銀行辦公局域網(wǎng)辦公防御方案

1、銀行辦公局域網(wǎng)辦公防御方案 小小商業(yè)銀行經(jīng)過(guò)多年的建設(shè)，已經(jīng)形成比較完善的綜合網(wǎng)絡(luò)，整體結(jié)構(gòu)是通過(guò)廣域網(wǎng)連接的二級(jí)網(wǎng)絡(luò)，在二級(jí)網(wǎng)絡(luò)上運(yùn)行著銀行業(yè)務(wù)系統(tǒng)、辦公自動(dòng)化系統(tǒng)、代理業(yè)務(wù)系統(tǒng)等，由于應(yīng)用系統(tǒng)的復(fù)雜化，網(wǎng)絡(luò)安全體系的建立和網(wǎng)絡(luò)安全的全面解決方案更是迫在眉睫。internet接入安全，中心生產(chǎn)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全，全網(wǎng)防病毒系統(tǒng)體系，生產(chǎn)前置機(jī)安全，辦公網(wǎng)絡(luò)與生產(chǎn)網(wǎng)絡(luò)物理線(xiàn)路共享情況下保證生產(chǎn)網(wǎng)絡(luò)的安全。一、 技術(shù)安全手段需求分析1.1、網(wǎng)絡(luò)現(xiàn)狀目前某市商業(yè)銀行已經(jīng)建成了以中心網(wǎng)絡(luò)為一級(jí)網(wǎng)絡(luò)，支行與網(wǎng)點(diǎn)為二級(jí)網(wǎng)絡(luò)的生產(chǎn)網(wǎng)絡(luò)，同時(shí)還并行有一套覆蓋到辦公大樓、支行、網(wǎng)點(diǎn)的辦公自動(dòng)化系統(tǒng)?？上遥啃邢到y(tǒng)目

2、前處于籌建階段，在圖一中辦公網(wǎng)部分沒(méi)有接入商業(yè)銀行生產(chǎn)網(wǎng)絡(luò)，虛線(xiàn)表示當(dāng)辦公自動(dòng)化需要從生產(chǎn)主機(jī)獲得帳表信息時(shí)，才手工聯(lián)接兩個(gè)網(wǎng)絡(luò)，完成帳表信息導(dǎo)出之后，手工斷開(kāi)兩個(gè)網(wǎng)絡(luò)之間的連接。在安全方案中需要在系統(tǒng)部署前統(tǒng)一考慮兩個(gè)網(wǎng)絡(luò)連接在一起之后的安全問(wèn)題。oa服務(wù)器在部署以后未來(lái)可能提供遠(yuǎn)程移動(dòng)辦公支持，移動(dòng)用戶(hù)通過(guò)遠(yuǎn)程接入internet，利用瀏覽器訪(fǎng)問(wèn)oa服務(wù)器本身提供的web服務(wù)。oa服務(wù)器本身基于lotus notes建設(shè)。生產(chǎn)網(wǎng)絡(luò)是銀行網(wǎng)絡(luò)的最根本應(yīng)用。某市商業(yè)銀行生產(chǎn)網(wǎng)絡(luò)分為3個(gè)大的部分：第一部分：中心生產(chǎn)網(wǎng)絡(luò)核心包括以sna網(wǎng)絡(luò)為基礎(chǔ)的生產(chǎn)機(jī)系統(tǒng)，以?xún)膳_(tái)rs9000作為生產(chǎn)系統(tǒng)，且互相

3、備份。所有對(duì)生產(chǎn)主機(jī)的訪(fǎng)問(wèn)均通過(guò)前置機(jī)群完成。第二部分：外聯(lián)單位。外聯(lián)單位是主要涉及到商業(yè)銀行與銀聯(lián)之間的結(jié)算等業(yè)務(wù)，企業(yè)通過(guò)各種多樣的方式接入商業(yè)銀行網(wǎng)絡(luò)。第三部分：支行及網(wǎng)點(diǎn)。某市商業(yè)銀行目前有多個(gè)網(wǎng)點(diǎn)和支行。通過(guò)ddn接入中心網(wǎng)絡(luò)。同時(shí)采用pstn作為備份線(xiàn)路。由于目前辦公網(wǎng)絡(luò)雖然在邏輯上獨(dú)立于生產(chǎn)網(wǎng)絡(luò)，但是辦公網(wǎng)絡(luò)在物理線(xiàn)路上與生產(chǎn)網(wǎng)絡(luò)共享，因此生產(chǎn)網(wǎng)絡(luò)需要考慮來(lái)自辦公網(wǎng)絡(luò)的安全威脅。1.2、辦公網(wǎng)絡(luò)安全技術(shù)需求分析辦公自動(dòng)化系統(tǒng)是基于unix平臺(tái)的辦公自動(dòng)化系統(tǒng)，某市商業(yè)銀行初步擬定采用lotus notes作為辦公自動(dòng)化的開(kāi)發(fā)與運(yùn)行平臺(tái)，利用lotus notes自身提供的郵件服務(wù)

4、功能，對(duì)辦公自動(dòng)化系統(tǒng)的用戶(hù)提供內(nèi)部辦公自動(dòng)化服務(wù)，同時(shí)利用lotus notes系統(tǒng)自身提供的web服務(wù)功能，由于管理的需要，辦公系統(tǒng)要定期從生產(chǎn)主機(jī)上提取數(shù)據(jù)進(jìn)行統(tǒng)計(jì)分析生成報(bào)表。其中，信貸業(yè)務(wù)、帳務(wù)查詢(xún)數(shù)據(jù)要傳往辦公網(wǎng)上的服務(wù)器，數(shù)據(jù)在這兩個(gè)網(wǎng)段上經(jīng)過(guò)加工，供其他系統(tǒng)查詢(xún)。因此，辦公網(wǎng)要保持與生產(chǎn)網(wǎng)的連接，同時(shí)生產(chǎn)主機(jī)也要為其提供相應(yīng)的服務(wù)。在辦公網(wǎng)上還運(yùn)行著許多與生產(chǎn)網(wǎng)無(wú)關(guān)的主機(jī)和工作站，結(jié)果造成生產(chǎn)網(wǎng)上的主機(jī)暴露于這些主機(jī)和工作站的直接訪(fǎng)問(wèn)之下，從而造成系統(tǒng)的安全隱患。辦公自動(dòng)化系統(tǒng)的安全技術(shù)需求如下：辦公自動(dòng)化服務(wù)器自身安全，需求內(nèi)容：保證辦公自動(dòng)化系統(tǒng)的基礎(chǔ)運(yùn)行平臺(tái)unix操作系

5、統(tǒng)的安全。保證辦公自動(dòng)化系統(tǒng)的基礎(chǔ)運(yùn)行平臺(tái)unix操作系統(tǒng)的安全，需求內(nèi)容：保證辦公自動(dòng)化系統(tǒng)的基礎(chǔ)開(kāi)發(fā)運(yùn)行平臺(tái)lotus notes系統(tǒng)的安全。辦公自動(dòng)化系統(tǒng)自身安全，需求內(nèi)容：保證基于lotus notes開(kāi)發(fā)的辦公自動(dòng)化系統(tǒng)本身安全遠(yuǎn)程移動(dòng)辦公安全，需求內(nèi)容：保證遠(yuǎn)程移動(dòng)辦公用戶(hù)能夠安全可靠的使用本系統(tǒng)。防病毒體系，需求內(nèi)容：針對(duì)辦公自動(dòng)化系統(tǒng)覆蓋面廣，終端以windows系統(tǒng)為主體的特點(diǎn)，需要建立全網(wǎng)統(tǒng)一的防病毒體系。1.3、生產(chǎn)網(wǎng)絡(luò)安全技術(shù)需求分析某市商業(yè)銀行生產(chǎn)網(wǎng)絡(luò)是典型的銀行生產(chǎn)系統(tǒng)，以大型unix主機(jī)為核心，采用sna網(wǎng)絡(luò)；前置機(jī)圍繞大型unix主機(jī)，負(fù)責(zé)將外圍ip網(wǎng)絡(luò)或其他網(wǎng)

6、絡(luò)轉(zhuǎn)換到sna網(wǎng)絡(luò)中。商業(yè)銀行與傳統(tǒng)銀行多級(jí)網(wǎng)絡(luò)的區(qū)別在于某市商業(yè)銀行生產(chǎn)網(wǎng)絡(luò)為二級(jí)網(wǎng)絡(luò)，在支行、網(wǎng)點(diǎn)等的業(yè)務(wù)連接到中心，必須通過(guò)前置機(jī)訪(fǎng)問(wèn)中心網(wǎng)絡(luò)，在支行、網(wǎng)點(diǎn)不存在二級(jí)的前置機(jī)直接訪(fǎng)問(wèn)核心網(wǎng)絡(luò)。目前商業(yè)銀行的生產(chǎn)網(wǎng)絡(luò)在中心節(jié)點(diǎn)與二級(jí)節(jié)點(diǎn)之間的沒(méi)有采用加密傳輸和認(rèn)證機(jī)制。生產(chǎn)網(wǎng)絡(luò)安全技術(shù)需求如下：生產(chǎn)機(jī)的安全，需求內(nèi)容：保證生產(chǎn)系統(tǒng)主機(jī)的安全；前置機(jī)的安全，需求內(nèi)容：保證前置機(jī)的安全；網(wǎng)絡(luò)傳輸安全，需求內(nèi)容：保證生產(chǎn)網(wǎng)絡(luò)傳輸?shù)陌踩?；系統(tǒng)審計(jì)，需求內(nèi)容：建立網(wǎng)絡(luò)安全審計(jì)與系統(tǒng)審計(jì)機(jī)制；實(shí)時(shí)網(wǎng)絡(luò)入侵檢測(cè)，需求內(nèi)容：對(duì)生產(chǎn)網(wǎng)絡(luò)進(jìn)行分布式入侵行為的實(shí)時(shí)檢測(cè)，并實(shí)施統(tǒng)一集中管理。1.4、網(wǎng)絡(luò)互聯(lián)安全某

7、市商業(yè)銀行網(wǎng)絡(luò)互聯(lián)安全分為三部分：第一部分：與外部網(wǎng)絡(luò)的互聯(lián)安全。某市商業(yè)銀行網(wǎng)絡(luò)與移動(dòng)、銀聯(lián)系統(tǒng)、人行、醫(yī)保和社保、電信等系統(tǒng)需要進(jìn)行網(wǎng)絡(luò)互聯(lián)，這部分網(wǎng)絡(luò)互聯(lián)的需求如下：訪(fǎng)問(wèn)控制，需求內(nèi)容：保證指定用戶(hù)訪(fǎng)問(wèn)指定前置機(jī)；過(guò)濾機(jī)制，需求內(nèi)容：過(guò)濾與前置機(jī)業(yè)務(wù)無(wú)關(guān)訪(fǎng)問(wèn)；地址轉(zhuǎn)化，需求內(nèi)容：保證前置機(jī)與外部網(wǎng)絡(luò)之間彼此隔離；第二部分：內(nèi)部辦公網(wǎng)與生產(chǎn)網(wǎng)之間的互聯(lián)安全；內(nèi)部辦公網(wǎng)與生產(chǎn)網(wǎng)之間共享物理線(xiàn)路，兩個(gè)網(wǎng)絡(luò)物理上彼此互聯(lián)，這兩個(gè)網(wǎng)互聯(lián)的安全需求如下：保證各自網(wǎng)絡(luò)的安全邊界，需求內(nèi)容：即辦公網(wǎng)絡(luò)的安全事故不能影響生產(chǎn)網(wǎng)絡(luò)的正常運(yùn)行；保證網(wǎng)絡(luò)的邏輯隔離，需求內(nèi)容：即從辦公網(wǎng)絡(luò)內(nèi)部不能危害生產(chǎn)網(wǎng)絡(luò)；保

8、證網(wǎng)絡(luò)服務(wù)質(zhì)量，需求內(nèi)容：即保證生產(chǎn)網(wǎng)絡(luò)在現(xiàn)有帶寬需求中的服務(wù)質(zhì)量，辦公網(wǎng)絡(luò)的應(yīng)用帶寬需求不應(yīng)影響生產(chǎn)網(wǎng)絡(luò)正常有序工作。第三部分：與公共電話(huà)系統(tǒng)的互聯(lián)安全。為了網(wǎng)上銀行系統(tǒng)能夠滿(mǎn)足企業(yè)用戶(hù)的需求，因此網(wǎng)上銀行系統(tǒng)需要與公共電話(huà)連接，同時(shí)某市商業(yè)銀行的信息網(wǎng)絡(luò)建設(shè)規(guī)劃中包括了通過(guò)internet提供網(wǎng)上銀行業(yè)務(wù)，對(duì)網(wǎng)上銀行系統(tǒng)的互聯(lián)安全需求如下：撥號(hào)訪(fǎng)問(wèn)路由接入的訪(fǎng)問(wèn)控制,需求內(nèi)容：對(duì)來(lái)自公共電話(huà)網(wǎng)絡(luò)的訪(fǎng)問(wèn)進(jìn)行控制，對(duì)匿名用戶(hù)的訪(fǎng)問(wèn)資源進(jìn)行控制。網(wǎng)上銀行應(yīng)用服務(wù)器的安全,需求內(nèi)容：保證應(yīng)用服務(wù)器運(yùn)行的操作系統(tǒng)平臺(tái)安全。網(wǎng)上銀行應(yīng)用服務(wù)系統(tǒng)的安全，需求內(nèi)容：保證應(yīng)用服務(wù)的自身安全。實(shí)時(shí)網(wǎng)絡(luò)入侵檢測(cè)

9、，,需求內(nèi)容：對(duì)針對(duì)網(wǎng)上銀行前置業(yè)務(wù)的攻擊進(jìn)行入侵行為的實(shí)時(shí)檢測(cè)，并實(shí)施統(tǒng)一集中管理。網(wǎng)絡(luò)拓?fù)鋱D： 辦公服務(wù)區(qū)辦公外聯(lián)區(qū)辦公用戶(hù)區(qū)生產(chǎn)網(wǎng)二、針對(duì)安全風(fēng)險(xiǎn)的技術(shù)解決手段2.1、防火墻技術(shù)防火墻可以作為不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的出入口，將內(nèi)部網(wǎng)和公眾網(wǎng)如internet分開(kāi)，它能根據(jù)企業(yè)的安全策略控制出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。在邏輯上，防火墻是一個(gè)分離器，一個(gè)限制器，也是一個(gè)分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和internet之間的任何活動(dòng)，保證了內(nèi)部網(wǎng)絡(luò)的安全。防火墻技術(shù)可以有效控制的風(fēng)險(xiǎn)包括：利用finger來(lái)發(fā)掘用戶(hù)信息，利用tcp/ip指紋識(shí)別確定操作系統(tǒng)類(lèi)型，利用teln

10、et旗標(biāo)確定操作系統(tǒng)類(lèi)型，利用服務(wù)的旗標(biāo)信息確定服務(wù)類(lèi)型，用專(zhuān)用工具進(jìn)行服務(wù)類(lèi)型探測(cè)，對(duì)服務(wù)器進(jìn)行端口掃描，利用unix的ftp服務(wù)漏洞sitel exec漏洞，利用unix的ftp服務(wù)漏洞setproctitle()漏洞，利用bind服務(wù)漏洞，利用telnet服務(wù)漏洞，利用后門(mén)與木馬，利用rpc.mountd服務(wù)漏洞，利用sendmail服務(wù)漏洞，利用lpd服務(wù)漏洞，利用nfs服務(wù)漏洞，利用x-windows服務(wù)漏洞，綁定shell端口，利用ipc$列舉用戶(hù)名，從ad上查找前置機(jī)主機(jī)，windowsl rpc dcom遠(yuǎn)程溢出ms026，windows rpcl dcom遠(yuǎn)程溢出ms039，

11、網(wǎng)絡(luò)蠕蟲(chóng)堵塞整個(gè)網(wǎng)絡(luò)，影響生產(chǎn)網(wǎng)絡(luò)，利用前置機(jī)群與生產(chǎn)主機(jī)之間的信任關(guān)系攻擊生產(chǎn)網(wǎng)絡(luò)核心，利用辦公自動(dòng)化服務(wù)器與前置機(jī)群或生產(chǎn)主機(jī)之間的信任關(guān)系攻擊生產(chǎn)網(wǎng)絡(luò)，蠕蟲(chóng)影響辦公網(wǎng)內(nèi)部window平臺(tái)，蠕蟲(chóng)影響辦公網(wǎng)內(nèi)部郵件系統(tǒng)，辦公網(wǎng)應(yīng)用形式較為豐富，因此對(duì)網(wǎng)絡(luò)帶寬消耗可能造成生產(chǎn)網(wǎng)的數(shù)據(jù)通信帶寬不足，從而導(dǎo)致生產(chǎn)網(wǎng)不暢通。二級(jí)網(wǎng)點(diǎn)或支行與中心連接沒(méi)有必要的訪(fǎng)問(wèn)控制和邊界控制手段，因此來(lái)自二級(jí)網(wǎng)點(diǎn)或支行局域網(wǎng)的用戶(hù)可能威脅辦公自動(dòng)化系統(tǒng)和中心生產(chǎn)系統(tǒng)。應(yīng)用防火墻技術(shù)之后，有效的控制了上述風(fēng)險(xiǎn)的同時(shí)，可以簡(jiǎn)化管理，同時(shí)本節(jié)提出的防火墻技術(shù)可以降低管理員的負(fù)擔(dān)，提供更多更靈活的選擇。2.2、網(wǎng)絡(luò)防病毒體

12、系計(jì)算機(jī)病毒感染所造成的威脅以及破壞是目前廣大計(jì)算機(jī)用戶(hù)所面臨的主要問(wèn)題。本方案采用網(wǎng)絡(luò)防病毒體系，要求網(wǎng)絡(luò)防病毒體系應(yīng)針對(duì)整個(gè)網(wǎng)絡(luò)或是單一的工作站都能進(jìn)行有效保護(hù)的防病毒解決方案。可以對(duì)windows 2000/nt/95/98/3.x，以及dos和macintosh,novell netware，linux和unix等操作系統(tǒng)提供保護(hù)，作為一個(gè)一體化的網(wǎng)絡(luò)防病毒解決方案，應(yīng)具備特征代碼檢查方式和基于規(guī)則的變態(tài)分析器病毒掃描程序，從而檢測(cè)到已知病毒。防病毒引擎可以從多個(gè)側(cè)面和途徑防止計(jì)算機(jī)病毒侵入系統(tǒng)，保護(hù)整個(gè)企業(yè)it系統(tǒng)的安全，具有強(qiáng)大的功能和優(yōu)秀的可管理性。應(yīng)用網(wǎng)絡(luò)防病毒體系結(jié)構(gòu)之后，可

13、控制網(wǎng)絡(luò)蠕蟲(chóng)堵塞整個(gè)網(wǎng)絡(luò)，影響生產(chǎn)網(wǎng)絡(luò)、病毒威脅桌面pc等風(fēng)險(xiǎn)：應(yīng)用了網(wǎng)絡(luò)防病毒技術(shù)之后，可以從三個(gè)層面有效防范病毒的傳播和蔓延：internet下載，軟盤(pán)和光盤(pán)傳播，郵件傳播l2.3、網(wǎng)絡(luò)入侵檢測(cè)技術(shù)應(yīng)用入侵檢測(cè)的網(wǎng)絡(luò)監(jiān)測(cè)功能、攻擊行為檢查、高速流量捕獲、策略響應(yīng)、防火墻聯(lián)動(dòng)、關(guān)聯(lián)事件分析等技術(shù)要素，可實(shí)現(xiàn)如下風(fēng)險(xiǎn)的控制：利用lotusl notes的web服務(wù)器漏洞lotus notes口令認(rèn)證可被繞過(guò)，利用lotus notes的web服務(wù)器漏洞lotusl notes配置信息被遠(yuǎn)程讀取，利用unix的ftp服務(wù)漏洞sitel exec漏洞，利用unix的ftp服務(wù)漏洞setprocti

14、tle()漏洞，利用bind服務(wù)漏洞，利用telnet服務(wù)漏洞，利用后門(mén)與木馬，利用rpc.mountd服務(wù)漏洞，利用sendmail服務(wù)漏洞，利用lpd服務(wù)漏洞，利用nfs服務(wù)漏洞，利用x-windows服務(wù)漏洞，windowsl rpc dcom遠(yuǎn)程溢出ms026，windows rpcl dcom遠(yuǎn)程溢出ms039，tcp登錄會(huì)話(huà)劫持發(fā)送一個(gè)偽造的報(bào)告到telnet/login/sh，安裝木馬。應(yīng)用網(wǎng)絡(luò)入侵檢測(cè)技術(shù)之后不僅有效控制了上述風(fēng)險(xiǎn)，同時(shí)入侵檢測(cè)要求如自身安全性、抗ids逃避、抗事件風(fēng)暴等技術(shù)要素，有效避免了入侵檢測(cè)自身引入的新的風(fēng)險(xiǎn)，同時(shí)分級(jí)管理、多用戶(hù)權(quán)限、分布式部署的要求大

15、大降低了管理員的負(fù)擔(dān)。2.4、基于x.509證書(shū)的身份認(rèn)證技術(shù)與ssl技術(shù)針對(duì)某市商業(yè)銀行辦公自動(dòng)化系統(tǒng)遠(yuǎn)程移動(dòng)辦公安全認(rèn)證技術(shù)，本方案采用x509證書(shū)協(xié)議，為遠(yuǎn)程移動(dòng)辦公的身份認(rèn)證提供基礎(chǔ)保障。同時(shí)采用ssl技術(shù)實(shí)現(xiàn)了遠(yuǎn)程移動(dòng)辦公用戶(hù)與辦公自動(dòng)化服務(wù)器之間的通信安全，在ssl中，利用如下安全機(jī)制保證認(rèn)證信息不被篡改和偽造：通過(guò)ssl協(xié)議完成客戶(hù)端（瀏覽器）和服務(wù)器之間的雙向身份認(rèn)證?？蛻?hù)端數(shù)字證書(shū)和個(gè)人私鑰存儲(chǔ)在外部介質(zhì)如usb-key中。l由統(tǒng)一的用戶(hù)管理中心中心為客戶(hù)端和服務(wù)器分發(fā)的密鑰對(duì)，其密鑰長(zhǎng)度1024bit。認(rèn)證過(guò)程中使用證書(shū)吊銷(xiāo)列表驗(yàn)證證書(shū)有效狀態(tài)。l應(yīng)用證書(shū)身份認(rèn)證與ssl技

16、術(shù)以后控制的風(fēng)險(xiǎn)如下：已知內(nèi)部命名規(guī)范情況下暴力破解口令，利用內(nèi)部名單搜尋登錄辦公自動(dòng)化系統(tǒng)的授權(quán)用戶(hù)，利用公開(kāi)的默認(rèn)口令嘗試辦公自動(dòng)化系統(tǒng)，獲取內(nèi)部公文，獲取帳表系統(tǒng)報(bào)表數(shù)據(jù)，獲取內(nèi)部通訊錄，篡改公文內(nèi)容，網(wǎng)絡(luò)竊聽(tīng)，獲得更多廣播信息，竊聽(tīng)以明文方式傳輸?shù)挠脩?hù)名和密碼，匿名用戶(hù)利用websphare的web服務(wù)缺陷遠(yuǎn)程獲取敏感信息，匿名用戶(hù)利用websphare的web服務(wù)缺陷遠(yuǎn)程繞過(guò)websphare的基本認(rèn)證，缺乏有效的身份認(rèn)證手段識(shí)別遠(yuǎn)程企業(yè)用戶(hù)和匿名用戶(hù)，企業(yè)用戶(hù)遠(yuǎn)程交易時(shí)數(shù)據(jù)傳輸缺乏加密保證。2.5、網(wǎng)絡(luò)安全審計(jì)技術(shù)本方案采用網(wǎng)絡(luò)安全審計(jì)技術(shù)，主要針對(duì)使用互聯(lián)網(wǎng)訪(fǎng)問(wèn)非法站點(diǎn)，傳遞和發(fā)

17、布非法信息，內(nèi)部網(wǎng)絡(luò)中的資源濫用，內(nèi)部商業(yè)信息泄漏等等問(wèn)題。對(duì)被監(jiān)控網(wǎng)絡(luò)中的internet使用情況進(jìn)行監(jiān)控，對(duì)各種網(wǎng)絡(luò)違規(guī)行為實(shí)時(shí)報(bào)告，甚至對(duì)某些特定的違規(guī)主機(jī)進(jìn)行封鎖，以幫助網(wǎng)絡(luò)管理員對(duì)網(wǎng)絡(luò)信息資源進(jìn)行有效的管理和維護(hù)。應(yīng)用網(wǎng)絡(luò)安全審計(jì)技術(shù)以后可以控制的風(fēng)險(xiǎn)包括：internet資源被濫用，獲取內(nèi)部公文，獲取帳表系統(tǒng)報(bào)表數(shù)據(jù)，獲取內(nèi)部通訊錄，獲取口令文件的shadow，破解系統(tǒng)管理員口令。2.6、vpn技術(shù)針對(duì)小小商業(yè)銀行保證生產(chǎn)網(wǎng)絡(luò)、辦公網(wǎng)以及通信機(jī)密性的需求，方案規(guī)劃系統(tǒng)采用vpn技術(shù)解決方案。應(yīng)用vpn技術(shù)以后可以控制的風(fēng)險(xiǎn)包括：竊聽(tīng)以明文方式傳輸?shù)挠脩?hù)名和密碼，網(wǎng)絡(luò)竊聽(tīng)，獲得更多廣

18、播信息，tcp登錄會(huì)話(huà)劫持發(fā)送一個(gè)偽造的報(bào)告到telnet/login/sh，tcp登錄會(huì)話(huà)劫持從已存在的telnet/login/sh中竊聽(tīng)tcp報(bào)文序號(hào)，獲取下屬支行或網(wǎng)點(diǎn)的業(yè)務(wù)數(shù)據(jù)，獲取業(yè)務(wù)數(shù)據(jù)中的敏感信息：如卡號(hào)、口令等，網(wǎng)絡(luò)竊聽(tīng)，獲得更多廣播信息：如前置主機(jī)群內(nèi)別的業(yè)務(wù)系統(tǒng)數(shù)據(jù)，在辦公網(wǎng)通過(guò)修改ip進(jìn)入生產(chǎn)網(wǎng)，在辦公網(wǎng)內(nèi)通過(guò)網(wǎng)絡(luò)竊聽(tīng)可以隨意竊聽(tīng)整個(gè)局域網(wǎng)內(nèi)的所有數(shù)據(jù)，包括生產(chǎn)網(wǎng)與辦公網(wǎng)的數(shù)據(jù)。三、產(chǎn)品解決方案1、雙網(wǎng)隔離。由于辦公網(wǎng)中運(yùn)行的程序眾多，而且許多程序需要訪(fǎng)問(wèn)外部的網(wǎng)絡(luò)，極易感染各種病毒，或者遭受攻擊，所以可以說(shuō)辦公網(wǎng)對(duì)于生產(chǎn)網(wǎng)的安全造成了威脅?！鞍踩k公局域網(wǎng)”解決方案中

19、，將生產(chǎn)網(wǎng)和辦公網(wǎng)利用銳捷網(wǎng)絡(luò)的高性能防火墻隔離開(kāi)來(lái)，最大程度上保證了生產(chǎn)網(wǎng)的安全，使得病毒大面積爆發(fā)時(shí)，銀行業(yè)務(wù)不會(huì)受到影響。2、功能分塊。為保證辦公網(wǎng)絡(luò)的穩(wěn)定運(yùn)行，讓不同業(yè)務(wù)之間不受到影響，“安全辦公局域網(wǎng)”解決方案將辦公局域網(wǎng)按照業(yè)務(wù)的需求進(jìn)行了分塊設(shè)計(jì)，例如將oa服務(wù)器、notes服務(wù)器以及病毒庫(kù)服務(wù)器和rg-gsn系統(tǒng)所需的服務(wù)器隔離出來(lái)，成為單獨(dú)的服務(wù)器區(qū)域，對(duì)此區(qū)域進(jìn)行完善的安全防護(hù)，以保證核心業(yè)務(wù)服務(wù)器的安全。而在對(duì)外接口方面，為防止“病從口入”，也將這部分劃分為單獨(dú)的區(qū)域，來(lái)保障辦公網(wǎng)核心的安全。分區(qū)之間通過(guò)高速鏈路相連，并加以適當(dāng)?shù)陌踩呗?，?shí)現(xiàn)了性能和安全的雙重保障。 3

20、、雙核備份。在“安全辦公局域網(wǎng)”解決方案中，采用銳捷網(wǎng)絡(luò)rg-s6800e作為辦公網(wǎng)的雙核心，通過(guò)冗余備份和負(fù)載均衡的連接，輔以vrrp和ospf等協(xié)議，在保障穩(wěn)定的同時(shí)也提升了網(wǎng)絡(luò)的性能。rg-s6800e系列萬(wàn)兆交換機(jī)是銳捷網(wǎng)絡(luò)自主研發(fā)的國(guó)內(nèi)首款萬(wàn)兆交換機(jī)，它所獨(dú)有的spoh同步式硬件轉(zhuǎn)發(fā)技術(shù)、ecmp/wcmp技術(shù)、三平面分離等特色技術(shù)，為銀行辦公網(wǎng)提供了高性能、高穩(wěn)定的解決方案。 4、身份準(zhǔn)入。方案中使用了銳捷網(wǎng)絡(luò)的全局安全解決方案-gsn，作為gsn的重要組件，sam身份認(rèn)證系統(tǒng)起到了重要的作用。通過(guò)與銳捷安全智能交換機(jī)s2100系列的聯(lián)動(dòng)，sam系統(tǒng)可以實(shí)現(xiàn)對(duì)于用戶(hù)身份的完全驗(yàn)證，

21、并可實(shí)現(xiàn)基于ip、mac、交換機(jī)端口號(hào)、交換機(jī)id、vlan號(hào)、用戶(hù)名和密碼等在內(nèi)的六元素綁定，實(shí)現(xiàn)了入網(wǎng)用戶(hù)身份的唯一、合法，也使的在安全事件發(fā)生時(shí)，方便的追查、排除。rg-sam身份認(rèn)證系統(tǒng)在高校中已經(jīng)有了非常廣泛的應(yīng)用，而針對(duì)銀行更高的安全要求，銳捷網(wǎng)絡(luò)對(duì)sam系統(tǒng)進(jìn)行了有針對(duì)性的研發(fā)，更加適應(yīng)銀行網(wǎng)絡(luò)的需求。 5、安全檢測(cè)。作為gsn全局安全解決方案的第二個(gè)重要組成部分，rg-ids即入侵檢測(cè)系統(tǒng)的作用就像植入網(wǎng)絡(luò)中的一個(gè)探針，它實(shí)時(shí)收集著網(wǎng)絡(luò)中發(fā)生的安全事件，并將它及時(shí)的報(bào)告給gsn的另一個(gè)組成部分即安全管理平臺(tái)smp，從而是smp能夠?qū)Π踩录M(jìn)行及時(shí)準(zhǔn)確的處理。ids可以方便的部

22、署在辦公網(wǎng)絡(luò)的核心交換機(jī)中，通過(guò)交換機(jī)的端口鏡像功能，在不影響任何辦公數(shù)據(jù)流的情況下，即可對(duì)網(wǎng)絡(luò)中的數(shù)據(jù)流進(jìn)行細(xì)致的檢測(cè)。 6、自動(dòng)修復(fù)。作為gsn全局安全解決方案的總管，rg-smp即安全管理平臺(tái)擔(dān)負(fù)著主機(jī)完整性檢測(cè)、主機(jī)信息檢測(cè)、系統(tǒng)漏洞檢測(cè)、安全事件分析處理、系統(tǒng)補(bǔ)丁下發(fā)、必要軟件及更新下發(fā)等多項(xiàng)工作，通過(guò)與rg-sam和rg-ids以及安全交換機(jī)的聯(lián)動(dòng)，rg-smp對(duì)于全網(wǎng)安全情況以及接入網(wǎng)絡(luò)中的pc的安全情況了如指掌，并通過(guò)內(nèi)置的數(shù)據(jù)庫(kù)對(duì)發(fā)生在網(wǎng)絡(luò)中的安全事件自動(dòng)做出分析和決策。通過(guò)對(duì)二級(jí)分行生產(chǎn)、辦公局域網(wǎng)的分析，在優(yōu)化過(guò)程中可重點(diǎn)關(guān)注以下幾個(gè)關(guān)鍵點(diǎn)及其解決辦法：關(guān)鍵點(diǎn)一：網(wǎng)絡(luò)可靠

23、性1、異常流量或病毒對(duì)客戶(hù)端和網(wǎng)絡(luò)設(shè)備均會(huì)造成單點(diǎn)失效甚至網(wǎng)絡(luò)失效的可能，增加了網(wǎng)絡(luò)的中斷風(fēng)險(xiǎn)；2、當(dāng)前二級(jí)分行生產(chǎn)和辦公共用一對(duì)核心交換，在生產(chǎn)或辦公在進(jìn)行網(wǎng)絡(luò)升級(jí)、優(yōu)化、擴(kuò)容時(shí)，增加了核心交換設(shè)備的穩(wěn)定性風(fēng)險(xiǎn)；3、在分行內(nèi)網(wǎng)及跨行辦公過(guò)程中有時(shí)會(huì)有大量數(shù)據(jù)交換的情況，如遠(yuǎn)程會(huì)議、培訓(xùn)等影像、語(yǔ)音數(shù)據(jù)量交換時(shí)，可能會(huì)對(duì)生產(chǎn)業(yè)務(wù)造成一定的壓力。解決辦法：1、生產(chǎn)和辦公網(wǎng)可以采用雙平面隔離設(shè)計(jì)，并且兩網(wǎng)之間部署防火墻，一方面有效規(guī)避異常流量或病毒造成的不良影響；另一方面也保障了在網(wǎng)絡(luò)升級(jí)、優(yōu)化、擴(kuò)容時(shí)，生產(chǎn)和辦公互不影響；2、網(wǎng)絡(luò)核心節(jié)點(diǎn)的設(shè)備可以采用關(guān)鍵部件全冗余配置或者采用雙機(jī)冗余熱備的方式

24、，實(shí)現(xiàn)冗余硬件快速切換，縮短故障恢復(fù)時(shí)間，有效避免單點(diǎn)失效；3、生產(chǎn)和辦公通過(guò)分布層單獨(dú)建網(wǎng)，也就是說(shuō)生產(chǎn)和辦公的核心交換在物理上獨(dú)立的，通過(guò)新增一對(duì)核心交換設(shè)備，從根本上保證了核心交換的穩(wěn)定性及生產(chǎn)、辦公互不影響。關(guān)鍵點(diǎn)二：業(yè)務(wù)擴(kuò)展性1、生產(chǎn)的核心處理主要集中在總行和一級(jí)分行，當(dāng)前在二級(jí)分行的生產(chǎn)區(qū)主要用來(lái)支持生產(chǎn)服務(wù)器、網(wǎng)絡(luò)管理服務(wù)器及外聯(lián)和同城機(jī)構(gòu)的接入，未來(lái)外聯(lián)區(qū)將逐步過(guò)渡到一級(jí)分行數(shù)據(jù)中心，此時(shí)二級(jí)分行生產(chǎn)區(qū)的數(shù)據(jù)流主要來(lái)自于支行/網(wǎng)點(diǎn)同一級(jí)分行的交互，單獨(dú)部署生產(chǎn)區(qū)的核心交換將最大程度地滿(mǎn)足了二級(jí)分行在生產(chǎn)業(yè)務(wù)上的擴(kuò)展需求。2、辦公網(wǎng) 中隨著voip、視頻會(huì)議、培訓(xùn)等事務(wù)的增加，核

25、心交換機(jī)的接口和交換容量有了新的要求，以滿(mǎn)足長(zhǎng)期發(fā)展需求。解決辦法：1、原核心交換可定為生產(chǎn)區(qū)專(zhuān)用。2、新增核心交換機(jī)，雙機(jī)熱備，豐富的業(yè)務(wù)接口和交換容量，滿(mǎn)足辦公網(wǎng)多應(yīng)用升級(jí)及高帶寬保障的需求。關(guān)鍵點(diǎn)三：訪(fǎng)問(wèn)安全性1、在生產(chǎn)和辦公兩個(gè)網(wǎng)絡(luò)中部分應(yīng)用系統(tǒng)間的互訪(fǎng)是有嚴(yán)格控制的，除了通過(guò)代理服務(wù)器、防火墻進(jìn)行控制外，還對(duì)路由學(xué)習(xí)進(jìn)行了隔離。當(dāng)前農(nóng)行生產(chǎn)和辦公的路由隔離通常由核心設(shè)備啟用ospf 多進(jìn)程來(lái)實(shí)現(xiàn)，二級(jí)分行的生產(chǎn)和辦公共用一對(duì)核心交換，此時(shí)多進(jìn)程會(huì)增加設(shè)備系統(tǒng)的資源消耗；2、當(dāng)前二級(jí)分行辦公網(wǎng)是通過(guò)一級(jí)分行接入internet 的，但仍然存在被外網(wǎng)攻擊的風(fēng)險(xiǎn)，即由此可能帶來(lái)生產(chǎn)或辦公涉

26、密信息被外泄或竊??；3、無(wú)線(xiàn)局域網(wǎng)wlan 的快速方便受到了廣泛的歡迎，但無(wú)線(xiàn)接入的安全控制也同樣倍受關(guān)注。有線(xiàn)局域網(wǎng)相對(duì)無(wú)線(xiàn)局域網(wǎng)還是具有較高的安全性，且相對(duì)也有較多進(jìn)行安全管理的機(jī)制。解決方案：1、新建一對(duì)核心交換，將ospf 多進(jìn)程的路由學(xué)習(xí)和重發(fā)布進(jìn)行分擔(dān)，以降低核心設(shè)備的系統(tǒng)消耗，增強(qiáng)設(shè)備的健壯性；2、在涉密信息安全保障上主要要依靠合理的網(wǎng)絡(luò)結(jié)構(gòu)和安全監(jiān)管的策略，首先可以將生產(chǎn)和辦公的核心交換層進(jìn)行隔離，同時(shí)在兩個(gè)核心交換層間設(shè)置防火墻等安全設(shè)備，保證核心業(yè)務(wù)的安全性；3、wep 是目前最普遍的無(wú)線(xiàn)加密機(jī)制，但同樣也是較為脆弱的安全機(jī)制，存在許多缺陷，密鑰非常容易被篡改或破譯，從而非法接入無(wú)線(xiàn)網(wǎng)絡(luò)，目前尚不建議在金融系統(tǒng)部署wlan。在進(jìn)行有線(xiàn)局域網(wǎng)部署時(shí)可以同時(shí)部署安全準(zhǔn)入策略，加強(qiáng)終端接入網(wǎng)絡(luò)的安全管理。關(guān)鍵點(diǎn)四：精細(xì)化qos 部署1、總行和各級(jí)分行數(shù)據(jù)中心的局域網(wǎng)采用千兆或捆綁的多千兆端口互聯(lián)，一般不會(huì)出現(xiàn)網(wǎng)絡(luò)擁塞，