版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
某人民銀行內(nèi)聯(lián)網(wǎng)
防火墻安全子系統(tǒng)方案
方正數(shù)碼有限公司
編號(hào):
時(shí)間:2021年X月X日書(shū)山有路勤為徑,學(xué)海無(wú)涯苦作舟頁(yè)碼:第2頁(yè)共106頁(yè)
1北大方正集團(tuán)、方正數(shù)碼公司簡(jiǎn)介8
2人民銀行內(nèi)聯(lián)網(wǎng)結(jié)構(gòu)分析11
2.1人民銀行內(nèi)聯(lián)網(wǎng)整體情況11
2.2人民銀行內(nèi)聯(lián)網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)11
2.3人民銀行內(nèi)聯(lián)網(wǎng)支撐的應(yīng)用系統(tǒng)12
2.4人民銀行系統(tǒng)平臺(tái)13
3人民銀行內(nèi)聯(lián)網(wǎng)安全分析14
3.1人民銀行內(nèi)聯(lián)網(wǎng)安全現(xiàn)狀分析14
3.2人民銀行內(nèi)聯(lián)網(wǎng)安全風(fēng)險(xiǎn)分析14
3.2.1主要應(yīng)用服務(wù)的安全風(fēng)險(xiǎn)15
3.2.2網(wǎng)絡(luò)中主要系統(tǒng)的安全風(fēng)險(xiǎn)16
3.2.3數(shù)據(jù)庫(kù)系統(tǒng)安全分析17
3.2.4Unix系統(tǒng)的安全分析17
3.2.5WindowsNT系統(tǒng)的安全分析19
3.2.6管理系統(tǒng)的安全風(fēng)險(xiǎn)19
3.2.7業(yè)務(wù)網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)20
4方正數(shù)碼防火墻解決方案21
4.1本方案設(shè)計(jì)的原則和目標(biāo)21
4.2防火墻選型22
第2頁(yè)共106頁(yè)
編號(hào):
時(shí)間:2021年X月X日書(shū)山有路勤為徑,學(xué)海無(wú)涯苦作舟頁(yè)碼:第3頁(yè)共106頁(yè)
4.3防火墻設(shè)置及工作模式22
4.4防火墻功能設(shè)置及安全策略24
4.4.1完善的訪問(wèn)控制24
4.4.2內(nèi)置入侵檢測(cè)(IDS)26
4.4.3代理服務(wù)26
4.4.4NAT地址轉(zhuǎn)換26
4.4.5日志系統(tǒng)及系統(tǒng)報(bào)警27
4.4.6帶寬分配,流量管理27
4.4.7集中管理27
4.4.8預(yù)制模板28
4.4.9H.323支持28
4.4.10系統(tǒng)升級(jí)28
4411雙機(jī)備份29
4412防火墻方案特點(diǎn)29
5人民銀行內(nèi)聯(lián)網(wǎng)防火墻安全需求及方案對(duì)照說(shuō)明31
5.1人民銀行內(nèi)聯(lián)網(wǎng)防火墻基本要求31
5.2人民銀行內(nèi)聯(lián)網(wǎng)防火墻功能要求33
5.2.1必備功能33
5.2.2增強(qiáng)功能36
5.3防火墻性能36
5.4防火墻管理38
6人民銀行內(nèi)聯(lián)網(wǎng)安全管理建議39
第3頁(yè)共106頁(yè)
編號(hào):
時(shí)間:2021年x月x日書(shū)山有路勤為徑,學(xué)海無(wú)涯苦作舟頁(yè)碼:第4頁(yè)共106頁(yè)
6.1整體思路39
6.2集中管理,統(tǒng)一規(guī)劃39
63嚴(yán)格規(guī)章安全教育40
6.4明確責(zé)任技術(shù)培訓(xùn)40
6.5動(dòng)態(tài)監(jiān)控專家咨詢41
7人民銀行內(nèi)聯(lián)網(wǎng)防火墻安全系統(tǒng)實(shí)施方案42
7.1合同簽訂階段的工作實(shí)施42
7.2發(fā)貨階段的實(shí)施43
7.3到貨后工作的實(shí)施46
7.4測(cè)試及驗(yàn)收47
7.4.1測(cè)試及驗(yàn)收描述47
8人民銀行內(nèi)聯(lián)網(wǎng)防火墻系統(tǒng)培訓(xùn)49
8.1培訓(xùn)目標(biāo)49
8.2培訓(xùn)課程49
8.3培訓(xùn)方式49
8.4培訓(xùn)時(shí)長(zhǎng)49
8.5培訓(xùn)地點(diǎn)49
8.6培訓(xùn)人數(shù)50
第4頁(yè)共106頁(yè)
編號(hào):
時(shí)間:2021年X月X日書(shū)山有路勤為徑,學(xué)海無(wú)涯苦作舟頁(yè)碼:第5頁(yè)共106頁(yè)
8.7學(xué)員要求50
9方正方御防火墻技術(shù)支持與服務(wù)51
9.1方正數(shù)碼綠色服務(wù)體系結(jié)構(gòu)介紹51
9.2完善的技術(shù)支持與服務(wù)53
9.2.1售前服務(wù)內(nèi)容54
9.2.2售前服務(wù)流程55
9.2.3售后服務(wù)內(nèi)容56
9.2.4售后服務(wù)流程57
9.3服務(wù)方式58
9.4服務(wù)監(jiān)督58
10方正方御防火墻成功案例60
10.1鞍山市商業(yè)銀行應(yīng)用案例60
10.1.1鞍山市商業(yè)銀行需求分析60
10.1.2系統(tǒng)安全目的61
10.1.3安全體系結(jié)構(gòu)61
10.1.4安全系統(tǒng)實(shí)施61
10.2沈陽(yáng)建設(shè)銀行安全應(yīng)用實(shí)例62
10.2.1沈陽(yáng)建設(shè)銀行需求分析62
102.2系統(tǒng)安全目的64
1023用戶安全需求分析64
安全性64
高效性64
第5頁(yè)共106頁(yè)
編號(hào):
時(shí)間:2021年x月x日書(shū)山有路勤為徑,學(xué)海無(wú)涯苦作舟頁(yè)碼:第6頁(yè)共106頁(yè)
可擴(kuò)展性65
10.2.3。易用性(管理控制)65
1023。完善的服務(wù)體制65
102.4安全體系結(jié)構(gòu)65
10.2.5安全系統(tǒng)實(shí)施67
10.3部分方正方御防火墻客戶名單68
11人民銀行內(nèi)聯(lián)網(wǎng)防火墻安全子系統(tǒng)建設(shè)報(bào)價(jià)71
12方正數(shù)碼聯(lián)系方式72
附錄一:授權(quán)服務(wù)商名單73
附錄二:防御防火墻所獲證書(shū)78
附件三:資格證明文件83
附錄四:方正方御防火墻產(chǎn)品說(shuō)明88
產(chǎn)品概述88
系統(tǒng)特點(diǎn)89
防火墻功能說(shuō)明92
多種工作模式92
包過(guò)濾防火墻94
高效的過(guò)濾94
碎片處理功能95
防SYNFlood攻擊95
強(qiáng)大的狀態(tài)檢測(cè)功能96
第6頁(yè)共106頁(yè)
編號(hào):
時(shí)間:2021年X月X日書(shū)山有路勤為徑,學(xué)海無(wú)涯苦作舟頁(yè)碼:第7頁(yè)共106頁(yè)
輕型/復(fù)雜IDS(入侵檢測(cè)系統(tǒng))96
反端口掃描96
可以防范20類1500余種攻擊方式97
在線升級(jí)和實(shí)時(shí)報(bào)警99
入侵檢測(cè)和防火墻的互動(dòng)100
雙向NAT100
帶寬管理和流量統(tǒng)計(jì)101
代理服務(wù)器功能101
雙機(jī)熱備102
強(qiáng)大的審計(jì)功能102
基于PKI的高級(jí)授權(quán)認(rèn)證103
集中管理103
實(shí)時(shí)控制和日志轉(zhuǎn)存103
靈活的配置方式104
可視化配置104
預(yù)置包過(guò)濾規(guī)則集104
總結(jié)104
第7頁(yè)共106頁(yè)
編號(hào):
時(shí)間:2021年X月X日書(shū)山有路勤為徑,學(xué)海無(wú)涯苦作舟頁(yè)碼:第8頁(yè)共106頁(yè)
1北大方正集團(tuán)、方正數(shù)碼公司簡(jiǎn)介
北京北大方正集團(tuán)公司是北京大學(xué)創(chuàng)建的高新技術(shù)企業(yè)。
方正集團(tuán)擁有3個(gè)控股的上市公司,方正(控股)有限公司、方正數(shù)碼有限
公司、上海方正延中科技集團(tuán)股份有限公司,17家獨(dú)資、合資企業(yè)。員工總數(shù)
約6000人,總資產(chǎn)50億元,2000年銷(xiāo)售規(guī)模達(dá)101億元。
1997年,方正集團(tuán)已成為國(guó)家120家大型試點(diǎn)企業(yè)集團(tuán)之一,國(guó)家首批6
家技術(shù)創(chuàng)新試點(diǎn)企業(yè)之一,國(guó)家重點(diǎn)支持的5家PC生產(chǎn)廠家之一。
創(chuàng)造科技與文明,是北大方正的一貫宗旨,集團(tuán)堅(jiān)持以人為本的宗旨,以創(chuàng)
新為先導(dǎo),產(chǎn)、學(xué)、研結(jié)合,不斷以優(yōu)質(zhì)產(chǎn)品和技術(shù)服務(wù)于社會(huì)。
方正數(shù)碼有限公司(EC-FounderCo.,Ltd.)是從事發(fā)展互聯(lián)網(wǎng)應(yīng)用技術(shù)及電
子商務(wù)的軟件技術(shù)公司。其業(yè)務(wù)專注于互聯(lián)網(wǎng)安全產(chǎn)品及網(wǎng)絡(luò)安全服務(wù)等領(lǐng)域,
是互聯(lián)網(wǎng)時(shí)代的軟件技術(shù)公司。
方正數(shù)碼借助技術(shù)、研發(fā)方面的優(yōu)勢(shì),借鑒世界上最先進(jìn)的管理運(yùn)作經(jīng)驗(yàn),
定位于,,電子商務(wù)賦能者"(e-commerceenabler),用不斷創(chuàng)新的技術(shù)與優(yōu)質(zhì)的服
務(wù)賦予客戶新經(jīng)濟(jì)時(shí)代可持續(xù)發(fā)展的能力,幫助政府、行業(yè)、企業(yè)、網(wǎng)站、電子
商務(wù)的運(yùn)營(yíng)者運(yùn)用先進(jìn)技術(shù)和高效管理手段在互聯(lián)網(wǎng)時(shí)代健康發(fā)展,取得成功。
第8頁(yè)共106頁(yè)
編號(hào):
時(shí)間:2021年X月X日書(shū)山有路勤為徑,學(xué)海無(wú)涯苦作舟頁(yè)碼:第9頁(yè)共106頁(yè)
客戶:企業(yè)、政府、軍隊(duì)、行業(yè)
仃仃
信息安全地理空間企業(yè)/政府電子金融
信息信息化
防火墻系列B2B清算
整體解決方案?jìng)鹘y(tǒng)GIS應(yīng)用EAP策略顧問(wèn)資金實(shí)時(shí)劃撥
系統(tǒng)集成
實(shí)驗(yàn)體系LBI物流管理代理服務(wù)
LBI資源管理項(xiàng)目管理企業(yè)銀行
位置服務(wù)LBS網(wǎng)站建設(shè)
方正數(shù)碼有限公司的業(yè)務(wù)圍繞在互聯(lián)網(wǎng)安全技術(shù)應(yīng)用、網(wǎng)絡(luò)安全服務(wù)及網(wǎng)絡(luò)
安全知識(shí)管理等主要領(lǐng)域,在技術(shù)開(kāi)發(fā)、應(yīng)用解決方案和運(yùn)營(yíng)服務(wù)方面為用戶提
供先進(jìn)的網(wǎng)絡(luò)安全產(chǎn)品和技術(shù)。
為此方正數(shù)碼推出SHARKS互聯(lián)網(wǎng)安全解決方案。SHARKS解決方案是在
深入的研究后,提出的一套基于中國(guó)國(guó)情、全部自主開(kāi)發(fā)、具有領(lǐng)先優(yōu)勢(shì)的解決
方案。它是一套整體的集群平臺(tái),可以解決企業(yè)最為關(guān)切的安全性、高可靠性、
可擴(kuò)展性和易于遠(yuǎn)程管理的問(wèn)題。目前這套方案已經(jīng)得到國(guó)家有關(guān)部門(mén)的大力支
持,被國(guó)家經(jīng)貿(mào)委列為國(guó)家創(chuàng)新計(jì)劃項(xiàng)目之一,還得到了國(guó)家“863”計(jì)劃的肯
定與支持。
方正方御防火墻是SHARKS安全解決方案中的主要安全產(chǎn)品之一。方正方
御防火墻憑借其獨(dú)特的技術(shù)優(yōu)勢(shì),在保證系統(tǒng)自身的安全性的同時(shí)又保證了其運(yùn)
行效率。方正方御防火墻中還融入了入侵檢測(cè)技術(shù),可以有效地防范攻擊企圖的
試探;另外利用先進(jìn)的HI技術(shù),方正方御防火墻可以有效濾除著名的DDoS攻
擊,正是這種攻擊曾迫使包括美國(guó)雅虎在內(nèi)的若干世界最大的網(wǎng)站停止服務(wù)。除
防火墻之外,方正數(shù)碼有限公司還向用戶提供VPN、安全掃描系統(tǒng)、入侵檢測(cè)
系統(tǒng)(IDS)等安全產(chǎn)品及方案,從多層次、多角度、全方位保護(hù)用戶的網(wǎng)絡(luò)。
在立足于自主開(kāi)發(fā)外,方正數(shù)碼公司還與眾多國(guó)際、國(guó)內(nèi)知名的安全公司保
第9頁(yè)共106頁(yè)
編號(hào):
時(shí)間:2021年x月x日書(shū)山有路勤為徑,學(xué)海無(wú)涯苦作舟頁(yè)碼:第10頁(yè)共106頁(yè)
持著良好的合作關(guān)系,集成國(guó)內(nèi)外最優(yōu)秀的安全產(chǎn)品,為用戶的安全建設(shè)保駕護(hù)
航。
第10頁(yè)共106頁(yè)
編號(hào):
時(shí)間:2021年x月x日書(shū)山有路勤為徑,學(xué)海無(wú)涯苦作舟頁(yè)碼:第11頁(yè)共1。6頁(yè)
2人民銀行內(nèi)聯(lián)網(wǎng)結(jié)構(gòu)分析
2.1人民銀行內(nèi)聯(lián)網(wǎng)整體情況
某人民銀行內(nèi)聯(lián)網(wǎng)是以總行為中心、各個(gè)分支區(qū)域?yàn)榛A(chǔ),覆蓋某人民銀行
全國(guó)各部門(mén)、各層次分支機(jī)構(gòu),基于TCP/IP協(xié)議體系的計(jì)算機(jī)信息服務(wù)網(wǎng)絡(luò);
是某人民銀行應(yīng)用系統(tǒng)的基礎(chǔ)網(wǎng)絡(luò)平臺(tái)。目前整個(gè)系統(tǒng)已網(wǎng)絡(luò)實(shí)現(xiàn)到地市,系統(tǒng)
運(yùn)行著某人民銀行多種應(yīng)用系統(tǒng)。其中,這些系統(tǒng)通過(guò)與全國(guó)各商業(yè)銀行以及其
他金融機(jī)構(gòu)的互聯(lián)網(wǎng)絡(luò),實(shí)現(xiàn)信息交換和共享。
2.2人民銀行內(nèi)聯(lián)網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)
某人民銀行內(nèi)聯(lián)網(wǎng)由廣域網(wǎng)和各級(jí)機(jī)構(gòu)局域網(wǎng)組成。
某人民銀行內(nèi)聯(lián)網(wǎng)主要連接由兩個(gè)部分組成:一是某人民銀行自己的縱向連
網(wǎng),連接某人民銀行各級(jí)機(jī)構(gòu);一是某人民銀行和其他商業(yè)銀行的橫向連網(wǎng),實(shí)
現(xiàn)金融系統(tǒng)之間數(shù)據(jù)通信。某人民銀行內(nèi)聯(lián)網(wǎng)建立在CNFN的Framerelay網(wǎng)絡(luò)
之上,使用獨(dú)立的地址空間和域名系統(tǒng)。廣域網(wǎng)采用Framerelay技術(shù)。全國(guó)網(wǎng)
絡(luò)以總行為根節(jié)點(diǎn),形成樹(shù)形結(jié)構(gòu),各葉節(jié)點(diǎn)是某人民銀行各級(jí)機(jī)構(gòu)內(nèi)部的局域
網(wǎng)絡(luò),是廣域網(wǎng)的信息源和終點(diǎn),同時(shí)也是連接各商業(yè)銀行的起點(diǎn)。
人民銀行內(nèi)聯(lián)網(wǎng)整體結(jié)構(gòu)遵循網(wǎng)絡(luò)設(shè)計(jì)三級(jí)原則,分成骨干網(wǎng)(核心層)、
省域網(wǎng)(交換層)、區(qū)域網(wǎng)(訪問(wèn)層)。
?骨干網(wǎng)由總行、分行營(yíng)業(yè)管理部、省會(huì)城市中心支行等節(jié)點(diǎn)構(gòu)成;
?省域網(wǎng)由省會(huì)城市中心支行以及省域內(nèi)各地市中心支行等節(jié)點(diǎn)組成;
?區(qū)域網(wǎng)由地市中心支行以及所轄的縣支行等節(jié)點(diǎn)組成。
同時(shí),某人民銀行在總行、省(市)、地(市)三個(gè)層次上與各個(gè)商業(yè)銀行
以及其他金融機(jī)構(gòu)進(jìn)行互連(系統(tǒng)總體機(jī)構(gòu)如下)
第11頁(yè)共106頁(yè)
編號(hào):
時(shí)間:2021年x月x日書(shū)山有路勤為徑,學(xué)海無(wú)涯苦作舟頁(yè)碼:第12頁(yè)共106頁(yè)
某人民銀行同商業(yè)銀行及其他金融機(jī)構(gòu)互連
聯(lián)網(wǎng)
由協(xié)議。
2.3人民銀行內(nèi)聯(lián)網(wǎng)支撐的應(yīng)用系統(tǒng)
某人民銀行內(nèi)聯(lián)網(wǎng)上已經(jīng)或即將運(yùn)行的主要應(yīng)用服務(wù)系統(tǒng)包括:
?政務(wù)與辦公自動(dòng)化系統(tǒng);
?業(yè)務(wù)處理系統(tǒng);
?管理信息系統(tǒng);
?決策支持系統(tǒng);
?多媒體應(yīng)用與會(huì)議電視系統(tǒng);
?信息咨詢服務(wù)系統(tǒng);
?外匯應(yīng)用系統(tǒng);
第12頁(yè)共106頁(yè)
編號(hào):
時(shí)間:2021年X月X日書(shū)山有路勤為徑,學(xué)海無(wú)涯苦作舟頁(yè)碼:第13頁(yè)共106頁(yè)
2.4人民銀行系統(tǒng)平臺(tái)
某人民銀行目前系統(tǒng)平臺(tái)主要采用
?WindowNT系統(tǒng);
?Unix系統(tǒng);
?數(shù)據(jù)庫(kù)系統(tǒng);
第13頁(yè)共106頁(yè)
編號(hào):
時(shí)間:2021年X月X日書(shū)山有路勤為徑,學(xué)海無(wú)涯苦作舟頁(yè)碼:第14頁(yè)共106頁(yè)
3人民銀行內(nèi)聯(lián)網(wǎng)安全分析
3.1人民銀行內(nèi)聯(lián)網(wǎng)安全現(xiàn)狀分析
?某人民銀行內(nèi)聯(lián)網(wǎng)骨干網(wǎng)有獨(dú)立的PVC,IP地址以及域名系統(tǒng)。廣域網(wǎng)
基本滿足涉密網(wǎng)保密條件。
?某人民銀行和其他商業(yè)銀行以及金融機(jī)構(gòu)連接目前沒(méi)有采取網(wǎng)絡(luò)安全
措施,為了防范來(lái)自外部網(wǎng)絡(luò)(其他商業(yè)銀行和金融機(jī)構(gòu))安全威脅,
迫切需要進(jìn)行人民銀行內(nèi)聯(lián)網(wǎng)防火墻系統(tǒng)基礎(chǔ)建設(shè),保障內(nèi)部網(wǎng)絡(luò)安
全。
3.2人民銀行內(nèi)聯(lián)網(wǎng)安全風(fēng)險(xiǎn)分析
當(dāng)前,人民銀行的系統(tǒng)與外部非信任網(wǎng)絡(luò)系統(tǒng)之間缺乏完善的安全保護(hù)體系。
某人民銀行內(nèi)聯(lián)網(wǎng)各個(gè)葉節(jié)點(diǎn)網(wǎng)絡(luò)結(jié)構(gòu)如下:
第14頁(yè)共106頁(yè)
編號(hào):
時(shí)間:2021年x月x日書(shū)山有路勤為徑,學(xué)海無(wú)涯苦作舟頁(yè)碼:第15頁(yè)共106頁(yè)
復(fù)制文件信貸數(shù)據(jù)庫(kù)內(nèi)部web
服務(wù)器1服務(wù)器服務(wù)器服務(wù)器服務(wù)器
3.2.1主要應(yīng)用服務(wù)的安全風(fēng)險(xiǎn)
應(yīng)用服務(wù)
系統(tǒng)中各個(gè)葉節(jié)點(diǎn)有各種應(yīng)用服務(wù),這些應(yīng)用服務(wù)提供給人民銀行各
級(jí)分行或商業(yè)銀行使用。不能防止未經(jīng)驗(yàn)證的操作人員利用應(yīng)用系統(tǒng)的脆
弱性來(lái)攻擊應(yīng)用系統(tǒng),使得系統(tǒng)數(shù)據(jù)去失、數(shù)據(jù)更改、獲得非法數(shù)據(jù)等。
而某人民銀行的這些應(yīng)用系統(tǒng)是某人民銀行內(nèi)聯(lián)網(wǎng)中最重要的組成部分。
DNS月艮務(wù)
DNS是網(wǎng)絡(luò)正常運(yùn)作的基本元素,它們是由運(yùn)行專門(mén)的或操作系統(tǒng)提
供的服務(wù)的Unix或NT主機(jī)構(gòu)成。這些系統(tǒng)很容易成為外部網(wǎng)絡(luò)攻擊的目
標(biāo)或跳板。對(duì)DNS的攻擊通常是對(duì)其他遠(yuǎn)程主機(jī)進(jìn)行攻擊做準(zhǔn)備,如篡改
域名解析記錄以欺騙被攻擊的系統(tǒng),或通過(guò)獲取DNS的區(qū)域文件而得到進(jìn)
一步入侵的重要信息、。著名的域名服務(wù)系統(tǒng)BIND就存在眾多的可以被入
笫15頁(yè)共106頁(yè)
編號(hào):
時(shí)間:2021年X月X日書(shū)山有路勤為徑,學(xué)海無(wú)涯苦作舟頁(yè)碼:第16頁(yè)共106頁(yè)
侵者利用的漏洞。某人民銀行對(duì)外各種應(yīng)用,特別是基于URL的應(yīng)用依賴
于DNS系統(tǒng),DNS的安全性也是網(wǎng)絡(luò)安全關(guān)注的焦點(diǎn)。
由于郵件服務(wù)器軟件的眾多廣為人知的安全漏洞,郵件服務(wù)器成為進(jìn)
行遠(yuǎn)程攻擊的首選目標(biāo)之一。如利用公共的郵件服務(wù)器進(jìn)行的郵件欺騙或
郵件炸彈的中轉(zhuǎn)站或引擎;利用sendmail的漏洞直接入侵到郵件服務(wù)器的
主機(jī)等。而某人民銀行的內(nèi)部E-mail系統(tǒng)覆蓋面廣,所以迫切需要使用防
火墻來(lái)保護(hù)人民銀行的內(nèi)部E-mail系統(tǒng)。
WWW
利用HTTP服務(wù)器的一些漏洞,特別是在大量使用服務(wù)器腳本的系統(tǒng)
上,利用這些可執(zhí)行的腳本程序,未經(jīng)授權(quán)的操作者可以很容易地獲得系
統(tǒng)的控制權(quán)。在某人民銀行存在各種WWW服務(wù),這些服務(wù)協(xié)議或多或少
存在安全隱患。
FTP
一些FTP服務(wù)器的缺陷會(huì)使服務(wù)器很容易被錯(cuò)誤的配置,從而導(dǎo)致安
全問(wèn)題,如被匿名用戶上載的木馬程序,下載系統(tǒng)中的重要信息(如口令
文件)并導(dǎo)致最終的入侵。有些服務(wù)器版本帶有嚴(yán)重的錯(cuò)誤,比如可以使
任何人獲得對(duì)包括root在內(nèi)的任何帳號(hào)的訪問(wèn)。
3.2.2網(wǎng)絡(luò)中主要系統(tǒng)的安全風(fēng)險(xiǎn)
整個(gè)系統(tǒng)中網(wǎng)絡(luò)設(shè)備主要采用路由器設(shè)備,有必要分析這些設(shè)備的風(fēng)險(xiǎn)。路
由器是某人民銀行內(nèi)聯(lián)網(wǎng)的核心部件,路由器的安全將直接影響整個(gè)網(wǎng)絡(luò)的安全。
下面列舉了一些路由器所存在的主要安全風(fēng)險(xiǎn):
■路由器缺省情況下只使用簡(jiǎn)單的口令驗(yàn)證用戶身份,并且遠(yuǎn)程
TELNET登錄時(shí)以明文傳輸口令。一旦口令泄密路由器將失去所有的保護(hù)
能力。
第16頁(yè)共106頁(yè)
編號(hào):
時(shí)間:2021年X月X日書(shū)山有路勤為徑,學(xué)海無(wú)涯苦作舟頁(yè)碼:第17頁(yè)共106頁(yè)
■路由器口令的弱點(diǎn)是沒(méi)有計(jì)數(shù)器功能,所以每個(gè)人都可以不限次數(shù)的
嘗試登錄口令,在口令字典等工具的幫助下很容易破解登錄口令。
■每個(gè)管理員都可能使用相同的口令,因此,路由器對(duì)于誰(shuí)曾經(jīng)作過(guò)什
么修改,系統(tǒng)沒(méi)有跟蹤審計(jì)的能力。
■路由器實(shí)現(xiàn)的某些動(dòng)態(tài)路由協(xié)議存在一定的安全漏洞,有可能被惡意
的攻擊者利用來(lái)破壞網(wǎng)絡(luò)的路由設(shè)置,達(dá)到破壞網(wǎng)絡(luò)或?yàn)楣糇鰷?zhǔn)備的
目的。針對(duì)這種情況,必須采取措施,有效防止非法對(duì)網(wǎng)絡(luò)設(shè)備訪問(wèn)。
■TCP/IP風(fēng)險(xiǎn):系統(tǒng)采用TCP/IP協(xié)議進(jìn)行通信,而因?yàn)門(mén)CP/IP協(xié)議
中存在固有的漏洞,比如:針對(duì)TCP序號(hào)的攻擊,TCP會(huì)話劫持,TCPSYN
攻擊等。同時(shí)系統(tǒng)的DNS采用UDP協(xié)議,因?yàn)閁DP協(xié)議是非面向連接的
協(xié)議,對(duì)系統(tǒng)中的DNS等相關(guān)應(yīng)用帶來(lái)安全風(fēng)險(xiǎn)。
3.2.3數(shù)據(jù)庫(kù)系統(tǒng)安全分析
數(shù)據(jù)庫(kù)系統(tǒng)是存儲(chǔ)重要信息的場(chǎng)所并擔(dān)負(fù)著管理這些數(shù)據(jù)信息的任務(wù)。數(shù)據(jù)
庫(kù)的安全問(wèn)題,在數(shù)據(jù)庫(kù)技術(shù)誕生之后就一直存在,并隨著數(shù)據(jù)庫(kù)技術(shù)的發(fā)展而
不斷深化。不法份子利用已有的或者更加先進(jìn)的技術(shù)手段通常對(duì)數(shù)據(jù)庫(kù)進(jìn)行偽造
數(shù)據(jù)庫(kù)中的數(shù)據(jù)、損壞數(shù)據(jù)庫(kù)、竊取數(shù)據(jù)庫(kù)中的數(shù)據(jù)。如何保證和加強(qiáng)數(shù)據(jù)庫(kù)系
統(tǒng)的安全性和保密性對(duì)于網(wǎng)絡(luò)的正常、安全運(yùn)行至關(guān)重要。
3.2.4Unix系統(tǒng)的安全分析
UNIX系統(tǒng)安全具有如下特征:
?操作系統(tǒng)可靠性:它用于保證系統(tǒng)的完整性,系統(tǒng)處于保護(hù)模式下,
通過(guò)硬件和軟件保證系統(tǒng)操作可靠性。
?訪問(wèn)控制:允許通過(guò)改變用戶安全級(jí)別、訪問(wèn)權(quán)限,具有統(tǒng)一的訪問(wèn)
控制表。
第17頁(yè)共106頁(yè)
編號(hào):
時(shí)間:2021年X月X日書(shū)山有路勤為徑,學(xué)海無(wú)涯苦作舟頁(yè)碼:第18頁(yè)共106頁(yè)
?對(duì)象可用:當(dāng)對(duì)象不需要時(shí)應(yīng)該立即清除。
?個(gè)人身份標(biāo)識(shí)與認(rèn)證:它主要為了確定身份,如用戶登陸時(shí)采
用擴(kuò)展的DES算法對(duì)口令進(jìn)行加密。
?審計(jì):它要求對(duì)使用身份標(biāo)識(shí)和認(rèn)證的機(jī)制,文件的創(chuàng)建,修
改,系統(tǒng)管理的所有操作以及其他有關(guān)安全事件進(jìn)行記錄,以
便系統(tǒng)管理員進(jìn)行安全跟蹤。
?往來(lái)文件系統(tǒng):UNIX系統(tǒng)提供了分布式文件系統(tǒng)(DFS)的網(wǎng)
絡(luò)安全。
將網(wǎng)絡(luò)與外部網(wǎng)絡(luò)相連接,會(huì)使您的網(wǎng)絡(luò)遭受潛在的服務(wù)中斷、未經(jīng)授
權(quán)的入侵以及相當(dāng)大的破壞。比如下面的一些安全隱患:
■"拒絕服務(wù)"攻擊(DenialofServiceAttacks):這些攻擊禁止
系統(tǒng)向顧客提供服務(wù),使顧客不能得到某種服務(wù)。例如,攻擊可能
使用大而無(wú)用的流量充斥網(wǎng)絡(luò),導(dǎo)致無(wú)法向顧客提供服務(wù)。最通常
的情況是這種攻擊可能毀壞系統(tǒng)或者只是讓系統(tǒng)在向顧客提供服
務(wù)時(shí)慢的出奇。
■緩沖區(qū)溢出攻擊(BufferOverrunExploits):其中包括利用軟件
的弱點(diǎn)將任意數(shù)據(jù)添加進(jìn)某個(gè)程序中,從而在它以根的身份運(yùn)行時(shí),
有可能賦予剝削者對(duì)您的系統(tǒng)的根訪問(wèn)權(quán)。這也可能導(dǎo)致某種“拒
絕服務(wù)”攻擊。
■竊聽(tīng)和重放攻擊(SnoopingandReplayAttacks):竊聽(tīng)攻擊涉及
某個(gè)對(duì)網(wǎng)絡(luò)上的兩臺(tái)機(jī)器之間的通訊流進(jìn)行偵聽(tīng)的入侵者。通訊流
可能包含使用telnet、rlogin或ftp時(shí)來(lái)回傳遞的未加密的口
令。這有可能造成某個(gè)未經(jīng)授權(quán)的個(gè)人非法進(jìn)入您的網(wǎng)絡(luò)或看到機(jī)
密數(shù)據(jù)。
■IP欺騙(IPSpoofing):基于IP欺騙的攻擊涉及對(duì)計(jì)算機(jī)未經(jīng)授
權(quán)的訪問(wèn)。通過(guò)偵聽(tīng)網(wǎng)絡(luò)通訊流,入侵者找到受信任主機(jī)的一個(gè)
IP地址,然后發(fā)送消息時(shí)指示該消息來(lái)自受信任主機(jī)。
第18頁(yè)共106頁(yè)
編號(hào):
時(shí)間:2021年X月X日書(shū)山有路勤為徑,學(xué)海無(wú)涯苦作舟頁(yè)碼:第19頁(yè)共106頁(yè)
■內(nèi)部泄密(InternalExposure):絕大多數(shù)網(wǎng)絡(luò)非法進(jìn)入皆起因于
某個(gè)心懷惡意或?qū)ΜF(xiàn)狀不滿的現(xiàn)任或前任雇員濫用對(duì)信息的訪問(wèn)
權(quán)或非法闖入您的網(wǎng)絡(luò)。
針對(duì)Unix系統(tǒng)存在的諸多風(fēng)險(xiǎn),應(yīng)該采取相應(yīng)的安全措施。必須對(duì)這些風(fēng)
險(xiǎn)加以控制。針對(duì)這個(gè)部分的安全控制可以采取特殊的安全策略,同時(shí)利用相關(guān)
的軟件對(duì)系統(tǒng)進(jìn)行配置、監(jiān)控。制定詳細(xì)的訪問(wèn)控制計(jì)劃、策略。
3.2.5WindowsNT系統(tǒng)的安全分析
WindowsNT的安全機(jī)制的基礎(chǔ)是所有的資源和操作都受到選擇訪問(wèn)控制的
保護(hù),可以為同一目錄的不同文件設(shè)置不同的權(quán)限。這是NT的文件系統(tǒng)的最大
特點(diǎn)。NT的安全機(jī)制不是外加的,而是建立在操作系統(tǒng)內(nèi)部的,可以通過(guò)一定
的設(shè)置使文件和其他資源免受在存放的計(jì)算機(jī)上工作的用戶和通過(guò)網(wǎng)絡(luò)接觸資
源的用戶的威脅(破壞、非法的編輯等)。安全機(jī)制甚至包含基本的系統(tǒng)功能,
例如設(shè)置系統(tǒng)時(shí)鐘。對(duì)用戶帳號(hào)、用戶權(quán)限及資源權(quán)限的合理組合,可以有效地
保證安全性。通過(guò)一系列的管理工具,以及對(duì)用戶帳號(hào)、口令的管理,對(duì)文件、
數(shù)據(jù)授權(quán)訪問(wèn),執(zhí)行動(dòng)作的限制,以及對(duì)事件的審核可以使WindowsNT達(dá)到C2
級(jí)安全。
在網(wǎng)絡(luò)中,有三種方式可以訪問(wèn)NT服務(wù)器:
(1)通過(guò)用戶帳號(hào)、密碼、用戶組方式登錄到服務(wù)器上,在服務(wù)器允許的
權(quán)限內(nèi)對(duì)資源進(jìn)行訪問(wèn)、操作。這種方式的可控制性較強(qiáng),可以針對(duì)不同的用戶。
(2)在局部范圍內(nèi)通過(guò)資源共享的形式,這種方式建立在NETBIOS的基礎(chǔ)
之上。通過(guò)對(duì)共享資源的共享權(quán)限的控制達(dá)到安全保護(hù)。但不能針對(duì)不同的用戶,
當(dāng)一個(gè)用戶在通過(guò)共享對(duì)某一個(gè)資源進(jìn)行操作時(shí)(這時(shí)共享權(quán)限有所擴(kuò)大),其
他用戶趁虛而入,而造成對(duì)資源的破壞。
(3)在網(wǎng)絡(luò)中通過(guò)TCP/IP協(xié)議,對(duì)服務(wù)器進(jìn)行訪問(wèn)。目前典型應(yīng)用有、WWW
等。通過(guò)對(duì)文件權(quán)限的限制和對(duì)IP的選擇,對(duì)登錄用戶的認(rèn)證可以在安全性上
做到一定的保護(hù)。
第19頁(yè)共106頁(yè)
編號(hào):
時(shí)間:2021年X月X日書(shū)山有路勤為徑,學(xué)海無(wú)涯苦作舟頁(yè)碼:第20頁(yè)共106頁(yè)
由于WindowsNT系統(tǒng)的復(fù)雜性,以及系統(tǒng)的生存周期比較短,系統(tǒng)中存在
大量已知和未知的漏洞,一些國(guó)際上的安全組織已經(jīng)發(fā)布了大量的安全漏洞,其
中一些漏洞可以導(dǎo)致入侵者獲得管理員的權(quán)限,而另一些漏洞則可以被用來(lái)實(shí)施
拒絕服務(wù)攻擊。
3.2.6管理系統(tǒng)的安全風(fēng)險(xiǎn)
管理系統(tǒng)的安全風(fēng)險(xiǎn)除了上面提到的系統(tǒng)風(fēng)險(xiǎn)之外,系統(tǒng)之間,特別是其他
商業(yè)銀行和某人民銀行之間存在很大的安全隱患。系統(tǒng)結(jié)構(gòu)復(fù)雜、管理難度大,
存在各種服務(wù),哪些服務(wù)對(duì)哪些人是開(kāi)放的、哪些是拒絕的都沒(méi)有一定的安全劃
分。必須防止內(nèi)部不相關(guān)人員非法訪問(wèn)安全程度要求高的數(shù)據(jù),而且整個(gè)系統(tǒng)的
正常運(yùn)行也是保證銀行系統(tǒng)日常工作正常進(jìn)行的一個(gè)十分重要的方面。必須限制
管理系統(tǒng)內(nèi)各個(gè)部門(mén)之間訪問(wèn)權(quán)限,維護(hù)各個(gè)系統(tǒng)的安全訪問(wèn)。而由于整個(gè)系統(tǒng)
是一個(gè)體系,任何一個(gè)點(diǎn)出現(xiàn)安全問(wèn)題,都可能給相關(guān)人員帶來(lái)?yè)p失。
3.2.7業(yè)務(wù)網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)
業(yè)務(wù)網(wǎng)絡(luò)的安全程度要求是最高的,目前在某人民銀行內(nèi)部運(yùn)行的業(yè)務(wù)繁多,
同時(shí)各個(gè)商業(yè)銀行以及其他金融機(jī)構(gòu)通過(guò)某人民銀行內(nèi)聯(lián)網(wǎng)也運(yùn)行相關(guān)業(yè)務(wù),給
整個(gè)系統(tǒng)帶來(lái)了很大的安全隱患。這種隱患可能來(lái)自某人民銀行內(nèi)部,也可能來(lái)
自某人民銀行外部網(wǎng)絡(luò)。特別是外部,必須采取有效的措施控制和隔離內(nèi)聯(lián)網(wǎng)與
其他商業(yè)銀行和金融機(jī)構(gòu)的網(wǎng)絡(luò)互連,監(jiān)控某人民銀行內(nèi)聯(lián)網(wǎng)與其他金融機(jī)構(gòu)
之間的網(wǎng)絡(luò)通信,限制對(duì)方對(duì)某人民銀行資源訪問(wèn)范圍,權(quán)限,防范可能來(lái)自
對(duì)方的安全威脅。保證內(nèi)部系統(tǒng)安全。
第20頁(yè)共106頁(yè)
編號(hào):
時(shí)間:2021年X月X日書(shū)山有路勤為徑,學(xué)海無(wú)涯苦作舟頁(yè)碼:第21頁(yè)共106頁(yè)
4方正數(shù)碼防火墻解決方案
4.1本方案設(shè)計(jì)的原則和目標(biāo)
?原則:從網(wǎng)絡(luò)安全整個(gè)體系考慮,本次防火墻選擇原則是:
■安全性:防火墻提供一整套訪問(wèn)控制/防護(hù)的安全策略,保證系統(tǒng)的
安全性;
■開(kāi)放性:防火墻采用國(guó)家防火墻相關(guān)標(biāo)準(zhǔn)和網(wǎng)絡(luò)安全領(lǐng)域相關(guān)技術(shù)
標(biāo)準(zhǔn);
■高可靠性:防火墻采用軟件、硬件結(jié)合的形式,保證系統(tǒng)長(zhǎng)期穩(wěn)定、
安全運(yùn)行;
■可擴(kuò)充性:防火墻采用模塊化設(shè)計(jì)方式,方便產(chǎn)品升級(jí)、功能增強(qiáng)、
調(diào)整系統(tǒng)結(jié)構(gòu);
■可管理性:防火墻采用基于windows平臺(tái)GUI模式進(jìn)行管理,方便
各種安全策略設(shè)置;
■可維護(hù)性:防火墻軟件維護(hù)方便,便于操作管理;
?目標(biāo):
網(wǎng)絡(luò)安全包括很多方面,如:訪問(wèn)控制、身份認(rèn)證、數(shù)據(jù)加密、入
侵檢測(cè)、防止病毒、數(shù)據(jù)備份等。本次某人民銀行內(nèi)聯(lián)網(wǎng)防火墻系統(tǒng)建
設(shè)的目標(biāo)是通過(guò)在某人民銀行同其他商業(yè)銀行、金融機(jī)構(gòu)連接處采用防
火墻技術(shù),防止外部網(wǎng)絡(luò)對(duì)某人民銀行內(nèi)聯(lián)網(wǎng)數(shù)據(jù)的非法使用和訪問(wèn),
監(jiān)控整個(gè)網(wǎng)絡(luò)數(shù)據(jù)過(guò)程。有效防止來(lái)自外部的攻擊行為。限制對(duì)內(nèi)部資
源和系統(tǒng)的訪問(wèn)范圍。通過(guò)在某人民銀行內(nèi)聯(lián)網(wǎng)系統(tǒng)中設(shè)置防火墻的安
全措施將達(dá)到以下目標(biāo):
■保護(hù)基于某人民銀行內(nèi)聯(lián)網(wǎng)的業(yè)務(wù)不間斷的正常運(yùn)作。包括構(gòu)成某
人民銀行系統(tǒng)網(wǎng)絡(luò)的所有設(shè)施、系統(tǒng)、以及系統(tǒng)所處理的數(shù)據(jù)(信
第21頁(yè)共106頁(yè)
編號(hào):
時(shí)間:2021年X月X日書(shū)山有路勤為徑,學(xué)海無(wú)涯苦作舟頁(yè)碼:第22頁(yè)共106頁(yè)
■某人民銀行的重要信息在可控的范圍內(nèi)傳播,即有效的控制信息傳
播的范圍,防止重要信息泄露給某人民銀行外部的組織或人員。
■解決網(wǎng)絡(luò)的邊界安全問(wèn)題
■保證網(wǎng)絡(luò)內(nèi)部的安全
■實(shí)現(xiàn)系統(tǒng)安全及數(shù)據(jù)安全
■在用戶和資源之間進(jìn)行嚴(yán)格的訪問(wèn)控制(通過(guò)身份認(rèn)證,訪問(wèn)控制)
■建立一套數(shù)據(jù)審計(jì)、記錄的安全管理機(jī)制(網(wǎng)絡(luò)數(shù)據(jù)采集,審計(jì))
■融合技術(shù)手段和行政手段,形成全局的安全管理。
為了解決人民銀行內(nèi)聯(lián)網(wǎng)面臨的安全問(wèn)題,有必要建立一整套安全機(jī)制,包
括:訪問(wèn)控制、入侵檢測(cè)等多個(gè)方面。信息系統(tǒng)的安全是一個(gè)復(fù)雜的系統(tǒng)工程,
涉及到技術(shù)和管理等多個(gè)層面。為達(dá)成以上目標(biāo),方正數(shù)碼在充分調(diào)研和分析比
較的基礎(chǔ)上采用合理的技術(shù)手段和產(chǎn)品以構(gòu)建一個(gè)完整的安全技術(shù)體系,同時(shí)通
過(guò)與某人民銀行的共同工作,協(xié)助某人民銀行建立完善的安全管理體系。
4.2防火墻選型
防火墻是網(wǎng)絡(luò)安全領(lǐng)域首要的、基礎(chǔ)的設(shè)施,它對(duì)維護(hù)內(nèi)部網(wǎng)絡(luò)的安全起著
重要的作用。利用防火墻可以有效地劃分網(wǎng)絡(luò)不同安全級(jí)別區(qū)域間的邊界,并在
邊界上對(duì)不同區(qū)域間的訪問(wèn)實(shí)施訪問(wèn)控制、身份鑒別、和安全審計(jì)等功能。
防火墻按實(shí)現(xiàn)的方式不同,其基本類型有:包過(guò)濾型、代理(應(yīng)用網(wǎng)關(guān))型和
復(fù)合型。
復(fù)合型防火墻是在綜合動(dòng)態(tài)包過(guò)濾技術(shù)和代理技術(shù)的優(yōu)點(diǎn)的情況下采取的
一種更加完善和安全的防火墻技術(shù)。其功能強(qiáng)大,是未來(lái)防火墻技術(shù)發(fā)展的一個(gè)
主要趨勢(shì)。綜合考慮人民銀行網(wǎng)絡(luò)安全實(shí)際情況,在本方案中采用方正數(shù)碼的方
正方御(FG-P)復(fù)合型防火墻,放置在某人民銀行與各個(gè)商業(yè)銀行以及其它金融
機(jī)構(gòu)連接的各個(gè)葉節(jié)點(diǎn)。
第22頁(yè)共106頁(yè)
編號(hào):
時(shí)間:2021年X月X日書(shū)山有路勤為徑,學(xué)海無(wú)涯苦作舟頁(yè)碼:第23頁(yè)共106頁(yè)
4.3防火墻設(shè)置及工作模式
根據(jù)某人民銀行內(nèi)聯(lián)網(wǎng)防火墻要求和實(shí)際情況,防火墻整體布局如下:
在人民銀行與各商業(yè)銀行以及其他金融機(jī)構(gòu)有連接的點(diǎn)采用防火墻技術(shù)。每
個(gè)節(jié)點(diǎn)防火墻設(shè)置具體如下圖:
第23頁(yè)共106頁(yè)
編號(hào):
時(shí)間:2021年X月X日書(shū)山有路勤為徑,學(xué)海無(wú)涯苦作舟頁(yè)碼:第24頁(yè)共106頁(yè)
復(fù)制文件信貸數(shù)據(jù)庫(kù)內(nèi)部Web
3服務(wù)器1-a服務(wù)器a服務(wù)器e服務(wù)器.服i務(wù)器
_______________________________I______L_
?防火墻提供三個(gè)接口:內(nèi)網(wǎng)、外網(wǎng)、DMZ;
?防火墻工作在路由模式,對(duì)外采用NAT技術(shù),隱藏內(nèi)部真實(shí)地址;
?將對(duì)外服務(wù)的各種服務(wù)設(shè)備放置在DMZ區(qū)域,和內(nèi)部網(wǎng)絡(luò)嚴(yán)格區(qū)分開(kāi),保證內(nèi)
部系統(tǒng)安全。
考慮到安全問(wèn)題,系統(tǒng)中的結(jié)構(gòu)需要調(diào)整,將原來(lái)各商業(yè)銀行對(duì)某人民銀行
內(nèi)部網(wǎng)絡(luò)的訪問(wèn)調(diào)整到對(duì)DMZ的訪問(wèn)。不輕易允許各商業(yè)銀行對(duì)某人民銀行內(nèi)
部網(wǎng)絡(luò)進(jìn)行訪問(wèn)。
4.4防火墻功能設(shè)置及安全策略
4.4.1完善的訪問(wèn)控制
規(guī)則控制:通過(guò)方正方御防火墻提供的基于TCP/IP協(xié)議中各個(gè)環(huán)節(jié)進(jìn)行安全
控制,生成完整安全的訪問(wèn)控制表,這個(gè)表包括:
■外網(wǎng)(商業(yè)銀行和其他金融機(jī)構(gòu))對(duì)DMZ內(nèi)服務(wù)訪問(wèn)控制。將外部對(duì)
第24頁(yè)共106頁(yè)
編號(hào):
時(shí)間:2021年X月X日書(shū)山有路勤為徑,學(xué)海無(wú)涯苦作舟頁(yè)碼:第25頁(yè)共106頁(yè)
內(nèi)部、DMZ內(nèi)服務(wù)訪問(wèn)明確限制,防止非法對(duì)內(nèi)部重要系統(tǒng),特別是業(yè)
務(wù)系統(tǒng)的訪問(wèn)。利用DMZ的隔離效果,盡量將對(duì)外服務(wù)的部分服務(wù)器放
置在DMZ區(qū)域,通過(guò)NAT方式,保護(hù)內(nèi)部網(wǎng)絡(luò)免受攻擊。關(guān)閉操作系統(tǒng)
提供的除需要以外的所有服務(wù)和應(yīng)用,防止因?yàn)檫@些服務(wù)和應(yīng)用自身的
漏洞給系統(tǒng)帶來(lái)的風(fēng)險(xiǎn)。對(duì)內(nèi)部E-mail、FTP、WWW、數(shù)據(jù)庫(kù)的訪問(wèn)做
嚴(yán)格的規(guī)劃和限制,防止惡意攻擊行為發(fā)生。
■內(nèi)部網(wǎng)絡(luò):內(nèi)部網(wǎng)絡(luò)對(duì)外部網(wǎng)絡(luò)(商業(yè)銀行和其他金融機(jī)構(gòu))的訪問(wèn)
也要進(jìn)行嚴(yán)格的限制。防止內(nèi)部員工對(duì)外網(wǎng)資源的非法訪問(wèn)。對(duì)內(nèi)部員
工對(duì)外訪問(wèn)采用NAT方式訪問(wèn)。同時(shí)內(nèi)部員工對(duì)DMZ區(qū)域服務(wù)器訪問(wèn)也
必須做限制。內(nèi)部員工對(duì)外網(wǎng)WWW訪問(wèn)采用代理方式。
■DMZ訪問(wèn):通常情況下DMZ對(duì)外部和內(nèi)部都不能主動(dòng)進(jìn)行訪問(wèn),除非特
殊的應(yīng)用需要到內(nèi)部網(wǎng)絡(luò)采集數(shù)據(jù),可以有限地開(kāi)放部分服務(wù)。
借助方正方御防火墻提供的基于狀態(tài)包過(guò)濾技術(shù)對(duì)數(shù)據(jù)的各個(gè)方向采用
全面安全的技術(shù)策略,制定嚴(yán)格完善的訪問(wèn)控制策略保證從IP到傳輸層
的數(shù)據(jù)安全。針對(duì)某人民銀行系統(tǒng)中的網(wǎng)絡(luò)風(fēng)險(xiǎn)可以通過(guò)嚴(yán)格的訪問(wèn)控
制表來(lái)進(jìn)行限制。
IPMAC地址捆綁:
方正方御防火墻提供靈活而方式多種的內(nèi)部網(wǎng)絡(luò)、DMZ區(qū)域、外部網(wǎng)絡(luò)
IPMAC地址捆綁功能,將每臺(tái)機(jī)器的IP地址和它自身的物理地址捆綁,有
效防止內(nèi)部網(wǎng)絡(luò)、DMZ區(qū)域、外部網(wǎng)絡(luò)的IP地址盜用(該功能實(shí)質(zhì)是將網(wǎng)
絡(luò)協(xié)議第二層地址和第三層地址進(jìn)行捆綁,達(dá)到一定的安全級(jí)別)。內(nèi)部系
統(tǒng)應(yīng)該盡量采用固定IP分配方案。通過(guò)IPMAC地址捆綁,也可以對(duì)后期數(shù)
據(jù)日志分析帶來(lái)一定的方便性。
URL攔截:
在某人民銀行內(nèi)聯(lián)網(wǎng)上存在各種需要對(duì)外保密的信息。方正方御防火墻
第25頁(yè)共106頁(yè)
編號(hào):
時(shí)間:2021年X月X日書(shū)山有路勤為徑,學(xué)海無(wú)涯苦作舟頁(yè)碼:第26頁(yè)共106頁(yè)
實(shí)現(xiàn)了透明的URL攔截功能,對(duì)通過(guò)防火墻的應(yīng)用層URL進(jìn)行嚴(yán)格的控制和
管理,按照用戶的要求進(jìn)行攔截。外部對(duì)DMZ、內(nèi)部URL訪問(wèn)進(jìn)行控制,同
時(shí)也可以限制內(nèi)部網(wǎng)絡(luò)對(duì)外部網(wǎng)絡(luò)URL非法訪問(wèn)。在該方案中我們將對(duì)內(nèi)部
網(wǎng)絡(luò)和外部網(wǎng)絡(luò)情況具體了解,對(duì)URL攔截達(dá)到頁(yè)面級(jí)別。有效保護(hù)www應(yīng)
用的安全。
4.4.2內(nèi)置入侵檢測(cè)(IDS)
?方正數(shù)碼公司和國(guó)際網(wǎng)絡(luò)安全組織合作,能夠?qū)崟r(shí)獲得最新系統(tǒng)入侵庫(kù)代碼,
動(dòng)態(tài)地將這些攻擊技術(shù)的解決方案加入到方正方御防火墻中,同時(shí)在方正方
御防火墻內(nèi)部采用31技術(shù),加速應(yīng)用層安全防護(hù)查詢過(guò)程。方正方御防火
墻目前能夠支持1500種以上的入侵檢測(cè)并能夠成功阻斷這樣的攻擊行為,
比如最近的紅色代碼。針對(duì)各種攻擊行為,比如TCP序列號(hào)攻擊、劫持、碎
片攻擊、端口掃描能夠識(shí)別阻斷。而這個(gè)數(shù)據(jù)庫(kù)可以實(shí)時(shí)更新、升級(jí)。升級(jí)
在方正方御防火墻界面即可完成。IDS和訪問(wèn)策略形成互動(dòng)。通過(guò)防火墻嵌
入的IDS功能能夠有效防范對(duì)內(nèi)部Windows/NT,Unix系統(tǒng)的攻擊行為。
?電子欺騙:防火墻能夠自動(dòng)識(shí)別各種電子欺騙行為并進(jìn)行阻斷。同時(shí)防火墻
能夠?qū)窝bIP地址進(jìn)行識(shí)別。
4.4.3代理服務(wù)
方正方御防火墻對(duì)外提供代理服務(wù)功能,某人民銀行內(nèi)部網(wǎng)絡(luò)對(duì)外訪問(wèn)可以
通過(guò)防火墻提供的代理服務(wù)功能,同時(shí)代理服務(wù)可以針對(duì)URL,SSL,FTP進(jìn)行應(yīng)用
攔截,防止內(nèi)部人員對(duì)外網(wǎng)的非法訪問(wèn)。
4.4.4NAT地址轉(zhuǎn)換
將某人民銀行內(nèi)部網(wǎng)絡(luò)和DMZ區(qū)域網(wǎng)絡(luò)地址通過(guò)NAT方式轉(zhuǎn)換,隱藏真實(shí)
IP地址,防止內(nèi)部網(wǎng)絡(luò)受到攻擊。具體轉(zhuǎn)換方式就是將內(nèi)部網(wǎng)絡(luò)和DMZ區(qū)域機(jī)
第26頁(yè)共106頁(yè)
編號(hào):
時(shí)間:2021年X月X日書(shū)山有路勤為徑,學(xué)海無(wú)涯苦作舟頁(yè)碼:第27頁(yè)共106頁(yè)
器的地址全部轉(zhuǎn)換成防火墻外網(wǎng)卡地址,對(duì)外某人民銀行只有一個(gè)地址。而借助
防火墻的多映射功能,可以將對(duì)外的同一地址映射為內(nèi)部網(wǎng)絡(luò)和DMZ區(qū)域不同
服務(wù)的不同端口。
4.4.5日志系統(tǒng)及系統(tǒng)報(bào)警
方正方御防火墻提供強(qiáng)大的日志系統(tǒng),將通過(guò)防火墻的數(shù)據(jù)、防火墻管理數(shù)
據(jù)、流量、各種攻擊行為統(tǒng)計(jì)集成到一起。同時(shí)系統(tǒng)提供針對(duì)各種統(tǒng)計(jì)結(jié)果按照
用戶要求進(jìn)行報(bào)表打印。
?針對(duì)通過(guò)防火墻數(shù)據(jù),可以按照數(shù)據(jù)類型、地址進(jìn)行統(tǒng)計(jì)分析。
?針對(duì)各種管理數(shù)據(jù),防火墻進(jìn)行詳細(xì)記錄,網(wǎng)管人員可以方便的查看對(duì)防火
墻管理情況。如果有內(nèi)部人員對(duì)防火墻訪問(wèn),可以通過(guò)管理數(shù)據(jù)進(jìn)行查詢。
?流量統(tǒng)計(jì):防火墻提供流量統(tǒng)計(jì)功能,可以按照用戶名稱、地址等多種方式
進(jìn)行統(tǒng)計(jì)。
?系統(tǒng)報(bào)警:當(dāng)有人非法對(duì)內(nèi)部網(wǎng)絡(luò)或者外部網(wǎng)絡(luò)進(jìn)行訪問(wèn)的時(shí)候,系統(tǒng)的實(shí)
時(shí)報(bào)警會(huì)通過(guò)E-mail和聲音進(jìn)行報(bào)警。同時(shí)對(duì)各種非法的訪問(wèn)和攻擊行為
進(jìn)行記錄。
通過(guò)強(qiáng)大的日志系統(tǒng)和實(shí)時(shí)報(bào)警、日志報(bào)警等多種方式保證某人民銀行內(nèi)部
網(wǎng)絡(luò)出現(xiàn)安全問(wèn)題時(shí)可以有資料分析;同時(shí)也可以通過(guò)對(duì)日志系統(tǒng)的分析完善系
統(tǒng)安全策略。
4.4.6帶寬分配,流量管理
在某人民銀行內(nèi)聯(lián)網(wǎng)上運(yùn)行著部分重要的業(yè)務(wù)數(shù)據(jù),這些業(yè)務(wù)數(shù)據(jù)實(shí)時(shí)性要
求高,必須保證這樣的數(shù)據(jù)具有優(yōu)先權(quán)限,防止因?yàn)閹拞?wèn)題影響某人民銀行的
應(yīng)用。方正方御防火墻可以針對(duì)某人民銀行實(shí)際情況,對(duì)部分特殊應(yīng)用提供帶寬
管理。給特殊應(yīng)用分配相對(duì)高的帶寬。同時(shí)方正方御防火墻提供流量管理功能,
對(duì)內(nèi)部網(wǎng)絡(luò)用戶對(duì)外網(wǎng)的訪問(wèn)可以提供流量限制。
第27頁(yè)共106頁(yè)
編號(hào):
時(shí)間:2021年X月X日書(shū)山有路勤為徑,學(xué)海無(wú)涯苦作舟頁(yè)碼:第28頁(yè)共106頁(yè)
4.4.7集中管理
針對(duì)某人民銀行網(wǎng)絡(luò)覆蓋面廣、區(qū)域跨度大的特點(diǎn),防火墻需要集中管理和
控制。方正方御防火墻提供集中管理機(jī)制,支持遠(yuǎn)程管理。利用NT域的概念和
技術(shù),方正方御防火墻可以對(duì)同一個(gè)域內(nèi)的不同防火墻進(jìn)行同時(shí)管理。我們考慮
在某人民銀行的總行以及各個(gè)大區(qū)行采取集中管理機(jī)制。按照防火墻的分權(quán)原則,
將策略管理放置在各個(gè)防火墻節(jié)點(diǎn)。策略整體由某人民銀行總行策劃,各個(gè)節(jié)點(diǎn)
自己進(jìn)行策略管理。而系統(tǒng)管理和日志查詢放置在各個(gè)大區(qū)行,統(tǒng)一管理、分析。
防火墻提供管理接口,同時(shí)支持遠(yuǎn)程管理,管理數(shù)據(jù)采用RC4/MD5方式加密,可
以有效保證管理的安全性,同時(shí)管理數(shù)據(jù)只在某人民銀行內(nèi)聯(lián)網(wǎng)流動(dòng)。而防火墻
自身可以對(duì)管理員地址進(jìn)行嚴(yán)格限制。
4.4.8預(yù)制模板
某人民銀行網(wǎng)絡(luò)復(fù)雜,但是結(jié)構(gòu)清晰,為了更好的維護(hù)整個(gè)系統(tǒng)安全和適應(yīng)
某人民銀行統(tǒng)一管理、安全強(qiáng)度一致的原則,方正方御防火墻提供預(yù)制模板功能。
可以通過(guò)某人民銀行統(tǒng)一制訂一個(gè)策略模板,各個(gè)節(jié)點(diǎn)網(wǎng)絡(luò)在這個(gè)模板基礎(chǔ)上進(jìn)
行規(guī)劃,簡(jiǎn)化管理過(guò)程,使得系統(tǒng)管理難度降低。
4.4.9H.323支持
某人民銀行內(nèi)聯(lián)網(wǎng)運(yùn)行著視頻會(huì)議數(shù)據(jù)(H.323)o方正方御防火墻能夠準(zhǔn)確
識(shí)別H.323數(shù)據(jù)流,讓數(shù)據(jù)合法通過(guò)。按照正常的狀態(tài)檢測(cè)技術(shù),H.323數(shù)據(jù)可
能被阻斷。在方正方御防火墻內(nèi)部成功的進(jìn)行了UDP、TCP數(shù)據(jù)同步分析。系統(tǒng)
能夠識(shí)別H.323連接,保證H.323數(shù)據(jù)通過(guò)。
4.4.10系統(tǒng)升級(jí)
網(wǎng)絡(luò)安全技術(shù)隨著網(wǎng)絡(luò)技術(shù)發(fā)展不斷變化,而網(wǎng)絡(luò)安全策略和軟件也不能一
第28頁(yè)共106頁(yè)
編號(hào):
時(shí)間:2021年X月X日書(shū)山有路勤為徑,學(xué)海無(wú)涯苦作舟頁(yè)碼:第29頁(yè)共106頁(yè)
成不變,需要不斷升級(jí)。方正方御防火墻管理界面提供方便的系統(tǒng)升級(jí)和IDS升
級(jí)功能。保證某人民銀行防火墻產(chǎn)品實(shí)時(shí)和網(wǎng)絡(luò)安全領(lǐng)域技術(shù)同步,防止因?yàn)樾?/p>
的安全問(wèn)題給系統(tǒng)帶來(lái)的安全風(fēng)險(xiǎn)。其中,特別是IDS功能,幾乎每天都有新的
安全風(fēng)險(xiǎn)和攻擊軟件出現(xiàn)。方正防火墻內(nèi)嵌IDS功能模塊可以動(dòng)態(tài)升級(jí),保障
IDS數(shù)據(jù)庫(kù)和最新動(dòng)態(tài)同步。
4.4.11雙機(jī)備份
網(wǎng)絡(luò)安全、穩(wěn)定長(zhǎng)期運(yùn)行是某人民銀行最終目標(biāo),而網(wǎng)絡(luò)硬件可能因?yàn)橐恍?/p>
特殊原因發(fā)生故障。方正方御防火墻提供雙機(jī)備份功能,采用兩種方式進(jìn)行備份
檢測(cè),軟件方式借用HSRP技術(shù)動(dòng)態(tài)跟蹤各個(gè)區(qū)域運(yùn)行狀態(tài),發(fā)現(xiàn)任何一個(gè)區(qū)域
出現(xiàn)問(wèn)題即刻進(jìn)行切換。硬件方式采用心跳線方式,當(dāng)系統(tǒng)檢測(cè)到故障,也將進(jìn)
行切換。而系統(tǒng)的切換不影響某人民銀行的業(yè)務(wù)。兩臺(tái)防火墻工作在互備模式中。
4.4.12防火墻方案特點(diǎn)
本次某人民銀行內(nèi)聯(lián)網(wǎng)防火墻主要設(shè)置在和其他商業(yè)銀行連接的節(jié)點(diǎn)上。本
方案中,我們主要根據(jù)某人民銀行網(wǎng)絡(luò)實(shí)際情況,針對(duì)防火墻的特殊性,從如下
幾個(gè)方面考慮
1、保障系統(tǒng)安全性
防火墻放置在內(nèi)外網(wǎng)之間用來(lái)隔離內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò),對(duì)內(nèi)外網(wǎng)絡(luò)的通信
進(jìn)行嚴(yán)格的管理和監(jiān)控,防火墻必須提供全面的安全策略保證內(nèi)部系統(tǒng)安全。因
此方正方御防火墻提供全面的訪問(wèn)控制策略、IPMAC地址捆綁、IDS入侵檢測(cè)、
反電子欺騙等手段。這些功能能夠有效的保障內(nèi)部網(wǎng)絡(luò)安全。同時(shí)方正方御防火
墻也提供帶寬管理、分配,系統(tǒng)報(bào)警等措施從側(cè)面協(xié)助。
2、自身安全性
防火墻作為網(wǎng)絡(luò)系統(tǒng)中的一個(gè)部件,其自身的安全性也是十分重要的,考慮
到實(shí)際情況,方正方御防火墻提供單獨(dú)的管理接口,管理接口服務(wù)全部關(guān)閉,同
第29頁(yè)共106頁(yè)
編號(hào):
時(shí)間:2021年X月X日書(shū)山有路勤為徑,學(xué)海無(wú)涯苦作舟頁(yè)碼:第30頁(yè)共106頁(yè)
時(shí)管理接口的特殊管理數(shù)據(jù)采用標(biāo)準(zhǔn)加密算法和措施。某人民銀行遠(yuǎn)程管理過(guò)程
中數(shù)據(jù)通過(guò)某人民銀行內(nèi)聯(lián)網(wǎng)進(jìn)行管理能夠有效的保證管理的安全性。同時(shí),利
溫馨提示
- 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 工裝拆除合同
- 江蘇省住宅裝修合同
- 馬桶維修合同范本
- 數(shù)學(xué):2.1.2整式復(fù)習(xí)課件(人教新課標(biāo)七年級(jí)上)
- 小學(xué)人教英語(yǔ)上下冊(cè)Unit-4-Time-Lesson-3-課件3公開(kāi)課教案教學(xué)設(shè)計(jì)課件測(cè)試卷練習(xí)卷
- 人教版四年級(jí)語(yǔ)文上冊(cè)《語(yǔ)文園地五》(完整課件)-課件
- 部編版語(yǔ)文二年級(jí)第二學(xué)期:第4課-鄧小平爺爺植樹(shù)-第2課時(shí)課件
- 做賬實(shí)操-農(nóng)民專業(yè)合作社的財(cái)務(wù)管理制度
- 安徽省屯溪一中2022年物理高一下期末聯(lián)考模擬試題含解析
- 安徽省干汊河中學(xué)2021-2022學(xué)年物理高一下期末統(tǒng)考模擬試題含解析
- 管道保溫層厚度的計(jì)算方法
- 煙草甲蟲(chóng)防治試驗(yàn)
- 防火卷簾門(mén)安裝安全技術(shù)交底
- 稅務(wù)管理培訓(xùn)課件(共35頁(yè)).ppt
- 再審檢察建議或抗訴申請(qǐng)書(shū)
- 水工建筑物抗沖磨防空蝕混凝土技術(shù)規(guī)范
- 水質(zhì)調(diào)查報(bào)告(PPT課件)
- 洗羊毛項(xiàng)目建議書(shū)寫(xiě)作模板-備案申報(bào)
- 三措兩案范文
- 24種不同攪拌器的功率曲線
- 學(xué)生違紀(jì)處理登記表格模板
評(píng)論
0/150
提交評(píng)論