銀行網(wǎng)絡(luò)安全設(shè)計(jì)方案

目錄1銀行系統(tǒng)的安全設(shè)計(jì) 11.1銀行網(wǎng)絡(luò)基本狀況 11.2鎮(zhèn)銀行各部門分派 11.3銀行網(wǎng)絡(luò)安全現(xiàn)實(shí)狀況 21.4現(xiàn)象分析 52銀行系統(tǒng)的網(wǎng)絡(luò)拓?fù)鋱D及闡明 63銀行系統(tǒng)的網(wǎng)絡(luò)安全布署圖及闡明 73.1敏感數(shù)據(jù)區(qū)的保護(hù) 73.2通迅線路數(shù)據(jù)加密 73.3防火墻自身的保護(hù) 84系統(tǒng)的網(wǎng)絡(luò)設(shè)備選型及闡明 94.1關(guān)鍵層互換機(jī) 94.2匯聚層互換機(jī) 94.3接入層互換機(jī) 104.4路由器 104.5防火墻 114.6服務(wù)器 125安全配置闡明 125.1防火墻技術(shù) 125.2網(wǎng)絡(luò)防病毒體系 135.3網(wǎng)絡(luò)入侵檢測技術(shù) 135.4網(wǎng)絡(luò)安全審計(jì)技術(shù) 135.5VPN技術(shù) 14總結(jié) 15銀行系統(tǒng)的安全設(shè)計(jì)1.1銀行網(wǎng)絡(luò)基本狀況伴隨信息技術(shù)的發(fā)展，社會的信息化程度提高了，網(wǎng)絡(luò)銀行、電子銀行出現(xiàn)了，整個銀行業(yè)、金融業(yè)都依賴于信息系統(tǒng)。交易網(wǎng)絡(luò)化、系統(tǒng)化、迅速化和貨幣數(shù)字經(jīng)是目前金融業(yè)的特點(diǎn)，這對金融信息系統(tǒng)的安全保密性提出了嚴(yán)格的規(guī)定。金融信息系統(tǒng)必須保證金融交易的機(jī)密性、完整性、訪問控制、鑒別、審計(jì)、追蹤、可用性、抗抵賴性和可靠性。為了適應(yīng)金融業(yè)的需要，各家銀行都投資建網(wǎng)。不過，由于多種原因的制約，網(wǎng)絡(luò)的安全體系不完善，安全措施不完備，存在嚴(yán)重的安全漏洞和安全隱患。這些安全漏洞和隱患有也許導(dǎo)致中國的金融風(fēng)暴，給國家?guī)碇卮髶p失，因此必須采用強(qiáng)有力的措施，處理銀行網(wǎng)絡(luò)的安全問題。某鎮(zhèn)浦發(fā)銀行系統(tǒng)在鎮(zhèn)中共有兩處營業(yè)點(diǎn)，其中一營業(yè)點(diǎn)與鎮(zhèn)分理處相距1500米，重要有一層樓用于銀行辦理業(yè)務(wù)，另一營業(yè)點(diǎn)與分理處在一處辦公，是二層樓，一層是營業(yè)點(diǎn)，二層是分理處，各司其職。1.2鎮(zhèn)銀行各部門分派1.2.1企業(yè)業(yè)務(wù)部重要負(fù)責(zé)對公業(yè)務(wù)，審核等。1.2.2個人業(yè)務(wù)部重要負(fù)責(zé)個人業(yè)務(wù)，居民儲蓄，審核。1.2.3國際業(yè)務(wù)部重要負(fù)責(zé)國際打包放款，國際電匯，外匯結(jié)算等。1.2.4資金營運(yùn)部重要是資金結(jié)算。1.2.5信貸審批部負(fù)責(zé)各類貸款審批等。1.2.6風(fēng)險(xiǎn)管理部就是在銀行評估、管理、處理業(yè)務(wù)風(fēng)險(xiǎn)的部門。銀行的業(yè)務(wù)風(fēng)險(xiǎn)重要有：信貸的還款風(fēng)險(xiǎn)、會計(jì)的結(jié)算風(fēng)險(xiǎn)、新業(yè)務(wù)的試水風(fēng)險(xiǎn)、財(cái)務(wù)的管理風(fēng)險(xiǎn)、業(yè)務(wù)文獻(xiàn)的法律風(fēng)險(xiǎn)等等。所有這些風(fēng)險(xiǎn)的控制，尤其是前三類業(yè)務(wù)的風(fēng)險(xiǎn)控制，都是由風(fēng)險(xiǎn)管理部牽頭制定處理措施的。1.2.7會計(jì)結(jié)算部安全防備為主題，強(qiáng)化會計(jì)結(jié)算基礎(chǔ)管理工作，攬存增儲、中間業(yè)務(wù)、保險(xiǎn)、基金等各項(xiàng)任務(wù)，全員的防備意識、業(yè)務(wù)素質(zhì)、核算質(zhì)量、服務(wù)技能工作，加強(qiáng)管理、監(jiān)督、檢查與輔導(dǎo)，指導(dǎo)全員嚴(yán)格按照規(guī)章制度和操作流程辦理業(yè)務(wù)，加強(qiáng)人員培訓(xùn)，提高業(yè)務(wù)素質(zhì)和核算質(zhì)量。1.2.8出納保衛(wèi)部重要負(fù)責(zé)現(xiàn)金管理、安全檢查、監(jiān)控管理、消防安全等安保工作。1.2.9科技部重要負(fù)責(zé)銀行計(jì)算機(jī)軟硬件方面的維護(hù)。1.2.10人力資源部重要負(fù)責(zé)銀行內(nèi)部人員的考勤。1.3銀行網(wǎng)絡(luò)安全現(xiàn)實(shí)狀況1.3.1浦發(fā)銀行安全現(xiàn)實(shí)狀況目前，信息襲擊技術(shù)發(fā)展很快，襲擊手段層出不窮，但銀行網(wǎng)絡(luò)日前的安全措施大部分僅是保密，很少采用數(shù)字簽名，認(rèn)證機(jī)制不健全，這完全不適應(yīng)現(xiàn)代金融系統(tǒng)的安全需求。詳細(xì)表目前如下五個方面：1）有投入，有人員，但投入不夠，人員不固定。遇有沖突，立即舍棄；只求速上，不求正常、配套、協(xié)調(diào)建設(shè)，從主線上沒有變化此前輕視安全的做法。2）對整個網(wǎng)絡(luò)建設(shè)缺乏深入、細(xì)致、詳細(xì)的安全體系研究，更缺乏建立安全體系的迫切性。3）有制度、措施、原則，但不完備，也沒有認(rèn)真執(zhí)行，大部分流于形式，缺乏安全宣傳教育。4）缺乏有效的監(jiān)督檢查措施。5）從主線上沒有處理好發(fā)展與安全的關(guān)系。1.3.2浦發(fā)銀行網(wǎng)絡(luò)系統(tǒng)所面臨的安全威脅和風(fēng)險(xiǎn)由于金融信息系統(tǒng)中處理、傳播、存貯的都是金融信息，對其進(jìn)行襲擊將獲得巨額的金錢，并且，對金融信息系統(tǒng)的襲擊，也許導(dǎo)致國家經(jīng)濟(jì)命脈的癱瘓和國家經(jīng)濟(jì)的瓦解，因此金融信息系統(tǒng)面臨著巨大的風(fēng)險(xiǎn)和威脅。銀行網(wǎng)絡(luò)系統(tǒng)面臨的襲擊手段較多，既有來自外部的，也有來自內(nèi)部的。由于對銀行網(wǎng)絡(luò)系統(tǒng)的襲擊可以獲得較大的經(jīng)濟(jì)、政治、軍事利益，因此銀行網(wǎng)絡(luò)系統(tǒng)成為敵對國家、犯罪集團(tuán)、高智商犯罪分子的首選襲擊目的。針對信息系統(tǒng)的新型襲擊手段應(yīng)運(yùn)而生，多種被動襲擊手段、積極襲擊手段層出不窮。襲擊者運(yùn)用多種高科技手段和儀器，運(yùn)用網(wǎng)絡(luò)協(xié)議自身的不安全性，路由器、口令文獻(xiàn)、X11、Gopher的安全隱患，JavaApplet、Activex，CGI，數(shù)據(jù)庫的安全隱患和其他計(jì)算機(jī)軟硬件產(chǎn)品的不安全性，對信息系統(tǒng)實(shí)行襲擊。對于金融信息系統(tǒng)，更嚴(yán)重的威脅來自多種積極襲擊手段。積極襲擊手段較多，如偽造票據(jù)、假冒客戶、交易信息篡改與重放、交易信息銷毀、交易信息欺詐與抵賴、非授權(quán)訪問、網(wǎng)絡(luò)間諜、“黑客”人侵、病毒傳播、特洛伊木馬、蠕蟲程序、邏輯炸彈等。這些襲擊完全能導(dǎo)致金融信息系統(tǒng)癱瘓、資金流失或失蹤。這些襲擊也許來自內(nèi)部，也也許來自外部。多種襲擊將給金融信息系統(tǒng)導(dǎo)致如下幾種危害：1）非法訪問：銀行網(wǎng)絡(luò)是一種遠(yuǎn)程互連的金融網(wǎng)絡(luò)系統(tǒng)。既有網(wǎng)絡(luò)系統(tǒng)運(yùn)用操作系統(tǒng)網(wǎng)絡(luò)設(shè)備進(jìn)行訪問控制，而這些訪問控制強(qiáng)度較弱，襲擊者可以在任一終端運(yùn)用既有的大量襲擊工具發(fā)起襲擊；由于整個網(wǎng)絡(luò)通過公用網(wǎng)絡(luò)互連同樣存在終端進(jìn)行襲擊的也許；另首先銀行開發(fā)的諸多增值業(yè)務(wù)、代理業(yè)務(wù)，存在大量與外界互連的接口這些接口目前沒有強(qiáng)的安全保護(hù)措施存在外部網(wǎng)絡(luò)通過這些接口襲擊銀行，也許導(dǎo)致巨大損失。2）竊取PIN/密鑰等敏感數(shù)據(jù)：銀行信用卡系統(tǒng)和柜臺系統(tǒng)采用的是軟件加密的形式保護(hù)關(guān)鍵數(shù)據(jù)，軟件加密采用的是公開加密算法（DES），因此安全的關(guān)鍵是對加密密鑰的保護(hù)，而軟件加密最大的安全隱患是無法安全保留加密密鑰，程序員可修改程序使其運(yùn)行得到密鑰從而得到主機(jī)中敏感數(shù)據(jù)。3)假冒終端/操作員：銀行網(wǎng)絡(luò)中存在大量遠(yuǎn)程終端通過公網(wǎng)與銀行業(yè)務(wù)前置機(jī)相連國內(nèi)銀行以出現(xiàn)多起在傳播線路上搭接終端的案例。銀行網(wǎng)絡(luò)同樣存在大量類似安全隱患。既有操作員身份識別唯一，但口令的安全性非常弱因此存在大量操作員假冒的安全風(fēng)險(xiǎn)。4)截獲和篡改傳播數(shù)據(jù)：銀行既有網(wǎng)絡(luò)系統(tǒng)通過公網(wǎng)傳播大量的數(shù)據(jù)沒有加密，由于信息量大且采用的是開放的TCP/IP，既有的許多工具可以很輕易的截獲、分析甚至修改信息，主機(jī)系統(tǒng)很輕易成為被襲擊對象。5)網(wǎng)絡(luò)系統(tǒng)也許面臨病毒的侵襲和擴(kuò)散的威脅：黑客侵?jǐn)_類似于網(wǎng)絡(luò)間諜，但前者沒有政治和經(jīng)濟(jì)目的，運(yùn)用自己精通計(jì)算機(jī)知識，運(yùn)用他人編程的漏洞，侵入金融信息系統(tǒng)，調(diào)閱多種資料，篡改他人的資料，將機(jī)密信息在公用網(wǎng)上散發(fā)廣播等。計(jì)算機(jī)病毒是一種依附在多種計(jì)算機(jī)程序中的一段具有破壞性、能自我繁衍的計(jì)算機(jī)程序，它通過軟盤、終端或其他方式進(jìn)入計(jì)算機(jī)系統(tǒng)或計(jì)算機(jī)網(wǎng)絡(luò)，引起整個系統(tǒng)或網(wǎng)絡(luò)紊亂，甚至導(dǎo)致癱瘓。6)其他安全風(fēng)險(xiǎn)：重要有系統(tǒng)安全（重要有操作系統(tǒng)、數(shù)據(jù)庫的安全配置）以及系統(tǒng)的安全備份等。1.3.3浦發(fā)銀行網(wǎng)絡(luò)系統(tǒng)安全分析1)沒有較完善的安全體系：目前，銀行網(wǎng)絡(luò)系統(tǒng)的問題緣自沒有進(jìn)行安全體系的研究。采用的安全方案比較單一，僅能防止從信道上偵收信息，不能制止來自業(yè)務(wù)系統(tǒng)和顧客的網(wǎng)絡(luò)襲擊，不能適應(yīng)銀行網(wǎng)絡(luò)系統(tǒng)的安全需求。2)沒有較完備的安全保密措施：由于銀行網(wǎng)絡(luò)系統(tǒng)沒有較完善的安全體系，采用的安全措施不完備，不能防御所有的威脅和襲擊。3)沒有建立安全防止中心：目前，銀行網(wǎng)絡(luò)系統(tǒng)沒有建立全網(wǎng)的安全監(jiān)控預(yù)警系統(tǒng)，或稱為安全防預(yù)中心。全網(wǎng)的安全監(jiān)控預(yù)警系統(tǒng)備有先進(jìn)的安全技術(shù)和設(shè)備，監(jiān)察網(wǎng)上的異?；顒?、非安全活動，監(jiān)視骨干網(wǎng)、骨干網(wǎng)設(shè)備及信息與否安全。全網(wǎng)的安全監(jiān)控預(yù)警系統(tǒng)負(fù)責(zé)安排骨干網(wǎng)的安全技術(shù)設(shè)備、措施和程序，如多種跟蹤、預(yù)警和記錄黑客、破壞者活動和重大活動。網(wǎng)絡(luò)間沒有配置對應(yīng)的防火墻:在銀行內(nèi)部各個業(yè)務(wù)部門網(wǎng)絡(luò)之間、在等級不一的各安全區(qū)之間、在不一樣業(yè)務(wù)系統(tǒng)之間、在不一樣數(shù)據(jù)庫之間、從不一樣金融機(jī)構(gòu)進(jìn)入，一般應(yīng)有5～7道安全措施。而在銀行網(wǎng)絡(luò)系統(tǒng)中，沒有層層設(shè)防的安全措施，如配置對應(yīng)的防火墻。5)沒有采用先進(jìn)的硬件和軟件加密技術(shù)和設(shè)備：銀行的業(yè)務(wù)系統(tǒng)、網(wǎng)絡(luò)和通信均有各自先進(jìn)的軟件加密和硬件加密，并且還應(yīng)用了第三代、第四代加密技術(shù)。業(yè)務(wù)系統(tǒng)、網(wǎng)絡(luò)和通信采用不一樣商家的安全保密產(chǎn)品。目前，銀行網(wǎng)絡(luò)系統(tǒng)只在遠(yuǎn)程通信采用了加密措施，設(shè)有專用的硬件和軟件加密技術(shù)和設(shè)備。6)沒有配置反病毒的安全措施：由于網(wǎng)上病毒的增長，破壞性日益增大，金融機(jī)構(gòu)都強(qiáng)化了反病毒的安全措施，包括過濾通信中的信息病毒、電子郵件中的病毒、WWW中的病毒，對網(wǎng)絡(luò)及網(wǎng)絡(luò)上的設(shè)備系統(tǒng)進(jìn)行反病毒的掃描。銀行網(wǎng)絡(luò)系統(tǒng)沒有配置網(wǎng)絡(luò)反病毒的監(jiān)管系統(tǒng)。7)在互換機(jī)上沒有設(shè)置足夠的安全措施：ATM和幀中繼互換機(jī)是網(wǎng)絡(luò)和通信的要害設(shè)備。外國金融機(jī)構(gòu)極為重視互換機(jī)的安全措施，用安全防預(yù)中心的設(shè)備對互換機(jī)進(jìn)行三A控制，即鑒別、授權(quán)、審計(jì)。我國銀行網(wǎng)絡(luò)沒有在所有互換機(jī)上設(shè)置完整的三A安全控制。1.4現(xiàn)象分析浦發(fā)銀行系統(tǒng)在鎮(zhèn)中共有兩處營業(yè)點(diǎn)，其中一營業(yè)點(diǎn)與鎮(zhèn)分理處相距1500米，因此兩銀行之間用光纖連接；該銀行共有14個部門，每個部門都在不一樣的vlan中，通過對互換機(jī)的設(shè)置，不一樣vlan間不能互相訪問，保證銀行網(wǎng)絡(luò)的數(shù)據(jù)信息安全；該銀行人力資源部門設(shè)有指紋檢測系統(tǒng)，銀行內(nèi)部的人員每天都要在指紋檢測器上按指紋。其中個人業(yè)務(wù)部、資金營運(yùn)部、風(fēng)險(xiǎn)管理部、計(jì)財(cái)部、會計(jì)總結(jié)部和人力資源部在營業(yè)點(diǎn)的一樓，企業(yè)業(yè)務(wù)部、國際業(yè)務(wù)部、信貸審批部、合規(guī)部、出納保衛(wèi)部、科技部和內(nèi)審部在分理處的二樓，總共有19個房間，每個房間四個數(shù)據(jù)點(diǎn)和四個語音點(diǎn)，共76個數(shù)據(jù)點(diǎn)和76個語音點(diǎn)，需要兩個關(guān)鍵互換機(jī)，兩個匯聚互換機(jī)，四個接入互換機(jī)，一臺路由器，一種防火墻，一種FTP服務(wù)器，一種WEB服務(wù)器，供銀行內(nèi)部人員上傳和下載資料，個人業(yè)務(wù)部內(nèi)個人儲蓄的信息所有計(jì)算機(jī)都可以共享。二．銀行系統(tǒng)的網(wǎng)絡(luò)拓?fù)鋱D及闡明在本方案中我們從浦發(fā)銀行多種業(yè)務(wù)和各個部門的連接進(jìn)行網(wǎng)絡(luò)安全面的設(shè)計(jì)。在網(wǎng)絡(luò)的對外出口處以及內(nèi)部各部門的連接都設(shè)置防火墻將是最理想的選擇，因此我們在本方案中提議浦發(fā)銀行在所有與外部網(wǎng)出口都配置NetScreen系列防火墻，以及在總行與分行的業(yè)務(wù)網(wǎng)的連接處也配置防火墻，對外防止黑客入侵，對內(nèi)以防止內(nèi)部人員的惡意襲擊或由于內(nèi)部人員導(dǎo)致的網(wǎng)絡(luò)安全問題。本方案中重要用到NetScreen-10和NetScreen-100，在總部與各部門連接點(diǎn)采用NetScreen-100作為防火墻，同步在重要的業(yè)務(wù)連接點(diǎn)采用NetScreen獨(dú)特的多機(jī)備份技術(shù)用兩臺作為熱備份，保證整個系統(tǒng)的網(wǎng)絡(luò)安全。在各部門采用NetScreen-10防火墻，為連接各銀行網(wǎng)點(diǎn)提供安全防護(hù)。另銀行通過INTERNET網(wǎng)上進(jìn)行業(yè)務(wù)時(shí)，由于分行與INTERNE均有出口，也帶來了一定的風(fēng)險(xiǎn)，我們提議在連接INTERNET的出口上也配置NetScreen-10防火墻。防火墻防火墻 H3CRT-MSR3020-AC-H3服務(wù)器服務(wù)器H3cs5500-24P-SIH3cs5500-24P-SIH3cs5500-24P-SIH3cs5500-24P-SIH3cLS-3600-28P-SIH3cLS-3600-28P-SIH3cLS-3600-28P-SIH3cLS-3600-28P-SIH3CLS-5024P-LI-AC圖2-1網(wǎng)絡(luò)拓?fù)鋱D銀行系統(tǒng)的網(wǎng)絡(luò)安全布署圖及闡明3.1敏感數(shù)據(jù)區(qū)的保護(hù)銀行系統(tǒng)內(nèi)存在許多敏感數(shù)區(qū)域（如銀行業(yè)務(wù)系統(tǒng)主機(jī)等），這些敏感的數(shù)據(jù)區(qū)域規(guī)定嚴(yán)格保密，對訪問的權(quán)限有嚴(yán)格的限制，但所有的主機(jī)處在同一種網(wǎng)絡(luò)系統(tǒng)之內(nèi)，如不加以控制，這樣很輕易導(dǎo)致網(wǎng)內(nèi)及網(wǎng)外的惡意襲擊，因此在這些數(shù)據(jù)區(qū)域的出入口要加以嚴(yán)格控制，在這些地方放置防火墻，防火墻執(zhí)行如下控制功能。3.1.1對來訪數(shù)據(jù)包進(jìn)行過濾，只容許驗(yàn)證合法主機(jī)數(shù)據(jù)包通過，嚴(yán)禁一切非授權(quán)主機(jī)訪問。3.1.2對來訪顧客進(jìn)行驗(yàn)證。防上非法顧客侵入。3.1.3運(yùn)用網(wǎng)絡(luò)地址轉(zhuǎn)換及應(yīng)用代理使數(shù)據(jù)存儲區(qū)域與業(yè)務(wù)前端主機(jī)隔離，業(yè)務(wù)前端主機(jī)不直接與數(shù)據(jù)存儲區(qū)域建立網(wǎng)絡(luò)連接，所有的數(shù)據(jù)訪問通過防火墻的應(yīng)用代理完畢，以保證數(shù)據(jù)存儲區(qū)域的安全。主機(jī)前端業(yè)務(wù)系統(tǒng)及業(yè)務(wù)處理系統(tǒng) 主機(jī)前端業(yè)務(wù)系統(tǒng)及業(yè)務(wù)處理系統(tǒng)NetScreen-100互換機(jī)NetScreen-100互換機(jī)主機(jī)主機(jī)圖3-1敏感數(shù)據(jù)區(qū)保護(hù)方案3.2通迅線路數(shù)據(jù)加密在銀行的廣域網(wǎng)傳播系統(tǒng)中，從總行到分行、分行到支行、支行到分理處等，廣泛應(yīng)用到幀中繼、X.25、DDN、PSTN等等之類的通用線路，但這些線路大多數(shù)都是由通訊企業(yè)提供，與許多顧客在一套系統(tǒng)上使用他們的業(yè)務(wù)，由于這些線路都是暴露在公共場所，這樣很輕易導(dǎo)致數(shù)據(jù)被盜。傳播數(shù)據(jù)當(dāng)中假如不進(jìn)行數(shù)據(jù)加密，后果可想而知。因此對數(shù)據(jù)傳播加密這是一非常重要的環(huán)節(jié)。對網(wǎng)絡(luò)數(shù)據(jù)加密大體分為如下幾處區(qū)域：3.2.1應(yīng)用層加密建立應(yīng)用層加密，應(yīng)用程序?qū)ν饨缁Q數(shù)據(jù)時(shí)進(jìn)行數(shù)據(jù)加密。重要長處是使用以便、網(wǎng)絡(luò)中數(shù)據(jù)從源點(diǎn)到終點(diǎn)均得到保護(hù)、加密對網(wǎng)絡(luò)節(jié)點(diǎn)透明。缺陷是某些信息必須以明文形式傳播，輕易被分析。此種加密已被廣泛應(yīng)用于各應(yīng)用程序當(dāng)中，并有對應(yīng)的原則。3.2.2基于網(wǎng)絡(luò)層的數(shù)據(jù)加密在總部到各分行，以及分行到支行提議采用VPN加密技術(shù)進(jìn)行數(shù)據(jù)加密。VPN是通過原則的加密算法，對傳播數(shù)據(jù)進(jìn)行加密，在公用網(wǎng)上建立數(shù)據(jù)傳播的加密“隧道”。加密實(shí)現(xiàn)是在IP層，與詳細(xì)的廣域網(wǎng)協(xié)議無關(guān)，也就是說適應(yīng)不一樣的廣域網(wǎng)信道（DDN、X.25、幀中繼、PSTN等）。由于VPN技術(shù)已經(jīng)擁有原則，因此所有的VPN產(chǎn)品可以實(shí)現(xiàn)互通。當(dāng)然，銀行可根據(jù)自身的需要，可選用專用加密設(shè)備進(jìn)行數(shù)據(jù)傳播加密。分行業(yè)務(wù)系統(tǒng)總業(yè)務(wù)系統(tǒng)分行業(yè)務(wù)系統(tǒng)總業(yè)務(wù)系統(tǒng)NetScreen-100DDN/FRNetScreen-100NetScreen-100DDN/FRNetScreen-100 數(shù)據(jù)加密通道 圖3-2運(yùn)用VPN技術(shù)對數(shù)據(jù)傳播進(jìn)行加密3.3防火墻自身的保護(hù)要保護(hù)網(wǎng)絡(luò)安全，防火墻自身要保證安全，由于系統(tǒng)供電、硬件故障等特殊狀況的發(fā)生，使防火墻系統(tǒng)癱瘓，嚴(yán)重阻礙網(wǎng)絡(luò)通訊，網(wǎng)絡(luò)的安全就無法保證，因此規(guī)定防求防火墻有冗余措施及足夠防襲擊的能力。NetScreen-100互換機(jī)DMZ區(qū)NetScreen-100互換機(jī)DMZ區(qū)外網(wǎng)互換機(jī)外網(wǎng)互換機(jī)NetScreen-100互換機(jī)內(nèi)網(wǎng)NetScreen-100互換機(jī)內(nèi)網(wǎng)圖3-3防火墻雙機(jī)備份方案四.系統(tǒng)的網(wǎng)絡(luò)設(shè)備選型及闡明4.1關(guān)鍵層互換機(jī)型號：H3CS5500-24P-SI價(jià)格：￥8800互換機(jī)：千兆以太網(wǎng)互換機(jī)應(yīng)用層級：三層互換傳播速率：10/100/1000互換機(jī)接口：10/100/1000MSFPCombo網(wǎng)管功能：支持XModem/FTP/TFTP加載升級、支持命令行接口（CLI）,Telnet,Console口進(jìn)行配置、支持SNMPv1/v2/v3,WEB網(wǎng)管、支持RMON(RemoteMonitoring)告警、事件、歷史記錄、支持iMC智能管理中心、支持系統(tǒng)日志,分級告警,調(diào)試信息輸出、支持HGMPv2、支持NTP、支持電源的告警功能，風(fēng)扇、溫度告警、支持Ping、Tracert、支持VCT、(VirtualCableTest)電纜檢測功能、支持DLDP(DeviceLinkDetectionProtocol)單向鏈路檢測協(xié)議、支持Loopback-detection端口環(huán)回檢測背板帶寬：192Gbps4.2匯聚層互換機(jī)型號：H3CLS-3600-28P-SI價(jià)格：￥4900互換機(jī)：千兆以太網(wǎng)互換機(jī)應(yīng)用層級：三層傳播速率：10/100/1000互換機(jī)接口：10/100BASE-T,1000BASE-SFP網(wǎng)管功能：支持命令行接口配置,支持Telnet遠(yuǎn)程配置,支持通過Console口配置,支持SNMP,支持WEB網(wǎng)管,支持系統(tǒng)日志,支持分級告警背板帶寬：32Gbps包轉(zhuǎn)發(fā)率：9.6MppsMAC地址表：16KVLAN功能：支持網(wǎng)管支持：可網(wǎng)管型端口構(gòu)造：固定端口接口數(shù)量：24個網(wǎng)絡(luò)原則：IEEE802.1D,IEEE802.1w,IEEE802.1s模塊化插槽數(shù)：4個堆疊功能：不可堆疊4.3接入層互換機(jī)型號：H3CLS-5024P-LI-AC價(jià)格：￥3650互換機(jī)：企業(yè)級互換機(jī)應(yīng)用層級：二層傳播速率：10/100/1000互換機(jī)接口：10/100/1000Base-T,SFP網(wǎng)管功能：支持命令行接口CLI（CommandLineInterface）配置,支持通過Console口配置,支持WEB網(wǎng)管背板帶寬：48Gbps包轉(zhuǎn)發(fā)率：36MppsMAC地址表：8KVLAN功能：支持網(wǎng)管支持：可網(wǎng)管型端口構(gòu)造：固定端口接口數(shù)量：24個網(wǎng)絡(luò)原則：IEEE802.1d,IEEE802.1x,IEEE802.3,IEEE802.3u,IEEE802.3x,IEEE802.3z,IEEE802.1Q,IEEE802.1p模塊化插槽數(shù)：4個堆疊功能：不可堆疊4.4路由器型號：H3CRT-MSR3020-AC-H3價(jià)格：￥7900路由器類型：企業(yè)級路由器路由器網(wǎng)管：網(wǎng)絡(luò)管理,當(dāng)?shù)毓芾?顧客接入管理局域網(wǎng)接口：2個千兆以太電口傳播速率：10/100/1000Mbps防火墻功能：內(nèi)置端口構(gòu)造：模塊化路由器包轉(zhuǎn)發(fā)率：200KPPS安全原則：UL609503rdEdition,CSA22.2#9503rdEdition1995,EN60950:+ZB&ZCdeviationsforEuropeanUnionLVDDirective,IEC60950:1999+corr.Feb.,modified+allNationaldeviationsVPN功能：支持VPN擴(kuò)展插槽：11個其他控制端口：Console路由器網(wǎng)絡(luò)協(xié)議：IP服務(wù),非IP服務(wù),IP應(yīng)用,IP路由,MPLS,IPv6,廣域網(wǎng)協(xié)議,局域網(wǎng)協(xié)議最大Flash內(nèi)存：1024MB4.5防火墻型號：天融信NGFW4000-UF(TG-5130)(TOPSECNGFW4000-UF(TG-5130))價(jià)格：￥14.8萬[北京]設(shè)備類型：企業(yè)級防火墻并發(fā)連接：200網(wǎng)絡(luò)吞吐：6000網(wǎng)絡(luò)端口：最大配置為26個接口,包括3顧客數(shù)限：無顧客數(shù)限制合用環(huán)境：工作溫度:0℃-45℃、存儲溫入侵檢測：Dos、DDoS電源：雙電源,缺省一種電源安全原則：FCC,CE控制端口：console其他性能：防火墻、VPN、帶寬管理、防管理：SNMP,WEB,命令行,遠(yuǎn)程管理VPN支持：支持4.6服務(wù)器型號：X3500產(chǎn)品簡述:通過新的四核處理器及更快的內(nèi)存技術(shù)獲得更好的性能；采用集成的處理方案管理您的IT資源；通過可升級內(nèi)存，I/O和存儲搭建穩(wěn)定服務(wù)器平臺，保護(hù)您的IT投資市場價(jià)格:0詳細(xì)參數(shù)：XeonE55202.26Ghz四核最高支持1066MHz內(nèi)存頻率5.86GT/sQPI8MB3級緩存DDR3內(nèi)存2*2GB熱插拔2.5"SAS硬盤,標(biāo)配146GBSAS硬盤*1ServerRAIDMR10iDVD-ROM雙口千兆以太網(wǎng)3個PCI-ExpressGen2x8插槽,1個PCI-ExpressGen2x16插槽,1個PCI-ExpressGen1x8插槽,1個33MHzPCI插槽1個串口,1個顯卡接口,6個USB2.0端口(4個背面、2個正面)；3個RJ-45端口(2個以太網(wǎng)口,一種管理端口)IMM,可選的遠(yuǎn)程管理920W熱插拔電源,可選冗余3年有限保修（3年部件，3年人工，3年現(xiàn)場）安全配置闡明5.1防火墻技術(shù)防火墻可以作為不一樣網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的出入口，將內(nèi)部網(wǎng)和公眾網(wǎng)如Internet分開，它能根據(jù)企業(yè)的安全方略控制出入網(wǎng)絡(luò)的信息流，且自身具有較強(qiáng)的抗襲擊能力。在邏輯上，防火墻是一種分離器，一種限制器，也是一種分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動，保證了內(nèi)部網(wǎng)絡(luò)的安全。防火墻技術(shù)可以有效控制的風(fēng)險(xiǎn)包括：5.1.1運(yùn)用Finger來發(fā)掘顧客信息，TCP/IP指紋識別確定操作系統(tǒng)類型，Telnet旗標(biāo)確定操作系統(tǒng)類型，服務(wù)的旗標(biāo)信息確定服務(wù)類型，對服務(wù)器進(jìn)行端口掃描，Bind、Telnet、NFS、X-windows服務(wù)漏洞，從AD上查找前置機(jī)主機(jī)網(wǎng)絡(luò)蠕蟲堵塞整個網(wǎng)絡(luò)，影響生產(chǎn)網(wǎng)絡(luò)。5.1.2運(yùn)用前置機(jī)群與生產(chǎn)主機(jī)之間的信任關(guān)系襲擊生產(chǎn)網(wǎng)絡(luò)關(guān)鍵，辦公自動化服務(wù)器與前置機(jī)群或生產(chǎn)主機(jī)之間的信任關(guān)系襲擊生產(chǎn)網(wǎng)絡(luò)，蠕蟲影響辦公網(wǎng)內(nèi)部Window平臺，蠕蟲影響辦公網(wǎng)內(nèi)部郵件系統(tǒng)，辦公網(wǎng)應(yīng)用形式較為豐富，因此對網(wǎng)絡(luò)帶寬消耗也許導(dǎo)致生產(chǎn)網(wǎng)的數(shù)據(jù)通信帶寬局限性，從而導(dǎo)致生產(chǎn)網(wǎng)不暢通5.1.3二級網(wǎng)點(diǎn)或支行與中心連接沒有必要的訪問控制和邊界控制手段，因此來自二級網(wǎng)點(diǎn)或支行局域網(wǎng)的顧客也許威脅辦公自動化系統(tǒng)和中心生產(chǎn)系統(tǒng)，應(yīng)用防火墻技術(shù)之后，有效的控制了上述風(fēng)險(xiǎn)的同步，可以簡化管理。5.2網(wǎng)絡(luò)防病毒體系5.2.1計(jì)算機(jī)病毒感染所導(dǎo)致的威脅以及破壞是目前廣大計(jì)算機(jī)顧客所面臨的重要問題。本方案采用網(wǎng)絡(luò)防病毒體系，可以對Windows/NT/95/98/3.x，以及DOS和Macintosh,Linux和UNIX等操作系統(tǒng)提供保護(hù)，作為一種一體化的網(wǎng)絡(luò)防病毒處理方案，應(yīng)具有特性代碼檢查方式和基于規(guī)則的變態(tài)分析器病毒掃描程序，從而檢測到已知病毒。防病毒引擎可以從多種側(cè)面和途徑防止計(jì)算機(jī)病毒侵入系統(tǒng)，保護(hù)整個企業(yè)IT系統(tǒng)的安全，具有強(qiáng)大的功能和優(yōu)秀的可管理性。5.2.2應(yīng)用網(wǎng)絡(luò)防病毒體系構(gòu)造之后，可控制網(wǎng)絡(luò)蠕蟲堵塞整個網(wǎng)絡(luò)，影響生產(chǎn)網(wǎng)絡(luò)、病毒威脅桌面PC等風(fēng)險(xiǎn)；應(yīng)用了網(wǎng)絡(luò)防病毒技術(shù)之后，可以從三個層面有效防備病毒的傳播和蔓延;internet下載、軟盤和光盤傳播、郵件傳播。5.3網(wǎng)絡(luò)入侵檢測技術(shù)5.3.1應(yīng)用入侵檢測的網(wǎng)絡(luò)監(jiān)測功能、襲擊行為檢查、高速流量捕捉、方略響應(yīng)、防火墻聯(lián)動、關(guān)聯(lián)事件分析等技術(shù)要素，可實(shí)現(xiàn)如下風(fēng)險(xiǎn)的控制：運(yùn)用LotusNotes的Web服務(wù)器漏洞、運(yùn)用LotusNotes的Web服務(wù)器漏洞－LotusNotes配置信息被遠(yuǎn)程讀取，運(yùn)用Unix的FTP服務(wù)漏洞－SITEEXEC漏洞，運(yùn)用Bind服務(wù)漏洞、運(yùn)用Telnet、NFS、X-windows服務(wù)漏洞。5.3.2WindowsRPCDCOM遠(yuǎn)程溢出－MS026和WindowsRPCDCOM遠(yuǎn)程溢出－MS039，TCP登錄會話劫持－發(fā)送一種偽造的匯報(bào)到telnet/login/sh。5.3.3安裝木馬：應(yīng)