1、 . . PAGE95 / NUMPAGES96 . 某人民銀行聯(lián)網(wǎng)防火墻安全子系統(tǒng)方案方正數(shù)碼 TOC o h z 1北大方正集團(tuán)、方正數(shù)碼公司簡介82人民銀行聯(lián)網(wǎng)結(jié)構(gòu)分析112.1人民銀行聯(lián)網(wǎng)整體情況112.2人民銀行聯(lián)網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)112.3人民銀行聯(lián)網(wǎng)支撐的應(yīng)用系統(tǒng)122.4人民銀行系統(tǒng)平臺133人民銀行聯(lián)網(wǎng)安全分析143.1人民銀行聯(lián)網(wǎng)安全現(xiàn)狀分析143.2人民銀行聯(lián)網(wǎng)安全風(fēng)險分析143.2.1主要應(yīng)用服務(wù)的安全風(fēng)險153.2.2網(wǎng)絡(luò)中主要系統(tǒng)的安全風(fēng)險163.2.3數(shù)據(jù)庫系統(tǒng)安全分析173.2.4Unix系統(tǒng)的安全分析173.2.5Windows NT系統(tǒng)的安全分析193.2.6管理系

2、統(tǒng)的安全風(fēng)險193.2.7業(yè)務(wù)網(wǎng)絡(luò)的安全風(fēng)險204方正數(shù)碼防火墻解決方案214.1本方案設(shè)計的原則和目標(biāo)214.2防火墻選型224.3防火墻設(shè)置與工作模式224.4防火墻功能設(shè)置與安全策略244.4.1完善的訪問控制244.4.2置入侵檢測（IDS）264.4.3代理服務(wù)264.4.4NAT地址轉(zhuǎn)換264.4.5日志系統(tǒng)與系統(tǒng)報警274.4.6帶寬分配，流量管理274.4.7集中管理274.4.8預(yù)制模板284.4.9H.323支持284.4.10系統(tǒng)升級284.4.11雙機(jī)備份294.4.12防火墻方案特點(diǎn)295人民銀行聯(lián)網(wǎng)防火墻安全需求與方案對照說明315.1人民銀行聯(lián)網(wǎng)防火墻基本要求31

3、5.2人民銀行聯(lián)網(wǎng)防火墻功能要求335.2.1必備功能335.2.2增強(qiáng)功能365.3防火墻性能365.4防火墻管理386人民銀行聯(lián)網(wǎng)安全管理建議396.1整體思路396.2集中管理，統(tǒng)一規(guī)劃396.3嚴(yán)格規(guī)章安全教育406.4明確責(zé)任技術(shù)培訓(xùn)406.5動態(tài)監(jiān)控專家咨詢417人民銀行聯(lián)網(wǎng)防火墻安全系統(tǒng)實施方案427.1合同簽訂階段的工作實施427.2發(fā)貨階段的實施437.3到貨后工作的實施467.4測試與驗收477.4.1測試與驗收描述478人民銀行聯(lián)網(wǎng)防火墻系統(tǒng)培訓(xùn)498.1培訓(xùn)目標(biāo)498.2培訓(xùn)課程498.3培訓(xùn)方式498.4培訓(xùn)時長498.5培訓(xùn)地點(diǎn)498.6培訓(xùn)人數(shù)508.7學(xué)員要求5

4、09方正方御防火墻技術(shù)支持與服務(wù)519.1方正數(shù)碼綠色服務(wù)體系結(jié)構(gòu)介紹519.2完善的技術(shù)支持與服務(wù)539.2.1售前服務(wù)容549.2.2售前服務(wù)流程559.2.3售后服務(wù)容569.2.4售后服務(wù)流程579.3服務(wù)方式589.4服務(wù)監(jiān)督5810方正方御防火墻成功案例6010.1市商業(yè)銀行應(yīng)用案例6010.1.1市商業(yè)銀行需求分析6010.1.2系統(tǒng)安全目的6110.1.3安全體系結(jié)構(gòu)6110.1.4安全系統(tǒng)實施6110.2建設(shè)銀行安全應(yīng)用實例6210.2.1建設(shè)銀行需求分析6210.2.2系統(tǒng)安全目的6410.2.3用戶安全需求分析64安全性64高效性64可擴(kuò)展性65易用性（管理控制）65完善

5、的服務(wù)體制6510.2.4安全體系結(jié)構(gòu)6510.2.5安全系統(tǒng)實施6710.3部分方正方御防火墻客戶6811人民銀行聯(lián)網(wǎng)防火墻安全子系統(tǒng)建設(shè)報價7112方正數(shù)碼聯(lián)系方式72附錄一：授權(quán)服務(wù)商73附錄二：防御防火墻所獲證書78附件三：明文件83附錄四：方正方御防火墻產(chǎn)品說明88產(chǎn)品概述88系統(tǒng)特點(diǎn)89防火墻功能說明92多種工作模式92包過濾防火墻94高效的過濾94碎片處理功能95防SYN Flood攻擊95強(qiáng)大的狀態(tài)檢測功能96輕型/復(fù)雜IDS(入侵檢測系統(tǒng))96反端口掃描96可以防20類1500余種攻擊方式97在線升級和實時報警99入侵檢測和防火墻的互動100雙向NAT100帶寬管理和流量統(tǒng)計

6、101代理服務(wù)器功能101雙機(jī)熱備102強(qiáng)大的審計功能102基于PKI的高級授權(quán)認(rèn)證103集中管理103實時控制和日志轉(zhuǎn)存103靈活的配置方式104可視化配置104預(yù)置包過濾規(guī)則集104總結(jié)104北大方正集團(tuán)、方正數(shù)碼公司簡介北大方正集團(tuán)公司是大學(xué)創(chuàng)建的高新技術(shù)企業(yè)。方正集團(tuán)擁有個控股的上市公司，方正（控股）、方正數(shù)碼、方正延中科技集團(tuán)股份，17家獨(dú)資、合資企業(yè)。員工總數(shù)約6000人，總資產(chǎn)50億元，2000年銷售規(guī)模達(dá)101億元。1997年，方正集團(tuán)已成為國家120家大型試點(diǎn)企業(yè)集團(tuán)之一，國家首批家技術(shù)創(chuàng)新試點(diǎn)企業(yè)之一，國家重點(diǎn)支持的家PC生產(chǎn)廠家之一。創(chuàng)造科技與文明，是北大方正的一貫宗旨，

7、集團(tuán)堅持以人為本的宗旨，以創(chuàng)新為先導(dǎo)，產(chǎn)、學(xué)、研結(jié)合，不斷以優(yōu)質(zhì)產(chǎn)品和技術(shù)服務(wù)于社會。方正數(shù)碼（EC-Founder Co., Ltd.）是從事發(fā)展互聯(lián)網(wǎng)應(yīng)用技術(shù)與電子商務(wù)的軟件技術(shù)公司。其業(yè)務(wù)專注于互聯(lián)網(wǎng)安全產(chǎn)品與網(wǎng)絡(luò)安全服務(wù)等領(lǐng)域，是互聯(lián)網(wǎng)時代的軟件技術(shù)公司。方正數(shù)碼借助技術(shù)、研發(fā)方面的優(yōu)勢，借鑒世界上最先進(jìn)的管理運(yùn)作經(jīng)驗，定位于電子商務(wù)賦能者（ e-commerce enabler），用不斷創(chuàng)新的技術(shù)與優(yōu)質(zhì)的服務(wù)賦予客戶新經(jīng)濟(jì)時代可持續(xù)發(fā)展的能力，幫助政府、行業(yè)、企業(yè)、電子商務(wù)的運(yùn)營者運(yùn)用先進(jìn)技術(shù)和高效管理手段在互聯(lián)網(wǎng)時代健康發(fā)展，取得成功。方正數(shù)碼的業(yè)務(wù)圍繞在互聯(lián)網(wǎng)安全技術(shù)應(yīng)用、網(wǎng)絡(luò)安

8、全服務(wù)與網(wǎng)絡(luò)安全知識管理等主要領(lǐng)域，在技術(shù)開發(fā)、應(yīng)用解決方案和運(yùn)營服務(wù)方面為用戶提供先進(jìn)的網(wǎng)絡(luò)安全產(chǎn)品和技術(shù)。為此方正數(shù)碼推出SHARKS互聯(lián)網(wǎng)安全解決方案。SHARKS解決方案是在深入的研究后，提出的一套基于中國國情、全部自主開發(fā)、具有領(lǐng)先優(yōu)勢的解決方案。它是一套整體的集群平臺，可以解決企業(yè)最為關(guān)切的安全性、高可靠性、可擴(kuò)展性和易于遠(yuǎn)程管理的問題。目前這套方案已經(jīng)得到國家有關(guān)部門的大力支持，被國家經(jīng)貿(mào)委列為國家創(chuàng)新計劃項目之一，還得到了國家“863”計劃的肯定與支持。方正方御防火墻是SHARKS安全解決方案中的主要安全產(chǎn)品之一。方正方御防火墻憑借其獨(dú)特的技術(shù)優(yōu)勢，在保證系統(tǒng)自身的安全性的同時

9、又保證了其運(yùn)行效率。方正方御防火墻中還融入了入侵檢測技術(shù)，可以有效地防攻擊企圖的試探；另外利用先進(jìn)的III技術(shù)，方正方御防火墻可以有效濾除著名的DDoS攻擊，正是這種攻擊曾迫使包括美國雅虎在的若干世界最大的停止服務(wù)。除防火墻之外，方正數(shù)碼還向用戶提供VPN、安全掃描系統(tǒng)、入侵檢測系統(tǒng)（IDS）等安全產(chǎn)品與方案，從多層次、多角度、全方位保護(hù)用戶的網(wǎng)絡(luò)。在立足于自主開發(fā)外，方正數(shù)碼公司還與眾多國際、國知名的安全公司保持著良好的合作關(guān)系，集成國外最優(yōu)秀的安全產(chǎn)品，為用戶的安全建設(shè)保駕護(hù)航。人民銀行聯(lián)網(wǎng)結(jié)構(gòu)分析人民銀行聯(lián)網(wǎng)整體情況某人民銀行聯(lián)網(wǎng)是以總行為中心、各個分支區(qū)域為基礎(chǔ)，覆蓋某人民銀行全國各部

10、門、各層次分支機(jī)構(gòu)，基于TCP/IP協(xié)議體系的計算機(jī)信息服務(wù)網(wǎng)絡(luò)；是某人民銀行應(yīng)用系統(tǒng)的基礎(chǔ)網(wǎng)絡(luò)平臺。目前整個系統(tǒng)已網(wǎng)絡(luò)實現(xiàn)到地市，系統(tǒng)運(yùn)行著某人民銀行多種應(yīng)用系統(tǒng)。其中，這些系統(tǒng)通過與全國各商業(yè)銀行以與其他金融機(jī)構(gòu)的互聯(lián)網(wǎng)絡(luò)，實現(xiàn)信息交換和共享。人民銀行聯(lián)網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)某人民銀行聯(lián)網(wǎng)由廣域網(wǎng)和各級機(jī)構(gòu)局域網(wǎng)組成。某人民銀行聯(lián)網(wǎng)主要連接由兩個部分組成：一是某人民銀行自己的縱向連網(wǎng)，連接某人民銀行各級機(jī)構(gòu)；一是某人民銀行和其他商業(yè)銀行的橫向連網(wǎng)，實現(xiàn)金融系統(tǒng)之間數(shù)據(jù)通信。某人民銀行聯(lián)網(wǎng)建立在CNFN的Frame relay網(wǎng)絡(luò)之上，使用獨(dú)立的地址空間和域名系統(tǒng)。廣域網(wǎng)采用Frame relay技術(shù)。

11、全國網(wǎng)絡(luò)以總行為根節(jié)點(diǎn)，形成樹形結(jié)構(gòu)，各葉節(jié)點(diǎn)是某人民銀行各級機(jī)構(gòu)部的局域網(wǎng)絡(luò)，是廣域網(wǎng)的信息源和終點(diǎn)，同時也是連接各商業(yè)銀行的起點(diǎn)。人民銀行聯(lián)網(wǎng)整體結(jié)構(gòu)遵循網(wǎng)絡(luò)設(shè)計三級原則，分成骨干網(wǎng)（核心層）、省域網(wǎng)（交換層）、區(qū)域網(wǎng)（訪問層）。骨干網(wǎng) 由總行、分行營業(yè)管理部、省會城市中心支行等節(jié)點(diǎn)構(gòu)成；省域網(wǎng) 由省會城市中心支行以與省域各地市中心支行等節(jié)點(diǎn)組成；區(qū)域網(wǎng) 由地市中心支行以與所轄的縣支行等節(jié)點(diǎn)組成。同時，某人民銀行在總行、省（市）、地（市）三個層次上與各個商業(yè)銀行以與其他金融機(jī)構(gòu)進(jìn)行互連 （系統(tǒng)總體機(jī)構(gòu)如下）某人民銀行縱向連網(wǎng)某人民銀行同商業(yè)銀行與其他金融機(jī)構(gòu)互連商業(yè)銀行內(nèi)聯(lián)網(wǎng)商業(yè)銀行內(nèi)聯(lián)網(wǎng)

12、商業(yè)銀行內(nèi)聯(lián)網(wǎng)同時，網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備以路由器、交換機(jī)為主。骨干網(wǎng)上運(yùn)行OSPF 路由協(xié)議。人民銀行聯(lián)網(wǎng)支撐的應(yīng)用系統(tǒng)某人民銀行聯(lián)網(wǎng)上已經(jīng)或即將運(yùn)行的主要應(yīng)用服務(wù)系統(tǒng)包括：政務(wù)與辦公自動化系統(tǒng)；業(yè)務(wù)處理系統(tǒng)；管理信息系統(tǒng)；決策支持系統(tǒng)；多媒體應(yīng)用與會議電視系統(tǒng)；信息咨詢服務(wù)系統(tǒng)；外匯應(yīng)用系統(tǒng)；人民銀行系統(tǒng)平臺某人民銀行目前系統(tǒng)平臺主要采用Window NT系統(tǒng)；Unix系統(tǒng)；數(shù)據(jù)庫系統(tǒng)；人民銀行聯(lián)網(wǎng)安全分析人民銀行聯(lián)網(wǎng)安全現(xiàn)狀分析某人民銀行聯(lián)網(wǎng)骨干網(wǎng)有獨(dú)立的PVC,IP地址以與域名系統(tǒng)。廣域網(wǎng)基本滿足涉密網(wǎng)條件。某人民銀行和其他商業(yè)銀行以與金融機(jī)構(gòu)連接目前沒有采取網(wǎng)絡(luò)安全措施，為了防來自外部

13、網(wǎng)絡(luò)（其他商業(yè)銀行和金融機(jī)構(gòu)）安全威脅，迫切需要進(jìn)行人民銀行聯(lián)網(wǎng)防火墻系統(tǒng)基礎(chǔ)建設(shè)，保障部網(wǎng)絡(luò)安全。人民銀行聯(lián)網(wǎng)安全風(fēng)險分析當(dāng)前，人民銀行的系統(tǒng)與外部非信任網(wǎng)絡(luò)系統(tǒng)之間缺乏完善的安全保護(hù)體系。某人民銀行聯(lián)網(wǎng)各個葉節(jié)點(diǎn)網(wǎng)絡(luò)結(jié)構(gòu)如下：主要應(yīng)用服務(wù)的安全風(fēng)險應(yīng)用服務(wù)系統(tǒng)中各個葉節(jié)點(diǎn)有各種應(yīng)用服務(wù)，這些應(yīng)用服務(wù)提供給人民銀行各級分行或商業(yè)銀行使用。不能防止未經(jīng)驗證的操作人員利用應(yīng)用系統(tǒng)的脆弱性來攻擊應(yīng)用系統(tǒng)，使得系統(tǒng)數(shù)據(jù)丟失、數(shù)據(jù)更改、獲得非法數(shù)據(jù)等。而某人民銀行的這些應(yīng)用系統(tǒng)是某人民銀行聯(lián)網(wǎng)中最重要的組成部分。DNS服務(wù)DNS是網(wǎng)絡(luò)正常運(yùn)作的基本元素，它們是由運(yùn)行專門的或操作系統(tǒng)提供的服務(wù)的Unix

14、或NT主機(jī)構(gòu)成。這些系統(tǒng)很容易成為外部網(wǎng)絡(luò)攻擊的目標(biāo)或跳板。對DNS的攻擊通常是對其他遠(yuǎn)程主機(jī)進(jìn)行攻擊做準(zhǔn)備，如篡改域名解析記錄以欺騙被攻擊的系統(tǒng)，或通過獲取DNS的區(qū)域文件而得到進(jìn)一步入侵的重要信息。著名的域名服務(wù)系統(tǒng)BIND就存在眾多的可以被入侵者利用的漏洞。某人民銀行對外各種應(yīng)用，特別是基于URL的應(yīng)用依賴于DNS系統(tǒng)，DNS的安全性也是網(wǎng)絡(luò)安全關(guān)注的焦點(diǎn)。E-Mail由于服務(wù)器軟件的眾多廣為人知的安全漏洞，服務(wù)器成為進(jìn)行遠(yuǎn)程攻擊的首選目標(biāo)之一。如利用公共的服務(wù)器進(jìn)行的欺騙或炸彈的中轉(zhuǎn)站或引擎；利用sendmail的漏洞直接入侵到服務(wù)器的主機(jī)等。而某人民銀行的部E-mail系統(tǒng)覆蓋面廣，

15、所以迫切需要使用防火墻來保護(hù)人民銀行的部E-mail系統(tǒng)。WWW利用 服務(wù)器的一些漏洞，特別是在大量使用服務(wù)器腳本的系統(tǒng)上，利用這些可執(zhí)行的腳本程序，未經(jīng)授權(quán)的操作者可以很容易地獲得系統(tǒng)的控制權(quán)。在某人民銀行存在各種WWW服務(wù)，這些服務(wù)協(xié)議或多或少存在安全隱患。FTP一些FTP服務(wù)器的缺陷會使服務(wù)器很容易被錯誤的配置，從而導(dǎo)致安全問題，如被匿名用戶上載的木馬程序，下載系統(tǒng)中的重要信息（如口令文件）并導(dǎo)致最終的入侵。有些服務(wù)器版本帶有嚴(yán)重的錯誤，比如可以使任何人獲得對包括root在的任何的訪問。網(wǎng)絡(luò)中主要系統(tǒng)的安全風(fēng)險整個系統(tǒng)中網(wǎng)絡(luò)設(shè)備主要采用路由器設(shè)備，有必要分析這些設(shè)備的風(fēng)險。路由器是某人民

16、銀行聯(lián)網(wǎng)的核心部件，路由器的安全將直接影響整個網(wǎng)絡(luò)的安全。下面列舉了一些路由器所存在的主要安全風(fēng)險：路由器缺省情況下只使用簡單的口令驗證用戶身份，并且遠(yuǎn)程TELNET登錄時以明文傳輸口令。一旦口令泄密路由器將失去所有的保護(hù)能力。路由器口令的弱點(diǎn)是沒有計數(shù)器功能，所以每個人都可以不限次數(shù)的嘗試登錄口令，在口令字典等工具的幫助下很容易破解登錄口令。每個管理員都可能使用一樣的口令，因此，路由器對于誰曾經(jīng)作過什么修改，系統(tǒng)沒有跟蹤審計的能力。路由器實現(xiàn)的某些動態(tài)路由協(xié)議存在一定的安全漏洞，有可能被惡意的攻擊者利用來破壞網(wǎng)絡(luò)的路由設(shè)置，達(dá)到破壞網(wǎng)絡(luò)或為攻擊做準(zhǔn)備的目的。針對這種情況，必須采取措施，有效防

17、止非法對網(wǎng)絡(luò)設(shè)備訪問。TCP/IP風(fēng)險：系統(tǒng)采用TCP/IP協(xié)議進(jìn)行通信，而因為TCP/IP協(xié)議中存在固有的漏洞，比如：針對TCP序號的攻擊，TCP會話劫持，TCPSYN攻擊等。同時系統(tǒng)的DNS采用UDP協(xié)議，因為UDP協(xié)議是非面向連接的協(xié)議，對系統(tǒng)中的DNS等相關(guān)應(yīng)用帶來安全風(fēng)險。數(shù)據(jù)庫系統(tǒng)安全分析數(shù)據(jù)庫系統(tǒng)是存儲重要信息的場所并擔(dān)負(fù)著管理這些數(shù)據(jù)信息的任務(wù)。數(shù)據(jù)庫的安全問題，在數(shù)據(jù)庫技術(shù)誕生之后就一直存在，并隨著數(shù)據(jù)庫技術(shù)的發(fā)展而不斷深化。不法份子利用已有的或者更加先進(jìn)的技術(shù)手段通常對數(shù)據(jù)庫進(jìn)行偽造數(shù)據(jù)庫中的數(shù)據(jù)、損壞數(shù)據(jù)庫、竊取數(shù)據(jù)庫中的數(shù)據(jù)。如何保證和加強(qiáng)數(shù)據(jù)庫系統(tǒng)的安全性和性對于網(wǎng)絡(luò)

18、的正常、安全運(yùn)行至關(guān)重要。Unix系統(tǒng)的安全分析UNIX系統(tǒng)安全具有如下特征：操作系統(tǒng)可靠性：它用于保證系統(tǒng)的完整性，系統(tǒng)處于保護(hù)模式下，通過硬件和軟件保證系統(tǒng)操作可靠性。訪問控制：允許通過改變用戶安全級別、訪問權(quán)限，具有統(tǒng)一的訪問控制表。對象可用：當(dāng)對象不需要時應(yīng)該立即清除。個人身份標(biāo)識與認(rèn)證：它主要為了確定身份，如用戶登陸時采用擴(kuò)展的DES算法對口令進(jìn)行加密。審計：它要求對使用身份標(biāo)識和認(rèn)證的機(jī)制，文件的創(chuàng)建，修改，系統(tǒng)管理的所有操作以與其他有關(guān)安全事件進(jìn)行記錄，以便系統(tǒng)管理員進(jìn)行安全跟蹤。往來文件系統(tǒng)：UNIX系統(tǒng)提供了分布式文件系統(tǒng)（DFS）的網(wǎng)絡(luò)安全。將網(wǎng)絡(luò)與外部網(wǎng)絡(luò)相連接，會使您的

19、網(wǎng)絡(luò)遭受潛在的服務(wù)中斷、未經(jīng)授權(quán)的入侵以與相當(dāng)大的破壞。比如下面的一些安全隱患：“拒絕服務(wù)”攻擊 (Denial of Service Attacks): 這些攻擊禁止系統(tǒng)向顧客提供服務(wù)，使顧客不能得到某種服務(wù)。例如，攻擊可能使用大而無用的流量充斥網(wǎng)絡(luò)，導(dǎo)致無法向顧客提供服務(wù)。最通常的情況是這種攻擊可能毀壞系統(tǒng)或者只是讓系統(tǒng)在向顧客提供服務(wù)時慢的出奇。緩沖區(qū)溢出攻擊 (Buffer Overrun Exploits): 其中包括利用軟件的弱點(diǎn)將任意數(shù)據(jù)添加進(jìn)某個程序中，從而在它以根的身份運(yùn)行時，有可能賦予剝削者對您的系統(tǒng)的根訪問權(quán)。這也可能導(dǎo)致某種“拒絕服務(wù)”攻擊。竊聽和重放攻擊 (Snoop

20、ing and Replay Attacks): 竊聽攻擊涉與某個對網(wǎng)絡(luò)上的兩臺機(jī)器之間的通訊流進(jìn)行偵聽的入侵者。通訊流可能包含使用 telnet、rlogin 或ftp 時來回傳遞的未加密的口令。這有可能造成某個未經(jīng)授權(quán)的個人非法進(jìn)入您的網(wǎng)絡(luò)或看到數(shù)據(jù)。IP 欺騙 (IP Spoofing): 基于IP欺騙的攻擊涉與對計算機(jī)未經(jīng)授權(quán)的訪問。通過偵聽網(wǎng)絡(luò)通訊流，入侵者找到受信任主機(jī)的一個IP地址，然后發(fā)送消息時指示該消息來自受信任主機(jī)。部泄密 (Internal Exposure): 絕大多數(shù)網(wǎng)絡(luò)非法進(jìn)入皆起因于某個心懷惡意或?qū)ΜF(xiàn)狀不滿的現(xiàn)任或前任雇員濫用對信息的訪問權(quán)或非法闖入您的網(wǎng)絡(luò)。針對

21、Unix系統(tǒng)存在的諸多風(fēng)險，應(yīng)該采取相應(yīng)的安全措施。必須對這些風(fēng)險加以控制。針對這個部分的安全控制可以采取特殊的安全策略，同時利用相關(guān)的軟件對系統(tǒng)進(jìn)行配置、監(jiān)控。制定詳細(xì)的訪問控制計劃、策略。Windows NT系統(tǒng)的安全分析Windows NT的安全機(jī)制的基礎(chǔ)是所有的資源和操作都受到選擇訪問控制的保護(hù)，可以為同一目錄的不同文件設(shè)置不同的權(quán)限。這是NT的文件系統(tǒng)的最大特點(diǎn)。NT的安全機(jī)制不是外加的，而是建立在操作系統(tǒng)部的，可以通過一定的設(shè)置使文件和其他資源免受在存放的計算機(jī)上工作的用戶和通過網(wǎng)絡(luò)接觸資源的用戶的威脅（破壞、非法的編輯等）。安全機(jī)制甚至包含基本的系統(tǒng)功能，例如設(shè)置系統(tǒng)時鐘。對用戶

22、、用戶權(quán)限與資源權(quán)限的合理組合，可以有效地保證安全性。通過一系列的管理工具，以與對用戶、口令的管理，對文件、數(shù)據(jù)授權(quán)訪問，執(zhí)行動作的限制，以與對事件的審核可以使Windows NT達(dá)到C2級安全。在網(wǎng)絡(luò)中，有三種方式可以訪問NT服務(wù)器：（1）通過用戶、密碼、用戶組方式登錄到服務(wù)器上，在服務(wù)器允許的權(quán)限對資源進(jìn)行訪問、操作。這種方式的可控制性較強(qiáng)，可以針對不同的用戶。（2）在局部圍通過資源共享的形式，這種方式建立在NETBIOS的基礎(chǔ)之上。通過對共享資源的共享權(quán)限的控制達(dá)到安全保護(hù)。但不能針對不同的用戶，當(dāng)一個用戶在通過共享對某一個資源進(jìn)行操作時（這時共享權(quán)限有所擴(kuò)大），其他用戶趁虛而入，而造成

23、對資源的破壞。（3）在網(wǎng)絡(luò)過TCP/IP協(xié)議，對服務(wù)器進(jìn)行訪問。目前典型應(yīng)用有FTP、 、WWW等。通過對文件權(quán)限的限制和對IP的選擇，對登錄用戶的認(rèn)證可以在安全性上做到一定的保護(hù)。由于Windows NT系統(tǒng)的復(fù)雜性，以與系統(tǒng)的生存周期比較短，系統(tǒng)中存在大量已知和未知的漏洞，一些國際上的安全組織已經(jīng)發(fā)布了大量的安全漏洞，其中一些漏洞可以導(dǎo)致入侵者獲得管理員的權(quán)限，而另一些漏洞則可以被用來實施拒絕服務(wù)攻擊。管理系統(tǒng)的安全風(fēng)險管理系統(tǒng)的安全風(fēng)險除了上面提到的系統(tǒng)風(fēng)險之外，系統(tǒng)之間，特別是其他商業(yè)銀行和某人民銀行之間存在很大的安全隱患。系統(tǒng)結(jié)構(gòu)復(fù)雜、管理難度大，存在各種服務(wù)，哪些服務(wù)對哪些人是開放

24、的、哪些是拒絕的都沒有一定的安全劃分。必須防止部不相關(guān)人員非法訪問安全程度要求高的數(shù)據(jù)，而且整個系統(tǒng)的正常運(yùn)行也是保證銀行系統(tǒng)日常工作正常進(jìn)行的一個十分重要的方面。必須限制管理系統(tǒng)各個部門之間訪問權(quán)限，維護(hù)各個系統(tǒng)的安全訪問。而由于整個系統(tǒng)是一個體系，任何一個點(diǎn)出現(xiàn)安全問題，都可能給相關(guān)人員帶來損失。業(yè)務(wù)網(wǎng)絡(luò)的安全風(fēng)險業(yè)務(wù)網(wǎng)絡(luò)的安全程度要最高的，目前在某人民銀行部運(yùn)行的業(yè)務(wù)繁多，同時各個商業(yè)銀行以與其他金融機(jī)構(gòu)通過某人民銀行聯(lián)網(wǎng)也運(yùn)行相關(guān)業(yè)務(wù)，給整個系統(tǒng)帶來了很大的安全隱患。這種隱患可能來自某人民銀行部，也可能來自某人民銀行外部網(wǎng)絡(luò)。特別是外部，必須采取有效的措施控制和隔離聯(lián)網(wǎng)與其他商業(yè)銀行和

25、金融機(jī)構(gòu)的網(wǎng)絡(luò)互連，監(jiān)控某人民銀行聯(lián)網(wǎng)與其他金融機(jī)構(gòu)之間的網(wǎng)絡(luò)通信，限制對方對某人民銀行資源訪問圍，權(quán)限，防可能來自對方的安全威脅。保證部系統(tǒng)安全。方正數(shù)碼防火墻解決方案本方案設(shè)計的原則和目標(biāo)原則：從網(wǎng)絡(luò)安全整個體系考慮，本次防火墻選擇原則是：安全性：防火墻提供一整套訪問控制/防護(hù)的安全策略，保證系統(tǒng)的安全性；開放性：防火墻采用國家防火墻相關(guān)標(biāo)準(zhǔn)和網(wǎng)絡(luò)安全領(lǐng)域相關(guān)技術(shù)標(biāo)準(zhǔn)；高可靠性：防火墻采用軟件、硬件結(jié)合的形式，保證系統(tǒng)長期穩(wěn)定、安全運(yùn)行；可擴(kuò)充性：防火墻采用模塊化設(shè)計方式，方便產(chǎn)品升級、功能增強(qiáng)、調(diào)整系統(tǒng)結(jié)構(gòu)；可管理性：防火墻采用基于windows平臺GUI模式進(jìn)行管理，方便各種安全策略設(shè)

26、置；可維護(hù)性：防火墻軟件維護(hù)方便，便于操作管理；目標(biāo)：網(wǎng)絡(luò)安全包括很多方面，如：訪問控制、身份認(rèn)證、數(shù)據(jù)加密、入侵檢測、防止病毒、數(shù)據(jù)備份等。本次某人民銀行聯(lián)網(wǎng)防火墻系統(tǒng)建設(shè)的目標(biāo)是通過在某人民銀行同其他商業(yè)銀行、金融機(jī)構(gòu)連接處采用防火墻技術(shù)，防止外部網(wǎng)絡(luò)對某人民銀行聯(lián)網(wǎng)數(shù)據(jù)的非法使用和訪問，監(jiān)控整個網(wǎng)絡(luò)數(shù)據(jù)過程。有效防止來自外部的攻擊行為。限制對部資源和系統(tǒng)的訪問圍。通過在某人民銀行聯(lián)網(wǎng)系統(tǒng)中設(shè)置防火墻的安全措施將達(dá)到以下目標(biāo)：保護(hù)基于某人民銀行聯(lián)網(wǎng)的業(yè)務(wù)不間斷的正常運(yùn)作。包括構(gòu)成某人民銀行系統(tǒng)網(wǎng)絡(luò)的所有設(shè)施、系統(tǒng)、以與系統(tǒng)所處理的數(shù)據(jù)（信息）。某人民銀行的重要信息在可控的圍傳播，即有效的控

27、制信息傳播的圍，防止重要信息泄露給某人民銀行外部的組織或人員。解決網(wǎng)絡(luò)的邊界安全問題保證網(wǎng)絡(luò)部的安全實現(xiàn)系統(tǒng)安全與數(shù)據(jù)安全在用戶和資源之間進(jìn)行嚴(yán)格的訪問控制（通過身份認(rèn)證，訪問控制）建立一套數(shù)據(jù)審計、記錄的安全管理機(jī)制（網(wǎng)絡(luò)數(shù)據(jù)采集，審計）融合技術(shù)手段和行政手段，形成全局的安全管理。為了解決人民銀行聯(lián)網(wǎng)面臨的安全問題，有必要建立一整套安全機(jī)制，包括：訪問控制、入侵檢測等多個方面。信息系統(tǒng)的安全是一個復(fù)雜的系統(tǒng)工程，涉與到技術(shù)和管理等多個層面。為達(dá)成以上目標(biāo)，方正數(shù)碼在充分調(diào)研和分析比較的基礎(chǔ)上采用合理的技術(shù)手段和產(chǎn)品以構(gòu)建一個完整的安全技術(shù)體系，同時通過與某人民銀行的共同工作，協(xié)助某人民銀行建

28、立完善的安全管理體系。防火墻選型防火墻是網(wǎng)絡(luò)安全領(lǐng)域首要的、基礎(chǔ)的設(shè)施，它對維護(hù)部網(wǎng)絡(luò)的安全起著重要的作用。利用防火墻可以有效地劃分網(wǎng)絡(luò)不同安全級別區(qū)域間的邊界，并在邊界上對不同區(qū)域間的訪問實施訪問控制、身份鑒別、和安全審計等功能。防火墻按實現(xiàn)的方式不同，其基本類型有：包過濾型、代理(應(yīng)用網(wǎng)關(guān))型和復(fù)合型。復(fù)合型防火墻是在綜合動態(tài)包過濾技術(shù)和代理技術(shù)的優(yōu)點(diǎn)的情況下采取的一種更加完善和安全的防火墻技術(shù)。其功能強(qiáng)大，是未來防火墻技術(shù)發(fā)展的一個主要趨勢。綜合考慮人民銀行網(wǎng)絡(luò)安全實際情況，在本方案中采用方正數(shù)碼的方正方御（FG-P）復(fù)合型防火墻，放置在某人民銀行與各個商業(yè)銀行以與其它金融機(jī)構(gòu)連接的各個

29、葉節(jié)點(diǎn)。防火墻設(shè)置與工作模式根據(jù)某人民銀行聯(lián)網(wǎng)防火墻要求和實際情況，防火墻整體布局如下：在人民銀行與各商業(yè)銀行以與其他金融機(jī)構(gòu)有連接的點(diǎn)采用防火墻技術(shù)。每個節(jié)點(diǎn)防火墻設(shè)置具體如下圖：防火墻提供三個接口：網(wǎng)、外網(wǎng)、DMZ；防火墻工作在路由模式，對外采用NAT技術(shù)，隱藏部真實地址；將對外服務(wù)的各種服務(wù)設(shè)備放置在DMZ區(qū)域，和部網(wǎng)絡(luò)嚴(yán)格區(qū)分開，保證部系統(tǒng)安全。考慮到安全問題，系統(tǒng)中的結(jié)構(gòu)需要調(diào)整，將原來各商業(yè)銀行對某人民銀行部網(wǎng)絡(luò)的訪問調(diào)整到對DMZ的訪問。不輕易允許各商業(yè)銀行對某人民銀行部網(wǎng)絡(luò)進(jìn)行訪問。防火墻功能設(shè)置與安全策略完善的訪問控制規(guī)則控制：通過方正方御防火墻提供的基于TCP/IP協(xié)議中各

30、個環(huán)節(jié)進(jìn)行安全控制，生成完整安全的訪問控制表，這個表包括：外網(wǎng)（商業(yè)銀行和其他金融機(jī)構(gòu)）對DMZ服務(wù)訪問控制。將外部對部、DMZ服務(wù)訪問明確限制，防止非法對部重要系統(tǒng)，特別是業(yè)務(wù)系統(tǒng)的訪問。利用DMZ的隔離效果，盡量將對外服務(wù)的部分服務(wù)器放置在DMZ區(qū)域，通過NAT方式，保護(hù)部網(wǎng)絡(luò)免受攻擊。關(guān)閉操作系統(tǒng)提供的除需要以外的所有服務(wù)和應(yīng)用，防止因為這些服務(wù)和應(yīng)用自身的漏洞給系統(tǒng)帶來的風(fēng)險。對部E-mail、 FTP、 WWW、數(shù)據(jù)庫的訪問做嚴(yán)格的規(guī)劃和限制，防止惡意攻擊行為發(fā)生。部網(wǎng)絡(luò)：部網(wǎng)絡(luò)對外部網(wǎng)絡(luò)（商業(yè)銀行和其他金融機(jī)構(gòu)）的訪問也要進(jìn)行嚴(yán)格的限制。防止部員工對外網(wǎng)資源的非法訪問。對部員工對外

31、訪問采用NAT方式訪問。同時部員工對DMZ區(qū)域服務(wù)器訪問也必須做限制。部員工對外網(wǎng)WWW訪問采用代理方式。DMZ訪問：通常情況下DMZ對外部和部都不能主動進(jìn)行訪問，除非特殊的應(yīng)用需要到部網(wǎng)絡(luò)采集數(shù)據(jù)，可以有限地開放部分服務(wù)。借助方正方御防火墻提供的基于狀態(tài)包過濾技術(shù)對數(shù)據(jù)的各個方向采用全面安全的技術(shù)策略，制定嚴(yán)格完善的訪問控制策略保證從IP到傳輸層的數(shù)據(jù)安全。針對某人民銀行系統(tǒng)中的網(wǎng)絡(luò)風(fēng)險可以通過嚴(yán)格的訪問控制表來進(jìn)行限制。IPMAC地址捆綁：方正方御防火墻提供靈活而方式多種的部網(wǎng)絡(luò)、DMZ區(qū)域、外部網(wǎng)絡(luò)IPMAC地址捆綁功能，將每臺機(jī)器的IP地址和它自身的物理地址捆綁，有效防止部網(wǎng)絡(luò)、DMZ

32、區(qū)域、外部網(wǎng)絡(luò)的IP地址盜用（該功能實質(zhì)是將網(wǎng)絡(luò)協(xié)議第二層地址和第三層地址進(jìn)行捆綁，達(dá)到一定的安全級別）。部系統(tǒng)應(yīng)該盡量采用固定IP分配方案。通過IPMAC地址捆綁，也可以對后期數(shù)據(jù)日志分析帶來一定的方便性。URL攔截：在某人民銀行聯(lián)網(wǎng)上存在各種需要對外的信息。方正方御防火墻實現(xiàn)了透明的URL攔截功能，對通過防火墻的應(yīng)用層URL進(jìn)行嚴(yán)格的控制和管理，按照用戶的要求進(jìn)行攔截。外部對DMZ、部URL訪問進(jìn)行控制，同時也可以限制部網(wǎng)絡(luò)對外部網(wǎng)絡(luò)URL非法訪問。在該方案中我們將對部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)情況具體了解，對URL 攔截達(dá)到頁面級別。有效保護(hù)www應(yīng)用的安全。置入侵檢測（IDS）方正數(shù)碼公司和國際網(wǎng)

33、絡(luò)安全組織合作，能夠?qū)崟r獲得最新系統(tǒng)入侵庫代碼，動態(tài)地將這些攻擊技術(shù)的解決方案加入到方正方御防火墻中,同時在方正方御防火墻部采用3I技術(shù)，加速應(yīng)用層安全防護(hù)查詢過程。方正方御防火墻目前能夠支持1500種以上的入侵檢測并能夠成功阻斷這樣的攻擊行為，比如最近的紅色代碼。針對各種攻擊行為，比如TCP序列號攻擊、劫持、碎片攻擊、端口掃描能夠識別阻斷。而這個數(shù)據(jù)庫可以實時更新、升級。升級在方正方御防火墻界面即可完成。IDS和訪問策略形成互動。通過防火墻嵌入的IDS功能能夠有效防對部Windows/NT，Unix系統(tǒng)的攻擊行為。電子欺騙：防火墻能夠自動識別各種電子欺騙行為并進(jìn)行阻斷。同時防火墻能夠?qū)窝bI

34、P地址進(jìn)行識別。代理服務(wù)方正方御防火墻對外提供代理服務(wù)功能，某人民銀行部網(wǎng)絡(luò)對外訪問可以通過防火墻提供的代理服務(wù)功能，同時代理服務(wù)可以針對URL,SSL,FTP進(jìn)行應(yīng)用攔截，防止部人員對外網(wǎng)的非法訪問。NAT地址轉(zhuǎn)換將某人民銀行部網(wǎng)絡(luò)和DMZ區(qū)域網(wǎng)絡(luò)地址通過NAT方式轉(zhuǎn)換，隱藏真實IP地址，防止部網(wǎng)絡(luò)受到攻擊。具體轉(zhuǎn)換方式就是將部網(wǎng)絡(luò)和DMZ區(qū)域機(jī)器的地址全部轉(zhuǎn)換成防火墻外網(wǎng)卡地址，對外某人民銀行只有一個地址。而借助防火墻的多映射功能，可以將對外的同一地址映射為部網(wǎng)絡(luò)和DMZ區(qū)域不同服務(wù)的不同端口。日志系統(tǒng)與系統(tǒng)報警方正方御防火墻提供強(qiáng)大的日志系統(tǒng)，將通過防火墻的數(shù)據(jù)、防火墻管理數(shù)據(jù)、流量、各

35、種攻擊行為統(tǒng)計集成到一起。同時系統(tǒng)提供針對各種統(tǒng)計結(jié)果按照用戶要求進(jìn)行報表打印。針對通過防火墻數(shù)據(jù)，可以按照數(shù)據(jù)類型、地址進(jìn)行統(tǒng)計分析。針對各種管理數(shù)據(jù)，防火墻進(jìn)行詳細(xì)記錄，網(wǎng)管人員可以方便的查看對防火墻管理情況。如果有部人員對防火墻訪問，可以通過管理數(shù)據(jù)進(jìn)行查詢。流量統(tǒng)計：防火墻提供流量統(tǒng)計功能，可以按照用戶名稱、地址等多種方式進(jìn)行統(tǒng)計。系統(tǒng)報警：當(dāng)有人非法對部網(wǎng)絡(luò)或者外部網(wǎng)絡(luò)進(jìn)行訪問的時候，系統(tǒng)的實時報警會通過E-mail和聲音進(jìn)行報警。同時對各種非法的訪問和攻擊行為進(jìn)行記錄。通過強(qiáng)大的日志系統(tǒng)和實時報警、日志報警等多種方式保證某人民銀行部網(wǎng)絡(luò)出現(xiàn)安全問題時可以有資料分析；同時也可以通過對

36、日志系統(tǒng)的分析完善系統(tǒng)安全策略。帶寬分配，流量管理在某人民銀行聯(lián)網(wǎng)上運(yùn)行著部分重要的業(yè)務(wù)數(shù)據(jù)，這些業(yè)務(wù)數(shù)據(jù)實時性要求高，必須保證這樣的數(shù)據(jù)具有優(yōu)先權(quán)限，防止因為帶寬問題影響某人民銀行的應(yīng)用。方正方御防火墻可以針對某人民銀行實際情況，對部分特殊應(yīng)用提供帶寬管理。給特殊應(yīng)用分配相對高的帶寬。同時方正方御防火墻提供流量管理功能，對部網(wǎng)絡(luò)用戶對外網(wǎng)的訪問可以提供流量限制。集中管理針對某人民銀行網(wǎng)絡(luò)覆蓋面廣、區(qū)域跨度大的特點(diǎn)，防火墻需要集中管理和控制。方正方御防火墻提供集中管理機(jī)制，支持遠(yuǎn)程管理。利用NT域的概念和技術(shù)，方正方御防火墻可以對同一個域的不同防火墻進(jìn)行同時管理。我們考慮在某人民銀行的總行以與

37、各個大區(qū)行采取集中管理機(jī)制。按照防火墻的分權(quán)原則，將策略管理放置在各個防火墻節(jié)點(diǎn)。策略整體由某人民銀行總行策劃，各個節(jié)點(diǎn)自己進(jìn)行策略管理。而系統(tǒng)管理和日志查詢放置在各個大區(qū)行，統(tǒng)一管理、分析。防火墻提供管理接口，同時支持遠(yuǎn)程管理，管理數(shù)據(jù)采用RC4/MD5方式加密，可以有效保證管理的安全性，同時管理數(shù)據(jù)只在某人民銀行聯(lián)網(wǎng)流動。而防火墻自身可以對管理員地址進(jìn)行嚴(yán)格限制。預(yù)制模板某人民銀行網(wǎng)絡(luò)復(fù)雜，但是結(jié)構(gòu)清晰，為了更好的維護(hù)整個系統(tǒng)安全和適應(yīng)某人民銀行統(tǒng)一管理、安全強(qiáng)度一致的原則，方正方御防火墻提供預(yù)制模板功能。可以通過某人民銀行統(tǒng)一制訂一個策略模板，各個節(jié)點(diǎn)網(wǎng)絡(luò)在這個模板基礎(chǔ)上進(jìn)行規(guī)劃，簡化管

38、理過程，使得系統(tǒng)管理難度降低。H.323支持某人民銀行聯(lián)網(wǎng)運(yùn)行著視頻會議數(shù)據(jù)（H.323）。方正方御防火墻能夠準(zhǔn)確識別H.323數(shù)據(jù)流，讓數(shù)據(jù)合法通過。按照正常的狀態(tài)檢測技術(shù)，H.323數(shù)據(jù)可能被阻斷。在方正方御防火墻部成功的進(jìn)行了UDP、TCP數(shù)據(jù)同步分析。系統(tǒng)能夠識別H.323連接，保證H.323數(shù)據(jù)通過。系統(tǒng)升級網(wǎng)絡(luò)安全技術(shù)隨著網(wǎng)絡(luò)技術(shù)發(fā)展不斷變化，而網(wǎng)絡(luò)安全策略和軟件也不能一成不變，需要不斷升級。方正方御防火墻管理界面提供方便的系統(tǒng)升級和IDS升級功能。保證某人民銀行防火墻產(chǎn)品實時和網(wǎng)絡(luò)安全領(lǐng)域技術(shù)同步，防止因為新的安全問題給系統(tǒng)帶來的安全風(fēng)險。其中，特別是IDS功能，幾乎每天都有新的

39、安全風(fēng)險和攻擊軟件出現(xiàn)。方正防火墻嵌IDS功能模塊可以動態(tài)升級，保障IDS數(shù)據(jù)庫和最新動態(tài)同步。雙機(jī)備份網(wǎng)絡(luò)安全、穩(wěn)定長期運(yùn)行是某人民銀行最終目標(biāo)，而網(wǎng)絡(luò)硬件可能因為一些特殊原因發(fā)生故障。方正方御防火墻提供雙機(jī)備份功能，采用兩種方式進(jìn)行備份檢測，軟件方式借用HSRP技術(shù)動態(tài)跟蹤各個區(qū)域運(yùn)行狀態(tài)，發(fā)現(xiàn)任何一個區(qū)域出現(xiàn)問題即刻進(jìn)行切換。硬件方式采用心跳線方式，當(dāng)系統(tǒng)檢測到故障，也將進(jìn)行切換。而系統(tǒng)的切換不影響某人民銀行的業(yè)務(wù)。兩臺防火墻工作在互備模式中。防火墻方案特點(diǎn)本次某人民銀行聯(lián)網(wǎng)防火墻主要設(shè)置在和其他商業(yè)銀行連接的節(jié)點(diǎn)上。本方案中，我們主要根據(jù)某人民銀行網(wǎng)絡(luò)實際情況，針對防火墻的特殊性，從如

40、下幾個方面考慮保障系統(tǒng)安全性防火墻放置在外網(wǎng)之間用來隔離部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)，對外網(wǎng)絡(luò)的通信進(jìn)行嚴(yán)格的管理和監(jiān)控，防火墻必須提供全面的安全策略保證部系統(tǒng)安全。因此方正方御防火墻提供全面的訪問控制策略、IPMAC地址捆綁、IDS入侵檢測、反電子欺騙等手段。這些功能能夠有效的保障部網(wǎng)絡(luò)安全。同時方正方御防火墻也提供帶寬管理、分配，系統(tǒng)報警等措施從側(cè)面協(xié)助。自身安全性防火墻作為網(wǎng)絡(luò)系統(tǒng)中的一個部件，其自身的安全性也是十分重要的，考慮到實際情況，方正方御防火墻提供單獨(dú)的管理接口，管理接口服務(wù)全部關(guān)閉，同時管理接口的特殊管理數(shù)據(jù)采用標(biāo)準(zhǔn)加密算法和措施。某人民銀行遠(yuǎn)程管理過程中數(shù)據(jù)通過某人民銀行聯(lián)網(wǎng)進(jìn)行管理能

41、夠有效的保證管理的安全性。同時，利用WindowsNT中域技術(shù)，對防火墻管理時必須登錄到相應(yīng)的域才能對域的用戶進(jìn)行管理，保障管理域安全性。而防火墻操作系統(tǒng)采用經(jīng)過嚴(yán)格測試專有操作系統(tǒng)。維護(hù)方便性管理的方便性直接關(guān)系到系統(tǒng)能否起到安全保護(hù)作用，方正方御防火墻提供的專有GUI平臺，方便制訂各種安全策略。系統(tǒng)事件管理系統(tǒng)事件和日志的統(tǒng)計直接關(guān)系到整個安全平臺的完善和后續(xù)責(zé)任追查等多個方面，方正方御防火墻為用戶提供完整、準(zhǔn)確的數(shù)據(jù)統(tǒng)計結(jié)果，供查詢、打印等。人民銀行聯(lián)網(wǎng)防火墻安全需求與方案對照說明人民銀行聯(lián)網(wǎng)防火墻基本要求人民銀行聯(lián)網(wǎng)設(shè)置防火墻的目的是隔離部網(wǎng)、外部網(wǎng)和DMZ區(qū)（非軍事區(qū)），抵御多種模式

42、的網(wǎng)絡(luò)攻擊，保護(hù)部網(wǎng)絡(luò)不受攻擊。方正方御防火墻是基于狀態(tài)檢測技術(shù)的包過濾防火墻，擁有完整的客體訪問控制能力。能夠?qū)刂茋魏沃黧w和客體執(zhí)行端到端策略。通過對主、客體的規(guī)則策略的配置可以控制主、客體的訪問。方正方御防火墻通過設(shè)置允許、禁止以與對已建、新建、相關(guān)、非法四種狀態(tài)的檢測訪問，擁有授權(quán)與拒絕能力。為主體和客體的安全屬性提供明確的訪問保障和拒絕。方正方御防火墻擁有多種安全屬性訪問控制。防火墻的策略控制圍包括：源地址、目的地址、源端口號、目的端口號、傳輸協(xié)議，連接狀態(tài)，以與碎片檢測等所有要素。方正方御防火墻具備安全審計功能模塊。能夠?qū)θ肭謾z測、流量控制、防火墻自身操作、代理服務(wù)器等進(jìn)行安全審

43、計，并且將其審計結(jié)果詳細(xì)的記錄在日志中，通過自帶的統(tǒng)計模塊，管理人員可以自動或者手動地將其統(tǒng)計成為報表。方正方御防火墻安全策略采用了非旁路性的設(shè)計，即所有流過防火墻的信息包都要經(jīng)過防火墻的配置規(guī)則的檢測，不會出現(xiàn)信息包繞過防火墻的配置策略進(jìn)入受保護(hù)網(wǎng)絡(luò)的情況。防火墻能夠充分保證任何與安全有關(guān)的操作被執(zhí)行前，均通過安全策略的檢查。方正方御防火墻自身擁有非常高的安全性。方正方御防火墻采用專用的操作系統(tǒng)，用戶或者黑客不會了解其操作系統(tǒng)的任何信息，無從對防火墻的操作系統(tǒng)進(jìn)行攻擊。同時在管理上使用專有的控制接口，將管理信息與其他信息隔離開的同時還采用了基于PKI的方式確保管理信息的安全性。方正方御防火墻

44、擁有完善的管理功能，能夠支持安全的集中管理，能區(qū)分安全管理角色，采用了三級管理體系，將管理人員分為管理員、審計員、策略員三種。結(jié)合人民銀行聯(lián)網(wǎng)樹型結(jié)構(gòu)的特點(diǎn)，使管理員可以對防火墻實施安全的遠(yuǎn)程管理與維護(hù)，并能夠通過加密保護(hù)遠(yuǎn)程管理會話。基本的配置管理功能，用戶數(shù)據(jù)保護(hù)中的管理員屬性的修改和查詢功能，標(biāo)識與鑒別功能。人民銀行聯(lián)網(wǎng)防火墻功能要求必備功能包過濾方正方御防火墻是基于包過濾的防火墻，通過對所有流經(jīng)防火墻的信息包的信息進(jìn)行檢查，允許或阻止數(shù)據(jù)包的傳輸，以實現(xiàn)對網(wǎng)絡(luò)的安全控制。它可以阻止畸型報文和拒絕服務(wù)，防止外部IP Spoofing，并可限制部職工對外網(wǎng)的訪問請求。同時防火墻置的強(qiáng)大的I

45、DS系統(tǒng)可以實時的封禁可疑的IP與黑客的各種攻擊行為并報警。應(yīng)用代理方正方御防火墻提供應(yīng)用代理的功能，是針對應(yīng)用層的服務(wù)，對用戶應(yīng)用提供代理服務(wù)，即接收用戶的訪問請求、分析用戶數(shù)據(jù)，然后以自己的身份向容服務(wù)器提出請求，并把容服務(wù)器的響應(yīng)傳回給用戶。DMZ的劃分方正方御防火墻提供DMZ的劃分，能夠?qū)崿F(xiàn)安全功能區(qū)域分割，把控制圍各主體的安全區(qū)域分開。防火墻除了提供部接口和外部接口外，還提供一個DMZ區(qū)（非軍事區(qū)）的網(wǎng)絡(luò)接口。在DMZ區(qū)中，可以設(shè)置公共應(yīng)用的服務(wù)設(shè)備，供外部網(wǎng)絡(luò)有條件地訪問其中的資源。地址轉(zhuǎn)換方正方御防火墻擁有雙向地址轉(zhuǎn)換功能（NAT），它是基于網(wǎng)絡(luò)層的應(yīng)用，通過把部網(wǎng)絡(luò)（或DMZ區(qū)

46、）的信息包的源地址修改為防火墻的外部端口地址傳向外部網(wǎng)絡(luò)，同時隱藏了部網(wǎng)絡(luò)（或DMZ區(qū)）的IP地址。具體做法為，當(dāng)用戶需要對外訪問時，防火墻會將用戶的IP地址轉(zhuǎn)換為防火墻的外部端口IP地址，并將得到的響應(yīng)再轉(zhuǎn)換回用戶的IP地址發(fā)回給用戶，從而達(dá)到部網(wǎng)絡(luò)（或DMZ區(qū)）用戶訪問外部網(wǎng)絡(luò)資源的目的。這種做法既可以使外部網(wǎng)絡(luò)無法了解部網(wǎng)絡(luò)（或DMZ區(qū)）的網(wǎng)絡(luò)結(jié)構(gòu)，又可以節(jié)約外部合法的IP地址空間。此外，方正方御防火墻提供反向的地址轉(zhuǎn)換功能，支持DMZ區(qū)中的某個服務(wù)端口到部地址的一對一映射，即DMZ區(qū)中的地址向部網(wǎng)絡(luò)地址訪問時，被訪問的IP地址被轉(zhuǎn)換為指定的DMZ區(qū)中的IP地址。完整的日志功能方正方御防

47、火墻提供了完整的日志功能，由于防火墻的安全特性，使防火墻的日志成為與時發(fā)現(xiàn)系統(tǒng)的漏洞、分析系統(tǒng)可能受到的攻擊、判斷系統(tǒng)運(yùn)行的狀態(tài)與系統(tǒng)配置錯誤等問題的重要手段，因此方正方御防火墻能夠提供完整的日志功能。防火墻的運(yùn)行日志可以根據(jù)管理員的管理要求進(jìn)行針對性的設(shè)置，實時記錄到目標(biāo)文件或目標(biāo)數(shù)據(jù)庫中，并提供必要的手段使管理員可以查閱當(dāng)前與歷史的日志文件。高安全性的防火墻操作系統(tǒng)和軟件核由于防火墻軟件是基于特定操作系統(tǒng)之上的，因此必須對防火墻所使用操作系統(tǒng)的安全提出要求，以免因操作系統(tǒng)自身的漏洞導(dǎo)致防火墻的安全受到影響。方正方御防火墻采用的是專用的操作系統(tǒng)，安全性高，在操作系統(tǒng)上不會給黑客任何可趁之機(jī)。

48、增強(qiáng)功能按照“三級互聯(lián)處強(qiáng)度一致，功能要求有所區(qū)別”的建設(shè)方針，在總行、分行營業(yè)管理部/省會城市中心支行二級網(wǎng)絡(luò)互聯(lián)區(qū)與商業(yè)銀行等其他金融機(jī)構(gòu)部網(wǎng)絡(luò)對接處的防火墻配置要求具備或?qū)硇枰獣r可擴(kuò)充至此增強(qiáng)功能。雙機(jī)熱備方正方御防火墻提供雙機(jī)熱備功能，在網(wǎng)絡(luò)中設(shè)置兩臺同等地位的防火墻產(chǎn)品，一主一從，從用防火墻中存有主用防火墻的設(shè)置鏡像，當(dāng)主用防火墻因故無常運(yùn)行時，從用防火墻可以自動取代主用防火墻運(yùn)作，提供應(yīng)急措施，從而保證整個網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定運(yùn)行。防火墻性能防火墻系統(tǒng)不但要有完善的功能，還要有最佳的性能保證,確保安全與效率的平衡，人民銀行聯(lián)網(wǎng)中使用的防火墻必須符合國家相關(guān)標(biāo)準(zhǔn)和規(guī)。方正方御防火墻提供標(biāo)

49、準(zhǔn)的以太網(wǎng)接口，適合某人民銀行聯(lián)網(wǎng)的網(wǎng)絡(luò)接入模式、接口規(guī)、網(wǎng)絡(luò)帶寬，方正方御防火墻擁有高吞吐量、高性能；時延小、時延抖動小等特點(diǎn)；包轉(zhuǎn)發(fā)率達(dá)到網(wǎng)絡(luò)要求；30萬并發(fā)連接數(shù)不會限制現(xiàn)有應(yīng)用系統(tǒng)的正常使用。不會成為網(wǎng)絡(luò)瓶頸，或明顯影響網(wǎng)絡(luò)工作效率。方正方御防火墻具有較高可靠性，不會降低某人民銀行信息系統(tǒng)現(xiàn)有的可靠性。方正方御防火墻采用的是專用的操作系統(tǒng)，具有很高的安全性，不存在可能被他人非法利用的安全漏洞。方正方御防火墻將網(wǎng)、外網(wǎng)、DMZ和防火墻配置端分別連接于不同的網(wǎng)卡，實現(xiàn)最底層的網(wǎng)絡(luò)驅(qū)動隔離。提供三個10M/100M自適應(yīng)以太網(wǎng)口，與一個CONSOLE口。方正方御防火墻在管理上易管理、易維護(hù)。

50、提供圖形化管理界面，易于理解的配置規(guī)則，簡捷的配置方法，最大限度地簡化管理員對防火墻產(chǎn)品的管理與維護(hù)工作。防火墻管理防火墻能否充分發(fā)揮作用，不僅與產(chǎn)品功能性能緊密相關(guān)，日常的運(yùn)行管理也是至關(guān)重要的。相當(dāng)多的網(wǎng)絡(luò)入侵事件的發(fā)生，并非是防火墻不起作用，而是由于防火墻管理不善、操作和配置不當(dāng)，才使防火墻失去了應(yīng)有的防作用。因此，網(wǎng)絡(luò)管理中心要進(jìn)行一定程度下的防火墻系統(tǒng)集中管理。對于方正方御防火墻，管理員可以通過一臺控制機(jī)對全網(wǎng)圍的任何一臺防火墻設(shè)備進(jìn)行遠(yuǎn)程管理，實現(xiàn)對防火墻的配置、啟動、關(guān)閉、備份和恢復(fù)。通過提供多層登錄權(quán)限設(shè)置功能，靈活設(shè)置防火墻的訪問權(quán)限。此外，為保證集中管理（即通過遠(yuǎn)程方式對防

51、火墻產(chǎn)品進(jìn)行管理與維護(hù)）的安全性要求，方正方御防火墻能夠限制進(jìn)行遠(yuǎn)程管理的IP地址；能夠加密保護(hù)遠(yuǎn)程管理會話，且方正方御防火墻的加密是符合國家密碼委的有關(guān)規(guī)定的。人民銀行聯(lián)網(wǎng)安全管理建議整體思路根據(jù)某人民銀行聯(lián)網(wǎng)網(wǎng)絡(luò)的情況提出對應(yīng)的管理建議。本建議僅包含了基本的原則和思路，需要某人民銀行系統(tǒng)相關(guān)人員通過協(xié)同工作，使安全管理與銀行本身的管理體系相融合，最終得到具體化的貫徹和實施。某人民銀行聯(lián)網(wǎng)網(wǎng)絡(luò)是一個比較完善的綜合網(wǎng)絡(luò)，整體結(jié)構(gòu)是個通過WAN連接的多級網(wǎng)絡(luò)，在網(wǎng)絡(luò)每一級的節(jié)點(diǎn)上具有一個局域網(wǎng)，在多級網(wǎng)絡(luò)上運(yùn)行著各個業(yè)務(wù)系統(tǒng)、服務(wù)系統(tǒng)、辦公自動化系統(tǒng)等，由于應(yīng)用系統(tǒng)的復(fù)雜性、管理人員的復(fù)雜性，制

52、定一個合適的全網(wǎng)安全管理制度和安全策略是十分必要的。良好的管理平臺有助于增強(qiáng)系統(tǒng)的安全性，可以作到：與時發(fā)現(xiàn)系統(tǒng)安全的漏洞適時審查系統(tǒng)安全體系加強(qiáng)對使用人員的安全知識教育建立完善的系統(tǒng)管理制度集中管理，統(tǒng)一規(guī)劃防火墻能不能正確發(fā)揮它應(yīng)有的作用，關(guān)鍵在于管理，某人民銀行聯(lián)網(wǎng)機(jī)構(gòu)復(fù)雜、覆蓋面廣，如何管理將是對全網(wǎng)安全的有一大難題和考驗，我們建議以人民銀行總行與大區(qū)行為中心，集中管理，某人民銀行統(tǒng)一規(guī)劃。總行與大區(qū)行負(fù)責(zé)防火墻日常運(yùn)行狀況的監(jiān)測和管理，同時大區(qū)行制定統(tǒng)一的安全措施，保證防火墻能夠正確統(tǒng)一發(fā)揮其作用。目前某人民銀行各節(jié)點(diǎn)接入方式多樣，這無形中給某人民銀行聯(lián)網(wǎng)帶來了巨大的安全隱患，我們認(rèn)

53、為在統(tǒng)一管理上還應(yīng)該統(tǒng)一某人民銀行部網(wǎng)絡(luò)出口。同時杜絕撥號登錄某人民銀行聯(lián)網(wǎng)。嚴(yán)格規(guī)章 安全教育健全的管理體制是維護(hù)網(wǎng)絡(luò)正常安全運(yùn)行的關(guān)鍵。很多系統(tǒng)因為沒有健全的安全管理體制常常出現(xiàn)由于管理的疏忽而導(dǎo)致嚴(yán)重的問題。我們認(rèn)為以下問題應(yīng)該成為安全管理首要解決的問題：在組織機(jī)構(gòu)上對安全管理有一個保證明確制定安全管理人員在管理上的權(quán)利和義務(wù)。對于安全管理員，明確指定每個人應(yīng)該對什么事故負(fù)什么樣的責(zé)任，責(zé)任落實到人頭。明確指定什么人可以管理什么網(wǎng)絡(luò)設(shè)備（防火墻、路由器、交換機(jī)等等），作到專門的產(chǎn)品維護(hù)由專人負(fù)責(zé)。同時，對網(wǎng)絡(luò)安全管理，我們應(yīng)該在某人民銀行進(jìn)行統(tǒng)一的網(wǎng)絡(luò)安全教育，讓某人民銀行員工將網(wǎng)絡(luò)安全

54、意識帶到工作中去，提高員工網(wǎng)絡(luò)安全整體認(rèn)識水平。加強(qiáng)口令管理（比如設(shè)置其生效期、頻繁更改口令等）；在口令管理上首先杜絕不設(shè)口令的存在，縮短口令的有效期時間；注意保證每個用戶的ID是唯一的；對于過期的要與時注銷。加強(qiáng)對網(wǎng)絡(luò)系統(tǒng)的管理,在新的網(wǎng)絡(luò)用戶注冊時，對其進(jìn)行必要的定義，明確其授權(quán)圍，建立有益于用戶安全的管理機(jī)制。在網(wǎng)絡(luò)用戶準(zhǔn)備登錄時，應(yīng)該對其進(jìn)行嚴(yán)格的身份認(rèn)證。可以通過此用戶所屬的主機(jī)以與采取基于一次性口令的用戶驗證系統(tǒng)（比如SecurID等），檢查進(jìn)入網(wǎng)絡(luò)的用戶是否合法，防止非法用戶進(jìn)入網(wǎng)絡(luò).明確責(zé)任 技術(shù)培訓(xùn)網(wǎng)絡(luò)管理員是決定系統(tǒng)網(wǎng)絡(luò)是否可以安全、有效運(yùn)行的根本因素。網(wǎng)絡(luò)管理員的技術(shù)水平

55、是在很大的方面限制了安全系統(tǒng)的有效運(yùn)行，例如錯誤配置的網(wǎng)絡(luò)設(shè)備（路由器、交換機(jī)等）、安全產(chǎn)品（防火墻、入侵檢測產(chǎn)品等）都可以導(dǎo)致網(wǎng)絡(luò)“千里之堤毀于蟻穴”。因此，需要網(wǎng)絡(luò)管理人員不斷提高自己的技術(shù)水平，查找各種相關(guān)資料，跟蹤最新的網(wǎng)絡(luò)安全技術(shù)，防病毒技術(shù)等等，使安全之鑰掌握在自己的手里。動態(tài)監(jiān)控 專家咨詢安全系統(tǒng)的復(fù)雜性和安全產(chǎn)品的多樣性導(dǎo)致很多時候企業(yè)并沒有能力解決網(wǎng)絡(luò)中出現(xiàn)的所有的涉與安全產(chǎn)品的問題。這需要安全產(chǎn)品的生產(chǎn)廠商、軟件公司等定期的提供網(wǎng)絡(luò)安全風(fēng)險分析和針對新產(chǎn)品、新標(biāo)準(zhǔn)的培訓(xùn)。建議在某人民銀行部成立專門的網(wǎng)絡(luò)安全咨詢安全小組，由了解某人民銀行部結(jié)構(gòu)的專業(yè)人士和專業(yè)網(wǎng)絡(luò)安全技術(shù)人員

56、組成，同時動態(tài)地監(jiān)控整個系統(tǒng)網(wǎng)絡(luò)安全狀況，發(fā)現(xiàn)異常與時處理。組成一個快捷有效的應(yīng)急響應(yīng)小組，響應(yīng)小組可以有選擇的邀請國、外一些網(wǎng)絡(luò)安全專家擔(dān)任特聘顧問，比如方正數(shù)碼的安全專家等，以便在發(fā)生攻擊事件時在最短時間提供最有利的支持。人民銀行聯(lián)網(wǎng)防火墻安全系統(tǒng)實施方案由于本次某人民銀行聯(lián)網(wǎng)防火墻安全子系統(tǒng)涉與全國的圍，因此方正數(shù)碼公司將通過全國的授權(quán)服務(wù)商（見附錄一）來為某人民銀行各地機(jī)構(gòu)提供本地化服務(wù)。同時，我們愿意與人民銀行聯(lián)網(wǎng)工程建設(shè)系統(tǒng)集成商緊密合作。項目實施原則考慮到本項目是一個涉與分布全國的人民銀行各級分支機(jī)構(gòu)且對參與技術(shù)支持的單位與使用單位要求很高，所以我們認(rèn)為本項目應(yīng)在人民銀行集中領(lǐng)導(dǎo)

57、、協(xié)調(diào)，方正數(shù)碼公司全力支持的情況下進(jìn)行，以上是本項目實施的基本思路。合同簽訂階段的工作實施 本階段應(yīng)是項目實施的重要階段，人民銀行與方正數(shù)碼公司雙方應(yīng)協(xié)調(diào)本方相關(guān)單位, 為項目的實際進(jìn)行建立起有效的協(xié)調(diào)體系與最大限度地做好準(zhǔn)備工作。為達(dá)到上述目的，雙方應(yīng)做如下工作：1建立協(xié)調(diào)領(lǐng)導(dǎo)小組人民銀行協(xié)調(diào)小組組成人員與聯(lián)絡(luò)表如下:某人民銀行項目組聯(lián)系表部門人員責(zé)任分配聯(lián)系方式項目總負(fù)責(zé)防火墻負(fù)責(zé)人系統(tǒng)與網(wǎng)絡(luò)部分負(fù)責(zé)人商務(wù)實施負(fù)責(zé)人說明：具體信息需某人民銀行提供。方正數(shù)碼公司協(xié)調(diào)小組組成人員與聯(lián)絡(luò)表如下:2 方正數(shù)碼公司與授權(quán)服務(wù)商工作準(zhǔn)備首先方正數(shù)碼公司將防火墻發(fā)送到授權(quán)服務(wù)商處，組織服務(wù)商進(jìn)行項目培

58、訓(xùn)并完成防火墻規(guī)則的配置。最終發(fā)送到用戶現(xiàn)場，由方正數(shù)碼授權(quán)的專業(yè)工程師安裝、調(diào)試，保證系統(tǒng)平穩(wěn)過渡，保證系統(tǒng)安全。發(fā)貨階段的實施1. 人民銀行負(fù)責(zé)：提供本方使用單位的詳細(xì)信息，所需信息列表如下:用戶分布與聯(lián)系表項目分區(qū)區(qū)轄地市負(fù)責(zé)人工程師聯(lián)系方式地址建議安裝順序配置總行營業(yè)部說明：具體信息需某人民銀行用戶在到貨前提供。為使安裝、測試、發(fā)貨工作更好地實施，上表應(yīng)在合同簽訂階段向方正數(shù)碼公司提供。2. 方正數(shù)碼公司為做到發(fā)貨清晰、準(zhǔn)確，方正數(shù)碼公司將在設(shè)備包裝箱上做出明顯標(biāo)示。標(biāo)簽樣本如下：項目名稱：接收單位名稱：地址：聯(lián)系人： ：防火墻型號：到貨后工作的實施1. 人民銀行組織地市行人員在大區(qū)行

59、集中培訓(xùn)（在大區(qū)行準(zhǔn)備培訓(xùn)環(huán)境）。2. 方正數(shù)碼公司協(xié)調(diào)服務(wù)商配合人民銀行大區(qū)行組織的培訓(xùn)。測試與驗收測試與驗收描述在整個項目實施過程中，有3個重要的驗收，它們是單點(diǎn)驗收、初驗和終驗。下面是這三個驗收通過的描述：(1)單點(diǎn)驗收通過的條件：設(shè)備數(shù)量與合同相符；完成上機(jī)、加電、連接網(wǎng)絡(luò)與配置。(2)移交(初驗)測試的定義：人民銀行技術(shù)人員按預(yù)先指定好的測試項目與方法對系統(tǒng)進(jìn)行測試。移交(初驗)測試通過的條件：人民銀行按測試計劃完成并通過測試。測試主要包括功能測試與性能測試。(3)終驗通過的條件：沒有出現(xiàn)雙方認(rèn)可的由于安全產(chǎn)品設(shè)備造成全網(wǎng)不可恢復(fù)的癱瘓；沒有出現(xiàn)雙方認(rèn)可的由于安全產(chǎn)品設(shè)備造成單點(diǎn)不可

60、恢復(fù)的癱瘓；在試運(yùn)行期間解決了初驗遺留的有關(guān)設(shè)備的主要技術(shù)問題與試運(yùn)行期間出現(xiàn)的有關(guān)設(shè)備的主要技術(shù)問題。驗收項目通過不通過驗收人硬件加電啟動無異常聲響系統(tǒng)自檢過程無錯誤提示信息防火墻必備功能測試防火墻主要性能測試防火墻管理測試方正數(shù)碼工程師用戶代表（簽字） （簽字）日期： 日期：人民銀行聯(lián)網(wǎng)防火墻系統(tǒng)培訓(xùn)培訓(xùn)目標(biāo)掌握網(wǎng)絡(luò)安全的基本知識掌握產(chǎn)品的工作原理能熟練操作配置系統(tǒng)能進(jìn)行日常維護(hù)能熟練地根據(jù)業(yè)務(wù)需要進(jìn)行一定的系統(tǒng)調(diào)整。培訓(xùn)課程TCP/IP基礎(chǔ)網(wǎng)絡(luò)安全基礎(chǔ)防火墻的實施和使用防火墻規(guī)則配置分析培訓(xùn)方式理論授課、上機(jī)實習(xí)。培訓(xùn)時長4個工作日/場次培訓(xùn)地點(diǎn)在人民銀行大區(qū)行集中培訓(xùn)，地點(diǎn)由人民銀行總