǎng)上交易系統(tǒng)都采用SSL加密的方式，對于如何卸載服務(wù)器在處理SSL加解密方面的壓力，在不影響服務(wù)器性能的前提下，對數(shù)據(jù)進(jìn)行加解密就變成了一個重要的話題，使用本地流量管理器，把大量用戶的請求平均分發(fā)到多臺服務(wù)器上面，同時能夠?qū)?shù)據(jù)進(jìn)行SSL加速，卸載服務(wù)器處理SSL加解密的壓力。在站點(diǎn)之內(nèi)，負(fù)載均衡產(chǎn)品能夠同時對Web前置服務(wù)器、應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器、緩存服務(wù)器等多種服務(wù)器進(jìn)行負(fù)載均衡。

各類應(yīng)用安全防護(hù)（WEB防火墻、數(shù)據(jù)庫安全審計、動態(tài)口令認(rèn)證系統(tǒng)）：

客戶在數(shù)據(jù)中心的建設(shè)過程中最重要的就是核心業(yè)務(wù)系統(tǒng)，它包含了至關(guān)重要的應(yīng)用系統(tǒng)服務(wù)器和核心數(shù)據(jù)，在核心業(yè)務(wù)系統(tǒng)中一般采用三層部署的標(biāo)準(zhǔn)架構(gòu)，Web服務(wù)器、應(yīng)用服務(wù)器、數(shù)據(jù)庫，因此各類服務(wù)器的安全防護(hù)是客戶最關(guān)心的重點(diǎn)，建議采用Web防火墻對Web服務(wù)器進(jìn)行安全保護(hù)，避免針對服務(wù)器應(yīng)用層和源代碼攻擊的風(fēng)險，采用數(shù)據(jù)庫安全審計平臺對各類數(shù)據(jù)庫操作，數(shù)據(jù)表調(diào)用和修改的動作進(jìn)行審計和告警，保證在數(shù)量繁多的用戶訪問數(shù)據(jù)庫的情況下行為能夠進(jìn)行審計。動態(tài)口令認(rèn)證系統(tǒng)確保網(wǎng)上交易系統(tǒng)用戶帳戶和口令的密碼保護(hù)，形成"雙因素"強(qiáng)身份認(rèn)證。

日志收集和分析（統(tǒng)一日志審計平臺）：

在金融行業(yè)各個監(jiān)督管理機(jī)構(gòu)下發(fā)的政策法規(guī)文件中，日志統(tǒng)一收集、分析和保存是必不可少的一項重點(diǎn)要求，系統(tǒng)日志保存期限按照風(fēng)險等級不同來區(qū)分，至少不得少于一年，采用統(tǒng)一日志審計平臺能夠滿足各種法規(guī)政策的要求，制定相關(guān)策略和流程，管理所有生產(chǎn)系統(tǒng)的活動日志，以支持有效的審核、安全取證分析和預(yù)防欺詐。

不同平臺和品牌的存儲之間協(xié)同優(yōu)化（虛擬存儲系統(tǒng)）：

客戶在構(gòu)建數(shù)據(jù)存儲系統(tǒng)的時候如果采用了異構(gòu)的部署方式，系統(tǒng)中會出現(xiàn)不同平臺和品牌的存儲服務(wù)器，使用起來會造成很大的不便，采用虛擬存儲系統(tǒng)可以把各種基于NAS協(xié)議的存儲服務(wù)進(jìn)行虛擬化管理，實現(xiàn)無縫數(shù)據(jù)遷移、存儲負(fù)載均衡和異構(gòu)部署等多種優(yōu)化功能。

需求及解決方案要點(diǎn)

網(wǎng)絡(luò)攻擊及入侵（入侵防御系統(tǒng)防護(hù)）：

當(dāng)銀行系統(tǒng)遇到互聯(lián)網(wǎng)的非法攻擊和入侵的時候，勢必對網(wǎng)上應(yīng)用和交易系統(tǒng)產(chǎn)生影響，造成訪問效率下降、網(wǎng)絡(luò)擁堵等狀況，采用主動式入侵防御系統(tǒng)利用高可靠識別攻擊，精確判斷入侵及攻擊行為并作出相應(yīng)的反應(yīng)來解決客戶遇到的上述問題。

鏈路負(fù)載均衡（多鏈路控制器）：

為了避免出現(xiàn)鏈路單點(diǎn)故障，保證鏈路接入的高可用性，銀行系統(tǒng)一般采用不同運(yùn)營商的多條鏈路接入，采用鏈路負(fù)載均衡產(chǎn)品，把訪問外網(wǎng)資源的內(nèi)網(wǎng)用戶按照要求負(fù)載均衡到兩條鏈路，任何一條鏈路出現(xiàn)故障，都能夠?qū)崟r發(fā)現(xiàn)，自動把請求轉(zhuǎn)發(fā)至正常的鏈路；同時把訪問內(nèi)網(wǎng)資源的用戶自動導(dǎo)向到訪問質(zhì)量最優(yōu)的鏈路，并實時監(jiān)控鏈路的狀態(tài)，如果某一鏈路出現(xiàn)故障，自動切換到其他正常鏈路。

安全區(qū)域劃分和隔離（防火墻）：

客戶在數(shù)據(jù)中心根據(jù)不同的安全級別劃分出不同的訪問區(qū)域，不同的區(qū)域之間互相訪問需要通過安全設(shè)備進(jìn)行隔離，根據(jù)不同的安全級別設(shè)定策略進(jìn)行訪問控制，通過多種檢測機(jī)制，發(fā)現(xiàn)攻擊流量，實時進(jìn)行阻斷，提高應(yīng)用系統(tǒng)的安全性。

互聯(lián)網(wǎng)流量管理和優(yōu)化（全局流量控制器、Web加速器）：

客戶開展電子商務(wù)和網(wǎng)上交易業(yè)務(wù)，需要考慮客戶端采用不同接入方式和終端種類，因此通過采用全局流量管理設(shè)備對處在不同地理位置和運(yùn)營商接入的終端用戶選擇服務(wù)效率最佳的數(shù)據(jù)中心，采用Web加速設(shè)備利用數(shù)據(jù)流量優(yōu)化加速的手段提高訪問速度，確?？蛻魸M意度的提升。

移動辦公接入（SSLVPN網(wǎng)關(guān)）：

客戶為加強(qiáng)遠(yuǎn)程辦公終端的安全性和易用性，采用SSLVPN的接入方式，利用對客戶端安全檢查、靈活定制訪問策略和權(quán)限的技術(shù)手段，滿足移動辦公用戶接入數(shù)據(jù)中心簡單方便。

服務(wù)器負(fù)載均衡、應(yīng)用優(yōu)化（本地流量管理器）：

由于網(wǎng)上交易系統(tǒng)都采用SSL加密的方式，對于如何卸載服務(wù)器在處理SSL加解密方面的壓力，在不影響服務(wù)器性能的前提下，對數(shù)據(jù)進(jìn)行加解密就變成了一個重要的話題，使用本地流量管理器，把大量用戶的請求平均分發(fā)到多臺服務(wù)器上面，同時能夠?qū)?shù)據(jù)進(jìn)行SSL加速，卸載服務(wù)器處理SSL加解密的壓力。在站點(diǎn)之內(nèi)，負(fù)載均衡產(chǎn)品能夠同時對Web前置服務(wù)器、應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器、緩存服務(wù)器等多種服務(wù)器進(jìn)行負(fù)載均衡。

各類應(yīng)用安全防護(hù)（WEB防火墻、數(shù)據(jù)庫安全審計、動態(tài)口令認(rèn)證系統(tǒng)）：

客戶在數(shù)據(jù)中心的建設(shè)過程中最重要的就是核心業(yè)務(wù)系統(tǒng)，它包含了至關(guān)重要的應(yīng)用系統(tǒng)服務(wù)器和核心數(shù)據(jù)，在核心業(yè)務(wù)系統(tǒng)中一般采用三層部署的標(biāo)準(zhǔn)架構(gòu)，Web服務(wù)器、應(yīng)用服務(wù)器、數(shù)據(jù)庫，因此各類服務(wù)器的安全防護(hù)是客戶最關(guān)心的重點(diǎn)，建議采用Web防火墻對Web服務(wù)器進(jìn)行安全保護(hù)，避免針對服務(wù)器應(yīng)用層和源代碼攻擊的風(fēng)險，采用數(shù)據(jù)庫安全審計平臺對各類數(shù)據(jù)庫操作，數(shù)據(jù)表調(diào)用和修改的動作進(jìn)行審計和告警，保證在數(shù)量繁多的用戶訪問數(shù)據(jù)庫的情況下行為能夠進(jìn)行審計。動態(tài)口令認(rèn)證系統(tǒng)確保網(wǎng)上交易系統(tǒng)用戶帳戶和口令的密碼保護(hù)，形成"雙因素"強(qiáng)身份認(rèn)證。

日志收集和分析（統(tǒng)一日志審計平臺）：

在金融行業(yè)各個監(jiān)督管理機(jī)構(gòu)下發(fā)的政策法規(guī)文件中，日志統(tǒng)一收集、分析和保存是必不可少的一項重點(diǎn)要求，系統(tǒng)日志保存期限按照風(fēng)險等級不同來區(qū)分，至少不得少于一年，采用統(tǒng)一日志審計平臺能夠滿足各種法規(guī)政策的要求，制定相關(guān)策略和流程，管理所有生產(chǎn)系統(tǒng)的活動日志，以支持有效的審核、安全取證分析和預(yù)防欺詐。

不同平臺和品牌的存儲之間協(xié)同優(yōu)化（虛擬存儲系統(tǒng)）：

客戶在構(gòu)建數(shù)據(jù)存儲系統(tǒng)的時候如果采用了異構(gòu)的部署方式，系統(tǒng)中會出現(xiàn)不同平臺和品牌的存儲服務(wù)器，使用起來會造成很大的不便，采用虛擬存儲系統(tǒng)可以把各種基于NAS協(xié)議的存儲服務(wù)進(jìn)行虛擬化管理，實現(xiàn)無縫數(shù)據(jù)遷移、存儲負(fù)載均衡和異構(gòu)部署等多種優(yōu)化功能。

部分成功客戶國有銀行：中國人民銀行、中國工商銀行、中國農(nóng)業(yè)銀行、中國銀行、中國建設(shè)銀行

商業(yè)銀行：交通銀行、興業(yè)銀行、中信銀行、招商銀行、華夏銀行、民生銀行、北京銀行、寧波商行、齊魯銀行

城商、農(nóng)商行：上海農(nóng)商行、深圳農(nóng)商行、重慶農(nóng)商行、云南農(nóng)商行、浙江農(nóng)信、廣東農(nóng)信、廣州農(nóng)信、江蘇農(nóng)信、山東農(nóng)信

外資銀行：渣打銀行、德意志銀行、東亞銀行、法國興業(yè)銀行、華僑銀行、永亨銀行、三井銀行、花旗銀行、瑞士聯(lián)合銀行

基金：寶盈基金、博時基金、長城基金、招商基金、興業(yè)基金、信誠基金、南方基金、廣發(fā)基金、匯添富基金

證券：銀河證券、宏源證券、國聯(lián)證券、光大證券、廣發(fā)證券、華泰證券、太平洋證券、上海證券交易所、深圳證券交易所

保險：平安保險、中國人保、中國人壽、信誠人壽、泰康保險、華泰保險、民生人壽、大地保險、鼎和財險隨著網(wǎng)絡(luò)的快速發(fā)展，各金融企業(yè)之間的競爭也日益激烈，主要是通過提高金融機(jī)構(gòu)的運(yùn)作效率，為客戶提供方便快捷和豐富多彩的服務(wù)，增強(qiáng)金融企業(yè)的發(fā)展能力和影響力來實現(xiàn)的。為了適應(yīng)這種發(fā)展趨勢，銀行在改進(jìn)服務(wù)手段、增加服務(wù)功能、完善業(yè)務(wù)品種、提高服務(wù)效率等方面做了大量的工作，以提高銀行的競爭力，爭取更大的經(jīng)濟(jì)效益。而實現(xiàn)這一目標(biāo)必須通過實現(xiàn)金融電子化，利用高科技手段推動金融業(yè)的發(fā)展和進(jìn)步，銀行外聯(lián)網(wǎng)絡(luò)的建設(shè)為進(jìn)一步提高銀行業(yè)服務(wù)手段，促進(jìn)銀企的發(fā)展提供了有力的保障，并且勢必為銀行業(yè)的發(fā)展帶來巨大的經(jīng)濟(jì)效益。然而隨著網(wǎng)絡(luò)應(yīng)用不斷擴(kuò)大，它的反面效應(yīng)也隨著產(chǎn)生。通過網(wǎng)絡(luò)使得黑客或工業(yè)間諜以及惡意入侵者侵犯和操縱一些重要信息成為可能，因而引發(fā)出網(wǎng)絡(luò)安全性問題。正如我國著名計算機(jī)專家沈昌祥院士指出的："信息安全保障能力是21世紀(jì)綜合國力、經(jīng)濟(jì)競爭實力和生存能力的重要組成部份，是世紀(jì)之交世界各國在奮力攀登的制高點(diǎn)"。二十世紀(jì)未，美國一些著名網(wǎng)站、銀行、電子商務(wù)網(wǎng)站造受黑客攻擊；黑客入侵微軟竊取源代碼軟件等重要案件，都證明了網(wǎng)絡(luò)安全的嚴(yán)重性，因此，解決銀行外聯(lián)網(wǎng)絡(luò)安全問題刻不容緩。一銀行外聯(lián)網(wǎng)絡(luò)安全現(xiàn)狀1、銀行外聯(lián)種類按業(yè)務(wù)分為：銀行外聯(lián)業(yè)務(wù)種類繁多，主要有：證銀聯(lián)業(yè)務(wù)、社保IC卡、房改公積金管理系統(tǒng)、代收中聯(lián)通話費(fèi)、代收移動話費(fèi)、同城清算、人行稅銀庫企系統(tǒng)、人行銀行信貸登記系統(tǒng)、金融統(tǒng)計數(shù)據(jù)報送、國際收支數(shù)據(jù)報送、電子口岸、代收電費(fèi)、代扣社保費(fèi)、代收國稅、代收地稅、代收固話費(fèi)、財局國庫集中系統(tǒng)、統(tǒng)發(fā)工資系統(tǒng)、代收財政罰款、物業(yè)維修基金、非稅系統(tǒng)、重要客戶系統(tǒng)等等。按單位分：隨著外聯(lián)業(yè)務(wù)的不斷擴(kuò)大，外聯(lián)單位也不斷增加，主要有：各個證券公司、社保局、房改辦、聯(lián)通公司、移動公司、海關(guān)、電力公司、國稅局、地稅局、電信公司、供水公司、政府政務(wù)網(wǎng)、人行金融網(wǎng)、銀行的重客單位等等。按線路分：外聯(lián)線路主要以專線為主，部分外聯(lián)業(yè)務(wù)采用撥號方式，線路類型主要有：幀中繼、SDH、DDN、城域網(wǎng)、撥號等。2、提供外聯(lián)線路的運(yùn)營商根據(jù)外聯(lián)單位的不同需求，有多家運(yùn)營商提供線路服務(wù)，主要有：電信公司、盈通公司、網(wǎng)通公司、視通公司等3、銀行外聯(lián)網(wǎng)絡(luò)的安全現(xiàn)狀及存在問題外聯(lián)接入現(xiàn)狀示意圖：外聯(lián)接入分為總行、一級分行、二級分行三個接入層次，據(jù)統(tǒng)計有80％的外聯(lián)單位是通過二級分行及以下層次接入的，面對如此眾多的外聯(lián)接入單位，我行還沒有一個統(tǒng)一規(guī)劃的完善的外聯(lián)網(wǎng)絡(luò)安全防御體系，特別是對于有些二級分行的外聯(lián)網(wǎng)絡(luò)只有基本的安全防護(hù)，只在外網(wǎng)的接入口使用防火墻進(jìn)行安全控制，整體而言，外聯(lián)網(wǎng)絡(luò)缺少一個統(tǒng)一規(guī)劃的完善的安全防御體系，抗風(fēng)險能力低。下面，針對外聯(lián)網(wǎng)絡(luò)中主要的安全風(fēng)險點(diǎn)進(jìn)行簡單分析：（1）外聯(lián)接入點(diǎn)多且層次低，缺乏統(tǒng)一的規(guī)劃和監(jiān)管，存在接入風(fēng)險銀行外聯(lián)系統(tǒng)的接入五花八門，沒有一個統(tǒng)一的接入規(guī)劃和接入標(biāo)準(zhǔn)，總行、一級分行、二級分行、甚至經(jīng)辦網(wǎng)點(diǎn)都有接入點(diǎn)，據(jù)統(tǒng)計80％的外聯(lián)接入都是通過二級分行及以下層次接入的，由于該層次的安全產(chǎn)品和安全技術(shù)資源都非常缺乏，因此對外聯(lián)接入的監(jiān)管控制缺乏力度，存在著接入風(fēng)險。（2）缺少統(tǒng)一規(guī)范的安全架構(gòu)和策略標(biāo)準(zhǔn)在外聯(lián)網(wǎng)絡(luò)中，全行缺少統(tǒng)一規(guī)范的安全架構(gòu)和訪問控制策略標(biāo)準(zhǔn)，對眾多的外聯(lián)業(yè)務(wù)沒有分層分級設(shè)定不同的安全策略，在網(wǎng)絡(luò)層沒有統(tǒng)一的安全訪問控制標(biāo)準(zhǔn)，比如：允許開放的端口、必須關(guān)閉的端口、需要控制訪問的端口、安全傳輸協(xié)議等等；在外聯(lián)業(yè)務(wù)應(yīng)用程序的編寫方面沒有統(tǒng)一的安全標(biāo)準(zhǔn)；在防火墻策略制定上也沒有統(tǒng)一的安全標(biāo)準(zhǔn)，因此外聯(lián)網(wǎng)絡(luò)的整體可控性不強(qiáng)。（3）缺乏數(shù)據(jù)傳送過程中的加密機(jī)制目前與外聯(lián)單位互相傳送的數(shù)據(jù)大部分都是明碼傳送，沒有統(tǒng)一規(guī)范的加密傳送機(jī)制。（4）缺少統(tǒng)一的安全審計和安全管理標(biāo)準(zhǔn)。外聯(lián)網(wǎng)絡(luò)沒有一個統(tǒng)一的安全審計和安全管理標(biāo)準(zhǔn)，在安全檢查和安全審計上沒有一套行之有效的方法。為解決當(dāng)前外聯(lián)網(wǎng)絡(luò)所存在的安全隱患，我們必須構(gòu)建一個完善的銀行外聯(lián)網(wǎng)絡(luò)安全架構(gòu)，建立一套統(tǒng)一規(guī)劃的完善的外聯(lián)網(wǎng)絡(luò)安全防御體系。下面我們將從銀行外聯(lián)網(wǎng)絡(luò)安全規(guī)劃著手，進(jìn)行外聯(lián)平臺的網(wǎng)絡(luò)設(shè)計，并對外聯(lián)平臺的安全策略進(jìn)行統(tǒng)一規(guī)劃，相應(yīng)地提出外聯(lián)業(yè)務(wù)平臺安全審計的內(nèi)容以及如何進(jìn)行外聯(lián)網(wǎng)絡(luò)的安全管理，設(shè)計一套完善的銀行外聯(lián)網(wǎng)絡(luò)安全解決方案。二銀行外聯(lián)網(wǎng)絡(luò)安全規(guī)劃1、外聯(lián)網(wǎng)絡(luò)接入銀行內(nèi)部網(wǎng)的安全指導(dǎo)原則（1）外聯(lián)網(wǎng)（Extranet）接入內(nèi)部網(wǎng)絡(luò)，必須遵從統(tǒng)一規(guī)范、集中接入、逐步過渡的原則。（2）總行對于外聯(lián)網(wǎng)絡(luò)接入內(nèi)部網(wǎng)絡(luò)建立統(tǒng)一的安全技術(shù)和安全管理規(guī)范，一級分行參照規(guī)范要求對接入網(wǎng)路進(jìn)行嚴(yán)格的控制，同時應(yīng)建立數(shù)據(jù)交換區(qū)域，避免直接對業(yè)務(wù)系統(tǒng)進(jìn)行訪問。（3）各一級分行按照集中接入的原則，建立統(tǒng)一的外聯(lián)網(wǎng)接入平臺，減少外聯(lián)網(wǎng)接入我行內(nèi)部網(wǎng)絡(luò)的接入點(diǎn)，將第三方合作伙伴接入我行內(nèi)部網(wǎng)的接入點(diǎn)控制在一級分行，并逐步對二級行（含）以下的接入點(diǎn)上收至一級分行。（4）如果一個二級分行的外聯(lián)合作伙伴較多，從節(jié)約線路費(fèi)用的角度考慮，可以考慮外聯(lián)接入點(diǎn)選擇在二級分行，然后利用IPSec-VPN將二級分行的業(yè)務(wù)外聯(lián)平臺通過隧道與一級分行外聯(lián)平臺連接。（5）增加VPN的接入方式，與專線方式并存，接入點(diǎn)只設(shè)在一級分行及以上的層次，新增外聯(lián)業(yè)務(wù)可考慮采用VPN接入方式。（6）出于安全考慮，必須慎重選擇是否允許第三方合作伙伴使用銀行內(nèi)部網(wǎng)絡(luò)系統(tǒng)構(gòu)建其自身業(yè)務(wù)網(wǎng)絡(luò)的運(yùn)作。（7）對于第三方合作伙伴通過互聯(lián)網(wǎng)接入內(nèi)部網(wǎng)的需求，只能通過總行互聯(lián)網(wǎng)入口進(jìn)行接入。2、外聯(lián)業(yè)務(wù)平臺規(guī)劃的策略與同業(yè)往來業(yè)務(wù)、重點(diǎn)客戶業(yè)務(wù)、中間代理業(yè)務(wù)互聯(lián)要求業(yè)務(wù)外聯(lián)平臺提供足夠的安全機(jī)制。多數(shù)外聯(lián)業(yè)務(wù)要求平臺穩(wěn)定、可靠。為了滿足安全和可靠的系統(tǒng)需求，具體策略如下：（1）采用防火墻和多種訪問控制、安全監(jiān)控措施（2）采用專線為主、撥號備份為備的雙鏈路和主、備路由器增強(qiáng)可靠性（3）通過省行internet統(tǒng)一入口連接客戶的VPN接入請求，由省行或總行統(tǒng)一規(guī)劃VPN網(wǎng)絡(luò)，統(tǒng)一認(rèn)證和加密機(jī)制（4）采用IPSec技術(shù)保證數(shù)據(jù)傳輸過程的安全（5）采用雙防火墻雙機(jī)熱備（6）采用IDS、漏洞掃描工具（7）設(shè)立DMZ區(qū)，所有對外提供公開服務(wù)的服務(wù)器一律設(shè)置在DMZ區(qū)，將外部傳入用戶請求連到Web服務(wù)器或其他公用服務(wù)器，然后Web服務(wù)器再通過內(nèi)部防火墻鏈接到業(yè)務(wù)前置區(qū)（8）設(shè)立業(yè)務(wù)前置區(qū)，外聯(lián)業(yè)務(wù)平臺以及外聯(lián)業(yè)務(wù)前置機(jī)可放置此區(qū)域，阻止內(nèi)網(wǎng)和外網(wǎng)直接通信，以保證內(nèi)網(wǎng)安全（9）所有的數(shù)據(jù)交換都是通過外聯(lián)前置網(wǎng)進(jìn)行的，在未采取安全措施的情況下，禁止內(nèi)部網(wǎng)直接連接業(yè)務(wù)外聯(lián)平臺。（10）為防止來自內(nèi)網(wǎng)的攻擊和誤操作，設(shè)置內(nèi)部網(wǎng)絡(luò)防火墻（11）來自業(yè)務(wù)外聯(lián)平臺的特定主機(jī)經(jīng)身份認(rèn)證后才可訪問內(nèi)部網(wǎng)指定主機(jī)。（12）具體實施時主要考慮身份認(rèn)證、訪問控制、數(shù)據(jù)完整性和審計等安全指標(biāo)。三外聯(lián)業(yè)務(wù)平臺設(shè)計1、外聯(lián)業(yè)務(wù)平臺的網(wǎng)絡(luò)架構(gòu)業(yè)務(wù)外聯(lián)平臺包括邊界區(qū)、邊界防火墻區(qū)、IDS區(qū)、DMZ區(qū)、內(nèi)部路由器、業(yè)務(wù)前置區(qū)、內(nèi)部防火墻。架構(gòu)如下圖：2、外聯(lián)業(yè)務(wù)平臺的安全部署邊界區(qū)邊界區(qū)包括三臺接入路由器，全部支持IPSec功能。一臺是專線接入的主路由器；一臺是撥號接入的備路由器，當(dāng)主線路故障或客戶有撥號接入需求時客戶可通過此撥號路由器接入，撥號接入要有身份認(rèn)證機(jī)制；還有一臺是VPN接入方式的路由器。將IPSec部署在邊界路由器上是保證端對端數(shù)據(jù)傳輸?shù)耐暾院蜋C(jī)密性，保護(hù)TCP/IP通信免遭竊聽和篡改。對于INTERNET的VPN接入方式,可并入分行INTERNET統(tǒng)一出口進(jìn)行VPN隧道的劃分，連接有VPN接入需求的外聯(lián)單位。邊界防火墻區(qū)邊界防火墻區(qū)設(shè)置兩臺防火墻互為熱備份。在防火墻的內(nèi)側(cè)和外側(cè)分別有一臺連接防火墻的交換機(jī)，從安全的角度出發(fā)，連接兩臺防火墻采用單獨(dú)的交換機(jī)，避免采用VLAN造成的安全漏洞。兩臺防火墻之間的連接根據(jù)設(shè)備的不同而不同，以能夠可靠地為互相備份的防火墻提供配置同步和心跳檢測為準(zhǔn)。入侵檢測IDS能夠?qū)崟r準(zhǔn)確地捕捉到入侵，發(fā)現(xiàn)入侵能夠及時作出響應(yīng)并記錄日志。對所有流量進(jìn)行數(shù)據(jù)分析，過濾掉含有攻擊指令和操作的數(shù)據(jù)包，保護(hù)網(wǎng)絡(luò)的安全，提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護(hù)。DMZ區(qū)建立非軍事區(qū)（DMZ）,是為不信任系統(tǒng)提供服務(wù)的孤立網(wǎng)段，它阻止內(nèi)網(wǎng)和外網(wǎng)直接通信，以保證內(nèi)網(wǎng)安全，在非軍事區(qū)上設(shè)置并安裝基于網(wǎng)絡(luò)的實時安全監(jiān)控系統(tǒng),所有對外提供公開服務(wù)的服務(wù)器一律設(shè)置在DMZ,其中WWW、E-mail、FTP、DNS服務(wù)器置于非軍事區(qū)（DMZ）內(nèi)部路由器區(qū)內(nèi)部路由器區(qū)設(shè)置一臺用于連接業(yè)務(wù)外聯(lián)平臺和業(yè)務(wù)前置區(qū)的路由器。業(yè)務(wù)前置區(qū)設(shè)立獨(dú)立的網(wǎng)絡(luò)區(qū)域與業(yè)務(wù)外聯(lián)平臺的交換信息，并采取有效的安全措施保障該信息交換區(qū)不受非授權(quán)訪問。內(nèi)部防火墻內(nèi)部防火墻可以精確制定每個用戶的訪問權(quán)限，保證內(nèi)部網(wǎng)絡(luò)用戶只能訪問必要的資源，內(nèi)部防火墻可以記錄網(wǎng)段間的訪問信息，及時發(fā)現(xiàn)誤操作和來自內(nèi)部網(wǎng)絡(luò)其他網(wǎng)段的攻擊行為。病毒防范和漏洞掃描在服務(wù)器、前置機(jī)上安裝網(wǎng)絡(luò)版防病毒軟件，及時在線升級防病毒軟件，打開防病毒實時監(jiān)控程序，設(shè)定定期查殺病毒任務(wù)，及時抵御和防范病毒。定期對網(wǎng)絡(luò)設(shè)備進(jìn)行漏洞掃描，及時打系統(tǒng)補(bǔ)丁。路由采用靜態(tài)路由，邊界的主、備路由器采用浮動靜態(tài)路由，當(dāng)主鏈路不通時，通過備份鏈路建立連接。網(wǎng)管從安全的角度考慮，業(yè)務(wù)外聯(lián)平臺的網(wǎng)管采用帶外網(wǎng)管。網(wǎng)管服務(wù)器和被管理設(shè)備的通訊通過單獨(dú)的接口。用PVLAN使被管理設(shè)備只能通過網(wǎng)管專用的接口與網(wǎng)管服務(wù)器連接，而被管理設(shè)備之間不能互通。為了防備網(wǎng)管服務(wù)器被控制的可能性，規(guī)劃獨(dú)立的網(wǎng)管服務(wù)器為業(yè)務(wù)外聯(lián)平臺服務(wù)。網(wǎng)管平臺能夠?qū)I(yè)務(wù)外聯(lián)平臺進(jìn)行狀態(tài)管理、性能管理、配置管理、故障管理。帶外網(wǎng)管平臺采用單獨(dú)的交換機(jī)，以保證系統(tǒng)的安全。QOS在數(shù)據(jù)包經(jīng)過內(nèi)層防火墻進(jìn)入管理區(qū)域后立即打上QOS標(biāo)記，使外聯(lián)平臺的數(shù)據(jù)包按照規(guī)定的優(yōu)先級別占用網(wǎng)絡(luò)資源。四外聯(lián)業(yè)務(wù)平臺安全設(shè)計策略1外聯(lián)接入線路安全設(shè)計策略外聯(lián)接入線路有3種方式：傳統(tǒng)的專線方式、正在快速發(fā)展的基于公網(wǎng)的VPN方式、撥號方式。

專線方式，銀行傳統(tǒng)的外聯(lián)接入方式大部分都是采用專線與外單位相聯(lián)，專線的選擇有：幀中繼、DDN、SDH、ATM等等。專線的優(yōu)點(diǎn)是線路私有、技術(shù)成熟、穩(wěn)定，傳輸?shù)陌踩员容^有保障，但也存在設(shè)備投入大，對技術(shù)維護(hù)人員的技術(shù)要求較高，線路費(fèi)用昂貴、接入不靈活等缺點(diǎn)。并且由于對線路的信任依賴，大多數(shù)專線中傳遞的信息沒有考慮任何數(shù)據(jù)安全，明碼傳送，存在很大的安全隱患。

VPN方式，現(xiàn)在國際社會比較流行的利用公共網(wǎng)絡(luò)來構(gòu)建的私有專用網(wǎng)絡(luò)VPN（VirtualPrivateNetwork），用于構(gòu)建VPN的公共網(wǎng)絡(luò)包括Internet、幀中繼、ATM等。在公共網(wǎng)絡(luò)上組建的VPN具有線路費(fèi)用低廉，易于擴(kuò)展，接入靈活，網(wǎng)絡(luò)通信安全，網(wǎng)絡(luò)設(shè)計簡單，特別是易于實現(xiàn)集中管理，減少接入點(diǎn)，接入點(diǎn)可以只設(shè)在一級分行以上的層次，方便統(tǒng)一管理和安全控制。

撥號方式，有些外聯(lián)單位只與銀行交換簡單的代收發(fā)文件，使用的間隔周期也比較長，為節(jié)約費(fèi)用只按需撥號進(jìn)行連接，撥號方式的特點(diǎn)是費(fèi)用低廉但缺乏安全保障。這3種方式各有優(yōu)缺點(diǎn)，但從技術(shù)的成熟性和保護(hù)現(xiàn)有設(shè)備投資的方面考慮，專線方式和撥號方式還是我們的主流方式。但從長遠(yuǎn)考慮，隨著VPN技術(shù)的成熟和合作伙伴應(yīng)用互聯(lián)網(wǎng)的普及，VPN方式將會由于它顯著的優(yōu)點(diǎn)而逐漸成為主流，因此，我們引入VPN接入方式，目前我們?nèi)N接入方式并存，今后將逐漸用VPN方式取代專線方式和撥號方式，這樣不僅能夠統(tǒng)一接入層次，減少接入點(diǎn)，降低線路費(fèi)用，而且方便統(tǒng)一管理和安全控制。對于接入專線的物理層和數(shù)據(jù)鏈路層安全是由運(yùn)營商保障的，在邊界接入路由器上設(shè)置靜態(tài)路由、采用安全訪問控制實現(xiàn)網(wǎng)絡(luò)層的安全控制，為保證數(shù)據(jù)傳輸?shù)臋C(jī)密性和完整性，建議在銀行外聯(lián)網(wǎng)絡(luò)中采用IPSec技術(shù)，在接入端統(tǒng)一安裝支持IPSec功能的接入路由器。對于VPN方式的接入，VPN雖然構(gòu)建在公用數(shù)據(jù)網(wǎng)上，但可以通過附加的安全隧道、用戶認(rèn)證和訪問控制等技術(shù)實現(xiàn)與專用網(wǎng)絡(luò)相類似的安全性能，從而實現(xiàn)對重要信息的安全傳輸。與企業(yè)獨(dú)立構(gòu)建專用網(wǎng)絡(luò)相比，VPN具有節(jié)省投資、易于擴(kuò)展、簡化管理等特點(diǎn)。對于撥號接入我們采用AAA認(rèn)證的方式驗證撥入方的身份。2外聯(lián)業(yè)務(wù)平臺物理層安全設(shè)計策略物理層安全是指設(shè)備安全和線路安全，保障物理安全除了要遵守國家相關(guān)的場地要求和設(shè)計規(guī)范外，還要做好相關(guān)設(shè)備的備份、關(guān)鍵線路的備份、相應(yīng)數(shù)據(jù)的備份。定期對網(wǎng)絡(luò)參數(shù)、應(yīng)用數(shù)據(jù)、日志進(jìn)行備份，定期對備份設(shè)備進(jìn)行參數(shù)同步。3外聯(lián)業(yè)務(wù)平臺網(wǎng)絡(luò)層安全設(shè)計策略外聯(lián)業(yè)務(wù)平臺安全設(shè)計的重點(diǎn)就是如何進(jìn)行網(wǎng)絡(luò)層的安全防護(hù)，在網(wǎng)絡(luò)層我們采用了防火墻技術(shù)、入侵檢測技術(shù)、VPN技術(shù)、IPSec技術(shù)、訪問控制技術(shù)等多種安全技術(shù)進(jìn)行網(wǎng)絡(luò)層的安全防護(hù)。（1）部署邊界防火墻和內(nèi)部防火墻在總行、一級分行、二級分行各級外聯(lián)接入點(diǎn)的邊界都應(yīng)安裝邊界防火墻，邊界防火墻的任務(wù)有：

通過對源地址過濾，拒絕外部非法IP地址，有效地避免外部網(wǎng)絡(luò)上與業(yè)務(wù)無關(guān)的主機(jī)的越權(quán)訪問，防火墻只保留有用的服務(wù)；

關(guān)閉其他不要的服務(wù)，可將系統(tǒng)受攻擊的可能性降低到最小限度，使黑客無機(jī)可乘；

制定訪問策略，使只有被授權(quán)的外部主機(jī)可以訪問內(nèi)部網(wǎng)絡(luò)的有限的IP地址，保證外部網(wǎng)絡(luò)只能訪問內(nèi)部網(wǎng)絡(luò)中必要的資源，與業(yè)務(wù)無關(guān)的操作將被拒絕;

由于外部網(wǎng)絡(luò)對DMZ區(qū)主機(jī)的所有訪問都要經(jīng)過防火墻，防火墻可以全面監(jiān)視外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)的訪問活動，并進(jìn)行詳細(xì)地記錄，通過分析可以發(fā)現(xiàn)可疑的攻擊行為；

對于遠(yuǎn)程登錄的用戶，如telnet等，防火墻利用加強(qiáng)的認(rèn)證功能，可以有效地防止非法入侵；

集中管理網(wǎng)絡(luò)的安全策略，因此黑客無法通過更改某一臺主機(jī)的安全策略來達(dá)到控制其他資源，獲取訪問權(quán)限的目的；

進(jìn)行地址轉(zhuǎn)換工作，使外部網(wǎng)絡(luò)不能看到內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)，從而使黑客攻擊失去目標(biāo)。在內(nèi)部網(wǎng)和業(yè)務(wù)前置區(qū)之間部署內(nèi)部防火墻，內(nèi)部防火墻的任務(wù)有：

精確制定每個用戶的訪問權(quán)限，保證內(nèi)部網(wǎng)絡(luò)用戶只能訪問必要的資源

記錄網(wǎng)段間的訪問信息，及時發(fā)現(xiàn)誤操作和來自內(nèi)部網(wǎng)絡(luò)其他網(wǎng)段的攻擊行為。（2）部署入侵檢測系統(tǒng)入侵檢測是防火墻技術(shù)的重要補(bǔ)充，在不影響網(wǎng)絡(luò)的情況下能對網(wǎng)絡(luò)進(jìn)行檢測分析，從而對內(nèi)部攻擊、外部攻擊和誤操作進(jìn)行實時識別和響應(yīng)，有效地監(jiān)視、審計、評估網(wǎng)絡(luò)系統(tǒng)。入侵檢測和漏洞掃描技術(shù)結(jié)合起來是預(yù)防黑客攻擊的主要手段。入侵檢測的主要功能有：

檢測并分析用戶和系統(tǒng)的活動

核查系統(tǒng)配置和漏洞

評估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性

識別已知的攻擊行為

統(tǒng)計分析異常行為

操作系統(tǒng)日志管理，并識別違反安全策略的用戶活動入侵檢測技術(shù)主要可以分為基于主機(jī)入侵檢測和基于網(wǎng)絡(luò)入侵檢測兩種?；谥鳈C(jī)的系統(tǒng)通過軟件來分析來自各個地方的數(shù)據(jù)，這些數(shù)據(jù)可以是事件日志（LOG文件）、配置文件、PASSWORD文件等；基于網(wǎng)絡(luò)的系統(tǒng)通過網(wǎng)絡(luò)監(jiān)聽的方式從網(wǎng)絡(luò)中獲取數(shù)據(jù)，并根據(jù)事先定義好的規(guī)則檢查它，從而判定通訊是否合法。（3）應(yīng)用VPN對于VPN接入方式，在接入端采用專用VPN設(shè)備，VPN的實現(xiàn)技術(shù)是通過公用網(wǎng)在各個路由器之間建立VPN安全隧道來傳輸用戶的私有網(wǎng)絡(luò)數(shù)據(jù)，用于構(gòu)建這種VPN連接的隧道技術(shù)有IPSEC等。結(jié)合服務(wù)商提供的QOS機(jī)制，可以有效而且可靠的使用網(wǎng)絡(luò)資源，保證了網(wǎng)絡(luò)質(zhì)量。VPN大致包括三種典型的應(yīng)用環(huán)境，即IntranetVPN,RemoteAccessVPN和ExtranetVPN。其中IntranetVPN主要是在內(nèi)部專用網(wǎng)絡(luò)上提供虛擬子網(wǎng)和用戶管理認(rèn)證功能；RemoteAccessVPN側(cè)重遠(yuǎn)程用戶接入訪問過程中對信息資源的保護(hù)；而ExtranetVPN則需要將不同的用戶子網(wǎng)擴(kuò)展成虛擬的企業(yè)網(wǎng)絡(luò)。我們所推薦使用的是ExtranetVPN，并且建議今后逐漸用VPN的外聯(lián)接入方式取代專線接入方式，VPN技術(shù)將是今后外聯(lián)接入的發(fā)展方向，VPN技術(shù)取代專線將指日可待。VPN技術(shù)的優(yōu)點(diǎn)主要包括：

信息的安全性。虛擬專用網(wǎng)絡(luò)采用安全隧道(SecureTunnel)技術(shù)向用戶提供無縫(Seamless)的和安全的端到端連接服務(wù)，確保信息資源的安全。

方便的擴(kuò)充性。用戶可以利用虛擬專用網(wǎng)絡(luò)技術(shù)方便地重構(gòu)企業(yè)專用網(wǎng)絡(luò)(PrivateNetwork)，實現(xiàn)異地業(yè)務(wù)人員的遠(yuǎn)程接入，加強(qiáng)與客戶、合作伙伴之間的聯(lián)系，以進(jìn)一步適應(yīng)虛擬企業(yè)的新型企業(yè)組織形式。

方便的管理。VPN將大量的網(wǎng)絡(luò)管理工作放到互聯(lián)網(wǎng)絡(luò)服務(wù)提供者(ISP)一端來統(tǒng)一實現(xiàn)，從而減輕了企業(yè)內(nèi)部網(wǎng)絡(luò)管理的負(fù)擔(dān)。同時VPN也提供信息傳輸、路由等方面的智能特性及其與其他網(wǎng)絡(luò)設(shè)備相獨(dú)立的特性，也便于用戶進(jìn)行網(wǎng)絡(luò)管理。

顯著的成本效益。利用現(xiàn)有互聯(lián)網(wǎng)絡(luò)發(fā)達(dá)的網(wǎng)絡(luò)構(gòu)架組建外聯(lián)網(wǎng)絡(luò)，從而節(jié)省了大量的投資成本及后續(xù)的運(yùn)營維護(hù)成本。（4）應(yīng)用IPSecIPSec由IETF下屬的一個IPSec工作組起草設(shè)計的，在IP協(xié)議層上對數(shù)據(jù)包進(jìn)行高強(qiáng)度的安全處理，提供數(shù)據(jù)源驗證、無連接數(shù)據(jù)完整性、數(shù)據(jù)機(jī)密性、抗重播和有限業(yè)務(wù)流機(jī)密性等安全服務(wù)。各種應(yīng)用程序可以享用IP層提供的安全服務(wù)和密鑰管理，而不必設(shè)計和實現(xiàn)自己的安全機(jī)制，因此減少了密鑰協(xié)商的開銷，也降低了產(chǎn)生安全漏洞的可用性。IPSec彌補(bǔ)了由于TCP/IP協(xié)議體系自身帶來的安全漏洞，可以保護(hù)TCP/IP通信免遭竊聽和篡改，保證數(shù)據(jù)的完整性和機(jī)密性，有效抵御網(wǎng)絡(luò)攻擊，同時保持易用性。IPSec可連續(xù)或遞歸應(yīng)用，在路由器、防火墻、主機(jī)和通信鏈路上配置，實現(xiàn)端到端安全、虛擬專用網(wǎng)絡(luò)（VPN）和安全隧道技術(shù)。IPSec的缺點(diǎn)是不能兼容NAT技術(shù)，當(dāng)防火墻和路由器采用NAT技術(shù)對IP包進(jìn)行地址轉(zhuǎn)換時，IPSec包不能通過。因此，需要使用IPSec功能時必須采用NAT-T技術(shù)實現(xiàn)IPSec穿越NAT。（5）網(wǎng)絡(luò)層的訪問控制策略

禁止來自業(yè)務(wù)外聯(lián)平臺的的訪問直接進(jìn)入內(nèi)部網(wǎng)

限制能開通的服務(wù)或端口

設(shè)立與內(nèi)部網(wǎng)隔離的指定的數(shù)據(jù)交換區(qū)，來自業(yè)務(wù)外聯(lián)平臺的的訪問只能到達(dá)指定的數(shù)據(jù)交換區(qū)

能對進(jìn)入指定數(shù)據(jù)交換區(qū)的主體限制到主機(jī)

能經(jīng)過代理實現(xiàn)指定客戶對內(nèi)部網(wǎng)指定主機(jī)和業(yè)務(wù)的訪問4外聯(lián)業(yè)務(wù)平臺系統(tǒng)層安全設(shè)計策略操作系統(tǒng)因為設(shè)計和版本的問題，存在許多的安全漏洞，同時因為在使用中安全設(shè)置不當(dāng)，也會增加安全漏洞，帶來安全隱患，因此要定期漏洞掃描，及時升級、及時打補(bǔ)丁。5外聯(lián)業(yè)務(wù)平臺應(yīng)用層安全設(shè)計策略

根據(jù)銀行專用網(wǎng)絡(luò)的業(yè)務(wù)和服務(wù)，采用身份認(rèn)證技術(shù)、防病毒技術(shù)以及對各種應(yīng)用服務(wù)的安全性增強(qiáng)配置服務(wù)，保障網(wǎng)絡(luò)系統(tǒng)在應(yīng)用層的安全。（1）身份認(rèn)證技術(shù)

公開密鑰基礎(chǔ)設(shè)施（PKI）是一種遵循標(biāo)準(zhǔn)的密鑰管理平臺，能夠為所有網(wǎng)絡(luò)應(yīng)用透明地提供采用加密和數(shù)字簽名等密碼服務(wù)所必需的密鑰和證書管理。在總行和省行網(wǎng)絡(luò)中心建立CA中心，為應(yīng)用系統(tǒng)的可靠運(yùn)行提供支持。

進(jìn)入指定數(shù)據(jù)交換區(qū)必須進(jìn)行基于口令的身份認(rèn)證。以撥號方式連接業(yè)務(wù)外聯(lián)平臺時，在撥號連接建立之前，必須通過基于靜態(tài)口令、動態(tài)口令或撥號回呼的身份認(rèn)證。為了配合全行的集中認(rèn)證工程，認(rèn)證服務(wù)器必須采用全行統(tǒng)一規(guī)定的標(biāo)準(zhǔn)協(xié)議，能夠支持多級認(rèn)證體系結(jié)構(gòu)。

在集中認(rèn)證系統(tǒng)投入使用之前，AAA服務(wù)器能夠獨(dú)立完成認(rèn)證、授權(quán)和審計任務(wù)。在集中認(rèn)證體系投入使用之后，AAA服務(wù)器能夠?qū)崿F(xiàn)向上級認(rèn)證服務(wù)器的認(rèn)證請求轉(zhuǎn)發(fā)，實現(xiàn)集中認(rèn)證。（2）防病毒技術(shù)病毒是系統(tǒng)中最常見、威脅最大的安全來源。我們必須有一個全方位的外聯(lián)網(wǎng)病毒防御體系，目前主要采用病毒防范系統(tǒng)解決病毒查找、清殺問題。五外聯(lián)業(yè)務(wù)平臺安全審計對進(jìn)出業(yè)務(wù)外聯(lián)平臺的訪問必須進(jìn)行審計，要求如下：

能夠生成進(jìn)出業(yè)務(wù)外聯(lián)平臺的的訪問日志

日志內(nèi)容包括訪問時間、主體和客體地址信息、訪問方式、訪問業(yè)務(wù)、訪問成敗情況、持續(xù)時間、同一訪問發(fā)起建立連接次數(shù)、本次訪問通信流量等

對所記錄的日志具有格式化的審計功能，能針對不同主體、客體、時間段、訪問成敗等情況進(jìn)行統(tǒng)計并形式化輸出

網(wǎng)絡(luò)審計，防止非法內(nèi)連和外連

數(shù)據(jù)庫審計，以更加細(xì)的粒度對數(shù)據(jù)庫的讀取行為進(jìn)行跟蹤

應(yīng)用系統(tǒng)審計，例如公文流轉(zhuǎn)經(jīng)過幾個環(huán)節(jié)，必須要有清晰的記錄

主機(jī)審計，包括對終端系統(tǒng)安裝了哪些不安全軟件的審計，并設(shè)置終端系統(tǒng)的權(quán)限等等

介質(zhì)審計，包括光介質(zhì)、磁介質(zhì)和紙介質(zhì)的審計，防止機(jī)密信息通過移動U盤、非法打印或者照相等多個環(huán)節(jié)從信息系統(tǒng)中泄密。

對重要服務(wù)器的操作要有記錄；

對外網(wǎng)（互聯(lián)網(wǎng)）連接記錄要有針對性的審計；

對網(wǎng)絡(luò)內(nèi)的流量、網(wǎng)絡(luò)設(shè)備工作狀態(tài)進(jìn)行審計；

對重要的數(shù)據(jù)庫訪問記錄要進(jìn)行有效的審計六外聯(lián)網(wǎng)絡(luò)安全管理要保障外聯(lián)網(wǎng)絡(luò)安全運(yùn)行，光靠技術(shù)控制還遠(yuǎn)遠(yuǎn)不夠，還要注意加強(qiáng)在安全管理方面的工作。就現(xiàn)階段而言，網(wǎng)絡(luò)安全最大的威脅不是來自外部，而是內(nèi)部的安全制度、操作規(guī)范和安全監(jiān)督機(jī)制。人是信息安全目標(biāo)實現(xiàn)的主體，網(wǎng)絡(luò)安全需要全體人員共同努力，避免出現(xiàn)"木桶效應(yīng)"。為此應(yīng)著重解決好幾個方面的問題。1、組織工作人員加強(qiáng)網(wǎng)絡(luò)安全學(xué)習(xí)，提高工作人員的維護(hù)網(wǎng)絡(luò)安全的警惕性和自覺性，提高保密觀念，提高安全意識，提高操作技能。2、加強(qiáng)管理，建立一套行之有效的外聯(lián)網(wǎng)絡(luò)安全管理制度和操作人員守則，建立定期檢查制度和有效的監(jiān)督體系。3、大力推進(jìn)外聯(lián)應(yīng)用軟件的標(biāo)準(zhǔn)化，研究各種安全機(jī)制，創(chuàng)造一個具有安全設(shè)置的開發(fā)環(huán)境。4、建立完善的管理制度（1）建立外聯(lián)網(wǎng)絡(luò)聯(lián)網(wǎng)規(guī)定和聯(lián)網(wǎng)操作流程。（2）建立責(zé)任分工制度，權(quán)限管理制度，明確崗位和職責(zé)，各司其職，各負(fù)其責(zé)。（3）安全監(jiān)督管理制度，是指專人對系統(tǒng)使用情況監(jiān)控，防止非法操作，對發(fā)現(xiàn)的異常情況，要采取有效措施加以控制。（4）采用必要的行政手段來落實各項安全責(zé)任，要在計算機(jī)系統(tǒng)中設(shè)置必要的審核機(jī)制，要建立嚴(yán)格的系統(tǒng)日志記錄管理機(jī)制。（5）加強(qiáng)對各類人員的安全教育，使公眾了解提高外聯(lián)網(wǎng)絡(luò)安全的必要性，自覺遵守網(wǎng)絡(luò)安全管理制度。（6）只有不斷完善和加強(qiáng)各種安全管理手段與安全技術(shù)防范，行政管理與技術(shù)方法相結(jié)合，才能有效保證網(wǎng)絡(luò)化系統(tǒng)的安全。5、建立嚴(yán)格制度的文檔（1）外聯(lián)網(wǎng)絡(luò)建設(shè)方案：網(wǎng)絡(luò)技術(shù)體制、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、設(shè)備配置、IP地址和域名分配方案等相關(guān)技術(shù)文檔；（2）機(jī)房管理制度：包括對網(wǎng)絡(luò)機(jī)房實行分域控制，保護(hù)重點(diǎn)網(wǎng)絡(luò)設(shè)備和服務(wù)器的物理安全；（3）各類人員職責(zé)分工：根據(jù)職責(zé)分離和多人負(fù)責(zé)的原則，劃分部門和人員職責(zé)。包括對領(lǐng)導(dǎo)、網(wǎng)絡(luò)管理員、安全保密員和網(wǎng)絡(luò)用戶職責(zé)進(jìn)行分工；（4）安全保密規(guī)定：制定頒布本部門計算機(jī)網(wǎng)絡(luò)安全保密管理規(guī)定；（5）網(wǎng)絡(luò)安全方案：網(wǎng)絡(luò)安全項目規(guī)劃、分步實施方案、安全監(jiān)控中心建設(shè)方案、安全等級劃分等整體安全策略；（6）安全策略文檔：建立防火墻、入侵檢測、安全掃描和防病毒系統(tǒng)等安全設(shè)備的安全配置和升級策略以及策略修改登記；（7）口令管理制度：嚴(yán)格網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)以及個人計算機(jī)的口令管理制度；（8）系統(tǒng)操作規(guī)程：對不同應(yīng)用系統(tǒng)明確操作規(guī)程，規(guī)范網(wǎng)絡(luò)行為；（9）應(yīng)急響應(yīng)方案：建立外聯(lián)網(wǎng)絡(luò)數(shù)據(jù)備份策略和安全應(yīng)急方案，確保外聯(lián)網(wǎng)絡(luò)的應(yīng)急響應(yīng)；（10）用戶授權(quán)管理：以最小權(quán)限原則對外聯(lián)網(wǎng)絡(luò)用戶劃分?jǐn)?shù)據(jù)庫等應(yīng)用系統(tǒng)操作權(quán)限，并做記錄；（11）安全防護(hù)記錄：記錄重大外聯(lián)網(wǎng)絡(luò)安全事件，對外聯(lián)網(wǎng)絡(luò)設(shè)備和安全系統(tǒng)進(jìn)行日志分析，并提出修復(fù)意見；（12）定期對系統(tǒng)運(yùn)行、用戶操作等進(jìn)行安全評估，提交外聯(lián)網(wǎng)絡(luò)安全報告。（13）其它制度還有信息發(fā)布審批、設(shè)備安裝維護(hù)管理規(guī)定、人員培訓(xùn)和應(yīng)用系統(tǒng)等，以及全面建立計算機(jī)外聯(lián)網(wǎng)絡(luò)各類文檔，堵塞安全管理漏洞。結(jié)束語：銀行外聯(lián)網(wǎng)絡(luò)安全建設(shè)不僅要有先進(jìn)的安全技術(shù)，還要有嚴(yán)謹(jǐn)?shù)墓芾碇贫?，?guī)范的操作流程才能保障銀行外聯(lián)網(wǎng)絡(luò)的安全和高效，才能徹底抵御來自外部和內(nèi)部的攻擊。本方案在充分運(yùn)用多種安全技術(shù)和安全策略的基礎(chǔ)上，還注重了安全審計和安全管理的建設(shè)，綜合提高外聯(lián)網(wǎng)絡(luò)的安全性，建設(shè)一個安全、可信、完善的銀行外聯(lián)網(wǎng)絡(luò)安全防御體系。基于接入層的網(wǎng)絡(luò)安全解決方案研究ResearchofSolutionfortheNetworkSecurityBasedontheAccessLayer曾夢良鄭雪峰Zeng,MengliangZheng,Xuefeng北京科技大學(xué)信息學(xué)院計算機(jī)系100083(SchoolofInformationComputer,USTBBeijing,Beijing100083,China)摘要：本文詳細(xì)分析了幾種攻擊手段的原理和危害，并從接入控制和業(yè)務(wù)流控制兩方面著手，以802.1X和DHCP協(xié)議為基礎(chǔ)，給出了完整的多層次的解決方案，軟件處理和硬件過濾相結(jié)合，即保證了網(wǎng)絡(luò)的安全性，又最大限度維持系統(tǒng)的高效率運(yùn)行，使得系統(tǒng)的可靠性、穩(wěn)定性、可用性都達(dá)到了一個比較高的水平。關(guān)鍵詞：802.1X，動態(tài)主機(jī)配置協(xié)議，地址解析協(xié)議，接入層，網(wǎng)絡(luò)安全Abstract:Thispaperdetailedlyanalysessomekindsofnetworkattackingmethodsandtheirharmtotheusers.Fromtheaccesscontrolandtheflowcontrolonthenetwork,thepaperpresentsacompletesolutionaimatthisattackingsbasedonthePortBasedNetworkAccessControlProtocolandtheDynamicHostConfigurationProtocol.Thesolutionunitstheprocessofsoftwareandthehardwarefilter,notonlymakessurethesecurityofthenetwork,butalsokeepsthehighefficiency.Keywords:802.1X,DHCP,ARP,AccessLayer,NetworkSecurity1引言計算機(jī)技術(shù)的提高和計算機(jī)網(wǎng)絡(luò)的廣泛使用，大大擴(kuò)展了信息資源的共享和交互，引發(fā)了意義深遠(yuǎn)的重大變革，使人們的工作、學(xué)習(xí)和生活發(fā)生了巨大的變化。然而，最初面向研究機(jī)構(gòu)的因特網(wǎng)以及相應(yīng)的TCP/IP協(xié)議是針對一個安全的環(huán)境而設(shè)計的——所有的用戶都相互信任，對開放、自由的信息交換有興趣，而對安全方面的考慮較少，因此網(wǎng)絡(luò)存在很多的安全隱患，給了黑客們可乘之機(jī)。隨著時代的發(fā)展，網(wǎng)絡(luò)上信息傳遞的信息量和重要程度都在急劇增加，網(wǎng)絡(luò)攻擊已經(jīng)成為竊取信息、破壞發(fā)展的重要手段，其程度和頻率不斷增多。在網(wǎng)絡(luò)深入到黨政辦公系統(tǒng)、金融系統(tǒng)、商用系統(tǒng)以及軍用系統(tǒng)等各個行業(yè)的今天，網(wǎng)絡(luò)安全尤為重要。本文總結(jié)了網(wǎng)絡(luò)中幾種嚴(yán)重的攻擊方式，并提供了立體的、多層次的解決方案，同時根據(jù)大部分網(wǎng)絡(luò)攻擊特點(diǎn)，將攻擊終結(jié)在接入層，大大減少了上層核心網(wǎng)絡(luò)被攻擊的風(fēng)險和業(yè)務(wù)處理負(fù)擔(dān)。本文提供的解決方案是針對接入層交換機(jī)的方案。2攻擊方式概述本文所提到的攻擊和欺騙行為主要針對鏈路層和網(wǎng)絡(luò)層。在網(wǎng)絡(luò)實際環(huán)境中，其來源可概括為兩個途徑：人為實施、病毒或蠕蟲。人為實施通常是指使用一些黑客的工具對網(wǎng)絡(luò)進(jìn)行掃描和嗅探，獲取管理帳戶和相關(guān)密碼，在網(wǎng)絡(luò)中安插木馬，從而進(jìn)一步竊取機(jī)密文件。攻擊和欺騙過程往往比較隱蔽和安靜，但對于信息安全要求高的企業(yè)危害是極大的。而來自木馬或者病毒及蠕蟲的攻擊往往會偏離攻擊和欺騙本身的目的，現(xiàn)象有時非常直接，會帶來網(wǎng)絡(luò)流量加大、設(shè)備CPU利用率過高、二層生成樹環(huán)路直至網(wǎng)絡(luò)癱瘓。2.1MAC/CAM泛洪攻擊MAC/CAM泛洪攻擊是指利用工具產(chǎn)生大量欺騙MAC，快速填滿CAM表，交換機(jī)CAM表被填滿后，流量在所有端口廣播，導(dǎo)致交換機(jī)就像共享HUB一樣工作，這時攻擊者可以利用各種嗅探攻擊獲取網(wǎng)絡(luò)信息。同時CAM表滿了后，流量以洪泛方式發(fā)送到所有接口，也就代表TRUNK接口上的流量也會發(fā)給所有接口和鄰接交換機(jī)，會造成交換機(jī)負(fù)載過大，網(wǎng)絡(luò)緩慢和丟包甚至癱瘓。2.2針對DHCP的攻擊采用DHCP協(xié)議可以自動為用戶設(shè)置網(wǎng)絡(luò)IP地址、掩碼、網(wǎng)關(guān)、DNS、WINS等參數(shù)，簡化了用戶網(wǎng)絡(luò)設(shè)置，提高了管理效率。但在DHCP管理使用上也存在著一些令網(wǎng)管人員比較頭疼的問題。DHCP報文泛洪攻擊DHCP報文泛洪攻擊是指利用工具偽造大量DHCP請求報文發(fā)送到服務(wù)器，一方面惡意耗盡了IP資源，使得合法用戶無法獲得IP資源；另一方面使得服務(wù)器高負(fù)荷運(yùn)行，無法響應(yīng)合法用戶的請求，造成網(wǎng)絡(luò)故障。DHCPServer欺騙攻擊由于DHCP協(xié)議在設(shè)計的時候沒有考慮到客戶端和服務(wù)器端之間的認(rèn)證機(jī)制，如果網(wǎng)絡(luò)上存在多臺DHCP服務(wù)器將會給網(wǎng)絡(luò)照成混亂。通常黑客攻擊是首先將正常的DHCP服務(wù)器所能分配的IP地址耗盡，然后冒充合法的DHCP服務(wù)器。最為隱蔽和危險的方法是黑客利用冒充的DHCP服務(wù)器，為用戶分配一個經(jīng)過修改的DNSserver，在用戶毫無察覺的情況下被引導(dǎo)至預(yù)先配置好的假金融網(wǎng)站或電子商務(wù)網(wǎng)站，騙取用戶帳戶和密碼，這種攻擊后果是非常嚴(yán)重的。2.3針對ARP攻擊IP數(shù)據(jù)包是Internet的血液，IP報文要發(fā)送到目的地，不管是IP數(shù)據(jù)的源主機(jī)，還是中間的轉(zhuǎn)發(fā)網(wǎng)絡(luò)設(shè)備，其重要職責(zé)都是兩個方面：（1）確定IP的下一跳；（2）通過鏈路層將報文發(fā)送給下一跳。任務(wù)（1）是由路由管理以及為路由管理提供素材的路由協(xié)議完成的，本文不討論這方面的相關(guān)內(nèi)容。任務(wù)（2）的完成重要的一個環(huán)節(jié)就是ARP。ARP作為IP層和鏈路層之間的聯(lián)系紐帶，其作用和責(zé)任非常重大，最主要的使命就是確定IP地址對應(yīng)的鏈路層地址（MAC地址）。但是由于特定的歷史原因，ARP協(xié)議在設(shè)計的時候也沒有考慮到安全因素，因此黑客可以很輕易的針對ARP協(xié)議的漏洞發(fā)起攻擊，輕松竊取到網(wǎng)絡(luò)信息。2.3.1ARP流量攻擊ARP流量攻擊的方式多種多樣，比如偽造大量ARP請求，偽造大量ARP應(yīng)答，偽造目的IP不存在的IP報文等等，其最終目的只有一個：增加網(wǎng)絡(luò)中ARP報文的流量，浪費(fèi)交換機(jī)CPU帶寬和資源，浪費(fèi)內(nèi)存資源，造成CPU繁忙，產(chǎn)生丟包現(xiàn)象，嚴(yán)重的甚至造成網(wǎng)絡(luò)癱瘓。2.3.2ARP欺騙攻擊根據(jù)ARP協(xié)議的設(shè)計，為了減少網(wǎng)絡(luò)上過多的ARP數(shù)據(jù)通信，一個主機(jī)即使收到非本機(jī)的ARP應(yīng)答，也會對其進(jìn)行學(xué)習(xí)，這樣，就造成了“ARP欺騙”的可能。如果黑客想探聽同一網(wǎng)絡(luò)中兩臺主機(jī)之間的通信（即使是通過交換機(jī)相連），他會分別給這兩臺主機(jī)發(fā)送一個ARP應(yīng)答包，讓兩臺主機(jī)都“誤”認(rèn)為對方的MAC地址是第三方的黑客所在的主機(jī)，這樣，雙方看似“直接”的通信連接，實際上都是通過黑客所在的主機(jī)間接進(jìn)行的。黑客一方面得到了想要的通信內(nèi)容，另一方面，只需要更改數(shù)據(jù)包中的一些信息，成功地做好轉(zhuǎn)發(fā)工作即可。同時黑客連續(xù)不斷地向這兩臺主機(jī)發(fā)送這種虛假的ARP響應(yīng)包，讓這兩臺主機(jī)一直保存錯誤的ARP表項，使其可以一直探聽這兩臺主機(jī)之間的通信。圖一ARP欺騙示意圖圖一ARP欺騙示意圖在攻擊者發(fā)送ARP欺騙報文后，網(wǎng)絡(luò)傳輸效果圖如下，A和C直接的通信實際是A發(fā)給B，再由B轉(zhuǎn)發(fā)給C。只要B做好轉(zhuǎn)發(fā)工作，就可以毫無聲息的達(dá)到竊聽的目的。圖二ARP攻擊效果圖2.4IP/MAC欺騙攻擊常見的欺騙種類有MAC欺騙、IP欺騙、IP/MAC欺騙，黑客可以偽造源地址進(jìn)行攻擊，例如：以公網(wǎng)上的DNS服務(wù)器為目標(biāo)，希望通過使DNS服務(wù)器對偽造源地址的響應(yīng)和等待，造成DOS攻擊，并以此擴(kuò)大攻擊效果。此外IP/MAC欺騙的另一個目的為了偽造身份或者獲取針對IP/MAC的特權(quán)。3綜合安全解決方案本文針對上述攻擊手段，提出了完整的多層次保護(hù)解決方案。本方案在設(shè)計時，遵循以下原則：1)完整性原則：完整性是指信息沒有遭受到以未授權(quán)方式所作的篡改和（或）未經(jīng)授權(quán)的使用；2)保障系統(tǒng)運(yùn)行性能原則：在保證安全的前提下，最大限度的服務(wù)于系統(tǒng)的高效率運(yùn)行，要最大限度地保證系統(tǒng)的可靠性、穩(wěn)定性、可用性。安全方案示意圖如下：圖三安全解決方案示意圖上述攻擊方式使用傳統(tǒng)的防火墻防范很難達(dá)到一個滿意的效果，因此本文提出的新的解決方案另辟蹊徑，從接入層入手，分2個層次，全方位防范多種攻擊。3.1訪問控制 為了便于管理和控制，所有用戶通過DHCP協(xié)議獲取IP地址和相應(yīng)的配置，但是在獲取到合法配置之前，用戶必須通過802.1X認(rèn)證。如上圖所示，用戶首先向所屬網(wǎng)絡(luò)的802.1X認(rèn)證服務(wù)器發(fā)起認(rèn)證，待認(rèn)證通過后，再通過DHCP協(xié)議獲取網(wǎng)絡(luò)上DHCPServer提供的各種配置，如IP地址、掩碼、網(wǎng)關(guān)、DNS等等。 本文所提供的解決方案創(chuàng)新點(diǎn)如下：1)利用DHCP報文中的Option字段（如Option82），在Server端配置相應(yīng)的策略，可以動態(tài)靈活的下發(fā)相應(yīng)配置，滿足各種業(yè)務(wù)或安全需求。典型例子：在一個基于IP地址訪問控制的網(wǎng)絡(luò)中，在DHCP客戶端的Option字段中加上MAC地址和所屬VLAN等信息，Server端分配相應(yīng)的有特定訪問權(quán)限的IP地址段。通過此種方式大大提高了網(wǎng)絡(luò)的安全性和訪問控制的靈活性。2)IEEE802.1X的標(biāo)準(zhǔn)是一個基于端口的訪問控制協(xié)議，其基本要求是對用戶接入端口進(jìn)行控制，這對無線接入訪問點(diǎn)而言是足夠的，因為一個用戶占用一個信道。但在很多場合，以端口為對象的控制粒度難以滿足要求。如上圖所示，有多個用戶通過HUB與接入層交換機(jī)相連，如果這個端口上有一個用戶通過了認(rèn)證，那么這個端口上的其它未認(rèn)證用戶也可以正常使用網(wǎng)絡(luò)，隨之而來的是巨大的安全隱患。本解決方案將802.1X認(rèn)證擴(kuò)展為基于MAC地址邏輯端口的認(rèn)證，控制粒度為用戶，非常靈活。3)用戶通過DHCP獲取IP地址等配置信息的過程中，接入層交換機(jī)會記錄下合法用戶的IP、MAC、VLAN和端口號一系列信息（Snooping表項），后面所提出的針對具體攻擊的防范方法都是基于此合法表項。需要說明一點(diǎn)的是，如果允許用戶不同過DHCP而是靜態(tài)配置IP地址等配置信息，也支持在接入層交換機(jī)靜態(tài)綁定一個合法表項。 認(rèn)證機(jī)制從源頭上就阻止了大量非法用戶入侵的可能，但是對于通過認(rèn)證的用戶的惡意或者因為感染病毒而發(fā)起的攻擊行為，僅僅這一層防護(hù)是不夠的，因此還需要本解決方案的業(yè)務(wù)流控制部分。