2023年人民銀行內(nèi)聯(lián)網(wǎng)防火墻安全子系統(tǒng)方案

某人民銀行內(nèi)聯(lián)網(wǎng)

防火墻安全子系統(tǒng)方案

方正數(shù)碼有限公司

編號(hào)：

時(shí)間：2021年X月X日書(shū)山有路勤為徑，學(xué)海無(wú)涯苦作舟頁(yè)碼：第2頁(yè)共106頁(yè)

1北大方正集團(tuán)、方正數(shù)碼公司簡(jiǎn)介8

2人民銀行內(nèi)聯(lián)網(wǎng)結(jié)構(gòu)分析11

2.1人民銀行內(nèi)聯(lián)網(wǎng)整體情況11

2.2人民銀行內(nèi)聯(lián)網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)11

2.3人民銀行內(nèi)聯(lián)網(wǎng)支撐的應(yīng)用系統(tǒng)12

2.4人民銀行系統(tǒng)平臺(tái)13

3人民銀行內(nèi)聯(lián)網(wǎng)安全分析14

3.1人民銀行內(nèi)聯(lián)網(wǎng)安全現(xiàn)狀分析14

3.2人民銀行內(nèi)聯(lián)網(wǎng)安全風(fēng)險(xiǎn)分析14

3.2.1主要應(yīng)用服務(wù)的安全風(fēng)險(xiǎn)15

3.2.2網(wǎng)絡(luò)中主要系統(tǒng)的安全風(fēng)險(xiǎn)16

3.2.3數(shù)據(jù)庫(kù)系統(tǒng)安全分析17

3.2.4Unix系統(tǒng)的安全分析17

3.2.5WindowsNT系統(tǒng)的安全分析19

3.2.6管理系統(tǒng)的安全風(fēng)險(xiǎn)19

3.2.7業(yè)務(wù)網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)20

4方正數(shù)碼防火墻解決方案21

4.1本方案設(shè)計(jì)的原則和目標(biāo)21

4.2防火墻選型22

第2頁(yè)共106頁(yè)

編號(hào)：

時(shí)間：2021年X月X日書(shū)山有路勤為徑，學(xué)海無(wú)涯苦作舟頁(yè)碼：第3頁(yè)共106頁(yè)

4.3防火墻設(shè)置及工作模式22

4.4防火墻功能設(shè)置及安全策略24

4.4.1完善的訪問(wèn)控制24

4.4.2內(nèi)置入侵檢測(cè)（IDS）26

4.4.3代理服務(wù)26

4.4.4NAT地址轉(zhuǎn)換26

4.4.5日志系統(tǒng)及系統(tǒng)報(bào)警27

4.4.6帶寬分配，流量管理27

4.4.7集中管理27

4.4.8預(yù)制模板28

4.4.9H.323支持28

4.4.10系統(tǒng)升級(jí)28

4411雙機(jī)備份29

4412防火墻方案特點(diǎn)29

5人民銀行內(nèi)聯(lián)網(wǎng)防火墻安全需求及方案對(duì)照說(shuō)明31

5.1人民銀行內(nèi)聯(lián)網(wǎng)防火墻基本要求31

5.2人民銀行內(nèi)聯(lián)網(wǎng)防火墻功能要求33

5.2.1必備功能33

5.2.2增強(qiáng)功能36

5.3防火墻性能36

5.4防火墻管理38

6人民銀行內(nèi)聯(lián)網(wǎng)安全管理建議39

第3頁(yè)共106頁(yè)

編號(hào)：

時(shí)間：2021年x月x日書(shū)山有路勤為徑，學(xué)海無(wú)涯苦作舟頁(yè)碼：第4頁(yè)共106頁(yè)

6.1整體思路39

6.2集中管理，統(tǒng)一規(guī)劃39

63嚴(yán)格規(guī)章安全教育40

6.4明確責(zé)任技術(shù)培訓(xùn)40

6.5動(dòng)態(tài)監(jiān)控專家咨詢41

7人民銀行內(nèi)聯(lián)網(wǎng)防火墻安全系統(tǒng)實(shí)施方案42

7.1合同簽訂階段的工作實(shí)施42

7.2發(fā)貨階段的實(shí)施43

7.3到貨后工作的實(shí)施46

7.4測(cè)試及驗(yàn)收47

7.4.1測(cè)試及驗(yàn)收描述47

8人民銀行內(nèi)聯(lián)網(wǎng)防火墻系統(tǒng)培訓(xùn)49

8.1培訓(xùn)目標(biāo)49

8.2培訓(xùn)課程49

8.3培訓(xùn)方式49

8.4培訓(xùn)時(shí)長(zhǎng)49

8.5培訓(xùn)地點(diǎn)49

8.6培訓(xùn)人數(shù)50

第4頁(yè)共106頁(yè)

編號(hào)：

時(shí)間：2021年X月X日書(shū)山有路勤為徑，學(xué)海無(wú)涯苦作舟頁(yè)碼：第5頁(yè)共106頁(yè)

8.7學(xué)員要求50

9方正方御防火墻技術(shù)支持與服務(wù)51

9.1方正數(shù)碼綠色服務(wù)體系結(jié)構(gòu)介紹51

9.2完善的技術(shù)支持與服務(wù)53

9.2.1售前服務(wù)內(nèi)容54

9.2.2售前服務(wù)流程55

9.2.3售后服務(wù)內(nèi)容56

9.2.4售后服務(wù)流程57

9.3服務(wù)方式58

9.4服務(wù)監(jiān)督58

10方正方御防火墻成功案例60

10.1鞍山市商業(yè)銀行應(yīng)用案例60

10.1.1鞍山市商業(yè)銀行需求分析60

10.1.2系統(tǒng)安全目的61

10.1.3安全體系結(jié)構(gòu)61

10.1.4安全系統(tǒng)實(shí)施61

10.2沈陽(yáng)建設(shè)銀行安全應(yīng)用實(shí)例62

10.2.1沈陽(yáng)建設(shè)銀行需求分析62

102.2系統(tǒng)安全目的64

1023用戶安全需求分析64

安全性64

高效性64

第5頁(yè)共106頁(yè)

編號(hào)：

時(shí)間：2021年x月x日書(shū)山有路勤為徑，學(xué)海無(wú)涯苦作舟頁(yè)碼：第6頁(yè)共106頁(yè)

可擴(kuò)展性65

10.2.3。易用性（管理控制）65

1023。完善的服務(wù)體制65

102.4安全體系結(jié)構(gòu)65

10.2.5安全系統(tǒng)實(shí)施67

10.3部分方正方御防火墻客戶名單68

11人民銀行內(nèi)聯(lián)網(wǎng)防火墻安全子系統(tǒng)建設(shè)報(bào)價(jià)71

12方正數(shù)碼聯(lián)系方式72

附錄一：授權(quán)服務(wù)商名單73

附錄二：防御防火墻所獲證書(shū)78

附件三：資格證明文件83

附錄四：方正方御防火墻產(chǎn)品說(shuō)明88

產(chǎn)品概述88

系統(tǒng)特點(diǎn)89

防火墻功能說(shuō)明92

多種工作模式92

包過(guò)濾防火墻94

高效的過(guò)濾94

碎片處理功能95

防SYNFlood攻擊95

強(qiáng)大的狀態(tài)檢測(cè)功能96

第6頁(yè)共106頁(yè)

編號(hào)：

時(shí)間：2021年X月X日書(shū)山有路勤為徑，學(xué)海無(wú)涯苦作舟頁(yè)碼：第7頁(yè)共106頁(yè)

輕型/復(fù)雜IDS（入侵檢測(cè)系統(tǒng)）96

反端口掃描96

可以防范20類1500余種攻擊方式97

在線升級(jí)和實(shí)時(shí)報(bào)警99

入侵檢測(cè)和防火墻的互動(dòng)100

雙向NAT100

帶寬管理和流量統(tǒng)計(jì)101

代理服務(wù)器功能101

雙機(jī)熱備102

強(qiáng)大的審計(jì)功能102

基于PKI的高級(jí)授權(quán)認(rèn)證103

集中管理103

實(shí)時(shí)控制和日志轉(zhuǎn)存103

靈活的配置方式104

可視化配置104

預(yù)置包過(guò)濾規(guī)則集104

總結(jié)104

第7頁(yè)共106頁(yè)

編號(hào)：

時(shí)間：2021年X月X日書(shū)山有路勤為徑，學(xué)海無(wú)涯苦作舟頁(yè)碼：第8頁(yè)共106頁(yè)

1北大方正集團(tuán)、方正數(shù)碼公司簡(jiǎn)介

北京北大方正集團(tuán)公司是北京大學(xué)創(chuàng)建的高新技術(shù)企業(yè)。

方正集團(tuán)擁有3個(gè)控股的上市公司，方正(控股)有限公司、方正數(shù)碼有限

公司、上海方正延中科技集團(tuán)股份有限公司，17家獨(dú)資、合資企業(yè)。員工總數(shù)

約6000人，總資產(chǎn)50億元，2000年銷(xiāo)售規(guī)模達(dá)101億元。

1997年，方正集團(tuán)已成為國(guó)家120家大型試點(diǎn)企業(yè)集團(tuán)之一，國(guó)家首批6

家技術(shù)創(chuàng)新試點(diǎn)企業(yè)之一，國(guó)家重點(diǎn)支持的5家PC生產(chǎn)廠家之一。

創(chuàng)造科技與文明，是北大方正的一貫宗旨，集團(tuán)堅(jiān)持以人為本的宗旨，以創(chuàng)

新為先導(dǎo)，產(chǎn)、學(xué)、研結(jié)合，不斷以優(yōu)質(zhì)產(chǎn)品和技術(shù)服務(wù)于社會(huì)。

方正數(shù)碼有限公司(EC-FounderCo.,Ltd.)是從事發(fā)展互聯(lián)網(wǎng)應(yīng)用技術(shù)及電

子商務(wù)的軟件技術(shù)公司。其業(yè)務(wù)專注于互聯(lián)網(wǎng)安全產(chǎn)品及網(wǎng)絡(luò)安全服務(wù)等領(lǐng)域,

是互聯(lián)網(wǎng)時(shí)代的軟件技術(shù)公司。

方正數(shù)碼借助技術(shù)、研發(fā)方面的優(yōu)勢(shì)，借鑒世界上最先進(jìn)的管理運(yùn)作經(jīng)驗(yàn),

定位于,,電子商務(wù)賦能者"(e-commerceenabler),用不斷創(chuàng)新的技術(shù)與優(yōu)質(zhì)的服

務(wù)賦予客戶新經(jīng)濟(jì)時(shí)代可持續(xù)發(fā)展的能力，幫助政府、行業(yè)、企業(yè)、網(wǎng)站、電子

商務(wù)的運(yùn)營(yíng)者運(yùn)用先進(jìn)技術(shù)和高效管理手段在互聯(lián)網(wǎng)時(shí)代健康發(fā)展，取得成功。

第8頁(yè)共106頁(yè)

編號(hào)：

時(shí)間：2021年X月X日書(shū)山有路勤為徑，學(xué)海無(wú)涯苦作舟頁(yè)碼：第9頁(yè)共106頁(yè)

客戶：企業(yè)、政府、軍隊(duì)、行業(yè)

仃仃

信息安全地理空間企業(yè)/政府電子金融

信息信息化

防火墻系列B2B清算

整體解決方案?jìng)鹘y(tǒng)GIS應(yīng)用EAP策略顧問(wèn)資金實(shí)時(shí)劃撥

系統(tǒng)集成

實(shí)驗(yàn)體系LBI物流管理代理服務(wù)

LBI資源管理項(xiàng)目管理企業(yè)銀行

位置服務(wù)LBS網(wǎng)站建設(shè)

方正數(shù)碼有限公司的業(yè)務(wù)圍繞在互聯(lián)網(wǎng)安全技術(shù)應(yīng)用、網(wǎng)絡(luò)安全服務(wù)及網(wǎng)絡(luò)

安全知識(shí)管理等主要領(lǐng)域，在技術(shù)開(kāi)發(fā)、應(yīng)用解決方案和運(yùn)營(yíng)服務(wù)方面為用戶提

供先進(jìn)的網(wǎng)絡(luò)安全產(chǎn)品和技術(shù)。

為此方正數(shù)碼推出SHARKS互聯(lián)網(wǎng)安全解決方案。SHARKS解決方案是在

深入的研究后，提出的一套基于中國(guó)國(guó)情、全部自主開(kāi)發(fā)、具有領(lǐng)先優(yōu)勢(shì)的解決

方案。它是一套整體的集群平臺(tái)，可以解決企業(yè)最為關(guān)切的安全性、高可靠性、

可擴(kuò)展性和易于遠(yuǎn)程管理的問(wèn)題。目前這套方案已經(jīng)得到國(guó)家有關(guān)部門(mén)的大力支

持，被國(guó)家經(jīng)貿(mào)委列為國(guó)家創(chuàng)新計(jì)劃項(xiàng)目之一，還得到了國(guó)家“863”計(jì)劃的肯

定與支持。

方正方御防火墻是SHARKS安全解決方案中的主要安全產(chǎn)品之一。方正方

御防火墻憑借其獨(dú)特的技術(shù)優(yōu)勢(shì)，在保證系統(tǒng)自身的安全性的同時(shí)又保證了其運(yùn)

行效率。方正方御防火墻中還融入了入侵檢測(cè)技術(shù)，可以有效地防范攻擊企圖的

試探；另外利用先進(jìn)的HI技術(shù)，方正方御防火墻可以有效濾除著名的DDoS攻

擊，正是這種攻擊曾迫使包括美國(guó)雅虎在內(nèi)的若干世界最大的網(wǎng)站停止服務(wù)。除

防火墻之外，方正數(shù)碼有限公司還向用戶提供VPN、安全掃描系統(tǒng)、入侵檢測(cè)

系統(tǒng)（IDS）等安全產(chǎn)品及方案，從多層次、多角度、全方位保護(hù)用戶的網(wǎng)絡(luò)。

在立足于自主開(kāi)發(fā)外，方正數(shù)碼公司還與眾多國(guó)際、國(guó)內(nèi)知名的安全公司保

第9頁(yè)共106頁(yè)

編號(hào)：

時(shí)間：2021年x月x日書(shū)山有路勤為徑，學(xué)海無(wú)涯苦作舟頁(yè)碼：第10頁(yè)共106頁(yè)

持著良好的合作關(guān)系，集成國(guó)內(nèi)外最優(yōu)秀的安全產(chǎn)品，為用戶的安全建設(shè)保駕護(hù)

航。

第10頁(yè)共106頁(yè)

編號(hào)：

時(shí)間：2021年x月x日書(shū)山有路勤為徑，學(xué)海無(wú)涯苦作舟頁(yè)碼：第11頁(yè)共1。6頁(yè)

2人民銀行內(nèi)聯(lián)網(wǎng)結(jié)構(gòu)分析

2.1人民銀行內(nèi)聯(lián)網(wǎng)整體情況

某人民銀行內(nèi)聯(lián)網(wǎng)是以總行為中心、各個(gè)分支區(qū)域?yàn)榛A(chǔ)，覆蓋某人民銀行

全國(guó)各部門(mén)、各層次分支機(jī)構(gòu)，基于TCP/IP協(xié)議體系的計(jì)算機(jī)信息服務(wù)網(wǎng)絡(luò)；

是某人民銀行應(yīng)用系統(tǒng)的基礎(chǔ)網(wǎng)絡(luò)平臺(tái)。目前整個(gè)系統(tǒng)已網(wǎng)絡(luò)實(shí)現(xiàn)到地市，系統(tǒng)

運(yùn)行著某人民銀行多種應(yīng)用系統(tǒng)。其中，這些系統(tǒng)通過(guò)與全國(guó)各商業(yè)銀行以及其

他金融機(jī)構(gòu)的互聯(lián)網(wǎng)絡(luò)，實(shí)現(xiàn)信息交換和共享。

2.2人民銀行內(nèi)聯(lián)網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)

某人民銀行內(nèi)聯(lián)網(wǎng)由廣域網(wǎng)和各級(jí)機(jī)構(gòu)局域網(wǎng)組成。

某人民銀行內(nèi)聯(lián)網(wǎng)主要連接由兩個(gè)部分組成：一是某人民銀行自己的縱向連

網(wǎng)，連接某人民銀行各級(jí)機(jī)構(gòu)；一是某人民銀行和其他商業(yè)銀行的橫向連網(wǎng)，實(shí)

現(xiàn)金融系統(tǒng)之間數(shù)據(jù)通信。某人民銀行內(nèi)聯(lián)網(wǎng)建立在CNFN的Framerelay網(wǎng)絡(luò)

之上，使用獨(dú)立的地址空間和域名系統(tǒng)。廣域網(wǎng)采用Framerelay技術(shù)。全國(guó)網(wǎng)

絡(luò)以總行為根節(jié)點(diǎn)，形成樹(shù)形結(jié)構(gòu)，各葉節(jié)點(diǎn)是某人民銀行各級(jí)機(jī)構(gòu)內(nèi)部的局域

網(wǎng)絡(luò)，是廣域網(wǎng)的信息源和終點(diǎn)，同時(shí)也是連接各商業(yè)銀行的起點(diǎn)。

人民銀行內(nèi)聯(lián)網(wǎng)整體結(jié)構(gòu)遵循網(wǎng)絡(luò)設(shè)計(jì)三級(jí)原則，分成骨干網(wǎng)（核心層）、

省域網(wǎng)（交換層）、區(qū)域網(wǎng)（訪問(wèn)層）。

?骨干網(wǎng)由總行、分行營(yíng)業(yè)管理部、省會(huì)城市中心支行等節(jié)點(diǎn)構(gòu)成；

?省域網(wǎng)由省會(huì)城市中心支行以及省域內(nèi)各地市中心支行等節(jié)點(diǎn)組成；

?區(qū)域網(wǎng)由地市中心支行以及所轄的縣支行等節(jié)點(diǎn)組成。

同時(shí)，某人民銀行在總行、省（市）、地（市）三個(gè)層次上與各個(gè)商業(yè)銀行

以及其他金融機(jī)構(gòu)進(jìn)行互連（系統(tǒng)總體機(jī)構(gòu)如下）

第11頁(yè)共106頁(yè)

編號(hào):

時(shí)間：2021年x月x日書(shū)山有路勤為徑，學(xué)海無(wú)涯苦作舟頁(yè)碼：第12頁(yè)共106頁(yè)

某人民銀行同商業(yè)銀行及其他金融機(jī)構(gòu)互連

聯(lián)網(wǎng)

由協(xié)議。

2.3人民銀行內(nèi)聯(lián)網(wǎng)支撐的應(yīng)用系統(tǒng)

某人民銀行內(nèi)聯(lián)網(wǎng)上已經(jīng)或即將運(yùn)行的主要應(yīng)用服務(wù)系統(tǒng)包括:

?政務(wù)與辦公自動(dòng)化系統(tǒng)；

?業(yè)務(wù)處理系統(tǒng)；

?管理信息系統(tǒng)；

?決策支持系統(tǒng)；

?多媒體應(yīng)用與會(huì)議電視系統(tǒng)；

?信息咨詢服務(wù)系統(tǒng)；

?外匯應(yīng)用系統(tǒng)；

第12頁(yè)共106頁(yè)

編號(hào)：

時(shí)間：2021年X月X日書(shū)山有路勤為徑，學(xué)海無(wú)涯苦作舟頁(yè)碼：第13頁(yè)共106頁(yè)

2.4人民銀行系統(tǒng)平臺(tái)

某人民銀行目前系統(tǒng)平臺(tái)主要采用

?WindowNT系統(tǒng)；

?Unix系統(tǒng)；

?數(shù)據(jù)庫(kù)系統(tǒng)；

第13頁(yè)共106頁(yè)

編號(hào)：

時(shí)間：2021年X月X日書(shū)山有路勤為徑，學(xué)海無(wú)涯苦作舟頁(yè)碼：第14頁(yè)共106頁(yè)

3人民銀行內(nèi)聯(lián)網(wǎng)安全分析

3.1人民銀行內(nèi)聯(lián)網(wǎng)安全現(xiàn)狀分析

?某人民銀行內(nèi)聯(lián)網(wǎng)骨干網(wǎng)有獨(dú)立的PVC,IP地址以及域名系統(tǒng)。廣域網(wǎng)

基本滿足涉密網(wǎng)保密條件。

?某人民銀行和其他商業(yè)銀行以及金融機(jī)構(gòu)連接目前沒(méi)有采取網(wǎng)絡(luò)安全

措施，為了防范來(lái)自外部網(wǎng)絡(luò)（其他商業(yè)銀行和金融機(jī)構(gòu)）安全威脅，

迫切需要進(jìn)行人民銀行內(nèi)聯(lián)網(wǎng)防火墻系統(tǒng)基礎(chǔ)建設(shè)，保障內(nèi)部網(wǎng)絡(luò)安

全。

3.2人民銀行內(nèi)聯(lián)網(wǎng)安全風(fēng)險(xiǎn)分析

當(dāng)前，人民銀行的系統(tǒng)與外部非信任網(wǎng)絡(luò)系統(tǒng)之間缺乏完善的安全保護(hù)體系。

某人民銀行內(nèi)聯(lián)網(wǎng)各個(gè)葉節(jié)點(diǎn)網(wǎng)絡(luò)結(jié)構(gòu)如下：

第14頁(yè)共106頁(yè)

編號(hào)：

時(shí)間：2021年x月x日書(shū)山有路勤為徑，學(xué)海無(wú)涯苦作舟頁(yè)碼：第15頁(yè)共106頁(yè)

復(fù)制文件信貸數(shù)據(jù)庫(kù)內(nèi)部web

服務(wù)器1服務(wù)器服務(wù)器服務(wù)器服務(wù)器

3.2.1主要應(yīng)用服務(wù)的安全風(fēng)險(xiǎn)

應(yīng)用服務(wù)

系統(tǒng)中各個(gè)葉節(jié)點(diǎn)有各種應(yīng)用服務(wù)，這些應(yīng)用服務(wù)提供給人民銀行各

級(jí)分行或商業(yè)銀行使用。不能防止未經(jīng)驗(yàn)證的操作人員利用應(yīng)用系統(tǒng)的脆

弱性來(lái)攻擊應(yīng)用系統(tǒng)，使得系統(tǒng)數(shù)據(jù)去失、數(shù)據(jù)更改、獲得非法數(shù)據(jù)等。

而某人民銀行的這些應(yīng)用系統(tǒng)是某人民銀行內(nèi)聯(lián)網(wǎng)中最重要的組成部分。

DNS月艮務(wù)

DNS是網(wǎng)絡(luò)正常運(yùn)作的基本元素，它們是由運(yùn)行專門(mén)的或操作系統(tǒng)提

供的服務(wù)的Unix或NT主機(jī)構(gòu)成。這些系統(tǒng)很容易成為外部網(wǎng)絡(luò)攻擊的目

標(biāo)或跳板。對(duì)DNS的攻擊通常是對(duì)其他遠(yuǎn)程主機(jī)進(jìn)行攻擊做準(zhǔn)備，如篡改

域名解析記錄以欺騙被攻擊的系統(tǒng)，或通過(guò)獲取DNS的區(qū)域文件而得到進(jìn)

一步入侵的重要信息、。著名的域名服務(wù)系統(tǒng)BIND就存在眾多的可以被入

笫15頁(yè)共106頁(yè)

編號(hào)：

時(shí)間：2021年X月X日書(shū)山有路勤為徑，學(xué)海無(wú)涯苦作舟頁(yè)碼：第16頁(yè)共106頁(yè)

侵者利用的漏洞。某人民銀行對(duì)外各種應(yīng)用，特別是基于URL的應(yīng)用依賴

于DNS系統(tǒng)，DNS的安全性也是網(wǎng)絡(luò)安全關(guān)注的焦點(diǎn)。

E-Mail

由于郵件服務(wù)器軟件的眾多廣為人知的安全漏洞，郵件服務(wù)器成為進(jìn)

行遠(yuǎn)程攻擊的首選目標(biāo)之一。如利用公共的郵件服務(wù)器進(jìn)行的郵件欺騙或

郵件炸彈的中轉(zhuǎn)站或引擎；利用sendmail的漏洞直接入侵到郵件服務(wù)器的

主機(jī)等。而某人民銀行的內(nèi)部E-mail系統(tǒng)覆蓋面廣，所以迫切需要使用防

火墻來(lái)保護(hù)人民銀行的內(nèi)部E-mail系統(tǒng)。

WWW

利用HTTP服務(wù)器的一些漏洞，特別是在大量使用服務(wù)器腳本的系統(tǒng)

上，利用這些可執(zhí)行的腳本程序，未經(jīng)授權(quán)的操作者可以很容易地獲得系

統(tǒng)的控制權(quán)。在某人民銀行存在各種WWW服務(wù)，這些服務(wù)協(xié)議或多或少

存在安全隱患。

FTP

一些FTP服務(wù)器的缺陷會(huì)使服務(wù)器很容易被錯(cuò)誤的配置，從而導(dǎo)致安

全問(wèn)題，如被匿名用戶上載的木馬程序，下載系統(tǒng)中的重要信息（如口令

文件）并導(dǎo)致最終的入侵。有些服務(wù)器版本帶有嚴(yán)重的錯(cuò)誤，比如可以使

任何人獲得對(duì)包括root在內(nèi)的任何帳號(hào)的訪問(wèn)。

3.2.2網(wǎng)絡(luò)中主要系統(tǒng)的安全風(fēng)險(xiǎn)

整個(gè)系統(tǒng)中網(wǎng)絡(luò)設(shè)備主要采用路由器設(shè)備，有必要分析這些設(shè)備的風(fēng)險(xiǎn)。路

由器是某人民銀行內(nèi)聯(lián)網(wǎng)的核心部件，路由器的安全將直接影響整個(gè)網(wǎng)絡(luò)的安全。

下面列舉了一些路由器所存在的主要安全風(fēng)險(xiǎn)：

■路由器缺省情況下只使用簡(jiǎn)單的口令驗(yàn)證用戶身份，并且遠(yuǎn)程

TELNET登錄時(shí)以明文傳輸口令。一旦口令泄密路由器將失去所有的保護(hù)

能力。

第16頁(yè)共106頁(yè)

編號(hào)：

時(shí)間：2021年X月X日書(shū)山有路勤為徑，學(xué)海無(wú)涯苦作舟頁(yè)碼：第17頁(yè)共106頁(yè)

■路由器口令的弱點(diǎn)是沒(méi)有計(jì)數(shù)器功能，所以每個(gè)人都可以不限次數(shù)的

嘗試登錄口令，在口令字典等工具的幫助下很容易破解登錄口令。

■每個(gè)管理員都可能使用相同的口令，因此，路由器對(duì)于誰(shuí)曾經(jīng)作過(guò)什

么修改，系統(tǒng)沒(méi)有跟蹤審計(jì)的能力。

■路由器實(shí)現(xiàn)的某些動(dòng)態(tài)路由協(xié)議存在一定的安全漏洞，有可能被惡意

的攻擊者利用來(lái)破壞網(wǎng)絡(luò)的路由設(shè)置，達(dá)到破壞網(wǎng)絡(luò)或?yàn)楣糇鰷?zhǔn)備的

目的。針對(duì)這種情況，必須采取措施，有效防止非法對(duì)網(wǎng)絡(luò)設(shè)備訪問(wèn)。

■TCP/IP風(fēng)險(xiǎn)：系統(tǒng)采用TCP/IP協(xié)議進(jìn)行通信，而因?yàn)門(mén)CP/IP協(xié)議

中存在固有的漏洞，比如：針對(duì)TCP序號(hào)的攻擊，TCP會(huì)話劫持，TCPSYN

攻擊等。同時(shí)系統(tǒng)的DNS采用UDP協(xié)議，因?yàn)閁DP協(xié)議是非面向連接的

協(xié)議，對(duì)系統(tǒng)中的DNS等相關(guān)應(yīng)用帶來(lái)安全風(fēng)險(xiǎn)。

3.2.3數(shù)據(jù)庫(kù)系統(tǒng)安全分析

數(shù)據(jù)庫(kù)系統(tǒng)是存儲(chǔ)重要信息的場(chǎng)所并擔(dān)負(fù)著管理這些數(shù)據(jù)信息的任務(wù)。數(shù)據(jù)

庫(kù)的安全問(wèn)題，在數(shù)據(jù)庫(kù)技術(shù)誕生之后就一直存在，并隨著數(shù)據(jù)庫(kù)技術(shù)的發(fā)展而

不斷深化。不法份子利用已有的或者更加先進(jìn)的技術(shù)手段通常對(duì)數(shù)據(jù)庫(kù)進(jìn)行偽造

數(shù)據(jù)庫(kù)中的數(shù)據(jù)、損壞數(shù)據(jù)庫(kù)、竊取數(shù)據(jù)庫(kù)中的數(shù)據(jù)。如何保證和加強(qiáng)數(shù)據(jù)庫(kù)系

統(tǒng)的安全性和保密性對(duì)于網(wǎng)絡(luò)的正常、安全運(yùn)行至關(guān)重要。

3.2.4Unix系統(tǒng)的安全分析

UNIX系統(tǒng)安全具有如下特征：

?操作系統(tǒng)可靠性：它用于保證系統(tǒng)的完整性，系統(tǒng)處于保護(hù)模式下，

通過(guò)硬件和軟件保證系統(tǒng)操作可靠性。

?訪問(wèn)控制：允許通過(guò)改變用戶安全級(jí)別、訪問(wèn)權(quán)限，具有統(tǒng)一的訪問(wèn)

控制表。

第17頁(yè)共106頁(yè)

編號(hào)：

時(shí)間：2021年X月X日書(shū)山有路勤為徑，學(xué)海無(wú)涯苦作舟頁(yè)碼：第18頁(yè)共106頁(yè)

?對(duì)象可用：當(dāng)對(duì)象不需要時(shí)應(yīng)該立即清除。

?個(gè)人身份標(biāo)識(shí)與認(rèn)證：它主要為了確定身份，如用戶登陸時(shí)采

用擴(kuò)展的DES算法對(duì)口令進(jìn)行加密。

?審計(jì)：它要求對(duì)使用身份標(biāo)識(shí)和認(rèn)證的機(jī)制，文件的創(chuàng)建，修

改，系統(tǒng)管理的所有操作以及其他有關(guān)安全事件進(jìn)行記錄，以

便系統(tǒng)管理員進(jìn)行安全跟蹤。

?往來(lái)文件系統(tǒng)：UNIX系統(tǒng)提供了分布式文件系統(tǒng)(DFS)的網(wǎng)

絡(luò)安全。

將網(wǎng)絡(luò)與外部網(wǎng)絡(luò)相連接，會(huì)使您的網(wǎng)絡(luò)遭受潛在的服務(wù)中斷、未經(jīng)授

權(quán)的入侵以及相當(dāng)大的破壞。比如下面的一些安全隱患：

■"拒絕服務(wù)"攻擊(DenialofServiceAttacks):這些攻擊禁止

系統(tǒng)向顧客提供服務(wù)，使顧客不能得到某種服務(wù)。例如，攻擊可能

使用大而無(wú)用的流量充斥網(wǎng)絡(luò)，導(dǎo)致無(wú)法向顧客提供服務(wù)。最通常

的情況是這種攻擊可能毀壞系統(tǒng)或者只是讓系統(tǒng)在向顧客提供服

務(wù)時(shí)慢的出奇。

■緩沖區(qū)溢出攻擊(BufferOverrunExploits):其中包括利用軟件

的弱點(diǎn)將任意數(shù)據(jù)添加進(jìn)某個(gè)程序中，從而在它以根的身份運(yùn)行時(shí),

有可能賦予剝削者對(duì)您的系統(tǒng)的根訪問(wèn)權(quán)。這也可能導(dǎo)致某種“拒

絕服務(wù)”攻擊。

■竊聽(tīng)和重放攻擊(SnoopingandReplayAttacks):竊聽(tīng)攻擊涉及

某個(gè)對(duì)網(wǎng)絡(luò)上的兩臺(tái)機(jī)器之間的通訊流進(jìn)行偵聽(tīng)的入侵者。通訊流

可能包含使用telnet、rlogin或ftp時(shí)來(lái)回傳遞的未加密的口

令。這有可能造成某個(gè)未經(jīng)授權(quán)的個(gè)人非法進(jìn)入您的網(wǎng)絡(luò)或看到機(jī)

密數(shù)據(jù)。

■IP欺騙(IPSpoofing):基于IP欺騙的攻擊涉及對(duì)計(jì)算機(jī)未經(jīng)授

權(quán)的訪問(wèn)。通過(guò)偵聽(tīng)網(wǎng)絡(luò)通訊流，入侵者找到受信任主機(jī)的一個(gè)

IP地址，然后發(fā)送消息時(shí)指示該消息來(lái)自受信任主機(jī)。

第18頁(yè)共106頁(yè)

編號(hào)：

時(shí)間：2021年X月X日書(shū)山有路勤為徑，學(xué)海無(wú)涯苦作舟頁(yè)碼：第19頁(yè)共106頁(yè)

■內(nèi)部泄密(InternalExposure):絕大多數(shù)網(wǎng)絡(luò)非法進(jìn)入皆起因于

某個(gè)心懷惡意或?qū)ΜF(xiàn)狀不滿的現(xiàn)任或前任雇員濫用對(duì)信息的訪問(wèn)

權(quán)或非法闖入您的網(wǎng)絡(luò)。

針對(duì)Unix系統(tǒng)存在的諸多風(fēng)險(xiǎn)，應(yīng)該采取相應(yīng)的安全措施。必須對(duì)這些風(fēng)

險(xiǎn)加以控制。針對(duì)這個(gè)部分的安全控制可以采取特殊的安全策略，同時(shí)利用相關(guān)

的軟件對(duì)系統(tǒng)進(jìn)行配置、監(jiān)控。制定詳細(xì)的訪問(wèn)控制計(jì)劃、策略。

3.2.5WindowsNT系統(tǒng)的安全分析

WindowsNT的安全機(jī)制的基礎(chǔ)是所有的資源和操作都受到選擇訪問(wèn)控制的

保護(hù)，可以為同一目錄的不同文件設(shè)置不同的權(quán)限。這是NT的文件系統(tǒng)的最大

特點(diǎn)。NT的安全機(jī)制不是外加的，而是建立在操作系統(tǒng)內(nèi)部的，可以通過(guò)一定

的設(shè)置使文件和其他資源免受在存放的計(jì)算機(jī)上工作的用戶和通過(guò)網(wǎng)絡(luò)接觸資

源的用戶的威脅(破壞、非法的編輯等)。安全機(jī)制甚至包含基本的系統(tǒng)功能，

例如設(shè)置系統(tǒng)時(shí)鐘。對(duì)用戶帳號(hào)、用戶權(quán)限及資源權(quán)限的合理組合，可以有效地

保證安全性。通過(guò)一系列的管理工具，以及對(duì)用戶帳號(hào)、口令的管理，對(duì)文件、

數(shù)據(jù)授權(quán)訪問(wèn)，執(zhí)行動(dòng)作的限制，以及對(duì)事件的審核可以使WindowsNT達(dá)到C2

級(jí)安全。

在網(wǎng)絡(luò)中，有三種方式可以訪問(wèn)NT服務(wù)器：

(1)通過(guò)用戶帳號(hào)、密碼、用戶組方式登錄到服務(wù)器上，在服務(wù)器允許的

權(quán)限內(nèi)對(duì)資源進(jìn)行訪問(wèn)、操作。這種方式的可控制性較強(qiáng)，可以針對(duì)不同的用戶。

(2)在局部范圍內(nèi)通過(guò)資源共享的形式，這種方式建立在NETBIOS的基礎(chǔ)

之上。通過(guò)對(duì)共享資源的共享權(quán)限的控制達(dá)到安全保護(hù)。但不能針對(duì)不同的用戶，

當(dāng)一個(gè)用戶在通過(guò)共享對(duì)某一個(gè)資源進(jìn)行操作時(shí)(這時(shí)共享權(quán)限有所擴(kuò)大)，其

他用戶趁虛而入，而造成對(duì)資源的破壞。

(3)在網(wǎng)絡(luò)中通過(guò)TCP/IP協(xié)議，對(duì)服務(wù)器進(jìn)行訪問(wèn)。目前典型應(yīng)用有、WWW

等。通過(guò)對(duì)文件權(quán)限的限制和對(duì)IP的選擇，對(duì)登錄用戶的認(rèn)證可以在安全性上

做到一定的保護(hù)。

第19頁(yè)共106頁(yè)

編號(hào)：

時(shí)間：2021年X月X日書(shū)山有路勤為徑，學(xué)海無(wú)涯苦作舟頁(yè)碼：第20頁(yè)共106頁(yè)

由于WindowsNT系統(tǒng)的復(fù)雜性，以及系統(tǒng)的生存周期比較短，系統(tǒng)中存在

大量已知和未知的漏洞，一些國(guó)際上的安全組織已經(jīng)發(fā)布了大量的安全漏洞，其

中一些漏洞可以導(dǎo)致入侵者獲得管理員的權(quán)限，而另一些漏洞則可以被用來(lái)實(shí)施

拒絕服務(wù)攻擊。

3.2.6管理系統(tǒng)的安全風(fēng)險(xiǎn)

管理系統(tǒng)的安全風(fēng)險(xiǎn)除了上面提到的系統(tǒng)風(fēng)險(xiǎn)之外，系統(tǒng)之間，特別是其他

商業(yè)銀行和某人民銀行之間存在很大的安全隱患。系統(tǒng)結(jié)構(gòu)復(fù)雜、管理難度大,

存在各種服務(wù)，哪些服務(wù)對(duì)哪些人是開(kāi)放的、哪些是拒絕的都沒(méi)有一定的安全劃

分。必須防止內(nèi)部不相關(guān)人員非法訪問(wèn)安全程度要求高的數(shù)據(jù)，而且整個(gè)系統(tǒng)的

正常運(yùn)行也是保證銀行系統(tǒng)日常工作正常進(jìn)行的一個(gè)十分重要的方面。必須限制

管理系統(tǒng)內(nèi)各個(gè)部門(mén)之間訪問(wèn)權(quán)限，維護(hù)各個(gè)系統(tǒng)的安全訪問(wèn)。而由于整個(gè)系統(tǒng)

是一個(gè)體系，任何一個(gè)點(diǎn)出現(xiàn)安全問(wèn)題，都可能給相關(guān)人員帶來(lái)?yè)p失。

3.2.7業(yè)務(wù)網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)

業(yè)務(wù)網(wǎng)絡(luò)的安全程度要求是最高的，目前在某人民銀行內(nèi)部運(yùn)行的業(yè)務(wù)繁多，

同時(shí)各個(gè)商業(yè)銀行以及其他金融機(jī)構(gòu)通過(guò)某人民銀行內(nèi)聯(lián)網(wǎng)也運(yùn)行相關(guān)業(yè)務(wù)，給

整個(gè)系統(tǒng)帶來(lái)了很大的安全隱患。這種隱患可能來(lái)自某人民銀行內(nèi)部，也可能來(lái)

自某人民銀行外部網(wǎng)絡(luò)。特別是外部，必須采取有效的措施控制和隔離內(nèi)聯(lián)網(wǎng)與

其他商業(yè)銀行和金融機(jī)構(gòu)的網(wǎng)絡(luò)互連，監(jiān)控某人民銀行內(nèi)聯(lián)網(wǎng)與其他金融機(jī)構(gòu)

之間的網(wǎng)絡(luò)通信，限制對(duì)方對(duì)某人民銀行資源訪問(wèn)范圍，權(quán)限，防范可能來(lái)自

對(duì)方的安全威脅。保證內(nèi)部系統(tǒng)安全。

第20頁(yè)共106頁(yè)

編號(hào)：

時(shí)間：2021年X月X日書(shū)山有路勤為徑，學(xué)海無(wú)涯苦作舟頁(yè)碼：第21頁(yè)共106頁(yè)

4方正數(shù)碼防火墻解決方案

4.1本方案設(shè)計(jì)的原則和目標(biāo)

?原則：從網(wǎng)絡(luò)安全整個(gè)體系考慮，本次防火墻選擇原則是：

■安全性：防火墻提供一整套訪問(wèn)控制/防護(hù)的安全策略，保證系統(tǒng)的

安全性；

■開(kāi)放性：防火墻采用國(guó)家防火墻相關(guān)標(biāo)準(zhǔn)和網(wǎng)絡(luò)安全領(lǐng)域相關(guān)技術(shù)

標(biāo)準(zhǔn)；

■高可靠性：防火墻采用軟件、硬件結(jié)合的形式，保證系統(tǒng)長(zhǎng)期穩(wěn)定、

安全運(yùn)行；

■可擴(kuò)充性：防火墻采用模塊化設(shè)計(jì)方式，方便產(chǎn)品升級(jí)、功能增強(qiáng)、

調(diào)整系統(tǒng)結(jié)構(gòu)；

■可管理性：防火墻采用基于windows平臺(tái)GUI模式進(jìn)行管理，方便

各種安全策略設(shè)置；

■可維護(hù)性：防火墻軟件維護(hù)方便，便于操作管理；

?目標(biāo)：

網(wǎng)絡(luò)安全包括很多方面，如：訪問(wèn)控制、身份認(rèn)證、數(shù)據(jù)加密、入

侵檢測(cè)、防止病毒、數(shù)據(jù)備份等。本次某人民銀行內(nèi)聯(lián)網(wǎng)防火墻系統(tǒng)建

設(shè)的目標(biāo)是通過(guò)在某人民銀行同其他商業(yè)銀行、金融機(jī)構(gòu)連接處采用防

火墻技術(shù)，防止外部網(wǎng)絡(luò)對(duì)某人民銀行內(nèi)聯(lián)網(wǎng)數(shù)據(jù)的非法使用和訪問(wèn)，

監(jiān)控整個(gè)網(wǎng)絡(luò)數(shù)據(jù)過(guò)程。有效防止來(lái)自外部的攻擊行為。限制對(duì)內(nèi)部資

源和系統(tǒng)的訪問(wèn)范圍。通過(guò)在某人民銀行內(nèi)聯(lián)網(wǎng)系統(tǒng)中設(shè)置防火墻的安

全措施將達(dá)到以下目標(biāo)：

■保護(hù)基于某人民銀行內(nèi)聯(lián)網(wǎng)的業(yè)務(wù)不間斷的正常運(yùn)作。包括構(gòu)成某

人民銀行系統(tǒng)網(wǎng)絡(luò)的所有設(shè)施、系統(tǒng)、以及系統(tǒng)所處理的數(shù)據(jù)（信

第21頁(yè)共106頁(yè)

編號(hào)：

時(shí)間：2021年X月X日書(shū)山有路勤為徑，學(xué)海無(wú)涯苦作舟頁(yè)碼：第22頁(yè)共106頁(yè)

■某人民銀行的重要信息在可控的范圍內(nèi)傳播，即有效的控制信息傳

播的范圍，防止重要信息泄露給某人民銀行外部的組織或人員。

■解決網(wǎng)絡(luò)的邊界安全問(wèn)題

■保證網(wǎng)絡(luò)內(nèi)部的安全

■實(shí)現(xiàn)系統(tǒng)安全及數(shù)據(jù)安全

■在用戶和資源之間進(jìn)行嚴(yán)格的訪問(wèn)控制（通過(guò)身份認(rèn)證，訪問(wèn)控制）

■建立一套數(shù)據(jù)審計(jì)、記錄的安全管理機(jī)制（網(wǎng)絡(luò)數(shù)據(jù)采集，審計(jì)）

■融合技術(shù)手段和行政手段，形成全局的安全管理。

為了解決人民銀行內(nèi)聯(lián)網(wǎng)面臨的安全問(wèn)題，有必要建立一整套安全機(jī)制，包

括：訪問(wèn)控制、入侵檢測(cè)等多個(gè)方面。信息系統(tǒng)的安全是一個(gè)復(fù)雜的系統(tǒng)工程,

涉及到技術(shù)和管理等多個(gè)層面。為達(dá)成以上目標(biāo)，方正數(shù)碼在充分調(diào)研和分析比

較的基礎(chǔ)上采用合理的技術(shù)手段和產(chǎn)品以構(gòu)建一個(gè)完整的安全技術(shù)體系，同時(shí)通

過(guò)與某人民銀行的共同工作，協(xié)助某人民銀行建立完善的安全管理體系。

4.2防火墻選型

防火墻是網(wǎng)絡(luò)安全領(lǐng)域首要的、基礎(chǔ)的設(shè)施，它對(duì)維護(hù)內(nèi)部網(wǎng)絡(luò)的安全起著

重要的作用。利用防火墻可以有效地劃分網(wǎng)絡(luò)不同安全級(jí)別區(qū)域間的邊界，并在

邊界上對(duì)不同區(qū)域間的訪問(wèn)實(shí)施訪問(wèn)控制、身份鑒別、和安全審計(jì)等功能。

防火墻按實(shí)現(xiàn)的方式不同，其基本類型有：包過(guò)濾型、代理（應(yīng)用網(wǎng)關(guān)）型和

復(fù)合型。

復(fù)合型防火墻是在綜合動(dòng)態(tài)包過(guò)濾技術(shù)和代理技術(shù)的優(yōu)點(diǎn)的情況下采取的

一種更加完善和安全的防火墻技術(shù)。其功能強(qiáng)大，是未來(lái)防火墻技術(shù)發(fā)展的一個(gè)

主要趨勢(shì)。綜合考慮人民銀行網(wǎng)絡(luò)安全實(shí)際情況，在本方案中采用方正數(shù)碼的方

正方御（FG-P）復(fù)合型防火墻，放置在某人民銀行與各個(gè)商業(yè)銀行以及其它金融

機(jī)構(gòu)連接的各個(gè)葉節(jié)點(diǎn)。

第22頁(yè)共106頁(yè)

編號(hào)：

時(shí)間：2021年X月X日書(shū)山有路勤為徑，學(xué)海無(wú)涯苦作舟頁(yè)碼：第23頁(yè)共106頁(yè)

4.3防火墻設(shè)置及工作模式

根據(jù)某人民銀行內(nèi)聯(lián)網(wǎng)防火墻要求和實(shí)際情況，防火墻整體布局如下:

在人民銀行與各商業(yè)銀行以及其他金融機(jī)構(gòu)有連接的點(diǎn)采用防火墻技術(shù)。每

個(gè)節(jié)點(diǎn)防火墻設(shè)置具體如下圖：

第23頁(yè)共106頁(yè)

編號(hào)：

時(shí)間：2021年X月X日書(shū)山有路勤為徑，學(xué)海無(wú)涯苦作舟頁(yè)碼：第24頁(yè)共106頁(yè)

復(fù)制文件信貸數(shù)據(jù)庫(kù)內(nèi)部Web

3服務(wù)器1-a服務(wù)器a服務(wù)器e服務(wù)器.服i務(wù)器

_______________________________I______L_

?防火墻提供三個(gè)接口：內(nèi)網(wǎng)、外網(wǎng)、DMZ；

?防火墻工作在路由模式，對(duì)外采用NAT技術(shù)，隱藏內(nèi)部真實(shí)地址；

?將對(duì)外服務(wù)的各種服務(wù)設(shè)備放置在DMZ區(qū)域，和內(nèi)部網(wǎng)絡(luò)嚴(yán)格區(qū)分開(kāi)，保證內(nèi)

部系統(tǒng)安全。

考慮到安全問(wèn)題，系統(tǒng)中的結(jié)構(gòu)需要調(diào)整，將原來(lái)各商業(yè)銀行對(duì)某人民銀行

內(nèi)部網(wǎng)絡(luò)的訪問(wèn)調(diào)整到對(duì)DMZ的訪問(wèn)。不輕易允許各商業(yè)銀行對(duì)某人民銀行內(nèi)

部網(wǎng)絡(luò)進(jìn)行訪問(wèn)。

4.4防火墻功能設(shè)置及安全策略

4.4.1完善的訪問(wèn)控制

規(guī)則控制：通過(guò)方正方御防火墻提供的基于TCP/IP協(xié)議中各個(gè)環(huán)節(jié)進(jìn)行安全

控制，生成完整安全的訪問(wèn)控制表，這個(gè)表包括：

■外網(wǎng)（商業(yè)銀行和其他金融機(jī)構(gòu)）對(duì)DMZ內(nèi)服務(wù)訪問(wèn)控制。將外部對(duì)

第24頁(yè)共106頁(yè)

編號(hào)：

時(shí)間：2021年X月X日書(shū)山有路勤為徑，學(xué)海無(wú)涯苦作舟頁(yè)碼：第25頁(yè)共106頁(yè)

內(nèi)部、DMZ內(nèi)服務(wù)訪問(wèn)明確限制，防止非法對(duì)內(nèi)部重要系統(tǒng)，特別是業(yè)

務(wù)系統(tǒng)的訪問(wèn)。利用DMZ的隔離效果，盡量將對(duì)外服務(wù)的部分服務(wù)器放

置在DMZ區(qū)域，通過(guò)NAT方式，保護(hù)內(nèi)部網(wǎng)絡(luò)免受攻擊。關(guān)閉操作系統(tǒng)

提供的除需要以外的所有服務(wù)和應(yīng)用，防止因?yàn)檫@些服務(wù)和應(yīng)用自身的

漏洞給系統(tǒng)帶來(lái)的風(fēng)險(xiǎn)。對(duì)內(nèi)部E-mail、FTP、WWW、數(shù)據(jù)庫(kù)的訪問(wèn)做

嚴(yán)格的規(guī)劃和限制，防止惡意攻擊行為發(fā)生。

■內(nèi)部網(wǎng)絡(luò)：內(nèi)部網(wǎng)絡(luò)對(duì)外部網(wǎng)絡(luò)（商業(yè)銀行和其他金融機(jī)構(gòu)）的訪問(wèn)

也要進(jìn)行嚴(yán)格的限制。防止內(nèi)部員工對(duì)外網(wǎng)資源的非法訪問(wèn)。對(duì)內(nèi)部員

工對(duì)外訪問(wèn)采用NAT方式訪問(wèn)。同時(shí)內(nèi)部員工對(duì)DMZ區(qū)域服務(wù)器訪問(wèn)也

必須做限制。內(nèi)部員工對(duì)外網(wǎng)WWW訪問(wèn)采用代理方式。

■DMZ訪問(wèn)：通常情況下DMZ對(duì)外部和內(nèi)部都不能主動(dòng)進(jìn)行訪問(wèn)，除非特

殊的應(yīng)用需要到內(nèi)部網(wǎng)絡(luò)采集數(shù)據(jù)，可以有限地開(kāi)放部分服務(wù)。

借助方正方御防火墻提供的基于狀態(tài)包過(guò)濾技術(shù)對(duì)數(shù)據(jù)的各個(gè)方向采用

全面安全的技術(shù)策略，制定嚴(yán)格完善的訪問(wèn)控制策略保證從IP到傳輸層

的數(shù)據(jù)安全。針對(duì)某人民銀行系統(tǒng)中的網(wǎng)絡(luò)風(fēng)險(xiǎn)可以通過(guò)嚴(yán)格的訪問(wèn)控

制表來(lái)進(jìn)行限制。

IPMAC地址捆綁：

方正方御防火墻提供靈活而方式多種的內(nèi)部網(wǎng)絡(luò)、DMZ區(qū)域、外部網(wǎng)絡(luò)

IPMAC地址捆綁功能，將每臺(tái)機(jī)器的IP地址和它自身的物理地址捆綁，有

效防止內(nèi)部網(wǎng)絡(luò)、DMZ區(qū)域、外部網(wǎng)絡(luò)的IP地址盜用（該功能實(shí)質(zhì)是將網(wǎng)

絡(luò)協(xié)議第二層地址和第三層地址進(jìn)行捆綁，達(dá)到一定的安全級(jí)別）。內(nèi)部系

統(tǒng)應(yīng)該盡量采用固定IP分配方案。通過(guò)IPMAC地址捆綁，也可以對(duì)后期數(shù)

據(jù)日志分析帶來(lái)一定的方便性。

URL攔截：

在某人民銀行內(nèi)聯(lián)網(wǎng)上存在各種需要對(duì)外保密的信息。方正方御防火墻

第25頁(yè)共106頁(yè)

編號(hào)：

時(shí)間：2021年X月X日書(shū)山有路勤為徑，學(xué)海無(wú)涯苦作舟頁(yè)碼：第26頁(yè)共106頁(yè)

實(shí)現(xiàn)了透明的URL攔截功能，對(duì)通過(guò)防火墻的應(yīng)用層URL進(jìn)行嚴(yán)格的控制和

管理，按照用戶的要求進(jìn)行攔截。外部對(duì)DMZ、內(nèi)部URL訪問(wèn)進(jìn)行控制，同

時(shí)也可以限制內(nèi)部網(wǎng)絡(luò)對(duì)外部網(wǎng)絡(luò)URL非法訪問(wèn)。在該方案中我們將對(duì)內(nèi)部

網(wǎng)絡(luò)和外部網(wǎng)絡(luò)情況具體了解，對(duì)URL攔截達(dá)到頁(yè)面級(jí)別。有效保護(hù)www應(yīng)

用的安全。

4.4.2內(nèi)置入侵檢測(cè)(IDS)

?方正數(shù)碼公司和國(guó)際網(wǎng)絡(luò)安全組織合作，能夠?qū)崟r(shí)獲得最新系統(tǒng)入侵庫(kù)代碼,

動(dòng)態(tài)地將這些攻擊技術(shù)的解決方案加入到方正方御防火墻中，同時(shí)在方正方

御防火墻內(nèi)部采用31技術(shù)，加速應(yīng)用層安全防護(hù)查詢過(guò)程。方正方御防火

墻目前能夠支持1500種以上的入侵檢測(cè)并能夠成功阻斷這樣的攻擊行為，

比如最近的紅色代碼。針對(duì)各種攻擊行為，比如TCP序列號(hào)攻擊、劫持、碎

片攻擊、端口掃描能夠識(shí)別阻斷。而這個(gè)數(shù)據(jù)庫(kù)可以實(shí)時(shí)更新、升級(jí)。升級(jí)

在方正方御防火墻界面即可完成。IDS和訪問(wèn)策略形成互動(dòng)。通過(guò)防火墻嵌

入的IDS功能能夠有效防范對(duì)內(nèi)部Windows/NT,Unix系統(tǒng)的攻擊行為。

?電子欺騙：防火墻能夠自動(dòng)識(shí)別各種電子欺騙行為并進(jìn)行阻斷。同時(shí)防火墻

能夠?qū)窝bIP地址進(jìn)行識(shí)別。

4.4.3代理服務(wù)

方正方御防火墻對(duì)外提供代理服務(wù)功能，某人民銀行內(nèi)部網(wǎng)絡(luò)對(duì)外訪問(wèn)可以

通過(guò)防火墻提供的代理服務(wù)功能，同時(shí)代理服務(wù)可以針對(duì)URL,SSL,FTP進(jìn)行應(yīng)用

攔截，防止內(nèi)部人員對(duì)外網(wǎng)的非法訪問(wèn)。

4.4.4NAT地址轉(zhuǎn)換

將某人民銀行內(nèi)部網(wǎng)絡(luò)和DMZ區(qū)域網(wǎng)絡(luò)地址通過(guò)NAT方式轉(zhuǎn)換，隱藏真實(shí)

IP地址，防止內(nèi)部網(wǎng)絡(luò)受到攻擊。具體轉(zhuǎn)換方式就是將內(nèi)部網(wǎng)絡(luò)和DMZ區(qū)域機(jī)

第26頁(yè)共106頁(yè)

編號(hào)：

時(shí)間：2021年X月X日書(shū)山有路勤為徑，學(xué)海無(wú)涯苦作舟頁(yè)碼：第27頁(yè)共106頁(yè)

器的地址全部轉(zhuǎn)換成防火墻外網(wǎng)卡地址，對(duì)外某人民銀行只有一個(gè)地址。而借助

防火墻的多映射功能，可以將對(duì)外的同一地址映射為內(nèi)部網(wǎng)絡(luò)和DMZ區(qū)域不同

服務(wù)的不同端口。

4.4.5日志系統(tǒng)及系統(tǒng)報(bào)警

方正方御防火墻提供強(qiáng)大的日志系統(tǒng)，將通過(guò)防火墻的數(shù)據(jù)、防火墻管理數(shù)

據(jù)、流量、各種攻擊行為統(tǒng)計(jì)集成到一起。同時(shí)系統(tǒng)提供針對(duì)各種統(tǒng)計(jì)結(jié)果按照

用戶要求進(jìn)行報(bào)表打印。

?針對(duì)通過(guò)防火墻數(shù)據(jù)，可以按照數(shù)據(jù)類型、地址進(jìn)行統(tǒng)計(jì)分析。

?針對(duì)各種管理數(shù)據(jù)，防火墻進(jìn)行詳細(xì)記錄，網(wǎng)管人員可以方便的查看對(duì)防火

墻管理情況。如果有內(nèi)部人員對(duì)防火墻訪問(wèn)，可以通過(guò)管理數(shù)據(jù)進(jìn)行查詢。

?流量統(tǒng)計(jì)：防火墻提供流量統(tǒng)計(jì)功能，可以按照用戶名稱、地址等多種方式

進(jìn)行統(tǒng)計(jì)。

?系統(tǒng)報(bào)警：當(dāng)有人非法對(duì)內(nèi)部網(wǎng)絡(luò)或者外部網(wǎng)絡(luò)進(jìn)行訪問(wèn)的時(shí)候，系統(tǒng)的實(shí)

時(shí)報(bào)警會(huì)通過(guò)E-mail和聲音進(jìn)行報(bào)警。同時(shí)對(duì)各種非法的訪問(wèn)和攻擊行為

進(jìn)行記錄。

通過(guò)強(qiáng)大的日志系統(tǒng)和實(shí)時(shí)報(bào)警、日志報(bào)警等多種方式保證某人民銀行內(nèi)部

網(wǎng)絡(luò)出現(xiàn)安全問(wèn)題時(shí)可以有資料分析；同時(shí)也可以通過(guò)對(duì)日志系統(tǒng)的分析完善系

統(tǒng)安全策略。

4.4.6帶寬分配，流量管理

在某人民銀行內(nèi)聯(lián)網(wǎng)上運(yùn)行著部分重要的業(yè)務(wù)數(shù)據(jù)，這些業(yè)務(wù)數(shù)據(jù)實(shí)時(shí)性要

求高，必須保證這樣的數(shù)據(jù)具有優(yōu)先權(quán)限，防止因?yàn)閹拞?wèn)題影響某人民銀行的

應(yīng)用。方正方御防火墻可以針對(duì)某人民銀行實(shí)際情況，對(duì)部分特殊應(yīng)用提供帶寬

管理。給特殊應(yīng)用分配相對(duì)高的帶寬。同時(shí)方正方御防火墻提供流量管理功能,

對(duì)內(nèi)部網(wǎng)絡(luò)用戶對(duì)外網(wǎng)的訪問(wèn)可以提供流量限制。

第27頁(yè)共106頁(yè)

編號(hào)：

時(shí)間：2021年X月X日書(shū)山有路勤為徑，學(xué)海無(wú)涯苦作舟頁(yè)碼：第28頁(yè)共106頁(yè)

4.4.7集中管理

針對(duì)某人民銀行網(wǎng)絡(luò)覆蓋面廣、區(qū)域跨度大的特點(diǎn)，防火墻需要集中管理和

控制。方正方御防火墻提供集中管理機(jī)制，支持遠(yuǎn)程管理。利用NT域的概念和

技術(shù)，方正方御防火墻可以對(duì)同一個(gè)域內(nèi)的不同防火墻進(jìn)行同時(shí)管理。我們考慮

在某人民銀行的總行以及各個(gè)大區(qū)行采取集中管理機(jī)制。按照防火墻的分權(quán)原則,

將策略管理放置在各個(gè)防火墻節(jié)點(diǎn)。策略整體由某人民銀行總行策劃，各個(gè)節(jié)點(diǎn)

自己進(jìn)行策略管理。而系統(tǒng)管理和日志查詢放置在各個(gè)大區(qū)行，統(tǒng)一管理、分析。

防火墻提供管理接口，同時(shí)支持遠(yuǎn)程管理，管理數(shù)據(jù)采用RC4/MD5方式加密，可

以有效保證管理的安全性，同時(shí)管理數(shù)據(jù)只在某人民銀行內(nèi)聯(lián)網(wǎng)流動(dòng)。而防火墻

自身可以對(duì)管理員地址進(jìn)行嚴(yán)格限制。

4.4.8預(yù)制模板

某人民銀行網(wǎng)絡(luò)復(fù)雜，但是結(jié)構(gòu)清晰，為了更好的維護(hù)整個(gè)系統(tǒng)安全和適應(yīng)

某人民銀行統(tǒng)一管理、安全強(qiáng)度一致的原則，方正方御防火墻提供預(yù)制模板功能。

可以通過(guò)某人民銀行統(tǒng)一制訂一個(gè)策略模板，各個(gè)節(jié)點(diǎn)網(wǎng)絡(luò)在這個(gè)模板基礎(chǔ)上進(jìn)

行規(guī)劃，簡(jiǎn)化管理過(guò)程，使得系統(tǒng)管理難度降低。

4.4.9H.323支持

某人民銀行內(nèi)聯(lián)網(wǎng)運(yùn)行著視頻會(huì)議數(shù)據(jù)(H.323)o方正方御防火墻能夠準(zhǔn)確

識(shí)別H.323數(shù)據(jù)流，讓數(shù)據(jù)合法通過(guò)。按照正常的狀態(tài)檢測(cè)技術(shù)，H.323數(shù)據(jù)可

能被阻斷。在方正方御防火墻內(nèi)部成功的進(jìn)行了UDP、TCP數(shù)據(jù)同步分析。系統(tǒng)

能夠識(shí)別H.323連接，保證H.323數(shù)據(jù)通過(guò)。

4.4.10系統(tǒng)升級(jí)

網(wǎng)絡(luò)安全技術(shù)隨著網(wǎng)絡(luò)技術(shù)發(fā)展不斷變化，而網(wǎng)絡(luò)安全策略和軟件也不能一

第28頁(yè)共106頁(yè)

編號(hào)：

時(shí)間：2021年X月X日書(shū)山有路勤為徑，學(xué)海無(wú)涯苦作舟頁(yè)碼：第29頁(yè)共106頁(yè)

成不變，需要不斷升級(jí)。方正方御防火墻管理界面提供方便的系統(tǒng)升級(jí)和IDS升

級(jí)功能。保證某人民銀行防火墻產(chǎn)品實(shí)時(shí)和網(wǎng)絡(luò)安全領(lǐng)域技術(shù)同步，防止因?yàn)樾?/p>

的安全問(wèn)題給系統(tǒng)帶來(lái)的安全風(fēng)險(xiǎn)。其中，特別是IDS功能，幾乎每天都有新的

安全風(fēng)險(xiǎn)和攻擊軟件出現(xiàn)。方正防火墻內(nèi)嵌IDS功能模塊可以動(dòng)態(tài)升級(jí)，保障

IDS數(shù)據(jù)庫(kù)和最新動(dòng)態(tài)同步。

4.4.11雙機(jī)備份

網(wǎng)絡(luò)安全、穩(wěn)定長(zhǎng)期運(yùn)行是某人民銀行最終目標(biāo)，而網(wǎng)絡(luò)硬件可能因?yàn)橐恍?/p>

特殊原因發(fā)生故障。方正方御防火墻提供雙機(jī)備份功能，采用兩種方式進(jìn)行備份

檢測(cè)，軟件方式借用HSRP技術(shù)動(dòng)態(tài)跟蹤各個(gè)區(qū)域運(yùn)行狀態(tài)，發(fā)現(xiàn)任何一個(gè)區(qū)域

出現(xiàn)問(wèn)題即刻進(jìn)行切換。硬件方式采用心跳線方式，當(dāng)系統(tǒng)檢測(cè)到故障，也將進(jìn)

行切換。而系統(tǒng)的切換不影響某人民銀行的業(yè)務(wù)。兩臺(tái)防火墻工作在互備模式中。

4.4.12防火墻方案特點(diǎn)

本次某人民銀行內(nèi)聯(lián)網(wǎng)防火墻主要設(shè)置在和其他商業(yè)銀行連接的節(jié)點(diǎn)上。本

方案中，我們主要根據(jù)某人民銀行網(wǎng)絡(luò)實(shí)際情況，針對(duì)防火墻的特殊性，從如下

幾個(gè)方面考慮

1、保障系統(tǒng)安全性

防火墻放置在內(nèi)外網(wǎng)之間用來(lái)隔離內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)，對(duì)內(nèi)外網(wǎng)絡(luò)的通信

進(jìn)行嚴(yán)格的管理和監(jiān)控，防火墻必須提供全面的安全策略保證內(nèi)部系統(tǒng)安全。因

此方正方御防火墻提供全面的訪問(wèn)控制策略、IPMAC地址捆綁、IDS入侵檢測(cè)、

反電子欺騙等手段。這些功能能夠有效的保障內(nèi)部網(wǎng)絡(luò)安全。同時(shí)方正方御防火

墻也提供帶寬管理、分配，系統(tǒng)報(bào)警等措施從側(cè)面協(xié)助。

2、自身安全性

防火墻作為網(wǎng)絡(luò)系統(tǒng)中的一個(gè)部件，其自身的安全性也是十分重要的，考慮

到實(shí)際情況，方正方御防火墻提供單獨(dú)的管理接口，管理接口服務(wù)全部關(guān)閉，同

第29頁(yè)共106頁(yè)

編號(hào)：

時(shí)間：2021年X月X日書(shū)山有路勤為徑，學(xué)海無(wú)涯苦作舟頁(yè)碼：第30頁(yè)共106頁(yè)

時(shí)管理接口的特殊管理數(shù)據(jù)采用標(biāo)準(zhǔn)加密算法和措施。某人民銀行遠(yuǎn)程管理過(guò)程

中數(shù)據(jù)通過(guò)某人民銀行內(nèi)聯(lián)網(wǎng)進(jìn)行管理能夠有效的保證管理的安全性。同時(shí)，利