银行网络安全管理平台技术方案.docx

xxx银行网络安全管理平台技术方案背景与现状银行网络简介银行网络始建于x年。经过多年的建设，目前已基本建成连接总行、各分行、各分理处的计算机主干网和各级局域网。各级主干网主要采用专线方式相连，带宽为1兆至千兆不等。联入xxx银行网络的计算机约有x万台。银行网络拓扑主要为树型结构。xxx网系x银行的内部专用网络，横向不与其它外部网络相联。全网采用统一的内部ip编址和计算机命名规范。随着计算机应用规模的扩大和各种业务对计算机网络依赖程度的提高，网络安全管理工作已经引起各级领导和网络管理人员的重视，各地有关部门正在积极着手有关工作。建设xxx银行网络的必要性几年来，xxx银行网络建设虽然有了很大的发展，在现实服务中发挥了积极的作用。但该网络还很脆弱，安全性不够高，网络安全管理工作还处于刚刚起步的探索阶段，主要体现在以下一些方面：缺乏完整的安全防护体系。对内而言，xxx银行网络还处于基本不设防的状况，安全管理工作缺乏有效的手段。目前，除一些地区使用了网络防病毒产品外，其它网络安全产品，如网络管理系统、防火墙、入侵检测、漏洞扫描和网络审计等系统使用得还比较少。网络安全管理体系还未形成。一些单位虽然使用了一些安全产品，但各产品之间没有联系，给管理工作带来了一定的难度，难以发挥应有的整体效果。网络管理的基础工作薄弱，各类网络基础信息采集不全。目前，xxx银行网络大多数地区的ip地址是按段分配的，网管中心对ip地址等资源占用和用户情况难以掌握。存在网络ip地址和计算机名乱用、冒用现象，信息中心缺乏有效的监控手段，因此上网设备的ip地址冲突现象时有发生，致使合法设备无法正常工作，严重影响了业务工作的开展。对于安全隐患缺乏技术控制手段。目前，xxx银行网络在网络审计、入侵检测和病毒监测等网络管理工具的使用过程中，对发现的违规操作或感染病毒的计算机不能快速、准确定位，不能及时阻断有害侵袭并快速查出侵袭的设备和人员;对违反规定或不允许上网的计算机及网络设备，不能限制其上网;同时在网络侵害事件调查中，无记录日志，取证较为困难。设备管理困难。网管中心对网上的机器数量难以准确统计。一些实时运行的网络设备和重要服务器的运行状况不能集中监控，日常管理难度和工作量都很大。相关运行信息不能及时发送到网管中心，不便于大范围的统一管理和信息共享。存在上述问题的根本原因，是缺乏信息网络安全管理的完整体系结构和有效的管理手段。要解决这些问题，仅仅依靠相对单一的安全产品是不够的。银行网络安全管理平台的提出为了理清xxx银行网络安全建设的发展思路，为网络安全管理提供有效的技术手段，积极推动xxx银行网络安全管理工作的开展，xxx银行网络在多年网络建设和管理的基础上，提出以全网设备和用户信息管理为基础的，集各类网络产品管理为一体的信息网络安全管理平台的设想，最终实现xxx银行网络安全管理信息分级管理，全网实时监控，达到加强网络安全统一管理，确保网络安全畅通的目的。从目前网络安全管理领域的情况看，国外的一些网络安全公司针对本公司的安全产品开发了一些综合管理平台，但由于商业的原因，这些平台仅能管理本公司的产品。从国内的情况看，以天融信为首的多家知名的网络安全公司，提出了以天融信防火墙为中心，开发名为topset的网络安全产品管理平台。银行网络安全管理平台的出发点与上述产品有本质不同。一是该平台根据内部网络安全管理的特点，从网络用户的基础信息管理入手，融合多种网络管理和网络安全管理的技术，可以将网络安全管理与用户管理紧密结合，突破了网络安全管理，仅仅依靠安全产品的局限;二是以用户为核心开发管理平台，可以较好地融入不同厂家的技术和产品。三是根据管理需要开发的管理平台，更贴近用户的管理需求，提高平台的可用性。该平台的使用，可以为xxx银行网络安全管理提供有效的手段，大大提高xxx银行网络的安全可靠性，降低系统管理难度。该平台具有广泛的实用面，可以在各级网络的管理部门安装，节省大量的经费。构建完整的xxx银行网络安全体系在xxx银行网络安全体系建设过程中，需要综合考虑各种安全要素，主要包含贯穿始终的安全策略、安全评估和安全管理;而在技术层面上需要考虑实体的物理安全包括网络的基础结构、网络层的安全，操作系统平台的安全，应用平台的安全以及在此基础之上的应用数据的安全。这几个方面，既是一种防护基础，也是相互促进的，同时，也是一个循环递进的工程，需要不断的自我完善和增强，才能够形成一套合理有效的整体安全防护系统。xxx银行网络的整体安全应该包括如下几个部分：策略安全，包括安全的范围、等级、管理政策和标准。安全评估，包括威胁评估、漏洞评估、制度评估。物理安全，包括门禁系统、防静电防磁、防火防盗、多路供电。系统安全，包括系统漏洞扫描、系统加固、系统入侵侦测和响应、主机访问控制、集中认证。网络安全，包括网络漏洞扫描、网络入侵侦测和响应、路由器访问控制列表(acl)、集中认证、防火墙、vlan、qos、路由欺骗、地址欺骗。应用和数据库安全，包括数据库漏洞扫描，数据库安全管理。数据和内容安全，包括网络和网关式病毒扫描服务、vpn加密。具体请参照下图：整体网络安全架构图共5页。在考虑xxx银行网络的安全时，应从以下几个方面来考虑问题：基础安全策略为了给xxx银行网络构建一个良好的安全体系，首先需要制定一个良好的安全策略，而所有的安全架构和安全防护措施，以及在此基础上实施的安全管理，都必须是建立在安全策略符合的基础上的。针对xxx银行网络的安全，我们需要从几个方面考虑安全策略的建立：it安全架构、网络管理制度、紧急响应机制、自身管理人员和用户的安全教育。建立 xxx银行网络it安全架构，就是要构建一个it模型，首先必须对所有资源(中心服务器，数据备份服务器及群件系统)进行有效的标识和定义;其次要标识各种资源的威胁来源及风险大小;最后我们需要采取一定的措施对这些资源进行防护。现代的安全体系的建立，是和有效的管理机制无法分离的，单纯的技术手段已经无法保障一个系统的安全了。必须有一套良好的管理机制来保障系统的安全运作。任何防护手段都无法保障100%的安全性，这已经是在安全领域内大家已经产生的共识。关键在于如何在发生安全事件以后，有没有一套紧急响应处理机制。通过一个什么样的途径，由什么人负责，由那些人参加，按照什么样的流程，采用什么样的手段来处理安全事件，是紧急响应机制中定义的，同时，也能够保障发生了安全事件以后，将威胁和风险降到最低。安全管理体系中很重要的一个因素就是人的因素，包括内部人员，外部人员和第三方人员，外部入侵者和内部用户等都可能构成安全威胁的主要来源。且随着it技术的发展，新的安全漏洞和威胁也越来越多，对于管理人员和用户本身的要求也越来越高。因此必须加强对管理员和用户进行持续的安全教育，才能够有效降低安全风险。xxx银行网络的自身安全为了保障xxx银行网络的安全，我们需要在xxx银行网络和其他网的连接处配置防火墙，通过防火墙的策略配置，我们可以阻止大部分外部的恶意攻击。但防火墙本身在安全防护方面存在一定的缺陷，即它只能提供静态的、被动的保护，而对动态的威胁无能为力。因此我们还需要在防火墙后配备入侵检测系统，通过入侵检测系统发现外部的可疑攻击并调整防火墙的策略。最大可能的把非预期的信息屏蔽在外。相对于与外部用户的攻击，内部用户的威胁可能更大，因为内部用户对网路资源的具有可访问性。因此也必须考虑充分来自这些网络内部的威胁。通过部署安全评估系统和入侵检测系统，可以及时网络系统中存在的弱点和漏洞并及时修复。建设目标和原则为了适应时代的发展，xxx银行网络充分利用现代计算机及网络技术，有计划、有步骤地建设一个符合国内应用技术发展趋势、具有国内领先技术水平的高度集成的安全管理平台，有效保证xxx银行网络的安全运行。设计目标xxx银行网络安全管理平台应是一个具有灵活性，开放性，便于扩充升级，满足客户服务要求的综合系统。xxx银行网络安全管理平台方案应具有以下特点：采用国际最新的高科技成果，使其在网络信息管理领域具有较高的水平。扩充方便，修改灵活，操作维护简单，系统重起时间短，能适应业务的快速变化。充分利用现有各种系统的资源，以节省运行成本。规范系统，应从整体的角度来考虑系统的结构设计。基本包括计算机管理系统、相关数据库系统间的直连或间接互连。设计原则依照本系统的基本需求及今后的发展规划，我们设计遵循以下原则：开放性开放系统结构在国际上广为流行，开放系统结构可以有效地保护客户已有的投资和资源，便于系统间的联接。无论是硬件还是软件的升档或是移植，开放系统有它不可比拟的优越性 。主要体现在:主机系统开放性环境：主机系统开放性环境是一个不可缺少的因素，它基于windows 2000或linux等技术的操作系统，便于系统的扩充和保持应用软件的可移植性。应用软件的独立性：建立一套基于通用的windows 2000或linux操作系统和开放关系数据库管理系统的应用软件。应用软件应独立于具体的硬件平台，具有很强的适用性和先进性，并且可以进一步推广和使用。可互联的网络系统：网络的互联能力也体现在网络的开放性及与异种网互联的支持二方面。一个开放的网络，通常指符合国际标准或事实工业标准的网络，这使得建立的网络能为经过其它授权的各类计算机所访问，这种访问很少需要增加额外的软硬件，并且为大多用户所熟悉。由于tcp/ip网络协议在多种主机互联的实用性，以及在用户接口方面的标准化、可用性，我们建议采用tcp/ip协议，以保证用户接口的一致性，为应用软件独立于网络系统提供保证。实用性在设计中首先要考虑实用性和易操作性。为此需选择技术成熟的设备及应用软件，同时需考虑到对现有设备和资源的利用。为了使系统具备长时期技术领先的竞争能力，除了系统的高产品稳定性之外，还必须具有高效故障诊断功能，简便的数据库更新、系统维护功能，灵活高效的业务变更对应能力，使无用功减至最少。实用性还体现在本信息系统业务界面的友好性上，因为灵活简洁的操作会直接提升管理的效率。这些均是系统设计时必须考虑的问题。先进性选择符合国家安全保密规定的，业界最先进的产品，同时也提供业界最先进和前沿的管理理念，使得客户始终能够和世界领先的技术和管理理念同步。作为高科技发展下的安全管理系统，在设计时，应充分考虑到各地千差万别的实际业务需求及现代计算机和通讯技术发展的先进成果。为了能够保证本系统能够在一个较长的时期内处于同行业技术领先水平，更必须实现建立在一个较高的起点上，实现一个展现xxx银行网络新面貌的系统。服务的持续性在进行安全改造和安全评估、实时入侵检测的时候，不影响现有系统的正常运行，保证了正常业务的持续开展。安全产品对网络和主机的带宽占用很小，不会影响到正常的网络通讯和主机系统的资源使用。可扩充性系统的设计应能最大限度保护客户现有投资。主机、网络及应用系统除能满足目前及未来若干年业务发展规模之外，还能随着业务的进一步发展而扩充，这就要求目标系统应具有很强的扩充能力，以及相应的主机系统、网络、应用软件都能够平滑升级和扩充。即：要求系统有较大的容量，并且可以容易地增加座席和中继线;随着客户业务的进一步发展，业务的范围会不断拓广，要求系统在功能上是可扩充的，并且这种扩充以不影响现有功能为前提;随着企业服务水平和技术要求的整体提高，系统应能够适应和国内安全系统联网的需求，这类需求不应导致系统生命终结。在用户网络发生改变的时候，安全系统的改变最小，只是简单通过添加授权key和添加监控点，就可以完成整个安全系统的改造;安全性与可靠性xxx银行网络安全管理系统对维持xxx银行网络的顺利运行有非常重要的作用，其安全性与可靠性是个非常重要的特性。这个特性应体现在主机、网络硬件设备与数据库、应用系统的各个方面，并且应能够进行集中式的管理与控制，因而要求整个系统有完整的故障对策，以保证主机系统、网络系统的工作的连续性，以及数据的完整性和安全性。具体地可以分为：网络传输的完整性与安全性：鉴于系统具有多个后台系统的集成联网的特点，整体网络系统应从网络软、硬件技术及网络运行组织和管理上采取必要措施。数据的完整性与安全性：应保证机器中的数据是可靠的，当由于系统故障或事故造成中断时，要求系统对数据的完整性具有检测、保护和恢复的功能。统一规划、分段实施网络安全管理平台的建设涉及的内容多，技术含量高，开发难度和管理工作量很大，因此，系统的建设要在整体规划的基础上，按照先易后难的思路，利用成熟的技术，先行开发一些简单、实用的软件，进行推广，引导全系统开展网络安全建设，并随着技术的进步和成熟，逐步加入新的管理功能。设计依据系统的开发和建设在金盾工程总体方案设计的指导下，严格遵循国家和部、省有关信息系统建设的相关规范标准。采用和参考的部颁发标准有：公安部公安计算机信息系统“九五”规划公安部中间件传输技术标准规范公安机关机构代码编制规则及公安部所属单位机构代码公安信息分类代码标准公共数据交换系统标准请求服务系统标准信息授权策略标准数字证书格式标准急需解决的问题网络安全是一项复杂的系统工程。目前我们面临的问题很多，主要有设备基础信息管理问题、ip地址管理问题、非法外联问题、病毒问题等，通过技术手段，加强内部网络安全的管理工作成为目前的信息网络安全的主要方向之一。网络安全也是一项长期的工程，必须常抓不懈。按照有计划分步实施，并最终建立一套完整的网络安全管理平台。设备和用户基础信息管理是信息网络安全管理平台的基础。本方案将首先建设设备和用户基础信息网络安全管理平台，并在此基础上首先解决目前较为急迫的计算机硬件和软件资产收集管理、ip地址管理问题(包括计算机ip地址登记、计算机和网络设备滥用、盗用ip地址的监测和防止)和非法外联问题。ip地址管理困难存在网络ip地址和计算机名乱用、冒用现象。一些用户自行购置的计算机和网络设备，不登记即自行安装上网，信息中心缺乏有效的监控手段。因此上网设备的ip地址冲突现象时有发生，致使合法设备无法正常工作，严重影响业务工作的开展。一些地方虽采用计算机管理ip地址和用户信息，但管理项目不统一，不便于今后大范围统一管理，信息共享。对违反规定或不允许上网的计算机及网络设备，在技术手段上不能迅速作出处理或限制其上网。在上面的这些问题中，核心问题是ip地址的盗用，ip地址的盗用方法多种多样，其常用方法主要有以下几种：ip地址非正常改动。恶意的改动可能希望达到不可告人的目的如：逃避服务器的记录、让服务器或某些重要任务的机器无法上网。非恶意的改动可能造成同样的后果;ip地址盗用，如将一个非法节点接入网络，盗窃网上的资源甚至对主机发动攻击。网络安全管理平台的建立，可以对计算机及网络设备ip地址进行有效的管理，对计算机和网络设备的ip地址、mac地址以及主机名进行绑定，通过被动侦听、主动扫查相结合的方式发现非法节点，并且可以阻断非法节点(包括合法的ip非法mac、非法ip合法mac、非法ip非法mac)的网络通讯，对非法节点信息进行报警和日志登记等。设备管理困难ip地址是按段分配的，各级信息中心对所管辖网络的ip地址等资源占用和用户情况难以掌握，网上的机器数量难以准确统计。一些实时运行的网络设备和重要服务器的运行状况不能集中监控，日常管理难度和工作量都很大，相关运行信息不能及时发送到质量年管理网站，难以达到公安部运行管理质量年的管理要求。对于设备管理，应该能够做到动态搜索网络的状态信息、计算机的基本信息问题。自动查询所有计算机的硬件信息，并进行统计查询。硬件信息有：计算机类型、cpu型号、主频、内存大小、磁盘容量、剩余空间、鼠标型号、键盘型号、显卡型号、声卡型号等。目前，绝大多数网络设备能够支持简单网络管理协议(snmp)，所以可以通过snmp协议，达到自动网络拓扑功能，实现网络拓扑发现，能够对单个或多个网络进行拓扑。自动拓扑是系统依据网络的路由信息，自动查找整个网络的路由设备、网络交换机以及主机，根据这些网络设备信息生成并以直观的图形方式显示网络的拓扑结构。当网络管理员已经知道了某台或多台设备的ip地址，可以用单个网络拓扑或多个网络拓扑功能，直接拓扑发现设备。网络拓扑结构的显示方式可以按照用户的爱好自行拖曳编排，从而以最方便直观的方式展示网络结构。作为网络安全管理平台的设备管理功能，同时需要提供方便高效的途径进行硬件资产管理。建立基础信息台帐，登记记录进入网络的所有计算机和网络设备的基本情况(包括使用单位、人员信息)。非法外联问题可能有个别的工作人员，为了随意上网浏览信息，包括浏览与工作无关的信息、甚至浏览一些国外色情网站、上网玩游戏、上网进入聊天室聊天、发私人邮件等目的而拨号上网，从而造成内网与国际互连网直接连接，可能造成以下后果：破坏整体安全防护体系。拨号上网看似小事，但却是对整体安全防护体系的严重破坏。自行拨号上网是在内外网之间开辟了一个可以不必经过网络安全防护机制检查的后门，正是这个后门使整个网络的安全性大大降低。引入恶意的入侵。拨号上网用的计算机通常是安装着桌面操作系统的客户机，它的安全性明显低于网络操作系统的安全性，很容易被攻破。来自互联网的恶意入侵者可以轻而易举地入侵和控制这台计算机，然后访问内网中的信息资源，甚至获得内部重要服务器的访问、控制权限，随意地窃取、篡改、和删除重要敏感数据，安装木马程序、病毒程序，中断其正常的服务，使公司网络蒙受巨大损失。引起病毒感染的捷径。网络是计算机病毒传播的一个主要途径，自行拨号上网在公司网络和国际互联网之间开辟了一条通道，使得计算机病毒从互联网上传播到上海监狱管理局网络内部更加容易。不良信息的访问和传播(例如：对反动、色情信息的访问和传播)通过网络安全管理平台的建立，可以检查使用双网卡进行内外网相联的违规行为、检查使用普通电话线或isdn等方式的违规拨号上网行为、记录设备使用人，单位、设备位置、主机ip、起始时间、结束时间等信息，并且通过手机短信、email等多种途径通知管理人员违规行为的出现。共5页。事件定位困难当计算机网络系统成为生产系统后，网络管理就是非常重要的，而网络管理系统对于有效地进行网络管理又具有非常重要的作用。通过网络管理系统实现积极地网管、主动地网管，从而加强对网络的监管，及时进行网络的管理维护，预先安排网络的维护计划，对网络的运行进行预警分析，保障业务系统的正常运转;及时掌握网络的故障情况，并分析其中的规律，实时监测网络性能，对网络异常情况进行追踪，例如，网络在某个节点的性能出现下降，就应跟踪这个节点的性能指标及与这个指标相关的参数，及时得出影响网络性能的因素，为网络的优化和调整提供依据，从而做到有的放矢。在没有网络管理工具的情况下，网络故障的维护往往是当业务系统出现问题时，网络管理人员才去查找网络故障原因，使得网络维护工作总是处于被动状态，影响了业务服务水平，增加了业务人员与网络管理部门间的隔阂。如果能在系统出现故障时及时发现并定位故障的原因和位置，就能为快速排除故障节省宝贵的时间，避免网络故障对业务系统的影响，进而提高网络管理水平和效率。网络安全管理平台可以帮助管理人员发现和纠正网络故障。通常网络系统都由信息管理部门维护，网络用户遇到问题时向维护部门寻求帮助，维护人员记录问题并采取适当措施解决问题。这种管理模式一般称为被动式网络管理(reactive network management)。而采用网络管理系统就可以自动监视网络，检测故障。网管系统检测到故障后，将其写入日志，并且自动执行相应纠正功能或者通知网管人员，由网管人员进行处理。这种管理模式称为应变式网络管理(proactive network management)。应变式网络管理更加优越，它能尽可能地减小故障对用户的影响。在最理想的情况下，一个网络故障应当在用户知道之前就被系统自动发现并且自动纠正。故障报警管理是网络管理的一个重要组成部分，自动从被管网络接收各种报警信息，并通过多种方式直观地进行显示，从而使得网络管理人员能够及时、准确地掌握网络运行的故障问题，以便及时发现和修复网络故障，保障业务系统的有效运行。缺乏完整的安全防护体系对内而言，xxx银行网络还处于基本不设防的状况，安全管理工作缺乏有效的手段。目前，除一些地区使用了网络防病毒产品外，其它网络安全产品，如网络管理系统、防火墙、入侵检测、漏洞扫描和网络审计等系统使用得还比较少。网络安全管理体系还未形成。一些单位虽然使用了一些安全产品，但各产品之间没有联系，给管理工作带来了一定的难度，难以发挥应有的整体效果。作为一个整体的安全防护体系，需要综合考虑以下问题：防火墙系统由于网络的迅速发展，提供了发布信息和检索信息的场所，但它也带来了信息污染和信息破坏的危险，人们为了保护其数据和资源的安全，出现了防火墙。防火墙从本质上说是一种保护装置。它保护的是数据、资源和用户的声誉。防火墙原是建筑物大厦设计来防止火灾从大厦的一部分传播到另一部分的设施。从理论上讲网络防火墙服务也属于类似目的。它防止网络上的危险(病毒、资源盗用等)传播到你的网络内部。而事实上网络防火墙不象一座现代化大厦中的防火墙，更象北京故宫的护城河。它服务于多个目的：限制人们从一个特别的控制点进入;防止侵入者接近你的其它设备;限定人们从一个特别的点离开;有效的阻止破坏者对你的计算机系统进行破坏。防火墙的优点：防火墙能强化安全策略：因为internet上每天都有上百万人在那里收集信息、交换信息，不可避免地会出现个别品德不良的人，或违反规则的人，防火墙是为了防止不良现象发生的交通警察，它执行站点的安全策略，仅仅容许“认可的”和符合规则的请求通过。防火墙能有效地记录internet上的活动：因为所有进出信息都必须通过防火墙，所以防火墙非常适用收集关于系统和网络使用和误用的信息。作为访问的唯一点，防火墙能在被保护的网络和外部网络之间进行记录。防火墙限制暴露用户点：防火墙能够用来隔开网络中一个网段与另一个网段。这样，能够防止影响一个网段的问题通过整个网络传播。防火墙是一个安全策略的检查站：所有进出的信息都必须通过防火墙，防火墙便成为安全问题的检查点，使可疑的访问被拒绝于门外。但是，防火墙对于网络控制也有其不足之处：不能防范恶意的知情者防火墙可以禁止系统用户经过网络连接发送专有的信息，但用户可以将数据复制到磁盘、磁带上，放在公文包中带出去。如果入侵者已经在防火墙内部，防火墙是无能为力的。内部用户偷窃数据，破坏硬件和软件，并且巧妙地修改程序而不接近防火墙。对于来自知情者的威胁只能要求加强内部管理，如主机安全和用户教育等。不能防范不通过它的连接：防火墙能够有效地防止通过它进行传输信息，然而不能防止不通过它而传输的信息。例如，如果站点允许对防火墙后面的内部系统进行拨号访问，那么防火墙绝对没有办法阻止入侵者进行拨号入侵。不能防备全部的威胁：防火墙被用来防备已知的威胁，如果是一个很好的防火墙设计方案，可以防备新的威胁，但没有一个防火墙能自动防御所有的新的威胁。防火墙不能防范病毒：防火墙不能消除网络上的pc机的病毒。通常建立防火墙的目的在于保护内部网免受外部网的侵扰，但有时为了某些原因，我们还需要对内部网的部分站点再加以保护以免受内部的其它站点的侵袭。因此，有时我们需要在同一结构的两个部分之间，或者在同一内部网的两个不同组织结构之间再建立防火墙(也被称为内部防火墙)。因为网络中每一个用户所需要的服务和信息经常是不一样的，它们对安全保障的要求也不一样，所以我们可以将网络组织结构的一部分与其余站点隔离。例如，财务部分与其它部分分开，人事档案部分与办公管理分开等。许多用于建立外部防火墙的工具与技术也可用于建立内部防火墙。入侵检测系统入侵检测是指监视或者在可能的情况下，阻止入侵或者试图控制你的系统或者网络资源的那种努力。设想这样一种情况：网络中有台机器，被连接到网络上，出于一些原因，需要让一些管理或维护人员这台机器上的资源。然而，你并不愿意那些未经授权的人员或者其他未经授权的第三方访问系统，来访问这台机器。典型的做法之一就是使用防火墙或者某种认证系统来防止未经授权的访问。但是，在一些情况下，简单的使用防火墙或者认证系统也可以被攻破。入侵检测就是这样以种技术，它会对未经授权的连接企图作出反应，甚至可以抵御以部分可能的入侵。入侵检测可以分为两大类，基于网络的系统：这种入侵检测放置于网络之上，靠近被检测的系统，它们监测网络流量并判断是否正常。基于主机的系统：这种系统经常运行在被监测的系统之上，用以监测系统上正在运行的进程是否合法。基于网络的入侵检测，基于网络的入侵检测是指监测整个网络流量的系统，一块网卡就可能会有两种用途：普通模式：受数据包里面所包含的mac地址决定，数据被发送到目的主机;混杂模式(promiscuous mode)：所有可以被监测到的信息均被主机接收。网卡可以在普通模式和混杂模式之间进行切换，同样，使用操作系统的低级功能可以完成这种变换。基于网络的入侵检测一般是需要把网卡设置成混杂模式，同时，在交换机内，一个端口所接收的数据并不是一定会转发到另一个端口，所以，在这种情况下，为了能够达到监听所有通信信息，有可能需要在网关上设置镜像端口。当数据包抵达目的主机后，防火墙和网络监控已经无能为力了，但是还有一个办法可以进行一些防护，那就是“基于主机的入侵检测”。基于主机的入侵检测又可以分成两大类：网络监测，这种监测对抵达主机的数据进行分析并试图确认哪些是潜在的威胁，任何连接都可能是潜在的入侵者所为，请注意，这点与基于网络的入侵检测不同，因为它仅仅对已经抵达主机的数据进行监测，而后者则是对网络上的流量进行监控。如此一来就不需要把网卡设置成混杂模式了;主机监测，任何入侵企图(或者成功的入侵)都会在监测文件、文件系统、登录记录或其他主机上的文件中留下痕迹，系统管理员们可以从这些文件中找到相关痕迹。漏洞扫描系统主要功能是实现对网络上的计算机系统进行扫描，检查系统的潜在问题，发现由于安全管理配置不当、疏忽或操作系统本身存在的漏洞(这些漏洞会使系统中的资料容易被网络上怀有恶意的人窃取，甚至造成系统本身的崩溃)，向管理员按照漏洞对系统的危险级别报告检查出的漏洞名称及其详细描述，并同时对发现的漏洞给出了解决办法。防病毒系统目前，xxx银行网络在一些地区使用了网络防病毒产品，但没有达到统一规划，统一配置，统一管理。各防病毒系统没有相互协作工作，不能形成规模效应。用户认证系统身份认证服务是帮助系统识别用户的身份，决定并控制他们在网络上能干什么工作(授权)。在xxx银行网络信息系统中实现对用户的身份鉴别，实现信息的保密性、完整性、真实性和抗抵赖性等保护，采用当今流行的高强度安全策略我国自主知识产权的pki技术为基础的数字证书技术。应用系统可以基于数字证书以及相关的经国家有关部门认可的密码算法认证登录系统的用户的真实身份，进行数字签名和验证签名，采用数字签名技术解决抗抵赖性和数据完整性的的问题，利用安全系统提供的加密算法，解决信息的保密性问题。xxx银行网络安全解决方案安全系统设计是一个综合的系统工程，其复杂性丝毫不亚于设计一个庞大的应用系统。xxx银行网络的安全设计，需要考虑涉及到的所有软硬件产品环节，总体安全往往取决于所有环节中的最薄弱环节，或者说如果有一个环节出了问题，总体安全就得不到保障，这也就是所谓的水桶效应。一个由一根根木条钉成的水桶，它的盛水量是由其最短的那根木条决定的。这个道理对安全设计和网络防黑同样适用。在对xxx银行网络的现状以及需求进行认真研究后，上海宝信软件股份有限公司提出如下解决方案：系统总体结构共5页。系统功能设计整个系统需要提供的应用功能如下图所示：应用系统功能图在上面这幅应用系统功能图中：计算机基础信息管理子系统是完成对本级网络设备的扫描，收集所有的硬件设备信息并保存到数据库，同时友好的查询界面;ip地址管理子系统完成对网络设备ip地址使用的监控，发现ip地址盗用或非法ip地址进行报警并试图封闭此ip地址;非法外联监控子系统完成对非法进行的内外网互联行为的监控、报警、记录并提供查询功能。用户授权认证子系统完成对登录用户的身份确认以及控制用户在系统中的行为动;报警、日志管理子系统完成各种信息的及时报警以及对系统中我们需要记录的任何信息并保存到数据库，提供方便的查询和归档功能;外部接口子系统包含与各网络安全防护子系统的接口，总行、分行、分理处三级系统代理与信息中心的数据传送，以及本系统与潜在的其他系统的通信功能。数据交换接口规范xxx银行网络安全管理系统的是一个分布系统，需要在全网络的计算机之间交换数据，需要在管理系统和其他的系统之间交换数据，因此，必须有统一的数据交换接口规范，描述交换的数据和希望的操作。目前数据交换接口规范非常多，如基于数据库的数据交换、基于tcp/ip通讯的数据交换、基于消息的数据交换等等，但其中没有一个应用程序通信标准，能够独立于平台、组建模型和编程语言，这样，要实现不同系统之间信息或服务的交互是一件比较困难的事情。而web service技术的产生正是为了解决这个问题，通过web service客户端和服务器才能够自由的用http进行通信，不论两个程序的平台和编程语言是什么。web service技术可以让地理上分布在不同区域的计算机和设备一起工作，以便为用户提供各种各样的服务。用户可以控制要获取信息的内容、时间、方式，而不必像现在这样在无数个信息孤岛中浏览，去寻找自己所需要的信息。从发展趋势上看毫无疑问，web service将成为下一代web的主流技术。利用web service，工作人员能够迅速且廉价地通过互联网向用户提供服务，建立广泛的联系。最新的技术是采用xml描述交换的数据和希望的操作，采用webservice的数据交换机制，此技术具有如下优点：对数据的描述功能强劲、语法检查严格，可以保证数据的完整有效，同时，整个描述自动产生，不会给操作人员带来不便。开放性好，xml+webservice被认为是今后的计算机技术发展的方向，已被各大主流厂商如ibm、microsoft、hp、sun等支持，并已经形成一种潮流和一统天下的趋势，并得到越来越多的应用厂商的支持。xml与java、c+结合紧密，可以非常方便地使用java、c+进行开发，完成数据库的操作，jsp、java、c+、xml和webservice的联合使用将为系统的开发提供最好的支持。项目预算培训计划为加强培训工作，使操作人员全面了解系统功能和设备特性，熟悉操作规程和技巧，熟练掌握常规运行、日常维护、以及处理紧急突发事件等手段，培训教师由我方提供。8.1试运行期间的常规培训和练习在试运行开始，对所有操作人员进行常规培训要求：掌握系统的工作原理熟悉全部设备的性能、功能和使用方法。熟悉前端设备的情况熟练掌握常规操作和紧急突发事件的处理方法掌握操作规程和系统维护规程8.2其他培训用户现场操作培训。技术支持：我方保证提供贵方所需的技术支持;技术培训：我方向贵方提供开放的、全面的培训服务，也可协助办理原始厂家的技术培训;售后服务和具体的保证措施宝信的系统服务队伍宝信公司的是由原宝钢计算机公司、宝钢软件公司和宝康公司组成的大型综合公司，在为宝钢的大型生产系统服务的过程中，我们培养了一大批给了能够从事各类计算机系统维护服务的专业人员，其业务结构覆盖计算机网络系统(cisco、ibm、avaya、cabletron、alcatel等)、安全保密项目设计，实施(cisco、iss、天融信、symantec、ca、冠群金辰、北京北方计算中心、启明星辰等)结构化布线系统(avaya、panduit、siemon)、大型主机系统(sun、ibm)、服务器系列、数据库系统(db2、oracle、sybase)、机房系统、ups。有了这样的一支专业队伍的保证，使得我们能够为宝钢的大型计算机系统提供稳定、有效的专业维护。相信这样的一支维护队伍也能够为xxx银行网络安全管理平台的建设提供优质的服务。服务模式故障呼叫服务。项目结束后，我公司将派工程师协助用户对全系统的性能进行测试，确定合格。宝信公司有专业的售后服务人员负责系统的故障呼叫服务。用户系统出现故障或问题，可以拨打宝信技术支持工程师的电话，电话无法解决时，提供现场服务。宝信公司将与客户保持经常性的联系。为了准确了解客户的需求及实际应用中所面临的问题，宝信公司将通过电话方式或现场访问形式定期访问用户，以便及时发现问题，适时调整服务内容和服务方式，从而更好地做好服务。文档：为了方便用户的管理，我们将提供整套安全管理平台建设的各种文档。上海宝信软件股份有限公司简介公司背景及资信上海宝信软件股份有限公司(简称宝信软件)成立于2000年4月，公司位于上海浦东张江高科技园区，注册资金2.6亿元人民币，是上海宝钢集团公司控股的股份制上市软件企业，目前员工总数 1058人，其中博士19名、硕士212名，并有一批专业领域专家。公司以宝钢原有的三家从事信息与自动化技术的子公司，即宝钢计算机公司、宝钢软件公司和宝利公司为基础组建而成，在人才、技术和市场资源等方面具有综合优势。公司主营业务包括：具有自主知识产权的软硬件产品开发、系统及资源外包服务、erp系统解决方案、生产控制与管理系统解决方案、自动化控制系统集成及智能控制技术应用、网络集成与维护、智能交通和智能楼宇、电子商务和软件出口等。2001年实现销售收入达3.96亿元人民币。宝信软件是上海市高新技术企业，已通过iso9001质量体系认证，具有科技经营、信息服务、设备维修、智能建筑等多项资质证书，并在2002年通过了信息产业部计算机信息系统集成一级资质认证。我们正着力构筑“产品-工程-服务”的产业链完善b-erp系统并建立基于知识的企业管理平台;强化过程自动化的系统集成能力;开拓供应链相关制造企业的erp、asp市场;进入城市信息化建设和服务市场。我们将致力于利用信息技术提升传统企业的竞争力成为企业信息化解决方案的主要供应商;成为流程工业企业自动化系统的主要集成商。宝信公司质量方针树立质量意识和服务意识，实行全过程质量管理;争创it行业一流水平。共5页。宝信公司组织机构公司主要技术及产品宝信项目网络项目我们建设的宝钢企业信息网，是以155m atm作为核心技术，以非完全网状拓扑结构保证核心业务的传输可靠性，并完成了异种网络(atm与tdm)之间的互联。整个网络覆盖18平方公里的厂区，atm网络结点18个，光缆总长度超过360公里，有3000多台服务器、终端在网上工作，是亚洲最大的企业网。33层的宝钢大厦是上海宝钢集团公司总部所在地和国内钢铁交易活动的主要场所，集办公、贸易、酒店、餐饮、娱乐为一体。我们承建的网络工程采用atm技术，支持多媒体应用，并与宝钢主干网相连。秦山核电站网络工程由我公司通过激烈的投标竞争后取得。工程包括7幢办公楼和核电厂信息网络。系统具有开放式体系结构，遵循国际标准，采用国际上先进的、成熟的技术，具有可扩充性，网络管理功能完善，系统具有较好的性能/价格比。安全项目我们在为客户进行的安全项目设计，实施中采用开放式体系结构，遵循国际标准，采用国际上先进的、成熟的技术，保证最大限度的满足客户对安全的需求。我们设计、实施的上海宝山钢铁股份有限公司网络安全项目帮助上海宝山钢铁股份有限公司在内部的管理，安全的电子商务，网上采购等各项业务中极大的提高了系统的安全性，减少了交易的风险，获得了更高的投资收益。部分成功案例：秦山核电安全项目深圳联合证券网络安全项目宝信技术宝信公司在erp系统、生产控制与管理系统、自动化控制系统、网络集成、电子商务等方面拥有技术、人才的资源优势。同时，依托具有世界一流自动化水平的大型企业，通过与国外著名计算机厂商的合作，我们在开发大中型控制、管理与自动化系统的过程中积累了丰富的经验，形成了完整的项目管理和工程质量控制体系。erp系统解决方案我们开发的宝钢整体产销信息管理系统(b-erp系统)，投入百余名技术人员，历时三年完成。系统引入“以财务管理为中心”的先进理念和“动态会计帐”、“全过程合同跟踪”等全新功能，每天的合同信息处理量达65万余条，是国内钢铁行业第一个大型erp系统。成功案例：宝钢erp系统医院his系统解决方案该方案根据医院的业务流程并参照了国家卫生部、上海市卫生局以及上海市医疗保险局的相关法规而制定，是一套集计算机辅助诊疗、财务管理和科室核算等功能于一体的完善的医院信息系统解决方案。成功案例：宝钢医院his系统炼钢