中國金融行業計算機網絡安全解決方案（銀行部分縮略稿）億陽信通目錄TOC\o"1-3"第一部分概述 31.1計算機網絡安全 31.2密碼技術的應用 31.3相關政策法規 41.4定義 41.5參考資料 5第二部分金融行業網絡安全需求 62.1系統配置 62.1.1系統名稱 62.1.2基本業務 62.1.3系統配置 62.2目前系統存在的安全性問題 6第三部分銀行業三級網網絡安全解決方案 73.1方案設計原則 73.2方案設計思想 8第四部分銀行業三級網網絡安全方案設計 84.1方案分析 84.2產品介紹 114.2.1線路密碼機 114.2.2網絡密碼機 114.2.3億陽網警BOCO.SFW-2000A型防火墻 114.2.4億陽網絡密碼機安全管理中心 114.2.5億陽防火墻安全管理中心 124.2.6漏洞掃描系統 124.2.7入侵檢測系統 134.2.8億陽一次口令認證服務系統 134.2.9web頁面恢復系統 13第五部分方案評估 144.1安全性 144.2可靠性 144.3實用性 144.4擴展性 144.5標準性 141.5參考資料[1]ISO7498-2-1989信息處理系統開放系統互連基本參考模型第2部份:安全體系結構銀行計算機安全體系研究1998ANSIX3.92:1981數據加密算法通訊網的安全─理論與技術計算機的安全與保密網絡安全與數據完整性本方案基本符合以下政策要求：《中國證券經營機構營業部信息系統技術管理規范（試行）》《證券經營機構營業部信息系統安全管理手冊》《關于發布〈期貨交易所、期貨經營機構信息技術管理規范（試行）〉的通知》《國家商用密碼管理條例》《中華人民共和國計算機信息系統安全保護條例》方案編寫單位億陽信通，國家商用密碼產品生產定點單位，高科技股份制企業，股票代碼：600289。第二部分金融行業網絡安全需求2.1系統配置2.1.1系統名稱某銀行三級網（包括柜臺業務和中間業務）2.1.2基本業務柜臺業務中間業務2.1.3系統配置某銀行的三級網連接支行（或縣支行）到其所屬市級某銀行的重要通訊網絡，三級網的數量眾多，而且通訊線路和通訊協議比較復雜，在三級網上運行的業務有柜臺業務、中間業務等。某銀行二級網是典型的主機/終端結構，在網絡形式上是SNA網絡，但在市分行三級網內的柜臺業務上大都以TCP/IP作為通訊協議，在市行儲蓄業務服務器進行處理后由SDLC網關轉換成SNA協議后送到省行中心的IBM大機。而中間業務多數是和本地區的企業相關，一般都在市行中心的中間業務服務器上進行處理。中間業務的網絡環境和相連的企業相關，由于企業的網絡環境各不相同，所以在通訊線路、協議種類上有所不同。兩種業務都以市分行的中心局域網為中心，所有的服務器都放在中心機房中，通過中心局域網聯到路由器上。在柜臺業務中，支行的局域網路由器通過DDN同步線路接到市分行，在市分行的以DDN同步線路或通道化E1DDN線路接到中心的路由器廣域網端口上。在中間業務中，由于各個企業單位的所采用的通訊線路和協議各不一樣，如通訊線路有DDN、電話線、X.25等，網絡協議有TCP/IP、IPX/SPX等，業務軟件也有所差別。2.2目前系統存在的安全性問題現在我們重點分析某銀行三級網在廣域網絡通訊安全性方面以及業務系統安全性方面存在的問題，站在信息系統攻擊者的角度看，對現有網絡可能采用的攻擊手段主要有：⑴線路竊聽通過搭線截獲通訊數據，掌握敏感數據，并可能通過協議分析等手段，進一步對系統內部進行攻擊。⑵網絡入侵通過廣域網絡，利用病毒、系統安全漏洞、協議分析等技術非法登錄到主機系統，或非法存取計算機資源。⑶節點仿冒偽造網絡地址，非法設立網絡節點，甚至非法復制安裝相應的應用軟件，接入網絡系統。⑷中間人攻擊以某種機制接到通訊雙方之間，對發送方冒充成接收方，對接收方冒充成發送方，從而騙取通訊雙方的信任，并獲得機密信息。⑸非授權訪問有意避開系統訪問控制機制，對網絡設備及資源進行非正常使用，擅自擴大權限，越權訪問信息。⑹業務抵賴 在處理完某筆業務后，參與業務的某方否認所做的業務處理。第三部分銀行業三級網網絡安全解決方案3.1方案設計原則需求、風險、代價平衡分析的原則對任一網絡，絕對安全難以達到，也不一定是必要的。對一個網絡要進行實際的研究(包括任務、性能、結構、可靠性、可維護性等)，并對網絡面臨的威脅及可能承擔的風險進行定性與定量相結合的分析，然后制定規范和措施，確定本系統的安全策略。某銀行三級網數量眾多，直接涉及某銀行、企業和儲戶大量的資金安全，因此，我們在設計安全機制時，采用的安全技術是以現實不可破譯作為尺度，現實不可破譯的含義是以目前及將來的一段時間內可能采用的技術，不可能在有效時間內破譯。綜合性、整體性原則應用系統工程的觀點、方法，分析網絡的安全及具體措施。網絡系統是一個整體，任何一個環節出了安全漏洞，整個系統的安全都會受到威脅。根據本系統現狀分析，我們需要整體考慮市分行、支行、企業、通訊線路四個部分，在業務上考慮同時考慮柜臺業務和中間業務的安全性，使兩種業務共同使用同一套安全系統，以減少設備的重復投資。總之，計算機網絡安全應遵循整體安全性原則，根據確定的安全策略制定出合理的網絡體系結構及網絡安全體系結構。一致性原則一致性原則主要是指網絡安全問題應與整個網絡的工作周期(或生命周期)同時存在，制定的安全體系結構必須與網絡的安全需求相一致。作為一個金融交易系統，綜合業務網絡系統仍然在不斷完善及發展中，本系統的建立應符合目前及近期發展規劃的要求。易操作性原則安全措施需要人去完成，如果措施過于復雜，對人的要求過高，本身就降低了安全性。另外，措施的采用不能影響系統的正常運行。本方案采用的線路加密和網絡加密技術對應用軟件完全透明，實現與操作都不需要人工干預。適應性及靈活性原則安全措施必須能隨著網絡性能及安全需求的變化而變化，要容易適應、容易修改。本設計方案具備可擴充性和可升級性，能適應將來網絡規模的發展。3.2方案設計思想結合使用密碼技術和簽名認證技術使通訊線路中的數據不被非法用戶理解和偽造以及業務數據的抗抵賴。它涉及兩個轉換算法：加密算法和解密算法。一個密碼系統的強度由以下因素決定：密碼空間的大小；算法是否存在后門；以及它對于密碼分析的抵抗能力。目前密碼機制有兩種類型：對稱密碼機制和公開密碼機制。對稱密鑰機制該密碼機制的加密算法和解密算法共用同一把密鑰，加密算法和解密算法互為逆過程。該機制的主要缺點在于密鑰難于管理（主要是密鑰的分發和銷毀管理問題），典型的算法有DES算法。公開密鑰機制該密碼機制的加密算法和解密算法使用各自的密鑰，其中加密密鑰是公開的，眾所周知的，解密密鑰是秘密的，只為擁有者所知道。該類算法雖沒有密鑰分發管理之憂，但速度慢，并且公開密鑰身份的真實性需嚴格認證。典型的算法有RSA算法。我們在設計中將把兩者結合使用，使系統在安全性和加密效率上達到一個最佳的結合點。第四部分銀行業三級網網絡安全方案設計4.1方案分析在某銀行三級網這樣一個數量多，結構復雜的網絡系統，需用結合采用應用層加密、網絡層加密、數據鏈路層加密，在設備上體現為網絡防火墻、網絡密碼機、線路密碼機、漏洞掃描器、入侵檢測引擎、一次口令認證服務器、USB加密認證服務器、網上銀行頁面恢復系統、網絡安全管理中心等安全設備，根據不同的網絡環境、線路情況，結合采用不同的加密安全設備。方案所采用的設備要能夠同時為柜臺業務和中間業務提供安全保障，使所建立的安全子系統成為統一的整體。我們首先考慮在省分行中心端，由于儲蓄業務服務器、中間業務服務器等重要的系統設備都放置在中心局域網中，而且省分行局域網還通過一級網上聯到國家總行，所以省分行的安全性十分重要。為此，我們要對允許訪問省中心局域網的通訊對端的身份、權限等要進行嚴格的審查，拒絕一切非法的訪問，并通過服務端口重定向、地址偽裝等技術來隔離內部網和外部網。在此基礎上，我們給業務服務器增加高速密碼卡，提供功能強大的安全應用API（應用程序接口），應用服務器通過調用API來實現數字簽名、驗證簽名、數據加密、完整性校驗等安全服務，實現應用層的加密。同時，在此基礎之上還結合有網絡密碼機，實現對應用系統透明的IP層加密。在中心采用這種結合了安全應用API、防火墻、網絡密碼機的安全設備，可以同時為柜臺業務和中間業務提供安全保密服務，既提高了安全性，又減少了所需添加的設備數量。同時，由于省分行開設了電話銀行、手機銀行、銀證轉賬、柜臺前移等系統，所以也必須考慮到銀行到電信、銀行到證券、銀行到終端用戶之間交易的認證和安全問題，這一些主要依靠開辟VPN隧道、增加令牌卡等措施加強網絡安全。在支行端或客戶端，對于柜臺業務或某些非TCP/IP網絡協議的通訊環境，可以采用線路密碼機來對通訊數據進行加密，同時對通訊的對端進行節點認證。當然，在中心端也要為相應的線路添加線路密碼機。采用線路密碼機的好處在于使用方便（對應用系統和網絡層協議完全透明），可以實現大部分的安全功能，但投資較少。如果某個客戶端到中心的通訊線路有多條，或線路的速率較快，則采用線路密碼機的投資較高，這時可以采用網絡密碼機，多條線路共同使用一臺網絡密碼機提供的安全功能，使投資較少。上面兩種方式實現的數據鏈路層和網絡層的加密，但象數字簽名、數據庫加密等一些安全功能要在應用層上實現，我們提供了和安全服務器相配套的安全應用API客戶端軟件和加密硬件，為客戶端提供和中心端安全服務器相配套的應用層安全服務。在現有和將來要實現的應用系統上可以通過調用這些安全服務來實現功能完善的各種安全功能。安全系統結構參見示意圖一。防火墻防火墻LAN1：部門1網絡安全分析系統EmailServerWWW探測引擎DMZLAN2：部門2行長辦公室LAN3：部門3防火墻網絡密碼機安全管理中心探測引擎探測引擎認證服務器一次口令卡一次口令卡一次口令卡線路密碼機線路密碼機線路密碼機線路密碼機線路密碼機池網絡密碼機/線路密碼機防火墻網絡密碼機電話銀行/手機銀行固定用戶撥號（網上銀行/家居銀行）移動用戶撥號（網上銀行）企業用戶（柜臺前移系統）市行中心局域網網絡病毒防護服務器VPN加密隧道儲蓄業務網點儲蓄業務網點儲蓄業務網點儲蓄業務網點省分行頁面恢復服務器中國電信/中國移動Internet證券公司（銀證轉賬系統）國家總行4.2產品介紹4.2.1線路密碼機線路密碼機是數據鏈路層上的加密設備，為通訊雙方提供端到端的數據保密服務，具有使用方便，見效快的特點。它提供如下安全功能：數據加密：線路密碼機在數據鏈路層上將數據進行加密，而加密的密鑰是由通訊雙方自行協商的隨機數，有效地防止了線路上的數據竊聽、非法篡改、數據分析等多種攻擊；節點認證：通訊雙方的線路密碼機在進行通訊前要進行密碼機的身份認證和密鑰協商，由于采用了非對稱密碼算法和簽名機制，在無有效的密鑰卡或線路密碼機的情況下將無法接入通訊網絡和對方的密碼機通訊，有效地防止節點設備的非法仿冒。4.2.2網絡密碼機億陽SJW13網絡保密機是基于IP層數據加密的臺式設備，已經獲得國家密碼管理委員會研制許可，高強度加密，對稱密碼體制密鑰長度256位。國家開發銀行總行及各地分行選用4Mbps速率的機型，采用對稱密碼體制進行工作，具有訪問控制、數據加密、完整性校驗、節點身份認證等功能，同時集成了億陽網警BOCO.SFW-2000A型防火墻于一身。本機型支持加密卡熱備份。億陽網絡保密機配有專用管理系統，負責密鑰的生成、發放、更新與銷毀，同時實現對億陽所有安全設備（含密碼設備與防火墻設備）的在線監控與報警。4.2.3億陽網警BOCO.SFW-2000A型防火墻億陽網警BOCO.SFW-2000A型防火墻是基于IP層數據包訪問控制技術的臺式設備，已經獲得國家公安部銷售許可，許可證書號XKC33050。該設備可以實現IP包過濾、地址轉換、透明代理、地址綁定、路由模塊等功能為一體，同時支持遠程安全管理中心的在線監控與管理。4.2.4億陽網絡密碼機安全管理中心億陽安全管理中心是基于億陽多種安全設備平臺的安全管理系統，負責安全設備的密鑰和證書的分配、管理和注銷，負責安全策略遠程集中統一的實施、監控、審計和響應。億陽安全管理中心基于業界領先的動態可適應性安全管理模型，滲透了億陽信息安全的核心是管理的思想。億陽SJW13網絡密碼機安全管理中心是“億陽VPN網絡安全解決方案”的核心部分，是億陽安全管理中心面向億陽SJW13網絡密碼機的一個特定子系統。億陽SJW13網絡密碼機安全管理中心負責億陽SJW13網絡密碼機公私鑰證書的分配、管理和吊銷；負責億陽SJW13網絡密碼機安全聯盟和安全策略的遠程集中統一配置和管理；實現遠程配置、遠程監控、遠程審計和遠程響應，與整個網絡安全系統中的多臺億陽SJW13網絡密碼機組成一個分布式智能VPN系統。4.2.5億陽防火墻安全管理中心億陽網警2000A防火墻管理中心，是針對億陽網警2000A防火墻主機系統所設計的安全管理中心產品。它以友好的圖形管理界面對整個網絡安全系統中的所有億陽2000A防火墻進行集中統一的管理，保證網絡安全系統的整體安全策略的實施、監控和響應，實現億陽網警防火墻的遠程配置、遠程監測、遠程審計。中心具有下列的主要功能：實施各防火墻主機系統的安全策略集中配置管理防火墻主機通過安全策略，完成對進出內部網和外部網絡間的信息的訪問控制，管理中心通過友好圖形界面的形式，提供了對多臺防火墻主機系統的安全策略進行集中配置的手段，極大方便了用戶對多個防火墻系統的策略管理；完成對各防火墻主機系統的管理員和管理中心用戶的集中管理中心可以為各防火墻的管理員建立檔案，明確了各防火墻管理員的責任，為防火墻的科學管理提供了依據；實時監控各防火墻系統的工作狀態中心可以實現各防火墻系統的工作狀態的實時監控，能及時發現各防火墻系統在運行過程中是否出故障，便于用戶集中地了解各防火墻系統的運行狀況。實時審計各防火墻的日志信息中心可心實時對防火墻的各種日志信息，如操作日志、包過濾日志、代理日志、運行日志、其它日志信息進行實時審計，便于用戶及時了解防火墻主機所發生的各事件的記錄。4.2.6漏洞掃描系統該產品對Internet/Intranet中所有部件（Web站點、防火墻、路由器、TCP/IP及相關協議服務）進行實踐性掃描、分析和評估，發現并報告系統存在的弱點和漏洞，評估安全風險，建議補救措施。該產品能發現以下問題：系統開放了不必要的服務；軟件的版本問題、缺省配置、具有缺點、未裝補丁；NT服務器的配置問題；Web服務器的配置問題；防火墻的配置與路由器的訪問控制表的配置問題；信息泄漏——Telnet旗標、Finger、SNMP、SMTP；信任關系——rlogin、rsh、rexec；口令弱；檢測類似BO、NetBus等特洛伊木馬；文件共享不合適——netbios、netware；遠程訪問不安全。4.2.7入侵檢測系統該系統是實時網絡違規自動識別和響應系統。它運行于有敏感數據需要保護的網絡上，通過實時監聽網絡數據流，識別、記錄入侵和破壞性代碼流，尋找網絡違規模式和未授權的網絡訪問嘗試。當發現網絡違規模式和未授權的網絡訪問時，網絡信息安全監測預警系統能夠根據系統安全策略做出反應。實時網絡數據流跟蹤：該系統運行于有敏感數據需要保護的網絡之上，實時監視網絡上的數據，分析網絡通信會話軌跡。網絡攻擊模式識別：該系統內置已知的網絡攻擊模式數據庫，能夠根據網絡數據流和網絡通信會話軌跡，尋找網絡攻擊模式。網絡安全違規活動捕獲：能夠根據用戶自定義的網絡安全策略對網絡活動進行檢查，捕獲網絡安全違規活動。網絡安全事件的自動響應：能夠自動響應網絡安全事件，包括控制臺報警；紀錄網