XX公司湖南省农信社安全解决方案.doc

目 录 1.建设背景及现状建设背景及现状 -2 2.网络安全监控平台需求分析网络安全监控平台需求分析 -4 3.建设原则及设计思路建设原则及设计思路 -5 3.1.安全监控平台建设原则-5 3.2.安全监控平台设计思路-5 3.2.1.以安全为核心规划网络-5 3.2.2.用防火墙隔离各安全区域-6 3.2.3.对关键路径进行深入检测防护-6 3.2.4.对终端进行安全访问控制-6 3.2.5.根据实际需要部署其他安全系统-7 4.网络安全监控平台规划方案网络安全监控平台规划方案 -9 4.1.安全硬件部署规划-9 4.1.1.互联接口区域-9 4.1.2.数据中心-10 4.1.3.网络交互-11 4.2.安全软件部署规划-12 4.2.1.网络设备安全-12 4.2.2.用户安全-14 4.2.3.审计安全-18 4.3.安全监控平台可实现的功能-20 4.3.1.对dos/ddos的抵御-20 4.3.2.应用层威胁和深度安全保护-21 4.3.3.虚拟软件补丁技术-22 4.3.4.基于应用层的状态检测技术aspf-23 4.3.5.基于soa架构的综合管理平台-24 4.3.6.与网络管理无缝结合的用户管理-25 5.详细的产品配置清单详细的产品配置清单-27 6.特殊需求和扩展应用特殊需求和扩展应用-28 6.1.双网用户的实施方式-28 6.2.arp 欺骗的威胁抵御-28 6.3.p2p 流量的灵活限制-28 6.3.1.p2p技术即应用简介-28 6.3.2.secpath f1800-a对p2p的灵活控制-29 6.3.3.h3c ips 2400e对p2p的灵活控制-30 6.3.4.软硬件结合对p2p进行控制-30 6.4.统一安全管理监控功能-31 6.4.1.seccenter a1000 产品介绍-31 6.4.2.seccenter a1000 重要功能列表-32 1 6.5.设备配置的批量管理-35 6.6.acl 安全策略管理-35 6.7.mpls vpn 网络管理-37 6.8.外联业务扩展应用-38 7.安全管理建议（仅供参考）安全管理建议（仅供参考）-39 7.1.安全管理组织结构-39 7.1.1.人员需求与技能要求-39 7.1.2.岗位职责-39 7.2.安全管理制度-40 7.2.1.业务网服务器上线及日常管理制度-40 7.2.2.安全产品管理制度-40 7.2.3.应急响应制度-40 7.2.4.制度运行监督-41 8.售后服务承诺售后服务承诺-42 附录：成功案例及用户名单附录：成功案例及用户名单-43 8.1.农信联清算中心案例-43 8.2.嘉兴农信联-44 8.3.江苏华夏银行-45 8.4.金融行业部分用户名单-错误！未定义书签。错误！未定义书签。 2 1.1.建设背景及现状建设背景及现状 作为国民经济中最为敏感、最为复杂的银行业正在经历着一场深刻的变革，金融国际化使 中国银行在面对国内各类型银行强烈竞争的同时，还要面对发达国家跨国银行的竞争；金融市 场化则必然导致金融管制的放松，政府在业务、地域等方面对银行的保护也不可避免地被削弱。 面对外有强敌、内乏支援的难堪境地，中国银行业明智选择了依靠高新技术的特色经营道路。 银行的发展重点正在从以“量的扩张”为主转变到以“质的提高”为主,追求利润和市场的最大 化,向数据集中化、业务电子化、管理信息化和服务创新等方向发展。所有这一切的变化和发展， 必然需要对银行现有的业务基础进行改造和重建，而作为承载平台的网络系统也在悄然发生着 历史性的转变。 网上银行进程加快，导致网络系统安全问题成为首要问题。网上银行不同于以前银行应用 的信息技术，如果以前的信息技术是在支持和运作银行业务的话，那么网上银行则是在改造银 行业务。未来的网上银行将成为一个综合性的电子服务网络系统，它将具有多种交易渠道、满 足多种服务需求、联通多种外部单位、支持多种支付方式，提供高可用、高性能、可伸缩、易 管理、开放性、连通性等多方面的优势。在给予银行业新的活力的同时，必然导致不同银行机 构的差别分工日趋淡化的新格局的出现，一个更加开放的互联框架将形成，行业内、外部之间 的信息交换将更加频繁。在这个必然的过程中，传统封闭性的金融业务网络将逐渐实现与公开 网络的相互融合或者连接，在这种情况下，如何保障业务网络的安全性成为新形势下金融网络 建设的重要问题。 数据大集中、管理信息系统及新一代综合业务系统等多种关键且复杂系统的建设，迫切需 要简单、高效、灵活新系统平台提供有力支撑。从技术层面而言，大集中的前提是网络平台构 建，因此，大集中的建设过程将对网络平台提出新的要求，是考验新的银行网络系统平台的最 大挑战。同时，我国银行业新一代综合业务系统是以会计核算为基础，以客户为中心，以决策 管理为导向，面向管理和业务，集中、统一、整合、联动的综合业务处理系统，它不仅涵盖了 金融系统原有的数据网络资源系统、oa、企业资源系统，还包含着盈利分析、风险管理、客户 关系管理、市场营销及模型预测等银行的管理信息系统（mis） 。所有的这些业务都需要一个整 合的基础网络平台来实现承载，将零散的业务基础部件有机的整合在一起；也意味着需要构建 一个维护简单、管理高效、低投资成本且保证更加顺畅的处理流程、更精确的网络掌控和更加 高效的业务回报。当然，满足业务需求是我们追求的最终目标，那么在当今金融数据大集中、 网络平台化的基础上，如何更快更好的达成业务网络需求呢？这是我们在构建新的网络平台时 候不得不慎重考虑的问题！ 中间件在银行业的应用将日益得到关注。随着银行对各种旧有应用系统的不断扩充，新业 务需求的不断增加以及分布式应用的迅猛发展，银行业的技术人员开始更多地关注中间件，希 望能借助于中间件的强大功能来满足迅速增长的银行业务需求。但是不同的硬件平台、异构的 网络环境、系统效率较低、网络传输不可靠等，不是仅仅通过购买更高档的主机、申请更宽的 网络带宽或依赖传统的系统软件和工具软件就能完全解决的，银行业急需一个更为合理的平台 支撑，一个更加完善的服务质量保证策略，一个完整的系统管理平台来为不断变化的新银行业 务保驾护航。 农村信用社是一个多法人的群体组织，遍布广大农村地区。伴随着信息化的浪潮席卷而来， 各农信社纷纷加快信息基础架构建设的步伐。而作为农业大省，在目前农村金融体系还不健全 的条件下，湖南省农信社实际上起到了服务“三农”的主渠道和主力军作用。 湖南省农村信用社辖下共有 4 家市级联社、10 个市级办事处和 118 家县级联社，储蓄网点 3 多，分布极为分散。目前湖南省农村信用社已经建成了覆盖整个湖南省范围内的业务纵向网。 整个纵向网分为省、地市、县三级。 省业务网作为整个纵向网的中心，建设较早。局域网核心交换机采用 cisco 6500 系列，核 心路由器采用 cisco 7600 系列；地市级中心部署 quidwaynetengine 40/20 系列路由器；县、 区级联社部署 h3c ar 4600 系列路由器和 h3c s3900 系列以太网交换机。整个纵向网从中心到 分之全部采用双链路双机热备方式部署，以保证链路的高可靠性。主干网络从省到地市到区县 全部采用 sdh 技术作为链路承载，以提供高速的数据交互带宽和便捷的链路扩容能力。整个网 络还包含了迈普、博大等多家厂商的路由交换设备，网络设备合计超过 5000 台，终端计算机超 过 10000 台。 除了现有的业务网之外，在省核心农信联还已经建设完成了省中心办公局域网，该局域网 将来会作为湖南省农信联的办公纵向网中心，提供办公网与业务网之间的数据交互。 整个网络现状拓扑示意如下： i.图 湖南省农信联网络现状拓扑示意 在地市和区县网点，也有一部分小型办公局域网已经完成，在图上并没有详细标注。 4 2.2.网络安全监控平台需求分析网络安全监控平台需求分析 金融系统特别是银行的网络对于安全的要求非常高。目前，在仅有纵向的业务网的情况下， 网络相对比较安全。纵向业务网和其他网络相互之间物理隔离，没有数据交互的接口，从而避 免了网络威胁的侵蚀。 银行的业务是非常复杂的，对这些复杂业务需要进行完善的管理。所以，需要在纵向业务 网存在的同时，提供一张能够满足日常办公、对业务进行管理的纵向网络进行支撑。这也就是 农信联准备在后期建设的纵向办公网。纵向办公网当中，日常的 erp 等办公流与业务网没有密 切关系，可以分开隔离，但是对业务的管理数据流要求纵向办公网必须能够从业务网当中获取 数据。这就要求纵向业务网与纵向办公网之间必然存在物理的链接。同时，考虑到外连机构、 远程办公的问题，纵向办公网必然与 internet 也存在物理的接口。那么，如何在保证数据获取 的同时，保护纵向业务网的安全是核心问题。 现在的业务网当中，由于没有外连接口，网络在物理链路上独立存在，导致网络中并不需 要考虑太多的安全防护因素。基于以上需求，网络安全监控平台的建设成为纵向办公网实施的 前提。 分析网络安全威胁的具体存在，结合相关法律法规（bs7799、公安部信息安全等级规范） ， 首先对业务网进行安全资产和安全区域的划分。从安全资产来看，整个网络当中的设备可以划 分为四大类。他们分别是网络承载链路、网络数据交互设备、网络接入终端（包括服务器）和 应用业务软件。从安全区域进行划分整个业务承载网被分割成四个区域，分别是终端接入区域、 互联接口区域、网络交互区域和数据中心。 根据数据的三大存在形态，即数据的存储、计算和交互，结合 h3c 范信息安全模型 it- cmm-security，要求安全资产具有以下特性。 承载链路：要求链路具有冗余机制和高可靠性。 农信联业务纵向网通过双链路冗余提供承载，在链路层面提供了较高的安全性；sdh 技术 的快速时间响应机制和高速交互的带宽保证了链路的可靠性和稳定性。 网络数据交互设备：要求关键设备具有高可靠和稳定特性。 目前农信联业务纵向网当中采用的数据交互设备都为主流厂商提供，设备本身提供了足够 的可靠性。通过设备的关键部件（如 mcu、power）冗余和关键设备的双机冗余热备进一步从设 备层面提升可靠性。设备本身对相关冗余很链路切换协议（如 ospf、stp、rstp、vrrp、hsrp）的支持保证了设备可靠性和链路可靠性的有机融合。 接入终端：要求接入终端具备安全接入特性。 接入终端 pc 和服务器必须采用足够支撑业务软件的硬件系统和操作系统，并要求相关操作 系统能够即使进行漏洞和补丁的更新，配备最新的病毒防护和攻击防护软件保证终端的安全。 目前农信联业务纵向网当中的接入设备按操作系统分为两大类别，分别是 unix 系统和 windows 系统。unix 系统相对漏洞较少，稳定性更强。而由于 windows 本身的不稳定性和多漏洞特性， 需要对网络终端的漏洞防护和病毒防护进行进一步的安全保护，有待于在本次安全平台建设的 过程中进行实施。 应用业务软件：要求软件具有稳定的构架和安全使用机制。 目前农信联的应用业务软件属于 c/s 和 b/s 并存的架构，业务软件本身都经过了长期的使 5 用和检验，相对安全性较高。但是对使用者身份认证、合法用户的管理需要在本次建设中实施。 6 3.3.建设原则及设计思路建设原则及设计思路 .安全监控平台建设原则安全监控平台建设原则 农信联的安全监控平台的建设属于其信息化建设的一个重要组成部分，所以农信联的安全 监控平台的建设必将伴随信息化建设的逐步完善而分步实施，要求具备以下原则。 （1）整体均衡原则 要对信息系统进行全面均衡的保护，要提高整个信息系统的“安全最低点“的安全性能，保 证各个层面防护的均衡。 （2） 安全目标与效率、投入之间的平衡原则 要综合考虑安全目标与效率、投入之间的均衡关系，确定合适的平衡点，不能为了追求安 全而牺牲效率，或投入过大。 （3） 标准化与一致性原则 在技术、设备选型方面必须遵循一系列的业界标准，充分考虑不同设备技术之间的兼容一 致性。 （4） 产品异构性原则 在安全产品选型时，考虑不同厂商安全产品功能互补的特点，在进行多层防护时，将选用 不同厂商的安全产品。 （5）区域等级原则 要将信息系统按照合理的原则划分为不同安全等级，分区域分等级进行安全防护。 （6）动态发展原则 安全防范体系的建设不是一个一劳永逸的工作，而是一个长期不断完善的过程，所以技术 方案要能够随着安全技术的发展、外部环境的变化、安全目标的调整而不断升级发展。 （7）统筹规划分步实施原则 技术方案的部署不可能一步到位，所以要在一个全面规划的基础上，根据实际情况，在不 影响正常生产的前提下，分步实施。 （8）保护原有投资原则 设计技术方案时，要尽量利用湖南省农信联现有的设备与软件，避免投资浪费，这些设备 包括安全设备、网络设备等。 .安全监控平台设计思路安全监控平台设计思路 湖南省农信联的网络应用比较复杂，对安全的要求也很高，根据对湖南农信联网络和应用 的理解，结合在金融行业的成功经验，提出了如下安全建设思路。 3.2.1. 以安全为核心规划网络 现有网络大多是以连通性作为中心进行设计的，而很少考虑安全性。例如最典型的网络三 层架构模型（核心层、汇聚层、接入层架构）中，网络是向核心层集中的而并没有考虑同一层 7 不同节点之间的安全隔离问题。而在网络安全改造中首先需要改变的就是将以连通性为中心的 设计思路转变为以安全为中心的设计思路。并按照以安全为核心的设计思路的要求对网络进行 重新设计。 所谓以安全为核心的设计思路就是要求在进行网络设计时，首先根据现有以及未来的网络 应用和业务模式，将网络分为不同的安全区域，在不同的安全区域之间进行某种形式的安全隔 离，比如采用防火墙隔离业务网和办公网。 3.2.2. 用防火墙隔离各安全区域 防火墙作为不同网络或网络安全域之间信息的出入口，能根据安全策略控制出入网络的信 息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设 施。在逻辑上，防火墙是一个分离器、限制器和分析器，可以有效监不同安全网络之间的任何 活动。防火墙在网络间实现访问控制，比如一个是用户的安全网络，称之为被信任应受保护 的网络 ，另外一个是其它的非安全网络称为某个不被信任并且不需要保护的网络 。防火墙 就位于一个受信任的网络和一个不受信任的网络之间，通过一系列的安全手段来保护受信任网 络上的信息。 3.2.3. 对关键路径进行深入检测防护 虽然，网络中已部署了防火墙等基础网络安全产品，但是，在网络的运行维护中，it 部门 仍然发现网络的带宽利用率居高不下、而应用系统的响应速度越来越慢。产生这个问题的原因 并不是当初网络设计不周，而是自 2003 年以来，蠕虫、点到点，入侵技术日益滋长并演变到应 用层面（l7）的结果，而这些有害代码总是伪装成客户正常业务进行传播，目前部署的防火墙 等安全产品其软硬件设计当初仅按照其工作在 l2-l4 时的情况考虑，不具有对数据流进行综合、 深度监测的能力，自然就无法有效识别伪装成正常业务的非法流量，结果蠕虫、攻击、间谍软 件、点到点应用等非法流量轻而易举地通过防火墙开放的端口进出网络。 因此在关键路径上部署独立的具有深度检测防御的 ips 系统就显得非常重要。深度检测防 御是为了检测计算机网络中违反安全策略行为。一般认为违反安全策略的行为有： 入侵非法用户的违规行为； 滥用用户的违规行为； 深度检测防御识别出任何不希望有的活动，从而限制这些活动，以保护系统的安全。深度 检测防御的应用目的是在入侵攻击对系统发生危害前，检测到入侵攻击，并利用报警与防护系 统驱逐入侵攻击。在入侵攻击过程中，能减少入侵攻击所造成的损失。 3.2.4. 对终端进行安全访问控制 目前，针对病毒、蠕虫的防御体系还是以孤立的单点防御为主，如在个人计算机上安装防 病毒软件、防火墙软件等。当发现新的病毒或新的网络攻击时，一般是由网络管理员发布病毒 告警或补丁升级公告，要求网络中的所有计算机安装相关防御软件。从企业病毒泛滥、损失严 重的结果来看，当前的防御方式并不能有效应对病毒和蠕虫的威胁，存在严重不足。主要表现 在： 被动防御，缺乏主动抵抗能力。 单点防御，对病毒的重复、交叉感染缺乏控制。 8 分散管理，安全策略不统一，缺乏全局防御能力。 只有从用户的接入终端进行安全控制，才能够从源头上防御威胁，但是，分散管理的终端 难以保证其安全状态符合企业安全策略，无法有效地从网络接入点进行安全防范。在分散管理 的安全体系中，新的补丁发布了却无人理会、新的病毒出现了却不及时升级病毒库的现象普遍 存在。分散管理的安全体系无法彻底解决病毒和操作系统漏洞带来的网络安全威胁，只有集中 管理、强制终端用户执行，才能够起到统一策略、全局防范的效果。 全网部署防病毒系统 在所有计算机安全威胁中，计算机病毒是最为严重的，它往往是发生的频率高、损失大、 潜伏性强、覆盖面广。计算机病毒直接涉及到每一个计算机使用人员，是每一个使用人员经常 会碰到和感到头痛的事。 由于 internet 技术及信息技术的普及和发展，病毒的传染速度越来越快。internet 的发 展使的病毒没有国界，5 分钟以前在美国发现的病毒，有可能在 5 分钟之后，就到了国内；依 赖于 internet，病毒可以通过邮件、http、网络共享、系统漏洞等实时的方式通过办公网感染 到湖南农信联业务网内部。另外，在农信联内部的群件系统和办公自动化、工作流系统的使用 (如 notes、exchange)，使得病毒在农信联内部的传染速度加快，各个员工在共享信息的同时， 有可能共享病毒；同时，在群件环境中，部分机器的防病毒能力弱，会导致整个系统弱的防病 毒能力。 因此全网部署防病毒系统就显得非常重要。部署一套具有方便、易用的防病毒系统，使计 算机环境免受病毒和其它恶意代码的攻击。对系统进行主动的保护，以免遭受可能来自软盘、 网络下载、电子邮件附件、网络共享文件、cd-rom、在线服务和其它更多途径的感染。同时提 供保护，以免遭受移动代码如恶意的 activex 和 java 小程序的攻击，深入最为通用的压缩文件 类型进行扫描。在病毒发作之前即可自动阻止其发作。通过寻找新病毒发作的典型活动来查询 新的攻击。 充分利用网络以及资源管理系统 在网络系统中，整个网络的安全首先要确保网络设备的安全，保证非授权用户不能访问任 一台服务器、路由器、交换机或防火墙等网络设备，采用网络管理系统是一种有效的解决方法。 通过网络管理管理系统提供的配置管理、性能管理、失效管理和安全管理功能，可以实现网络 设备安全有效的配置，为整个网络系统提供安全运行的基石。 3.2.5. 根据实际需要部署其他安全系统 以上的安全系统部署基本可以涵盖一般性网络安全需求，但是很多特殊的应用也需要特别 的应用保护系统。此外管理员也需要一些其他的安全工具对网络安全运行进行审计评估等操作。 在湖南农信联网络中，还需要以下安全系统和安全工具： 补丁管理系统 从公开的统计资料可以看到，在 2003 年全球有 80%的大型企业遭受病毒感染而使得业务系 统运作受到干扰，即使这些大型企业已经具备了良好的边界安全措施，也普遍部署了病毒防御 机制。造成困境的原因，一方面当然是由于现有防御体系的缺陷，是由于现有的边界防御、基 于签名的入侵检测和防病毒系统从原理上就决定了其不擅长对付基于漏洞进行感染的病毒，单 9 单具备这些措施，不足以遏制病毒的泛滥。另一方面，也是由于基于漏洞进行感染的病毒传播 速度极快，以至来不及采取措施，病毒就已经大规模爆发了。这恰好说明企业需要一些应付这 种情况的措施，最好在病毒前面就消灭漏洞隐患，杜绝病毒传播的可能。 补丁管理就是这一思想的产物，因为它的原理就是对软件进行修补从而根本上消灭漏洞， 杜绝了病毒利用漏洞的可能。 反垃圾邮件系统 说到“垃圾邮件” ，越来越多的通过网络辅助自己通信的人，都十分熟悉。尽管它不像“病 毒”或者“黑客”那样仿佛是洪水猛兽，但其却如同小白蚁一样，慢慢地噬咬着健康的银行网 络，渐渐地并越来越严重地影响、阻碍甚至摧毁着银行网络通信的顺畅、自由和安全。 近年来，垃圾电子邮件在国内互联网上已成泛滥之势。垃圾电子邮件的传播蔓延，严重侵 害电子邮件银行用户通信利益，影响电子邮件服务的正常运营秩序，危害互联网的安全和社会 稳定，已经成为互联网一大公害。因此部署反垃圾邮件系统就显得尤为重要。 漏洞扫描工具 如今，每天都有数十种有关操作系统、网络软件、应用软件的安全漏洞被公布，利用这些 漏洞可以很容易的破坏乃至完全的控制系统；另外，由于管理员的疏忽或者技术水平的限制造 成的配置漏洞也是广泛存在的，这对于系统的威胁同样很严重。 一般来说，最有效的方法是定期对网络系统进行安全性分析，及时发现并修正存在的弱点 和漏洞，保证系统的安全性。因此湖南农信联需要一套帮助管理员监控网络通信数据流、发现 网络漏洞并解决问题的工具，以保证整体网络系统平台安全。 网络流量监测与审计 对网络流量进行监测和分析是十分必要的，尤其是在大型的网络环境中。利用网络流量监 测与分析系统可以实时监测网络流量峰值，以及方便管理员根据分析报告来排除网络故障，所 以目前很多的大型企业都部署了专业的网络流量监测与分析系统。 10 4.4.网络安全监控平台规划方案网络安全监控平台规划方案 农信联网络安全监控平台从整体部署上分为两大部分，分别是软件部署和硬件部署。软硬 件结合提供安全防护、安全监控、威胁抵御等功能。 .安全硬件部署规划安全硬件部署规划 根据安全资产的划分和要求，对安全资产按照区域有针对性的进行安全硬件的部署。其中 终端接入安全主要依靠安全软件产品的部署进行保障，对于安全硬件的部署主要从互联接口、 网络交互和数据中心三个区域进行部署。 4.1.1. 互联接口区域 农信联纵向业务网与将来建设的纵向办公网的数据互联接口通过省中心完成，两个网络采 用统一接口的方式互联。考虑到纵向办公网将来会预留与 internet 的接口，纵向业务网在物理 上与办公网互联就导致了业务网间接的暴露在 internet 环境下。 分析 internet 的安全威胁状况，要求农信联纵向业务网与办公网的接口区域安全设备的部 署可以提供以下功能： 采用在线模式部署 在优先保证业务持续的基础上提供全面的防护； 基于状态的链路检测功能； 能够有效抵御 dos/ddos 攻击； 对网络蠕虫病毒进行有效防护； 可以针对数据进行 27 层的深度安全防护； 监控并屏蔽恶意软件； 提供对网络设备、主机、链路的保护； 能够抵御 zeroday attack； 具备实时的升级特性； 提供可供分析的标准日志结构； 便捷的统一的管理； 保护有效数据带宽，针对 p2p 协议对数据流可以灵活控制带宽； 根据以上要求，这里采用防火墙设备和入侵抵御设备共同部署完成互联接口区域的安全保 护。其中防火墙采用 h3c secpath f1800-a，入侵抵御采用 h3c ips 2400e，为优先保证业务的 持续性，在部署 ips 设备的时候通过 zpha 掉电保护设备提供掉电链路保护机制。具体部署见下 图。 11 ii.图 湖南农信联网络安全监控平台互联接口区域硬件部署拓扑示意图 4.1.2. 数据中心 对于业务网数据中心，办公网对它所有的数据调用都需要通过互联区域，并不直接面对 internet。相对于来自 internet 的安全威胁，已经由互联区域进行了充分的安全保护。因此主 要考虑的来自于业务网内部的安全威胁。 针对业务网内部进行分析，其威胁的主要入口是终端设备的接入。要求数据中心区域的安 全设备部署提供以下功能： 采用在线模式部署 在优先保证业务持续的基础上提供全面的防护 对操作系统漏洞可以提供补丁功能； 对网络蠕虫病毒进行有效防护； 可以针对数据进行 47 层的深度安全防护； 提供对服务器集群的有效保护； 具备实时的升级特性； 提供可供分析的标准日志结构； 便捷的统一的管理； 考虑到数据中心防护相对 internet 处于互联接口区域之后，来自 internet 的 23 层威胁 已经被过滤掉，而更重要的对操作系统和数据的保护，在这里根据以上要求，部署入侵抵御设 12 备完成数据中心区域的安全保护。入侵抵御采用 h3c ips 2400e，为优先保证业务的持续性， 在部署 ips 设备的时候通过 zpha 掉电保护设备提供掉电链路保护机制。具体部署见下图。 iii. 图 湖南农信联网络安全监控平台数据中心区域硬件部署拓扑示意图 4.1.3. 网络交互 为了保证部署的硬件设备和安全软件能够统一的为网络安全服务，必须要求对全网设备， 包括主机和数据交互设备进行统一的日志收集和日志分析。这样就要求必须在网络当中部署安 全管理中心来完成统一的策略规划和分析。 安全管理中心并不是一个威胁抵御的直接发起者，而是一个系统规划的首脑。所以要求安 全管理中心可以提供以下功能： 旁路部署模式，不影响正常业务和造成瓶颈； 具有广泛的日志采集功能，要求可以对网络当中的所有设备（防火墙、ips、交换机、路由 器、pc、server 等）进行日志分析； 采用先进的关联算法，能够对日志数据按照不同的关联组合进行分析； 对安全威胁的实时监控功能； 对网络流量的实时监控功能； 可支持多家厂商的设备日志采集； 提供拓扑发现功能，并能够准确迅速的根据日志定为网络故障； 对网络故障提供多种迅速的告警机制； 13 具有完善的安全审计功能； 对历史数据进行压缩并可提供高效的查询机制； 根据需要提供多种报表； 根据需求可分步实施的灵活部署方式； 根据以上需求，这里采用 h3c 的 seccenter 作为整个网络的安全管理中心，对全网设备进 行日志分析，帮助定制安全策略。考虑到 seccenter 的部署模式是旁路方式，仅仅需要路由可 达即可完成上述功能，其部署位置相对灵活，建议可以和网络管理软件服务器部署在一起，以 方便硬件的管理。 .安全软件部署规划安全软件部署规划 硬件部署主要解决了区域安全问题，而安全软件的目的是要解决设备安全（即网络设备管 理） 、用户安全（即终端管理）和审计监控这三方面的问题，从而与安全的硬件基础设施一道， 构成一个完整的网络安全监控平台解决方案。 考虑到不同管理软件之间的互连互通问题，最好在同一个管理平台上，采用不同的模块分 别满足网络管理、用户管理、审计监控三方面的需求。这些模块之间需要能相互耦合，可以根 据实际情况进行灵活的装配，同时也需要提供对外的服务接口，以便被第三方软件所调用。这 样一种统一平台、模块耦合的方式，有利于农信联的投资保护，也具有很强的灵活性和适应性。 4.2.1. 网络设备安全 当网络设备出现异常无法连通，或到网点的链路意外中断的时候，都会对农信联的正常业 务造成影响。这需要有一个网络管理工具来实时监控这些设备的状态，当发现设备和链路的故 障后必须能及时通知网管，并提供丰富的设备配置功能，以便管理员采取相应的故障处理措施。 网络异常有时是用户引起的，比如 arp 攻击等行为，在接入 hub 的环境下，这种行为更加 难以发现和管理。这就要求网络管理工具实现与用户管理的无缝集成，能看到设备上的每一个 活跃用户及其帐号，而不光是 ip 地址，并且针对 hub 环境提供强制下线的有效处理措施。 要实现状态监控和故障管理的目的，网络管理工具必须能提供以下功能： 采用 b/s 架构，便于管理员从任意位置登录并了解网络情况； 支持 java 技术，不管是哪种平台的哪种浏览器都具有统一的图形用户界面； 支持多厂商设备，最好支持对主流设备的配置能力，做到既能看又能管； 提供对网络设备、unix 主机、链路、pc 的全面监控功能； 能够自动发现逻辑链路和物理链路，并生成拓扑图； 支持故障定位，告警信息可以直接链接到有故障的设备； 支持告警转发，如邮箱、手机短信等； 监控设备的 cpu、内存等性能参数，并提供 topn 排序功能； 14 具备端口环回测试工具，可远程诊断链路的故障位置； 与用户管理无缝集成，能看到设备上的每一个活跃用户，即使是 hub 环境也可以让用 户强制下线； 根据以上需求，采用 h3c imc 智能网管中心的 plat 基础网管组件，作为整个网络的设备管 理工具，对全网设备进行监控和故障管理，并提供与用户管理的无缝集成。考虑到农信联的设 备数目较多，仅部署一套网管的话对服务器资源要求较高，且存在带宽占用等问题，因此建议 采取分布式部署方式方案： 省中心一套，管理省中心的网络设备、14 个地市的核心路由器、118 个县的核心路由器； 14 个地市各一套，管理地市的网络设备、县的网络设备和各网点的网络设备。 具体部署见下图。 iv.图 湖南农信联网络安全监控平台省网管中心部署示意图 15 v.图 湖南农信联网络安全监控平台省地市中心部署示意图 4.2.2. 用户安全 对于农信联来说，分支网点用户私设代理服务器、私自访问互联网的行为普遍存在，网络 用户不及时升级系统补丁、升级病毒库，造成病毒屡杀不止的现象也比比皆是。这些问题如果 用防火墙、ids/ips 等安全硬件来控制管理的话不是好办法，最好的办法还是通过用户管理软 件来管理。 为了避免终端用户出于逃避监管的目的，私自卸载软件或打开个人防火墙，用户管理软件 应能通过 802.1x 等协议与网络设备配合，强制用户必须正常安装和运行安全客户端。同时，由 于涉及到系统补丁和杀毒软件，用户管理软件应该通过官方的微软补丁服务器自动升级补丁， 并且与杀毒软件之间有良好的配合，以避免影响终端用户操作系统的正常运行。用户管理软件 还应提供实时的修复机制，避免只在接入网络时进行一次性检查的做法。另外，考虑到 pc 数目 众多，用户管理软件应提供快速部署客户端的功能，避免管理员到每一台 pc 上手工安装的烦琐 过程。 用户管理软件应能提供以下功能： 限制终端用户使用多网卡和拨号网络：防止用户终端成为内外网互访的桥梁，避免因 此可能造成的信息安全问题。 代理限制：限制用户使用和设置代理服务器。 终端补丁检测：评估客户端的补丁安装是否合格，可以检测的补丁包括：操作系统如 windows 2000/xp/2003 等符合微软补丁规范的热补丁。 16 自动补丁管理：提供与微软官方的 wsus/sms（windows server update services/system management server）协同的自动补丁管理，当用户补丁不合格时， 自动安装补丁。 防病毒联动：当端点用户接入网络时，检查其计算机上防病毒软件的安装运行情况以 及病毒库和扫描引擎版本是否符合安全要求等，不符合安全要求可以根据策略阻止用 户接入网络或将其访问限制在隔离区。 黑白软件管理：检测终端软件的安装和运行状态。可以限制接入网络的用户必须安装、 运行或禁止安装、运行其中某些软件。对于不符合安全策略的用户可以记录日志、提 醒或隔离等多种策略。 安全状态定时检测和修复：安全客户端可以定时检测用户安全状态，如果发现不符合 安全要求可以根据策略强制让用户下线或将其访问限制在隔离区。 强身份认证：在用户身份认证时，可绑定用户接入 ip、mac、接入设备 ip、端口和 vlan 等信息，进行强身份认证，防止帐号盗用、限定帐号所使用的终端，确保接入用 户的身份安全。 “危险”用户隔离：对于安全状态评估不合格的用户，可以限制其访问权限（通过 acl 隔离） ，使其只能访问防病毒服务器、补丁服务器等用于系统修复的网络资源。 在线隔离：用户上网过程中安全状态发生变化造成与安全策略不一致时（如感染不能 杀除的病毒） ，可以在线隔离并通知用户。 支持匿名认证：可提供用户匿名认证功能，用户不需要输入用户名、密码即可完成身 份认证和安全认证，便于前期部署过程中的过渡。 接入时间、区域控制：可以限制用户只能在允许的时间和地点（接入设备和端口）上 网。 终端强制或提醒修复：强制或提醒不符合安全策略的终端用户主机进行防病毒软件升 级，病毒库升级，补丁安装； 安全日志审计：定时收集客户端的实时安全状态并记录日志；查询用户的安全状态日 志、安全事件日志以及在线用户的安全状态。 强制用户下线：管理员可以强制行为“可疑”的用户下线。 支持 b/s 登录，便于管理员从任意位置进行管理。 根据以上需求，采用 h3c imc 智能网管中心的 ead 用户管理组件，作为整个网络的用户管 理方案，对全网设备用户的安全状态进行管理，并提供与网络管理的无缝集成。 ead 用户管理组件的管理思路，是通过将网络接入控制和用户终端安全策略控制相结合， 以用户终端对企业安全策略的符合度为条件，控制用户访问网络的接入权限，从而降低病毒、 非法访问等安全威胁对企业网络带来的危害。其原理流程如下图： 17 用户终端安全联动设备安全策略服务器修复服务器 身份认证请求 发起身份认证 radius/身份信息 radius/身份认证成功，下发隔离acl 安全认证请求 安全状态信息（防病毒版本、系统补丁等信息） 安全状态不合格（缺少补丁等） 根据安全认证结果，修复系统漏洞 安全状态检查 安全状态检查 安全状态信息（防病毒版本、系统补丁等信息） 安全认证成功，下发监控策略 radius/安全认证成功，下发工作acl 安全状态监控 安全状态信息 检查终端安全状态 vi.图 ead 解决方案原理流程图 h3c 用户管理方案的组成部分包括 ead 安全策略服务器、防病毒服务器、补丁服务器等 修复服务器、安全联动设备和 h3c 安全客户端，各部件各司其职，由安全策略中心协调，共同 完成对网络接入终端的安全准入控制。见下图： 18 vii. 图 h3c ead 用户管理方案组成部分示意图 ead 方案的核心是整合与联动，而 ead 安全策略服务器是 ead 方案中的管理与控制中心， 兼