金融行業(yè)網(wǎng)絡(luò)安全解決方案實(shí)用文檔

金融行業(yè)解決方案

行業(yè)背景

金融行業(yè)按照客戶(hù)類(lèi)型劃分可分為國(guó)有商業(yè)銀行（政策性商業(yè)銀行）、股份制商業(yè)銀行（大型股份制商業(yè)銀行、城市商業(yè)銀行、農(nóng)村信用社等）、證券、基金、期貨、保險(xiǎn)等，近年來(lái)為加強(qiáng)金融行業(yè)信息科技風(fēng)險(xiǎn)管理，各行業(yè)監(jiān)管機(jī)構(gòu)相繼出臺(tái)了針對(duì)信息科技安全的相關(guān)政策法規(guī)，如《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》、《證券公司網(wǎng)上證券信息系統(tǒng)技術(shù)指引》、《期貨公司信息技術(shù)管理指引》和《保險(xiǎn)公司信息化管理工作指引》，可以看出目前各個(gè)金融行業(yè)客戶(hù)對(duì)信息安全建設(shè)十分重視，紛紛加大信息科技管理方面的投入力度。

行業(yè)現(xiàn)狀

金融行業(yè)客戶(hù)出于信息業(yè)務(wù)安全和維護(hù)等多方面考慮，一般都會(huì)自己搭建數(shù)據(jù)中心，因此隨著銀行、證券行業(yè)業(yè)務(wù)量火熱發(fā)展，信息安全風(fēng)險(xiǎn)也隨之增大，業(yè)務(wù)訪問(wèn)效率同時(shí)也變成了網(wǎng)絡(luò)和應(yīng)用管理員最頭疼的話(huà)題。

商業(yè)銀行客戶(hù)的業(yè)務(wù)系統(tǒng)一般包括核心應(yīng)用系統(tǒng)、網(wǎng)上銀行系統(tǒng)、辦公系統(tǒng)、監(jiān)控系統(tǒng)、認(rèn)證系統(tǒng)等；證券基金客戶(hù)的業(yè)務(wù)系統(tǒng)包括網(wǎng)上交易查詢(xún)系統(tǒng)、銀行結(jié)算系統(tǒng)、辦公系統(tǒng)和門(mén)戶(hù)網(wǎng)站等；保險(xiǎn)行業(yè)客戶(hù)業(yè)務(wù)系統(tǒng)包括CRM系統(tǒng)、核心業(yè)務(wù)系統(tǒng)、保單管理系統(tǒng)、財(cái)務(wù)系統(tǒng)等。各類(lèi)不同的行業(yè)客戶(hù)在信息系統(tǒng)建設(shè)和使用過(guò)程中都會(huì)遇到諸如物理層、網(wǎng)絡(luò)架構(gòu)、終端和操作系統(tǒng)、應(yīng)用系統(tǒng)、核心業(yè)務(wù)數(shù)據(jù)等多方面的安全和優(yōu)化問(wèn)題，因此我們的方案主要針對(duì)以上各個(gè)方面。

建議網(wǎng)絡(luò)架構(gòu)下載后可見(jiàn)下載后可見(jiàn)

移動(dòng)辦公接入（SSLVPN網(wǎng)關(guān)）：

客戶(hù)為加強(qiáng)遠(yuǎn)程辦公終端的安全性和易用性，采用SSLVPN的接入方式，利用對(duì)客戶(hù)端安全檢查、靈活定制訪問(wèn)策略和權(quán)限的技術(shù)手段，滿(mǎn)足移動(dòng)辦公用戶(hù)接入數(shù)據(jù)中心簡(jiǎn)單方便。

服務(wù)器負(fù)載均衡、應(yīng)用優(yōu)化（本地流量管理器）：

由于網(wǎng)上交易系統(tǒng)都采用SSL加密的方式，對(duì)于如何卸載服務(wù)器在處理SSL加解密方面的壓力，在不影響服務(wù)器性能的前提下，對(duì)數(shù)據(jù)進(jìn)行加解密就變成了一個(gè)重要的話(huà)題，使用本地流量管理器，把大量用戶(hù)的請(qǐng)求平均分發(fā)到多臺(tái)服務(wù)器上面，同時(shí)能夠?qū)?shù)據(jù)進(jìn)行SSL加速，卸載服務(wù)器處理SSL加解密的壓力。在站點(diǎn)之內(nèi)，負(fù)載均衡產(chǎn)品能夠同時(shí)對(duì)Web前置服務(wù)器、應(yīng)用服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器、緩存服務(wù)器等多種服務(wù)器進(jìn)行負(fù)載均衡。

各類(lèi)應(yīng)用安全防護(hù)（WEB防火墻、數(shù)據(jù)庫(kù)安全審計(jì)、動(dòng)態(tài)口令認(rèn)證系統(tǒng)）：

客戶(hù)在數(shù)據(jù)中心的建設(shè)過(guò)程中最重要的就是核心業(yè)務(wù)系統(tǒng)，它包含了至關(guān)重要的應(yīng)用系統(tǒng)服務(wù)器和核心數(shù)據(jù)，在核心業(yè)務(wù)系統(tǒng)中一般采用三層部署的標(biāo)準(zhǔn)架構(gòu)，Web服務(wù)器、應(yīng)用服務(wù)器、數(shù)據(jù)庫(kù)，因此各類(lèi)服務(wù)器的安全防護(hù)是客戶(hù)最關(guān)心的重點(diǎn)，建議采用Web防火墻對(duì)Web服務(wù)器進(jìn)行安全保護(hù)，避免針對(duì)服務(wù)器應(yīng)用層和源代碼攻擊的風(fēng)險(xiǎn)，采用數(shù)據(jù)庫(kù)安全審計(jì)平臺(tái)對(duì)各類(lèi)數(shù)據(jù)庫(kù)操作，數(shù)據(jù)表調(diào)用和修改的動(dòng)作進(jìn)行審計(jì)和告警，保證在數(shù)量繁多的用戶(hù)訪問(wèn)數(shù)據(jù)庫(kù)的情況下行為能夠進(jìn)行審計(jì)。動(dòng)態(tài)口令認(rèn)證系統(tǒng)確保網(wǎng)上交易系統(tǒng)用戶(hù)帳戶(hù)和口令的密碼保護(hù)，形成"雙因素"強(qiáng)身份認(rèn)證。

日志收集和分析（統(tǒng)一日志審計(jì)平臺(tái)）：

在金融行業(yè)各個(gè)監(jiān)督管理機(jī)構(gòu)下發(fā)的政策法規(guī)文件中，日志統(tǒng)一收集、分析和保存是必不可少的一項(xiàng)重點(diǎn)要求，系統(tǒng)日志保存期限按照風(fēng)險(xiǎn)等級(jí)不同來(lái)區(qū)分，至少不得少于一年，采用統(tǒng)一日志審計(jì)平臺(tái)能夠滿(mǎn)足各種法規(guī)政策的要求，制定相關(guān)策略和流程，管理所有生產(chǎn)系統(tǒng)的活動(dòng)日志，以支持有效的審核、安全取證分析和預(yù)防欺詐。

不同平臺(tái)和品牌的存儲(chǔ)之間協(xié)同優(yōu)化（虛擬存儲(chǔ)系統(tǒng)）：

客戶(hù)在構(gòu)建數(shù)據(jù)存儲(chǔ)系統(tǒng)的時(shí)候如果采用了異構(gòu)的部署方式，系統(tǒng)中會(huì)出現(xiàn)不同平臺(tái)和品牌的存儲(chǔ)服務(wù)器，使用起來(lái)會(huì)造成很大的不便，采用虛擬存儲(chǔ)系統(tǒng)可以把各種基于NAS協(xié)議的存儲(chǔ)服務(wù)進(jìn)行虛擬化管理，實(shí)現(xiàn)無(wú)縫數(shù)據(jù)遷移、存儲(chǔ)負(fù)載均衡和異構(gòu)部署等多種優(yōu)化功能。

需求及解決方案要點(diǎn)

網(wǎng)絡(luò)攻擊及入侵（入侵防御系統(tǒng)防護(hù)）：

當(dāng)銀行系統(tǒng)遇到互聯(lián)網(wǎng)的非法攻擊和入侵的時(shí)候，勢(shì)必對(duì)網(wǎng)上應(yīng)用和交易系統(tǒng)產(chǎn)生影響，造成訪問(wèn)效率下降、網(wǎng)絡(luò)擁堵等狀況，采用主動(dòng)式入侵防御系統(tǒng)利用高可靠識(shí)別攻擊，精確判斷入侵及攻擊行為并作出相應(yīng)的反應(yīng)來(lái)解決客戶(hù)遇到的上述問(wèn)題。

鏈路負(fù)載均衡（多鏈路控制器）：

為了避免出現(xiàn)鏈路單點(diǎn)故障，保證鏈路接入的高可用性，銀行系統(tǒng)一般采用不同運(yùn)營(yíng)商的多條鏈路接入，采用鏈路負(fù)載均衡產(chǎn)品，把訪問(wèn)外網(wǎng)資源的內(nèi)網(wǎng)用戶(hù)按照要求負(fù)載均衡到兩條鏈路，任何一條鏈路出現(xiàn)故障，都能夠?qū)崟r(shí)發(fā)現(xiàn)，自動(dòng)把請(qǐng)求轉(zhuǎn)發(fā)至正常的鏈路；同時(shí)把訪問(wèn)內(nèi)網(wǎng)資源的用戶(hù)自動(dòng)導(dǎo)向到訪問(wèn)質(zhì)量最優(yōu)的鏈路，并實(shí)時(shí)監(jiān)控鏈路的狀態(tài)，如果某一鏈路出現(xiàn)故障，自動(dòng)切換到其他正常鏈路。

安全區(qū)域劃分和隔離（防火墻）：

客戶(hù)在數(shù)據(jù)中心根據(jù)不同的安全級(jí)別劃分出不同的訪問(wèn)區(qū)域，不同的區(qū)域之間互相訪問(wèn)需要通過(guò)安全設(shè)備進(jìn)行隔離，根據(jù)不同的安全級(jí)別設(shè)定策略進(jìn)行訪問(wèn)控制，通過(guò)多種檢測(cè)機(jī)制，發(fā)現(xiàn)攻擊流量，實(shí)時(shí)進(jìn)行阻斷，提高應(yīng)用系統(tǒng)的安全性。

互聯(lián)網(wǎng)流量管理和優(yōu)化（全局流量控制器、Web加速器）：

客戶(hù)開(kāi)展電子商務(wù)和網(wǎng)上交易業(yè)務(wù)，需要考慮客戶(hù)端采用不同接入方式和終端種類(lèi)，因此通過(guò)采用全局流量管理設(shè)備對(duì)處在不同地理位置和運(yùn)營(yíng)商接入的終端用戶(hù)選擇服務(wù)效率最佳的數(shù)據(jù)中心，采用Web加速設(shè)備利用數(shù)據(jù)流量?jī)?yōu)化加速的手段提高訪問(wèn)速度，確?？蛻?hù)滿(mǎn)意度的提升。

移動(dòng)辦公接入（SSLVPN網(wǎng)關(guān)）：

客戶(hù)為加強(qiáng)遠(yuǎn)程辦公終端的安全性和易用性，采用SSLVPN的接入方式，利用對(duì)客戶(hù)端安全檢查、靈活定制訪問(wèn)策略和權(quán)限的技術(shù)手段，滿(mǎn)足移動(dòng)辦公用戶(hù)接入數(shù)據(jù)中心簡(jiǎn)單方便。

服務(wù)器負(fù)載均衡、應(yīng)用優(yōu)化（本地流量管理器）：

由于網(wǎng)上交易系統(tǒng)都采用SSL加密的方式，對(duì)于如何卸載服務(wù)器在處理SSL加解密方面的壓力，在不影響服務(wù)器性能的前提下，對(duì)數(shù)據(jù)進(jìn)行加解密就變成了一個(gè)重要的話(huà)題，使用本地流量管理器，把大量用戶(hù)的請(qǐng)求平均分發(fā)到多臺(tái)服務(wù)器上面，同時(shí)能夠?qū)?shù)據(jù)進(jìn)行SSL加速，卸載服務(wù)器處理SSL加解密的壓力。在站點(diǎn)之內(nèi)，負(fù)載均衡產(chǎn)品能夠同時(shí)對(duì)Web前置服務(wù)器、應(yīng)用服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器、緩存服務(wù)器等多種服務(wù)器進(jìn)行負(fù)載均衡。

各類(lèi)應(yīng)用安全防護(hù)（WEB防火墻、數(shù)據(jù)庫(kù)安全審計(jì)、動(dòng)態(tài)口令認(rèn)證系統(tǒng)）：

客戶(hù)在數(shù)據(jù)中心的建設(shè)過(guò)程中最重要的就是核心業(yè)務(wù)系統(tǒng)，它包含了至關(guān)重要的應(yīng)用系統(tǒng)服務(wù)器和核心數(shù)據(jù)，在核心業(yè)務(wù)系統(tǒng)中一般采用三層部署的標(biāo)準(zhǔn)架構(gòu)，Web服務(wù)器、應(yīng)用服務(wù)器、數(shù)據(jù)庫(kù)，因此各類(lèi)服務(wù)器的安全防護(hù)是客戶(hù)最關(guān)心的重點(diǎn)，建議采用Web防火墻對(duì)Web服務(wù)器進(jìn)行安全保護(hù)，避免針對(duì)服務(wù)器應(yīng)用層和源代碼攻擊的風(fēng)險(xiǎn)，采用數(shù)據(jù)庫(kù)安全審計(jì)平臺(tái)對(duì)各類(lèi)數(shù)據(jù)庫(kù)操作，數(shù)據(jù)表調(diào)用和修改的動(dòng)作進(jìn)行審計(jì)和告警，保證在數(shù)量繁多的用戶(hù)訪問(wèn)數(shù)據(jù)庫(kù)的情況下行為能夠進(jìn)行審計(jì)。動(dòng)態(tài)口令認(rèn)證系統(tǒng)確保網(wǎng)上交易系統(tǒng)用戶(hù)帳戶(hù)和口令的密碼保護(hù)，形成"雙因素"強(qiáng)身份認(rèn)證。

日志收集和分析（統(tǒng)一日志審計(jì)平臺(tái)）：

在金融行業(yè)各個(gè)監(jiān)督管理機(jī)構(gòu)下發(fā)的政策法規(guī)文件中，日志統(tǒng)一收集、分析和保存是必不可少的一項(xiàng)重點(diǎn)要求，系統(tǒng)日志保存期限按照風(fēng)險(xiǎn)等級(jí)不同來(lái)區(qū)分，至少不得少于一年，采用統(tǒng)一日志審計(jì)平臺(tái)能夠滿(mǎn)足各種法規(guī)政策的要求，制定相關(guān)策略和流程，管理所有生產(chǎn)系統(tǒng)的活動(dòng)日志，以支持有效的審核、安全取證分析和預(yù)防欺詐。

不同平臺(tái)和品牌的存儲(chǔ)之間協(xié)同優(yōu)化（虛擬存儲(chǔ)系統(tǒng)）：

客戶(hù)在構(gòu)建數(shù)據(jù)存儲(chǔ)系統(tǒng)的時(shí)候如果采用了異構(gòu)的部署方式，系統(tǒng)中會(huì)出現(xiàn)不同平臺(tái)和品牌的存儲(chǔ)服務(wù)器，使用起來(lái)會(huì)造成很大的不便，采用虛擬存儲(chǔ)系統(tǒng)可以把各種基于NAS協(xié)議的存儲(chǔ)服務(wù)進(jìn)行虛擬化管理，實(shí)現(xiàn)無(wú)縫數(shù)據(jù)遷移、存儲(chǔ)負(fù)載均衡和異構(gòu)部署等多種優(yōu)化功能。

部分成功客戶(hù)國(guó)有銀行：中國(guó)人民銀行、中國(guó)工商銀行、中國(guó)農(nóng)業(yè)銀行、中國(guó)銀行、中國(guó)建設(shè)銀行

商業(yè)銀行：交通銀行、興業(yè)銀行、中信銀行、招商銀行、華夏銀行、民生銀行、北京銀行、寧波商行、齊魯銀行

城商、農(nóng)商行：上海農(nóng)商行、深圳農(nóng)商行、重慶農(nóng)商行、云南農(nóng)商行、浙江農(nóng)信、廣東農(nóng)信、廣州農(nóng)信、江蘇農(nóng)信、山東農(nóng)信

外資銀行：渣打銀行、德意志銀行、東亞銀行、法國(guó)興業(yè)銀行、華僑銀行、永亨銀行、三井銀行、花旗銀行、瑞士聯(lián)合銀行

基金：寶盈基金、博時(shí)基金、長(zhǎng)城基金、招商基金、興業(yè)基金、信誠(chéng)基金、南方基金、廣發(fā)基金、匯添富基金

證券：銀河證券、宏源證券、國(guó)聯(lián)證券、光大證券、廣發(fā)證券、華泰證券、太平洋證券、上海證券交易所、深圳證券交易所

保險(xiǎn)：平安保險(xiǎn)、中國(guó)人保、中國(guó)人壽、信誠(chéng)人壽、泰康保險(xiǎn)、華泰保險(xiǎn)、民生人壽、大地保險(xiǎn)、鼎和財(cái)險(xiǎn)隨著網(wǎng)絡(luò)的快速發(fā)展，各金融企業(yè)之間的競(jìng)爭(zhēng)也日益激烈，主要是通過(guò)提高金融機(jī)構(gòu)的運(yùn)作效率，為客戶(hù)提供方便快捷和豐富多彩的服務(wù)，增強(qiáng)金融企業(yè)的發(fā)展能力和影響力來(lái)實(shí)現(xiàn)的。為了適應(yīng)這種發(fā)展趨勢(shì)，銀行在改進(jìn)服務(wù)手段、增加服務(wù)功能、完善業(yè)務(wù)品種、提高服務(wù)效率等方面做了大量的工作，以提高銀行的競(jìng)爭(zhēng)力，爭(zhēng)取更大的經(jīng)濟(jì)效益。而實(shí)現(xiàn)這一目標(biāo)必須通過(guò)實(shí)現(xiàn)金融電子化，利用高科技手段推動(dòng)金融業(yè)的發(fā)展和進(jìn)步，銀行外聯(lián)網(wǎng)絡(luò)的建設(shè)為進(jìn)一步提高銀行業(yè)服務(wù)手段，促進(jìn)銀企的發(fā)展提供了有力的保障，并且勢(shì)必為銀行業(yè)的發(fā)展帶來(lái)巨大的經(jīng)濟(jì)效益。然而隨著網(wǎng)絡(luò)應(yīng)用不斷擴(kuò)大，它的反面效應(yīng)也隨著產(chǎn)生。通過(guò)網(wǎng)絡(luò)使得黑客或工業(yè)間諜以及惡意入侵者侵犯和操縱一些重要信息成為可能，因而引發(fā)出網(wǎng)絡(luò)安全性問(wèn)題。正如我國(guó)著名計(jì)算機(jī)專(zhuān)家沈昌祥院士指出的："信息安全保障能力是21世紀(jì)綜合國(guó)力、經(jīng)濟(jì)競(jìng)爭(zhēng)實(shí)力和生存能力的重要組成部份，是世紀(jì)之交世界各國(guó)在奮力攀登的制高點(diǎn)"。二十世紀(jì)未，美國(guó)一些著名網(wǎng)站、銀行、電子商務(wù)網(wǎng)站造受黑客攻擊；黑客入侵微軟竊取源代碼軟件等重要案件，都證明了網(wǎng)絡(luò)安全的嚴(yán)重性，因此，解決銀行外聯(lián)網(wǎng)絡(luò)安全問(wèn)題刻不容緩。一銀行外聯(lián)網(wǎng)絡(luò)安全現(xiàn)狀1、銀行外聯(lián)種類(lèi)按業(yè)務(wù)分為：銀行外聯(lián)業(yè)務(wù)種類(lèi)繁多，主要有：證銀聯(lián)業(yè)務(wù)、社保IC卡、房改公積金管理系統(tǒng)、代收中聯(lián)通話(huà)費(fèi)、代收移動(dòng)話(huà)費(fèi)、同城清算、人行稅銀庫(kù)企系統(tǒng)、人行銀行信貸登記系統(tǒng)、金融統(tǒng)計(jì)數(shù)據(jù)報(bào)送、國(guó)際收支數(shù)據(jù)報(bào)送、電子口岸、代收電費(fèi)、代扣社保費(fèi)、代收國(guó)稅、代收地稅、代收固話(huà)費(fèi)、財(cái)局國(guó)庫(kù)集中系統(tǒng)、統(tǒng)發(fā)工資系統(tǒng)、代收財(cái)政罰款、物業(yè)維修基金、非稅系統(tǒng)、重要客戶(hù)系統(tǒng)等等。按單位分：隨著外聯(lián)業(yè)務(wù)的不斷擴(kuò)大，外聯(lián)單位也不斷增加，主要有：各個(gè)證券公司、社保局、房改辦、聯(lián)通公司、移動(dòng)公司、海關(guān)、電力公司、國(guó)稅局、地稅局、電信公司、供水公司、政府政務(wù)網(wǎng)、人行金融網(wǎng)、銀行的重客單位等等。按線路分：外聯(lián)線路主要以專(zhuān)線為主，部分外聯(lián)業(yè)務(wù)采用撥號(hào)方式，線路類(lèi)型主要有：幀中繼、SDH、DDN、城域網(wǎng)、撥號(hào)等。2、提供外聯(lián)線路的運(yùn)營(yíng)商根據(jù)外聯(lián)單位的不同需求，有多家運(yùn)營(yíng)商提供線路服務(wù)，主要有：電信公司、盈通公司、網(wǎng)通公司、視通公司等3、銀行外聯(lián)網(wǎng)絡(luò)的安全現(xiàn)狀及存在問(wèn)題外聯(lián)接入現(xiàn)狀示意圖：外聯(lián)接入分為總行、一級(jí)分行、二級(jí)分行三個(gè)接入層次，據(jù)統(tǒng)計(jì)有80％的外聯(lián)單位是通過(guò)二級(jí)分行及以下層次接入的，面對(duì)如此眾多的外聯(lián)接入單位，我行還沒(méi)有一個(gè)統(tǒng)一規(guī)劃的完善的外聯(lián)網(wǎng)絡(luò)安全防御體系，特別是對(duì)于有些二級(jí)分行的外聯(lián)網(wǎng)絡(luò)只有基本的安全防護(hù)，只在外網(wǎng)的接入口使用防火墻進(jìn)行安全控制，整體而言，外聯(lián)網(wǎng)絡(luò)缺少一個(gè)統(tǒng)一規(guī)劃的完善的安全防御體系，抗風(fēng)險(xiǎn)能力低。下面，針對(duì)外聯(lián)網(wǎng)絡(luò)中主要的安全風(fēng)險(xiǎn)點(diǎn)進(jìn)行簡(jiǎn)單分析：（1）外聯(lián)接入點(diǎn)多且層次低，缺乏統(tǒng)一的規(guī)劃和監(jiān)管，存在接入風(fēng)險(xiǎn)銀行外聯(lián)系統(tǒng)的接入五花八門(mén)，沒(méi)有一個(gè)統(tǒng)一的接入規(guī)劃和接入標(biāo)準(zhǔn)，總行、一級(jí)分行、二級(jí)分行、甚至經(jīng)辦網(wǎng)點(diǎn)都有接入點(diǎn)，據(jù)統(tǒng)計(jì)80％的外聯(lián)接入都是通過(guò)二級(jí)分行及以下層次接入的，由于該層次的安全產(chǎn)品和安全技術(shù)資源都非常缺乏，因此對(duì)外聯(lián)接入的監(jiān)管控制缺乏力度，存在著接入風(fēng)險(xiǎn)。（2）缺少統(tǒng)一規(guī)范的安全架構(gòu)和策略標(biāo)準(zhǔn)在外聯(lián)網(wǎng)絡(luò)中，全行缺少統(tǒng)一規(guī)范的安全架構(gòu)和訪問(wèn)控制策略標(biāo)準(zhǔn)，對(duì)眾多的外聯(lián)業(yè)務(wù)沒(méi)有分層分級(jí)設(shè)定不同的安全策略，在網(wǎng)絡(luò)層沒(méi)有統(tǒng)一的安全訪問(wèn)控制標(biāo)準(zhǔn)，比如：允許開(kāi)放的端口、必須關(guān)閉的端口、需要控制訪問(wèn)的端口、安全傳輸協(xié)議等等；在外聯(lián)業(yè)務(wù)應(yīng)用程序的編寫(xiě)方面沒(méi)有統(tǒng)一的安全標(biāo)準(zhǔn)；在防火墻策略制定上也沒(méi)有統(tǒng)一的安全標(biāo)準(zhǔn)，因此外聯(lián)網(wǎng)絡(luò)的整體可控性不強(qiáng)。（3）缺乏數(shù)據(jù)傳送過(guò)程中的加密機(jī)制目前與外聯(lián)單位互相傳送的數(shù)據(jù)大部分都是明碼傳送，沒(méi)有統(tǒng)一規(guī)范的加密傳送機(jī)制。（4）缺少統(tǒng)一的安全審計(jì)和安全管理標(biāo)準(zhǔn)。外聯(lián)網(wǎng)絡(luò)沒(méi)有一個(gè)統(tǒng)一的安全審計(jì)和安全管理標(biāo)準(zhǔn)，在安全檢查和安全審計(jì)上沒(méi)有一套行之有效的方法。為解決當(dāng)前外聯(lián)網(wǎng)絡(luò)所存在的安全隱患，我們必須構(gòu)建一個(gè)完善的銀行外聯(lián)網(wǎng)絡(luò)安全架構(gòu)，建立一套統(tǒng)一規(guī)劃的完善的外聯(lián)網(wǎng)絡(luò)安全防御體系。下面我們將從銀行外聯(lián)網(wǎng)絡(luò)安全規(guī)劃著手，進(jìn)行外聯(lián)平臺(tái)的網(wǎng)絡(luò)設(shè)計(jì)，并對(duì)外聯(lián)平臺(tái)的安全策略進(jìn)行統(tǒng)一規(guī)劃，相應(yīng)地提出外聯(lián)業(yè)務(wù)平臺(tái)安全審計(jì)的內(nèi)容以及如何進(jìn)行外聯(lián)網(wǎng)絡(luò)的安全管理，設(shè)計(jì)一套完善的銀行外聯(lián)網(wǎng)絡(luò)安全解決方案。二銀行外聯(lián)網(wǎng)絡(luò)安全規(guī)劃1、外聯(lián)網(wǎng)絡(luò)接入銀行內(nèi)部網(wǎng)的安全指導(dǎo)原則（1）外聯(lián)網(wǎng)（Extranet）接入內(nèi)部網(wǎng)絡(luò)，必須遵從統(tǒng)一規(guī)范、集中接入、逐步過(guò)渡的原則。（2）總行對(duì)于外聯(lián)網(wǎng)絡(luò)接入內(nèi)部網(wǎng)絡(luò)建立統(tǒng)一的安全技術(shù)和安全管理規(guī)范，一級(jí)分行參照規(guī)范要求對(duì)接入網(wǎng)路進(jìn)行嚴(yán)格的控制，同時(shí)應(yīng)建立數(shù)據(jù)交換區(qū)域，避免直接對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行訪問(wèn)。（3）各一級(jí)分行按照集中接入的原則，建立統(tǒng)一的外聯(lián)網(wǎng)接入平臺(tái)，減少外聯(lián)網(wǎng)接入我行內(nèi)部網(wǎng)絡(luò)的接入點(diǎn)，將第三方合作伙伴接入我行內(nèi)部網(wǎng)的接入點(diǎn)控制在一級(jí)分行，并逐步對(duì)二級(jí)行（含）以下的接入點(diǎn)上收至一級(jí)分行。（4）如果一個(gè)二級(jí)分行的外聯(lián)合作伙伴較多，從節(jié)約線路費(fèi)用的角度考慮，可以考慮外聯(lián)接入點(diǎn)選擇在二級(jí)分行，然后利用IPSec-VPN將二級(jí)分行的業(yè)務(wù)外聯(lián)平臺(tái)通過(guò)隧道與一級(jí)分行外聯(lián)平臺(tái)連接。（5）增加VPN的接入方式，與專(zhuān)線方式并存，接入點(diǎn)只設(shè)在一級(jí)分行及以上的層次，新增外聯(lián)業(yè)務(wù)可考慮采用VPN接入方式。（6）出于安全考慮，必須慎重選擇是否允許第三方合作伙伴使用銀行內(nèi)部網(wǎng)絡(luò)系統(tǒng)構(gòu)建其自身業(yè)務(wù)網(wǎng)絡(luò)的運(yùn)作。（7）對(duì)于第三方合作伙伴通過(guò)互聯(lián)網(wǎng)接入內(nèi)部網(wǎng)的需求，只能通過(guò)總行互聯(lián)網(wǎng)入口進(jìn)行接入。2、外聯(lián)業(yè)務(wù)平臺(tái)規(guī)劃的策略與同業(yè)往來(lái)業(yè)務(wù)、重點(diǎn)客戶(hù)業(yè)務(wù)、中間代理業(yè)務(wù)互聯(lián)要求業(yè)務(wù)外聯(lián)平臺(tái)提供足夠的安全機(jī)制。多數(shù)外聯(lián)業(yè)務(wù)要求平臺(tái)穩(wěn)定、可靠。為了滿(mǎn)足安全和可靠的系統(tǒng)需求，具體策略如下：（1）采用防火墻和多種訪問(wèn)控制、安全監(jiān)控措施（2）采用專(zhuān)線為主、撥號(hào)備份為備的雙鏈路和主、備路由器增強(qiáng)可靠性（3）通過(guò)省行internet統(tǒng)一入口連接客戶(hù)的VPN接入請(qǐng)求，由省行或總行統(tǒng)一規(guī)劃VPN網(wǎng)絡(luò)，統(tǒng)一認(rèn)證和加密機(jī)制（4）采用IPSec技術(shù)保證數(shù)據(jù)傳輸過(guò)程的安全（5）采用雙防火墻雙機(jī)熱備（6）采用IDS、漏洞掃描工具（7）設(shè)立DMZ區(qū)，所有對(duì)外提供公開(kāi)服務(wù)的服務(wù)器一律設(shè)置在DMZ區(qū)，將外部傳入用戶(hù)請(qǐng)求連到Web服務(wù)器或其他公用服務(wù)器，然后Web服務(wù)器再通過(guò)內(nèi)部防火墻鏈接到業(yè)務(wù)前置區(qū)（8）設(shè)立業(yè)務(wù)前置區(qū)，外聯(lián)業(yè)務(wù)平臺(tái)以及外聯(lián)業(yè)務(wù)前置機(jī)可放置此區(qū)域，阻止內(nèi)網(wǎng)和外網(wǎng)直接通信，以保證內(nèi)網(wǎng)安全（9）所有的數(shù)據(jù)交換都是通過(guò)外聯(lián)前置網(wǎng)進(jìn)行的，在未采取安全措施的情況下，禁止內(nèi)部網(wǎng)直接連接業(yè)務(wù)外聯(lián)平臺(tái)。（10）為防止來(lái)自?xún)?nèi)網(wǎng)的攻擊和誤操作，設(shè)置內(nèi)部網(wǎng)絡(luò)防火墻（11）來(lái)自業(yè)務(wù)外聯(lián)平臺(tái)的特定主機(jī)經(jīng)身份認(rèn)證后才可訪問(wèn)內(nèi)部網(wǎng)指定主機(jī)。（12）具體實(shí)施時(shí)主要考慮身份認(rèn)證、訪問(wèn)控制、數(shù)據(jù)完整性和審計(jì)等安全指標(biāo)。三外聯(lián)業(yè)務(wù)平臺(tái)設(shè)計(jì)1、外聯(lián)業(yè)務(wù)平臺(tái)的網(wǎng)絡(luò)架構(gòu)業(yè)務(wù)外聯(lián)平臺(tái)包括邊界區(qū)、邊界防火墻區(qū)、IDS區(qū)、DMZ區(qū)、內(nèi)部路由器、業(yè)務(wù)前置區(qū)、內(nèi)部防火墻。架構(gòu)如下圖：2、外聯(lián)業(yè)務(wù)平臺(tái)的安全部署邊界區(qū)邊界區(qū)包括三臺(tái)接入路由器，全部支持IPSec功能。一臺(tái)是專(zhuān)線接入的主路由器；一臺(tái)是撥號(hào)接入的備路由器，當(dāng)主線路故障或客戶(hù)有撥號(hào)接入需求時(shí)客戶(hù)可通過(guò)此撥號(hào)路由器接入，撥號(hào)接入要有身份認(rèn)證機(jī)制；還有一臺(tái)是VPN接入方式的路由器。將IPSec部署在邊界路由器上是保證端對(duì)端數(shù)據(jù)傳輸?shù)耐暾院蜋C(jī)密性，保護(hù)TCP/IP通信免遭竊聽(tīng)和篡改。對(duì)于INTERNET的VPN接入方式,可并入分行INTERNET統(tǒng)一出口進(jìn)行VPN隧道的劃分，連接有VPN接入需求的外聯(lián)單位。邊界防火墻區(qū)邊界防火墻區(qū)設(shè)置兩臺(tái)防火墻互為熱備份。在防火墻的內(nèi)側(cè)和外側(cè)分別有一臺(tái)連接防火墻的交換機(jī)，從安全的角度出發(fā)，連接兩臺(tái)防火墻采用單獨(dú)的交換機(jī)，避免采用VLAN造成的安全漏洞。兩臺(tái)防火墻之間的連接根據(jù)設(shè)備的不同而不同，以能夠可靠地為互相備份的防火墻提供配置同步和心跳檢測(cè)為準(zhǔn)。入侵檢測(cè)IDS能夠?qū)崟r(shí)準(zhǔn)確地捕捉到入侵，發(fā)現(xiàn)入侵能夠及時(shí)作出響應(yīng)并記錄日志。對(duì)所有流量進(jìn)行數(shù)據(jù)分析，過(guò)濾掉含有攻擊指令和操作的數(shù)據(jù)包，保護(hù)網(wǎng)絡(luò)的安全，提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。DMZ區(qū)建立非軍事區(qū)（DMZ）,是為不信任系統(tǒng)提供服務(wù)的孤立網(wǎng)段，它阻止內(nèi)網(wǎng)和外網(wǎng)直接通信，以保證內(nèi)網(wǎng)安全，在非軍事區(qū)上設(shè)置并安裝基于網(wǎng)絡(luò)的實(shí)時(shí)安全監(jiān)控系統(tǒng),所有對(duì)外提供公開(kāi)服務(wù)的服務(wù)器一律設(shè)置在DMZ,其中WWW、E-mail、FTP、DNS服務(wù)器置于非軍事區(qū)（DMZ）內(nèi)部路由器區(qū)內(nèi)部路由器區(qū)設(shè)置一臺(tái)用于連接業(yè)務(wù)外聯(lián)平臺(tái)和業(yè)務(wù)前置區(qū)的路由器。業(yè)務(wù)前置區(qū)設(shè)立獨(dú)立的網(wǎng)絡(luò)區(qū)域與業(yè)務(wù)外聯(lián)平臺(tái)的交換信息，并采取有效的安全措施保障該信息交換區(qū)不受非授權(quán)訪問(wèn)。內(nèi)部防火墻內(nèi)部防火墻可以精確制定每個(gè)用戶(hù)的訪問(wèn)權(quán)限，保證內(nèi)部網(wǎng)絡(luò)用戶(hù)只能訪問(wèn)必要的資源，內(nèi)部防火墻可以記錄網(wǎng)段間的訪問(wèn)信息，及時(shí)發(fā)現(xiàn)誤操作和來(lái)自?xún)?nèi)部網(wǎng)絡(luò)其他網(wǎng)段的攻擊行為。病毒防范和漏洞掃描在服務(wù)器、前置機(jī)上安裝網(wǎng)絡(luò)版防病毒軟件，及時(shí)在線升級(jí)防病毒軟件，打開(kāi)防病毒實(shí)時(shí)監(jiān)控程序，設(shè)定定期查殺病毒任務(wù)，及時(shí)抵御和防范病毒。定期對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行漏洞掃描，及時(shí)打系統(tǒng)補(bǔ)丁。路由采用靜態(tài)路由，邊界的主、備路由器采用浮動(dòng)靜態(tài)路由，當(dāng)主鏈路不通時(shí)，通過(guò)備份鏈路建立連接。網(wǎng)管從安全的角度考慮，業(yè)務(wù)外聯(lián)平臺(tái)的網(wǎng)管采用帶外網(wǎng)管。網(wǎng)管服務(wù)器和被管理設(shè)備的通訊通過(guò)單獨(dú)的接口。用PVLAN使被管理設(shè)備只能通過(guò)網(wǎng)管專(zhuān)用的接口與網(wǎng)管服務(wù)器連接，而被管理設(shè)備之間不能互通。為了防備網(wǎng)管服務(wù)器被控制的可能性，規(guī)劃獨(dú)立的網(wǎng)管服務(wù)器為業(yè)務(wù)外聯(lián)平臺(tái)服務(wù)。網(wǎng)管平臺(tái)能夠?qū)I(yè)務(wù)外聯(lián)平臺(tái)進(jìn)行狀態(tài)管理、性能管理、配置管理、故障管理。帶外網(wǎng)管平臺(tái)采用單獨(dú)的交換機(jī)，以保證系統(tǒng)的安全。QOS在數(shù)據(jù)包經(jīng)過(guò)內(nèi)層防火墻進(jìn)入管理區(qū)域后立即打上QOS標(biāo)記，使外聯(lián)平臺(tái)的數(shù)據(jù)包按照規(guī)定的優(yōu)先級(jí)別占用網(wǎng)絡(luò)資源。四外聯(lián)業(yè)務(wù)平臺(tái)安全設(shè)計(jì)策略1外聯(lián)接入線路安全設(shè)計(jì)策略外聯(lián)接入線路有3種方式：傳統(tǒng)的專(zhuān)線方式、正在快速發(fā)展的基于公網(wǎng)的VPN方式、撥號(hào)方式。

專(zhuān)線方式，銀行傳統(tǒng)的外聯(lián)接入方式大部分都是采用專(zhuān)線與外單位相聯(lián)，專(zhuān)線的選擇有：幀中繼、DDN、SDH、ATM等等。專(zhuān)線的優(yōu)點(diǎn)是線路私有、技術(shù)成熟、穩(wěn)定，傳輸?shù)陌踩员容^有保障，但也存在設(shè)備投入大，對(duì)技術(shù)維護(hù)人員的技術(shù)要求較高，線路費(fèi)用昂貴、接入不靈活等缺點(diǎn)。并且由于對(duì)線路的信任依賴(lài)，大多數(shù)專(zhuān)線中傳遞的信息沒(méi)有考慮任何數(shù)據(jù)安全，明碼傳送，存在很大的安全隱患。

VPN方式，現(xiàn)在國(guó)際社會(huì)比較流行的利用公共網(wǎng)絡(luò)來(lái)構(gòu)建的私有專(zhuān)用網(wǎng)絡(luò)VPN（VirtualPrivateNetwork），用于構(gòu)建VPN的公共網(wǎng)絡(luò)包括Internet、幀中繼、ATM等。在公共網(wǎng)絡(luò)上組建的VPN具有線路費(fèi)用低廉，易于擴(kuò)展，接入靈活，網(wǎng)絡(luò)通信安全，網(wǎng)絡(luò)設(shè)計(jì)簡(jiǎn)單，特別是易于實(shí)現(xiàn)集中管理，減少接入點(diǎn)，接入點(diǎn)可以只設(shè)在一級(jí)分行以上的層次，方便統(tǒng)一管理和安全控制。

撥號(hào)方式，有些外聯(lián)單位只與銀行交換簡(jiǎn)單的代收發(fā)文件，使用的間隔周期也比較長(zhǎng)，為節(jié)約費(fèi)用只按需撥號(hào)進(jìn)行連接，撥號(hào)方式的特點(diǎn)是費(fèi)用低廉但缺乏安全保障。這3種方式各有優(yōu)缺點(diǎn)，但從技術(shù)的成熟性和保護(hù)現(xiàn)有設(shè)備投資的方面考慮，專(zhuān)線方式和撥號(hào)方式還是我們的主流方式。但從長(zhǎng)遠(yuǎn)考慮，隨著VPN技術(shù)的成熟和合作伙伴應(yīng)用互聯(lián)網(wǎng)的普及，VPN方式將會(huì)由于它顯著的優(yōu)點(diǎn)而逐漸成為主流，因此，我們引入VPN接入方式，目前我們?nèi)N接入方式并存，今后將逐漸用VPN方式取代專(zhuān)線方式和撥號(hào)方式，這樣不僅能夠統(tǒng)一接入層次，減少接入點(diǎn)，降低線路費(fèi)用，而且方便統(tǒng)一管理和安全控制。對(duì)于接入專(zhuān)線的物理層和數(shù)據(jù)鏈路層安全是由運(yùn)營(yíng)商保障的，在邊界接入路由器上設(shè)置靜態(tài)路由、采用安全訪問(wèn)控制實(shí)現(xiàn)網(wǎng)絡(luò)層的安全控制，為保證數(shù)據(jù)傳輸?shù)臋C(jī)密性和完整性，建議在銀行外聯(lián)網(wǎng)絡(luò)中采用IPSec技術(shù)，在接入端統(tǒng)一安裝支持IPSec功能的接入路由器。對(duì)于VPN方式的接入，VPN雖然構(gòu)建在公用數(shù)據(jù)網(wǎng)上，但可以通過(guò)附加的安全隧道、用戶(hù)認(rèn)證和訪問(wèn)控制等技術(shù)實(shí)現(xiàn)與專(zhuān)用網(wǎng)絡(luò)相類(lèi)似的安全性能，從而實(shí)現(xiàn)對(duì)重要信息的安全傳輸。與企業(yè)獨(dú)立構(gòu)建專(zhuān)用網(wǎng)絡(luò)相比，VPN具有節(jié)省投資、易于擴(kuò)展、簡(jiǎn)化管理等特點(diǎn)。對(duì)于撥號(hào)接入我們采用AAA認(rèn)證的方式驗(yàn)證撥入方的身份。2外聯(lián)業(yè)務(wù)平臺(tái)物理層安全設(shè)計(jì)策略物理層安全是指設(shè)備安全和線路安全，保障物理安全除了要遵守國(guó)家相關(guān)的場(chǎng)地要求和設(shè)計(jì)規(guī)范外，還要做好相關(guān)設(shè)備的備份、關(guān)鍵線路的備份、相應(yīng)數(shù)據(jù)的備份。定期對(duì)網(wǎng)絡(luò)參數(shù)、應(yīng)用數(shù)據(jù)、日志進(jìn)行備份，定期對(duì)備份設(shè)備進(jìn)行參數(shù)同步。3外聯(lián)業(yè)務(wù)平臺(tái)網(wǎng)絡(luò)層安全設(shè)計(jì)策略外聯(lián)業(yè)務(wù)平臺(tái)安全設(shè)計(jì)的重點(diǎn)就是如何進(jìn)行網(wǎng)絡(luò)層的安全防護(hù)，在網(wǎng)絡(luò)層我們采用了防火墻技術(shù)、入侵檢測(cè)技術(shù)、VPN技術(shù)、IPSec技術(shù)、訪問(wèn)控制技術(shù)等多種安全技術(shù)進(jìn)行網(wǎng)絡(luò)層的安全防護(hù)。（1）部署邊界防火墻和內(nèi)部防火墻在總行、一級(jí)分行、二級(jí)分行各級(jí)外聯(lián)接入點(diǎn)的邊界都應(yīng)安裝邊界防火墻，邊界防火墻的任務(wù)有：

通過(guò)對(duì)源地址過(guò)濾，拒絕外部非法IP地址，有效地避免外部網(wǎng)絡(luò)上與業(yè)務(wù)無(wú)關(guān)的主機(jī)的越權(quán)訪問(wèn)，防火墻只保留有用的服務(wù)；

關(guān)閉其他不要的服務(wù)，可將系統(tǒng)受攻擊的可能性降低到最小限度，使黑客無(wú)機(jī)可乘；

制定訪問(wèn)策略，使只有被授權(quán)的外部主機(jī)可以訪問(wèn)內(nèi)部網(wǎng)絡(luò)的有限的IP地址，保證外部網(wǎng)絡(luò)只能訪問(wèn)內(nèi)部網(wǎng)絡(luò)中必要的資源，與業(yè)務(wù)無(wú)關(guān)的操作將被拒絕;

由于外部網(wǎng)絡(luò)對(duì)DMZ區(qū)主機(jī)的所有訪問(wèn)都要經(jīng)過(guò)防火墻，防火墻可以全面監(jiān)視外部網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)絡(luò)的訪問(wèn)活動(dòng)，并進(jìn)行詳細(xì)地記錄，通過(guò)分析可以發(fā)現(xiàn)可疑的攻擊行為；

對(duì)于遠(yuǎn)程登錄的用戶(hù)，如telnet等，防火墻利用加強(qiáng)的認(rèn)證功能，可以有效地防止非法入侵；

集中管理網(wǎng)絡(luò)的安全策略，因此黑客無(wú)法通過(guò)更改某一臺(tái)主機(jī)的安全策略來(lái)達(dá)到控制其他資源，獲取訪問(wèn)權(quán)限的目的；

進(jìn)行地址轉(zhuǎn)換工作，使外部網(wǎng)絡(luò)不能看到內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)，從而使黑客攻擊失去目標(biāo)。在內(nèi)部網(wǎng)和業(yè)務(wù)前置區(qū)之間部署內(nèi)部防火墻，內(nèi)部防火墻的任務(wù)有：

精確制定每個(gè)用戶(hù)的訪問(wèn)權(quán)限，保證內(nèi)部網(wǎng)絡(luò)用戶(hù)只能訪問(wèn)必要的資源

記錄網(wǎng)段間的訪問(wèn)信息，及時(shí)發(fā)現(xiàn)誤操作和來(lái)自?xún)?nèi)部網(wǎng)絡(luò)其他網(wǎng)段的攻擊行為。（2）部署入侵檢測(cè)系統(tǒng)入侵檢測(cè)是防火墻技術(shù)的重要補(bǔ)充，在不影響網(wǎng)絡(luò)的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行檢測(cè)分析，從而對(duì)內(nèi)部攻擊、外部攻擊和誤操作進(jìn)行實(shí)時(shí)識(shí)別和響應(yīng)，有效地監(jiān)視、審計(jì)、評(píng)估網(wǎng)絡(luò)系統(tǒng)。入侵檢測(cè)和漏洞掃描技術(shù)結(jié)合起來(lái)是預(yù)防黑客攻擊的主要手段。入侵檢測(cè)的主要功能有：

檢測(cè)并分析用戶(hù)和系統(tǒng)的活動(dòng)

核查系統(tǒng)配置和漏洞

評(píng)估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性

識(shí)別已知的攻擊行為

統(tǒng)計(jì)分析異常行為

操作系統(tǒng)日志管理，并識(shí)別違反安全策略的用戶(hù)活動(dòng)入侵檢測(cè)技術(shù)主要可以分為基于主機(jī)入侵檢測(cè)和基于網(wǎng)絡(luò)入侵檢測(cè)兩種?；谥鳈C(jī)的系統(tǒng)通過(guò)軟件來(lái)分析來(lái)自各個(gè)地方的數(shù)據(jù)，這些數(shù)據(jù)可以是事件日志（LOG文件）、配置文件、PASSWORD文件等；基于網(wǎng)絡(luò)的系統(tǒng)通過(guò)網(wǎng)絡(luò)監(jiān)聽(tīng)的方式從網(wǎng)絡(luò)中獲取數(shù)據(jù)，并根據(jù)事先定義好的規(guī)則檢查它，從而判定通訊是否合法。（3）應(yīng)用VPN對(duì)于VPN接入方式，在接入端采用專(zhuān)用VPN設(shè)備，VPN的實(shí)現(xiàn)技術(shù)是通過(guò)公用網(wǎng)在各個(gè)路由器之間建立VPN安全隧道來(lái)傳輸用戶(hù)的私有網(wǎng)絡(luò)數(shù)據(jù)，用于構(gòu)建這種VPN連接的隧道技術(shù)有IPSEC等。結(jié)合服務(wù)商提供的QOS機(jī)制，可以有效而且可靠的使用網(wǎng)絡(luò)資源，保證了網(wǎng)絡(luò)質(zhì)量。VPN大致包括三種典型的應(yīng)用環(huán)境，即IntranetVPN,RemoteAccessVPN和ExtranetVPN。其中IntranetVPN主要是在內(nèi)部專(zhuān)用網(wǎng)絡(luò)上提供虛擬子網(wǎng)和用戶(hù)管理認(rèn)證功能；RemoteAccessVPN側(cè)重遠(yuǎn)程用戶(hù)接入訪問(wèn)過(guò)程中對(duì)信息資源的保護(hù)；而ExtranetVPN則需要將不同的用戶(hù)子網(wǎng)擴(kuò)展成虛擬的企業(yè)網(wǎng)絡(luò)。我們所推薦使用的是ExtranetVPN，并且建議今后逐漸用VPN的外聯(lián)接入方式取代專(zhuān)線接入方式，VPN技術(shù)將是今后外聯(lián)接入的發(fā)展方向，VPN技術(shù)取代專(zhuān)線將指日可待。VPN技術(shù)的優(yōu)點(diǎn)主要包括：

信息的安全性。虛擬專(zhuān)用網(wǎng)絡(luò)采用安全隧道(SecureTunnel)技術(shù)向用戶(hù)提供無(wú)縫(Seamless)的和安全的端到端連接服務(wù)，確保信息資源的安全。

方便的擴(kuò)充性。用戶(hù)可以利用虛擬專(zhuān)用網(wǎng)絡(luò)技術(shù)方便地重構(gòu)企業(yè)專(zhuān)用網(wǎng)絡(luò)(PrivateNetwork)，實(shí)現(xiàn)異地業(yè)務(wù)人員的遠(yuǎn)程接入，加強(qiáng)與客戶(hù)、合作伙伴之間的聯(lián)系，以進(jìn)一步適應(yīng)虛擬企業(yè)的新型企業(yè)組織形式。

方便的管理。VPN將大量的網(wǎng)絡(luò)管理工作放到互聯(lián)網(wǎng)絡(luò)服務(wù)提供者(ISP)一端來(lái)統(tǒng)一實(shí)現(xiàn)，從而減輕了企業(yè)內(nèi)部網(wǎng)絡(luò)管理的負(fù)擔(dān)。同時(shí)VPN也提供信息傳輸、路由等方面的智能特性及其與其他網(wǎng)絡(luò)設(shè)備相獨(dú)立的特性，也便于用戶(hù)進(jìn)行網(wǎng)絡(luò)管理。

顯著的成本效益。利用現(xiàn)有互聯(lián)網(wǎng)絡(luò)發(fā)達(dá)的網(wǎng)絡(luò)構(gòu)架組建外聯(lián)網(wǎng)絡(luò)，從而節(jié)省了大量的投資成本及后續(xù)的運(yùn)營(yíng)維護(hù)成本。（4）應(yīng)用IPSecIPSec由IETF下屬的一個(gè)IPSec工作組起草設(shè)計(jì)的，在IP協(xié)議層上對(duì)數(shù)據(jù)包進(jìn)行高強(qiáng)度的安全處理，提供數(shù)據(jù)源驗(yàn)證、無(wú)連接數(shù)據(jù)完整性、數(shù)據(jù)機(jī)密性、抗重播和有限業(yè)務(wù)流機(jī)密性等安全服務(wù)。各種應(yīng)用程序可以享用IP層提供的安全服務(wù)和密鑰管理，而不必設(shè)計(jì)和實(shí)現(xiàn)自己的安全機(jī)制，因此減少了密鑰協(xié)商的開(kāi)銷(xiāo)，也降低了產(chǎn)生安全漏洞的可用性。IPSec彌補(bǔ)了由于TCP/IP協(xié)議體系自身帶來(lái)的安全漏洞，可以保護(hù)TCP/IP通信免遭竊聽(tīng)和篡改，保證數(shù)據(jù)的完整性和機(jī)密性，有效抵御網(wǎng)絡(luò)攻擊，同時(shí)保持易用性。IPSec可連續(xù)或遞歸應(yīng)用，在路由器、防火墻、主機(jī)和通信鏈路上配置，實(shí)現(xiàn)端到端安全、虛擬專(zhuān)用網(wǎng)絡(luò)（VPN）和安全隧道技術(shù)。IPSec的缺點(diǎn)是不能兼容NAT技術(shù)，當(dāng)防火墻和路由器采用NAT技術(shù)對(duì)IP包進(jìn)行地址轉(zhuǎn)換時(shí)，IPSec包不能通過(guò)。因此，需要使用IPSec功能時(shí)必須采用NAT-T技術(shù)實(shí)現(xiàn)IPSec穿越NAT。（5）網(wǎng)絡(luò)層的訪問(wèn)控制策略

禁止來(lái)自業(yè)務(wù)外聯(lián)平臺(tái)的的訪問(wèn)直接進(jìn)入內(nèi)部網(wǎng)

限制能開(kāi)通的服務(wù)或端口

設(shè)立與內(nèi)部網(wǎng)隔離的指定的數(shù)據(jù)交換區(qū)，來(lái)自業(yè)務(wù)外聯(lián)平臺(tái)的的訪問(wèn)只能到達(dá)指定的數(shù)據(jù)交換區(qū)

能對(duì)進(jìn)入指定數(shù)據(jù)交換區(qū)的主體限制到主機(jī)

能經(jīng)過(guò)代理實(shí)現(xiàn)指定客戶(hù)對(duì)內(nèi)部網(wǎng)指定主機(jī)和業(yè)務(wù)的訪問(wèn)4外聯(lián)業(yè)務(wù)平臺(tái)系統(tǒng)層安全設(shè)計(jì)策略操作系統(tǒng)因?yàn)樵O(shè)計(jì)和版本的問(wèn)題，存在許多的安全漏洞，同時(shí)因?yàn)樵谑褂弥邪踩O(shè)置不當(dāng)，也會(huì)增加安全漏洞，帶來(lái)安全隱患，因此要定期漏洞掃描，及時(shí)升級(jí)、及時(shí)打補(bǔ)丁。5外聯(lián)業(yè)務(wù)平臺(tái)應(yīng)用層安全設(shè)計(jì)策略

根據(jù)銀行專(zhuān)用網(wǎng)絡(luò)的業(yè)務(wù)和服務(wù)，采用身份認(rèn)證技術(shù)、防病毒技術(shù)以及對(duì)各種應(yīng)用服務(wù)的安全性增強(qiáng)配置服務(wù)，保障網(wǎng)絡(luò)系統(tǒng)在應(yīng)用層的安全。（1）身份認(rèn)證技術(shù)

公開(kāi)密鑰基礎(chǔ)設(shè)施（PKI）是一種遵循標(biāo)準(zhǔn)的密鑰管理平臺(tái)，能夠?yàn)樗芯W(wǎng)絡(luò)應(yīng)用透明地提供采用加密和數(shù)字簽名等密碼服務(wù)所必需的密鑰和證書(shū)管理。在總行和省行網(wǎng)絡(luò)中心建立CA中心，為應(yīng)用系統(tǒng)的可靠運(yùn)行提供支持。

進(jìn)入指定數(shù)據(jù)交換區(qū)必須進(jìn)行基于口令的身份認(rèn)證。以撥號(hào)方式連接業(yè)務(wù)外聯(lián)平臺(tái)時(shí)，在撥號(hào)連接建立之前，必須通過(guò)基于靜態(tài)口令、動(dòng)態(tài)口令或撥號(hào)回呼的身份認(rèn)證。為了配合全行的集中認(rèn)證工程，認(rèn)證服務(wù)器必須采用全行統(tǒng)一規(guī)定的標(biāo)準(zhǔn)協(xié)議，能夠支持多級(jí)認(rèn)證體系結(jié)構(gòu)。

在集中認(rèn)證系統(tǒng)投入使用之前，AAA服務(wù)器能夠獨(dú)立完成認(rèn)證、授權(quán)和審計(jì)任務(wù)。在集中認(rèn)證體系投入使用之后，AAA服務(wù)器能夠?qū)崿F(xiàn)向上級(jí)認(rèn)證服務(wù)器的認(rèn)證請(qǐng)求轉(zhuǎn)發(fā)，實(shí)現(xiàn)集中認(rèn)證。（2）防病毒技術(shù)病毒是系統(tǒng)中最常見(jiàn)、威脅最大的安全來(lái)源。我們必須有一個(gè)全方位的外聯(lián)網(wǎng)病毒防御體系，目前主要采用病毒防范系統(tǒng)解決病毒查找、清殺問(wèn)題。五外聯(lián)業(yè)務(wù)平臺(tái)安全審計(jì)對(duì)進(jìn)出業(yè)務(wù)外聯(lián)平臺(tái)的訪問(wèn)必須進(jìn)行審計(jì)，要求如下：

能夠生成進(jìn)出業(yè)務(wù)外聯(lián)平臺(tái)的的訪問(wèn)日志

日志內(nèi)容包括訪問(wèn)時(shí)間、主體和客體地址信息、訪問(wèn)方式、訪問(wèn)業(yè)務(wù)、訪問(wèn)成敗情況、持續(xù)時(shí)間、同一訪問(wèn)發(fā)起建立連接次數(shù)、本次訪問(wèn)通信流量等

對(duì)所記錄的日志具有格式化的審計(jì)功能，能針對(duì)不同主體、客體、時(shí)間段、訪問(wèn)成敗等情況進(jìn)行統(tǒng)計(jì)并形式化輸出

網(wǎng)絡(luò)審計(jì)，防止非法內(nèi)連和外連

數(shù)據(jù)庫(kù)審計(jì)，以更加細(xì)的粒度對(duì)數(shù)據(jù)庫(kù)的讀取行為進(jìn)行跟蹤

應(yīng)用系統(tǒng)審計(jì)，例如公文流轉(zhuǎn)經(jīng)過(guò)幾個(gè)環(huán)節(jié)，必須要有清晰的記錄

主機(jī)審計(jì)，包括對(duì)終端系統(tǒng)安裝了哪些不安全軟件的審計(jì)，并設(shè)置終端系統(tǒng)的權(quán)限等等

介質(zhì)審計(jì)，包括光介質(zhì)、磁介質(zhì)和紙介質(zhì)的審計(jì)，防止機(jī)密信息通過(guò)移動(dòng)U盤(pán)、非法打印或者照相等多個(gè)環(huán)節(jié)從信息系統(tǒng)中泄密。

對(duì)重要服務(wù)器的操作要有記錄；

對(duì)外網(wǎng)（互聯(lián)網(wǎng)）連接記錄要有針對(duì)性的審計(jì)；

對(duì)網(wǎng)絡(luò)內(nèi)的流量、網(wǎng)絡(luò)設(shè)備工作狀態(tài)進(jìn)行審計(jì)；

對(duì)重要的數(shù)據(jù)庫(kù)訪問(wèn)記錄要進(jìn)行有效的審計(jì)六外聯(lián)網(wǎng)絡(luò)安全管理要保障外聯(lián)網(wǎng)絡(luò)安全運(yùn)行，光靠技術(shù)控制還遠(yuǎn)遠(yuǎn)不夠，還要注意加強(qiáng)在安全管理方面的工作。就現(xiàn)階段而言，網(wǎng)絡(luò)安全最大的威脅不是來(lái)自外部，而是內(nèi)部的安全制度、操作規(guī)范和安全監(jiān)督機(jī)制。人是信息安全目標(biāo)實(shí)現(xiàn)的主體，網(wǎng)絡(luò)安全需要全體人員共同努力，避免出現(xiàn)"木桶效應(yīng)"。為此應(yīng)著重解決好幾個(gè)方面的問(wèn)題。1、組織工作人員加強(qiáng)網(wǎng)絡(luò)安全學(xué)習(xí)，提高工作人員的維護(hù)網(wǎng)絡(luò)安全的警惕性和自覺(jué)性，提高保密觀念，提高安全意識(shí)，提高操作技能。2、加強(qiáng)管理，建立一套行之有效的外聯(lián)網(wǎng)絡(luò)安全管理制度和操作人員守則，建立定期檢查制度和有效的監(jiān)督體系。3、大力推進(jìn)外聯(lián)應(yīng)用軟件的標(biāo)準(zhǔn)化，研究各種安全機(jī)制，創(chuàng)造一個(gè)具有安全設(shè)置的開(kāi)發(fā)環(huán)境。4、建立完善的管理制度（1）建立外聯(lián)網(wǎng)絡(luò)聯(lián)網(wǎng)規(guī)定和聯(lián)網(wǎng)操作流程。（2）建立責(zé)任分工制度，權(quán)限管理制度，明確崗位和職責(zé)，各司其職，各負(fù)其責(zé)。（3）安全監(jiān)督管理制度，是指專(zhuān)人對(duì)系統(tǒng)使用情況監(jiān)控，防止非法操作，對(duì)發(fā)現(xiàn)的異常情況，要采取有效措施加以控制。（4）采用必要的行政手段來(lái)落實(shí)各項(xiàng)安全責(zé)任，要在計(jì)算機(jī)系統(tǒng)中設(shè)置必要的審核機(jī)制，要建立嚴(yán)格的系統(tǒng)日志記錄管理機(jī)制。（5）加強(qiáng)對(duì)各類(lèi)人員的安全教育，使公眾了解提高外聯(lián)網(wǎng)絡(luò)安全的必要性，自覺(jué)遵守網(wǎng)絡(luò)安全管理制度。（6）只有不斷完善和加強(qiáng)各種安全管理手段與安全技術(shù)防范，行政管理與技術(shù)方法相結(jié)合，才能有效保證網(wǎng)絡(luò)化系統(tǒng)的安全。5、建立嚴(yán)格制度的文檔（1）外聯(lián)網(wǎng)絡(luò)建設(shè)方案：網(wǎng)絡(luò)技術(shù)體制、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、設(shè)備配置、IP地址和域名分配方案等相關(guān)技術(shù)文檔；（2）機(jī)房管理制度：包括對(duì)網(wǎng)絡(luò)機(jī)房實(shí)行分域控制，保護(hù)重點(diǎn)網(wǎng)絡(luò)設(shè)備和服務(wù)器的物理安全；（3）各類(lèi)人員職責(zé)分工：根據(jù)職責(zé)分離和多人負(fù)責(zé)的原則，劃分部門(mén)和人員職責(zé)。包括對(duì)領(lǐng)導(dǎo)、網(wǎng)絡(luò)管理員、安全保密員和網(wǎng)絡(luò)用戶(hù)職責(zé)進(jìn)行分工；（4）安全保密規(guī)定：制定頒布本部門(mén)計(jì)算機(jī)網(wǎng)絡(luò)安全保密管理規(guī)定；（5）網(wǎng)絡(luò)安全方案：網(wǎng)絡(luò)安全項(xiàng)目規(guī)劃、分步實(shí)施方案、安全監(jiān)控中心建設(shè)方案、安全等級(jí)劃分等整體安全策略；（6）安全策略文檔：建立防火墻、入侵檢測(cè)、安全掃描和防病毒系統(tǒng)等安全設(shè)備的安全配置和升級(jí)策略以及策略修改登記；（7）口令管理制度：嚴(yán)格網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)以及個(gè)人計(jì)算機(jī)的口令管理制度；（8）系統(tǒng)操作規(guī)程：對(duì)不同應(yīng)用系統(tǒng)明確操作規(guī)程，規(guī)范網(wǎng)絡(luò)行為；（9）應(yīng)急響應(yīng)方案：建立外聯(lián)網(wǎng)絡(luò)數(shù)據(jù)備份策略和安全應(yīng)急方案，確保外聯(lián)網(wǎng)絡(luò)的應(yīng)急響應(yīng)；（10）用戶(hù)授權(quán)管理：以最小權(quán)限原則對(duì)外聯(lián)網(wǎng)絡(luò)用戶(hù)劃分?jǐn)?shù)據(jù)庫(kù)等應(yīng)用系統(tǒng)操作權(quán)限，并做記錄；（11）安全防護(hù)記錄：記錄重大外聯(lián)網(wǎng)絡(luò)安全事件，對(duì)外聯(lián)網(wǎng)絡(luò)設(shè)備和安全系統(tǒng)進(jìn)行日志分析，并提出修復(fù)意見(jiàn)；（12）定期對(duì)系統(tǒng)運(yùn)行、用戶(hù)操作等進(jìn)行安全評(píng)估，提交外聯(lián)網(wǎng)絡(luò)安全報(bào)告。（13）其它制度還有信息發(fā)布審批、設(shè)備安裝維護(hù)管理規(guī)定、人員培訓(xùn)和應(yīng)用系統(tǒng)等，以及全面建立計(jì)算機(jī)外聯(lián)網(wǎng)絡(luò)各類(lèi)文檔，堵塞安全管理漏洞。結(jié)束語(yǔ)：銀行外聯(lián)網(wǎng)絡(luò)安全建設(shè)不僅要有先進(jìn)的安全技術(shù)，還要有嚴(yán)謹(jǐn)?shù)墓芾碇贫?，?guī)范的操作流程才能保障銀行外聯(lián)網(wǎng)絡(luò)的安全和高效，才能徹底抵御來(lái)自外部和內(nèi)部的攻擊。本方案在充分運(yùn)用多種安全技術(shù)和安全策略的基礎(chǔ)上，還注重了安全審計(jì)和安全管理的建設(shè)，綜合提高外聯(lián)網(wǎng)絡(luò)的安全性，建設(shè)一個(gè)安全、可信、完善的銀行外聯(lián)網(wǎng)絡(luò)安全防御體系?；诮尤雽拥木W(wǎng)絡(luò)安全解決方案研究ResearchofSolutionfortheNetworkSecurityBasedontheAccessLayer曾夢(mèng)良鄭雪峰Zeng,MengliangZheng,Xuefeng北京科技大學(xué)信息學(xué)院計(jì)算機(jī)系100083(SchoolofInformationComputer,USTBBeijing,Beijing100083,China)摘要：本文詳細(xì)分析了幾種攻擊手段的原理和危害，并從接入控制和業(yè)務(wù)流控制兩方面著手，以802.1X和DHCP協(xié)議為基礎(chǔ)，給出了完整的多層次的解決方案，軟件處理和硬件過(guò)濾相結(jié)合，即保證了網(wǎng)絡(luò)的安全性，又最大限度維持系統(tǒng)的高效率運(yùn)行，使得系統(tǒng)的可靠性、穩(wěn)定性、可用性都達(dá)到了一個(gè)比較高的水平。關(guān)鍵詞：802.1X，動(dòng)態(tài)主機(jī)配置協(xié)議，地址解析協(xié)議，接入層，網(wǎng)絡(luò)安全Abstract:Thispaperdetailedlyanalysessomekindsofnetworkattackingmethodsandtheirharmtotheusers.Fromtheaccesscontrolandtheflowcontrolonthenetwork,thepaperpresentsacompletesolutionaimatthisattackingsbasedonthePortBasedNetworkAccessControlProtocolandtheDynamicHostConfigurationProtocol.Thesolutionunitstheprocessofsoftwareandthehardwarefilter,notonlymakessurethesecurityofthenetwork,butalsokeepsthehighefficiency.Keywords:802.1X,DHCP,ARP,AccessLayer,NetworkSecurity1引言計(jì)算機(jī)技術(shù)的提高和計(jì)算機(jī)網(wǎng)絡(luò)的廣泛使用，大大擴(kuò)展了信息資源的共享和交互，引發(fā)了意義深遠(yuǎn)的重大變革，使人們的工作、學(xué)習(xí)和生活發(fā)生了巨大的變化。然而，最初面向研究機(jī)構(gòu)的因特網(wǎng)以及相應(yīng)的TCP/IP協(xié)議是針對(duì)一個(gè)安全的環(huán)境而設(shè)計(jì)的——所有的用戶(hù)都相互信任，對(duì)開(kāi)放、自由的信息交換有興趣，而對(duì)安全方面的考慮較少，因此網(wǎng)絡(luò)存在很多的安全隱患，給了黑客們可乘之機(jī)。隨著時(shí)代的發(fā)展，網(wǎng)絡(luò)上信息傳遞的信息量和重要程度都在急劇增加，網(wǎng)絡(luò)攻擊已經(jīng)成為竊取信息、破壞發(fā)展的重要手段，其程度和頻率不斷增多。在網(wǎng)絡(luò)深入到黨政辦公系統(tǒng)、金融系統(tǒng)、商用系統(tǒng)以及軍用系統(tǒng)等各個(gè)行業(yè)的今天，網(wǎng)絡(luò)安全尤為重要。本文總結(jié)了網(wǎng)絡(luò)中幾種嚴(yán)重的攻擊方式，并提供了立體的、多層次的解決方案，同時(shí)根據(jù)大部分網(wǎng)絡(luò)攻擊特點(diǎn)，將攻擊終結(jié)在接入層，大大減少了上層核心網(wǎng)絡(luò)被攻擊的風(fēng)險(xiǎn)和業(yè)務(wù)處理負(fù)擔(dān)。本文提供的解決方案是針對(duì)接入層交換機(jī)的方案。2攻擊方式概述本文所提到的攻擊和欺騙行為主要針對(duì)鏈路層和網(wǎng)絡(luò)層。在網(wǎng)絡(luò)實(shí)際環(huán)境中，其來(lái)源可概括為兩個(gè)途徑：人為實(shí)施、病毒或蠕蟲(chóng)。人為實(shí)施通常是指使用一些黑客的工具對(duì)網(wǎng)絡(luò)進(jìn)行掃描和嗅探，獲取管理帳戶(hù)和相關(guān)密碼，在網(wǎng)絡(luò)中安插木馬，從而進(jìn)一步竊取機(jī)密文件。攻擊和欺騙過(guò)程往往比較隱蔽和安靜，但對(duì)于信息安全要求高的企業(yè)危害是極大的。而來(lái)自木馬或者病毒及蠕蟲(chóng)的攻擊往往會(huì)偏離攻擊和欺騙本身的目的，現(xiàn)象有時(shí)非常直接，會(huì)帶來(lái)網(wǎng)絡(luò)流量加大、設(shè)備CPU利用率過(guò)高、二層生成樹(shù)環(huán)路直至網(wǎng)絡(luò)癱瘓。2.1MAC/CAM泛洪攻擊MAC/CAM泛洪攻擊是指利用工具產(chǎn)生大量欺騙MAC，快速填滿(mǎn)CAM表，交換機(jī)CAM表被填滿(mǎn)后，流量在所有端口廣播，導(dǎo)致交換機(jī)就像共享HUB一樣工作，這時(shí)攻擊者可以利用各種嗅探攻擊獲取網(wǎng)絡(luò)信息。同時(shí)CAM表滿(mǎn)了后，流量以洪泛方式發(fā)送到所有接口，也就代表TRUNK接口上的流量也會(huì)發(fā)給所有接口和鄰接交換機(jī)，會(huì)造成交換機(jī)負(fù)載過(guò)大，網(wǎng)絡(luò)緩慢和丟包甚至癱瘓。2.2針對(duì)DHCP的攻擊采用DHCP協(xié)議可以自動(dòng)為用戶(hù)設(shè)置網(wǎng)絡(luò)IP地址、掩碼、網(wǎng)關(guān)、DNS、WINS等參數(shù)，簡(jiǎn)化了用戶(hù)網(wǎng)絡(luò)設(shè)置，提高了管理效率。但在DHCP管理使用上也存在著一些令網(wǎng)管人員比較頭疼的問(wèn)題。DHCP報(bào)文泛洪攻擊DHCP報(bào)文泛洪攻擊是指利用工具偽造大量DHCP請(qǐng)求報(bào)文發(fā)送到服務(wù)器，一方面惡意耗盡了IP資源，使得合法用戶(hù)無(wú)法獲得IP資源；另一方面使得服務(wù)器高負(fù)荷運(yùn)行，無(wú)法響應(yīng)合法用戶(hù)的請(qǐng)求，造成網(wǎng)絡(luò)故障。DHCPServer欺騙攻擊由于DHCP協(xié)議在設(shè)計(jì)的時(shí)候沒(méi)有考慮到客戶(hù)端和服務(wù)器端之間的認(rèn)證機(jī)制，如果網(wǎng)絡(luò)上存在多臺(tái)DHCP服務(wù)器將會(huì)給網(wǎng)絡(luò)照成混亂。通常黑客攻擊是首先將正常的DHCP服務(wù)器所能分配的IP地址耗盡，然后冒充合法的DHCP服務(wù)器。最為隱蔽和危險(xiǎn)的方法是黑客利用冒充的DHCP服務(wù)器，為用戶(hù)分配一個(gè)經(jīng)過(guò)修改的DNSserver，在用戶(hù)毫無(wú)察覺(jué)的情況下被引導(dǎo)至預(yù)先配置好的假金融網(wǎng)站或電子商務(wù)網(wǎng)站，騙取用戶(hù)帳戶(hù)和密碼，這種攻擊后果是非常嚴(yán)重的。2.3針對(duì)ARP攻擊IP數(shù)據(jù)包是Internet的血液，IP報(bào)文要發(fā)送到目的地，不管是IP數(shù)據(jù)的源主機(jī)，還是中間的轉(zhuǎn)發(fā)網(wǎng)絡(luò)設(shè)備，其重要職責(zé)都是兩個(gè)方面：（1）確定IP的下一跳；（2）通過(guò)鏈路層將報(bào)文發(fā)送給下一跳。任務(wù)（1）是由路由管理以及為路由管理提供素材的路由協(xié)議完成的，本文不討論這方面的相關(guān)內(nèi)容。任務(wù)（2）的完成重要的一個(gè)環(huán)節(jié)就是ARP。ARP作為IP層和鏈路層之間的聯(lián)系紐帶，其作用和責(zé)任非常重大，最主要的使命就是確定IP地址對(duì)應(yīng)的鏈路層地址（MAC地址）。但是由于特定的歷史原因，ARP協(xié)議在設(shè)計(jì)的時(shí)候也沒(méi)有考慮到安全因素，因此黑客可以很輕易的針對(duì)ARP協(xié)議的漏洞發(fā)起攻擊，輕松竊取到網(wǎng)絡(luò)信息。2.3.1ARP流量攻擊ARP流量攻擊的方式多種多樣，比如偽造大量ARP請(qǐng)求，偽造大量ARP應(yīng)答，偽造目的IP不存在的IP報(bào)文等等，其最終目的只有一個(gè)：增加網(wǎng)絡(luò)中ARP報(bào)文的流量，浪費(fèi)交換機(jī)CPU帶寬和資源，浪費(fèi)內(nèi)存資源，造成CPU繁忙，產(chǎn)生丟包現(xiàn)象，嚴(yán)重的甚至造成網(wǎng)絡(luò)癱瘓。2.3.2ARP欺騙攻擊根據(jù)ARP協(xié)議的設(shè)計(jì)，為了減少網(wǎng)絡(luò)上過(guò)多的ARP數(shù)據(jù)通信，一個(gè)主機(jī)即使收到非本機(jī)的ARP應(yīng)答，也會(huì)對(duì)其進(jìn)行學(xué)習(xí)，這樣，就造成了“ARP欺騙”的可能。如果黑客想探聽(tīng)同一網(wǎng)絡(luò)中兩臺(tái)主機(jī)之間的通信（即使是通過(guò)交換機(jī)相連），他會(huì)分別給這兩臺(tái)主機(jī)發(fā)送一個(gè)ARP應(yīng)答包，讓兩臺(tái)主機(jī)都“誤”認(rèn)為對(duì)方的MAC地址是第三方的黑客所在的主機(jī)，這樣，雙方看似“直接”的通信連接，實(shí)際上都是通過(guò)黑客所在的主機(jī)間接進(jìn)行的。黑客一方面得到了想要的通信內(nèi)容，另一方面，只需要更改數(shù)據(jù)包中的一些信息，成功地做好轉(zhuǎn)發(fā)工作即可。同時(shí)黑客連續(xù)不斷地向這兩臺(tái)主機(jī)發(fā)送這種虛假的ARP響應(yīng)包，讓這兩臺(tái)主機(jī)一直保存錯(cuò)誤的ARP表項(xiàng)，使其可以一直探聽(tīng)這兩臺(tái)主機(jī)之間的通信。圖一ARP欺騙示意圖圖一ARP欺騙示意圖在攻擊者發(fā)送ARP欺騙報(bào)文后，網(wǎng)絡(luò)傳輸效果圖如下，A和C直接的通信實(shí)際是A發(fā)給B，再由B轉(zhuǎn)發(fā)給C。只要B做好轉(zhuǎn)發(fā)工作，就可以毫無(wú)聲息的達(dá)到竊聽(tīng)的目的。圖二ARP攻擊效果圖2.4IP/MAC欺騙攻擊常見(jiàn)的欺騙種類(lèi)有MAC欺騙、IP欺騙、IP/MAC欺騙，黑客可以偽造源地址進(jìn)行攻擊，例如：以公網(wǎng)上的DNS服務(wù)器為目標(biāo)，希望通過(guò)使DNS服務(wù)器對(duì)偽造源地址的響應(yīng)和等待，造成DOS攻擊，并以此擴(kuò)大攻擊效果。此外IP/MAC欺騙的另一個(gè)目的為了偽造身份或者獲取針對(duì)IP/MAC的特權(quán)。3綜合安全解決方案本文針對(duì)上述攻擊手段，提出了完整的多層次保護(hù)解決方案。本方案在設(shè)計(jì)時(shí)，遵循以下原則：1)完整性原則：完整性是指信息沒(méi)有遭受到以未授權(quán)方式所作的篡改和（或）未經(jīng)授權(quán)的使用；2)保障系統(tǒng)運(yùn)行性能原則：在保證安全的前提下，最大限度的服務(wù)于系統(tǒng)的高效率運(yùn)行，要最大限度地保證系統(tǒng)的可靠性、穩(wěn)定性、可用性。安全方案示意圖如下：圖三安全解決方案示意圖上述攻擊方式使用傳統(tǒng)的防火墻防范很難達(dá)到一個(gè)滿(mǎn)意的效果，因此本文提出的新的解決方案另辟蹊徑，從接入層入手，分2個(gè)層次，全方位防范多種攻擊。3.1訪問(wèn)控制 為了便于管理和控制，所有用戶(hù)通過(guò)DHCP協(xié)議獲取IP地址和相應(yīng)的配置，但是在獲取到合法配置之前，用戶(hù)必須通過(guò)802.1X認(rèn)證。如上圖所示，用戶(hù)首先向所屬網(wǎng)絡(luò)的802.1X認(rèn)證服務(wù)器發(fā)起認(rèn)證，待認(rèn)證通過(guò)后，再通過(guò)DHCP協(xié)議獲取網(wǎng)絡(luò)上DHCPServer提供的各種配置，如IP地址、掩碼、網(wǎng)關(guān)、DNS等等。 本文所提供的解決方案創(chuàng)新點(diǎn)如下：1)利用DHCP報(bào)文中的Option字段（如Option82），在Server端配置相應(yīng)的策略，可以動(dòng)態(tài)靈活的下發(fā)相應(yīng)配置，滿(mǎn)足各種業(yè)務(wù)或安全需求。典型例子：在一個(gè)基于IP地址訪問(wèn)控制的網(wǎng)絡(luò)中，在DHCP客戶(hù)端的Option字段中加上MAC地址和所屬VLAN等信息，Server端分配相應(yīng)的有特定訪問(wèn)權(quán)限的IP地址段。通過(guò)此種方式大大提高了網(wǎng)絡(luò)的安全性和訪問(wèn)控制的靈活性。2)IEEE802.1X的標(biāo)準(zhǔn)是一個(gè)基于端口的訪問(wèn)控制協(xié)議，其基本要求是對(duì)用戶(hù)接入端口進(jìn)行控制，這對(duì)無(wú)線接入訪問(wèn)點(diǎn)而言是足夠的，因?yàn)橐粋€(gè)用戶(hù)占用一個(gè)信道。但在很多場(chǎng)合，以端口為對(duì)象的控制粒度難以滿(mǎn)足要求。如上圖所示，有多個(gè)用戶(hù)通過(guò)HUB與接入層交換機(jī)相連，如果這個(gè)端口上有一個(gè)用戶(hù)通過(guò)了認(rèn)證，那么這個(gè)端口上的其它未認(rèn)證用戶(hù)也可以正常使用網(wǎng)絡(luò)，隨之而來(lái)的是巨大的安全隱患。本解決方案將802.1X認(rèn)證擴(kuò)展為基于MAC地址邏輯端口的認(rèn)證，控制粒度為用戶(hù)，非常靈活。3)用戶(hù)通過(guò)DHCP獲取IP地址等配置信息的過(guò)程中，接入層交換機(jī)會(huì)記錄下合法用戶(hù)的IP、MAC、VLAN和端口號(hào)一系列信息（Snooping表項(xiàng)），后面所提出的針對(duì)具體攻擊的防范方法都是基于此合法表項(xiàng)。需要說(shuō)明一點(diǎn)的是，如果允許用戶(hù)不同過(guò)DHCP而是靜態(tài)配置IP地址等配置信息，也支持在接入層交換機(jī)靜態(tài)綁定一個(gè)合法表項(xiàng)。 認(rèn)證機(jī)制從源頭上就阻止了大量非法用戶(hù)入侵的可能，但是對(duì)于通過(guò)認(rèn)證的用戶(hù)的惡意或者因?yàn)楦腥静《径l(fā)起的攻擊行為，僅僅這一層防護(hù)是不夠的，因此還需要本解決方案的業(yè)務(wù)流控制部分。