某市商业银行网络安全解决方案

某市商业银行网络安全解决方案 某市商业银行经过多年的建设 已经形成比较完善的综合网络 整体结构是通过广域网连接的二级网 络 在二级网络上运行着银行业务系统 办公自动化系统 代理业务系统等 由于应用系统的复杂化 网 络安全体系的建立和网络安全的全面解决方案更是迫在眉睫 根据某市商业银行网络的实际情况 本方案从以下几个方面来解决某市商业银行网络的安全隐患 Internet 接入安全 中心生产网络的网络安全 全网防病毒系统体系 办公自动化系统的安全 生产前置机安全 办公网络与生产网络物理线路共享情况下保证生产网络的安全 一 技术安全手段需求分析 1 1 网络现状 网络总体结构 图一 网络拓扑结构 目前某市商业银行已经建成了以中心网络为一级网络 支行与网点为二级网络的生产网络 同时还并 行有一套覆盖到办公大楼 支行 网点的办公自动化系统停可弦 行系统目前处于筹建阶段 在图一中办 公网部分没有接入商业银行生产网络 虚线表示当办公自动化需要从生产主机获得帐表信息时 才手工联 接两个网络 完成帐表信息导出之后 手工断开两个网络之间的连接 在安全方案中需要在系统部署前统 一考虑两个网络连接在一起之后的安全问题 OA 服务器在部署以后未来可能提供远程移动办公支持 移 动用户通过远程接入 Internet 利用浏览器访问 OA 服务器本身提供的 Web 服务 OA 服务器本身基于 Lotus Notes 建设 生产网络是银行网络的最根本应用 某市商业银行生产网络分为 3 个大的部分 第一部分 中心生产网络核心包括以 SNA 网络为基础的生产机系统 以两台 RS9000 作为生产系统 且互相备份 所有对生产主机的访问均通过前置机群完成 第二部分 外联单位 外联单位是主要涉及到商业银行与银联之间的结算等业务 企业通过各种多样 的方式接入商业银行网络 第三部分 支行及网点 某市商业银行目前有多个网点和支行 通过 DDN 接入中心网络 同时采用 PSTN 作为备份线路 由于目前办公网络虽然在逻辑上独立于生产网络 但是办公网络在物理线路上与生产网络共享 因此 生产网络需要考虑来自办公网络的安全威胁 1 2 办公网络安全技术需求分析 办公自动化系统是基于 Unix 平台的办公自动化系统 某市商业银行初步拟定采用 Lotus Notes 作为办 公自动化的开发与运行平台 利用 Lotus Notes 自身提供的邮件服务功能 对办公自动化系统的用户提供 内部办公自动化服务 同时利用 Lotus Notes 系统自身提供的 Web 服务功能 由于管理的需要 办公系统 要定期从生产主机上提取数据进行统计分析生成报表 其中 信贷业务 帐务查询数据要传往办公网上的 服务器 数据在这两个网段上经过加工 供其他系统查询 因此 办公网要保持与生产网的连接 同时生 产主机也要为其提供相应的服务 在办公网上还运行着许多与生产网无关的主机和工作站 结果造成生产 网上的主机暴露于这些主机和工作站的直接访问之下 从而造成系统的安全隐患 办公自动化系统的安全技术需求如下 编号目标需求内容 1 办公自动化服务器自身安全保证办公自动化系统的基础运行平台 Unix 操作系统的安 全 2 办公自动化系统平台自身安全保证办公自动化系统的基础开发运行平台 Lotus Notes 系 统的安全 3 办公自动化系统自身安全保证基于 Lotus Notes 开发的办公自动化系统本身安全 4 远程移动办公安全保证远程移动办公用户能够安全可靠的使用本系统 5 防病毒体系针对办公自动化系统覆盖面广 终端以 Windows 系统为 主体的特点 需要建立全网统一的防病毒体系 6 实时网络入侵检测对内部办公自动化系统进行分布式入侵行为的实时检测 并实施统一集中管理 表一 办公自动化系统的安全需求 1 3 生产网络安全技术需求分析 某市商业银行生产网络是典型的银行生产系统 以大型 Unix 主机为核心 采用 SNA 网络 前置机围 绕大型 Unix 主机 负责将外围 IP 网络或其他网络转换到 SNA 网络中 商业银行与传统银行多级网络的 区别在于某市商业银行生产网络为二级网络 在支行 网点等的业务连接到中心 必须通过前置机访问中 心网络 在支行 网点不存在二级的前置机直接访问核心网络 目前商业银行的生产网络在中心节点与二级节点之间的没有采用加密传输和认证机制 生产网络安全技术需求如下 编号目标需求内容 1 生产机的安全保证生产系统主机的安全 2 前置机的安全保证前置机的安全 3 网络传输安全保证生产网络传输的安全 4 系统审计建立网络安全审计与系统审计机制 5 实时网络入侵检测对生产网络进行分布式入侵行为的实时检测 并实施统一 集中管理 表二 生产网络安全技术需求表 1 4 网络互联安全 某市商业银行网络互联安全分为三部分 第一部分 与外部网络的互联安全 某市商业银行网络与移动 银联系统 人行 医保和社保 电信等系统需要进行网络互联 这部分网 络互联的需求如下 编号目标需求内容 1 访问控制保证指定用户访问指定前置机 2 过滤机制过滤与前置机业务无关访问 3 地址转化保证前置机与外部网络之间彼此隔离 表三 与外部网络的互联安全需求 第二部分 内部办公网与生产网之间的互联安全 内部办公网与生产网之间共享物理线路 两个网络物理上彼此互联 这两个网互联的安全需求如下 编号目标需求内容 1 保证各自网络的安全边界即办公网络的安全事故不能影响生产网络的正常运行 2 保证网络的逻辑隔离即从办公网络内部不能危害生产网络 3 保证网络服务质量即保证生产网络在现有带宽需求中的服务质量 办公网络 的应用带宽需求不应影响生产网络正常有序工作 表四 内部办公网与生产网之间互联的安全需求 第三部分 与公共电话系统的互联安全 为了网上银行系统能够满足企业用户的需求 因此网上银行系统需要与公共电话连接 同时某市商业 银行的信息网络建设规划中包括了通过 Internet 提供网上银行业务 对网上银行系统的互联安全需求如下 编号目标需求内容 1 拨号访问路由接入的访问控制对来自公共电话网络的访问进行控制 对匿名用户的访问 资源进行控制 2 网上银行应用服务器的安全保证应用服务器运行的操作系统平台安全 3 网上银行应用服务系统的安全保证应用服务的自身安全 4 实时网络入侵检测对针对网上银行前置业务的攻击进行入侵行为的实时检测 并实施统一集中管理 表五 网上银行的互联安全需求表 二 针对安全风险的技术解决手段 2 1 防火墙技术 防火墙可以作为不同网络或网络安全域之间信息的出入口 将内部网和公众网如 Internet 分开 它能 根据企业的安全策略控制出入网络的信息流 且本身具有较强的抗攻击能力 在逻辑上 防火墙是一个分 离器 一个限制器 也是一个分析器 有效地监控了内部网和 Internet 之间的任何活动 保证了内部网络 的安全 防火墙技术可以有效控制的风险包括 利用 Finger 来发掘用户信息 利用 TCP IP 指纹识别确定操作系统类型 利用 Telnet 旗标确定操作系统类型 利用服务的旗标信息确定服务类型 用专用工具进行服务类型探测 对服务器进行端口扫描 利用 Unix 的 FTP 服务漏洞 SITE EXEC 漏洞 利用 Unix 的 FTP 服务漏洞 setproctitle 漏洞 利用 Bind 服务漏洞 利用 Telnet 服务漏洞 利用后门与木马 利用 rpc mountd 服务漏洞 利用 sendmail 服务漏洞 利用 lpd 服务漏洞 利用 NFS 服务漏洞 利用 X windows 服务漏洞 绑定 Shell 端口 利用 IPC 列举用户名 从 AD 上查找前置机主机 Windows RPC DCOM 远程溢出 MS026 Windows RPC DCOM 远程溢出 MS039 网络蠕虫堵塞整个网络 影响生产网络 利用前置机群与生产主机之间的信任关系攻击生产网络核心 利用办公自动化服务器与前置机群或生产主机之间的信任关系攻击生产网络 蠕虫影响办公网内部 Window 平台 蠕虫影响办公网内部邮件系统 办公网应用形式较为丰富 因此对网络带宽消耗可能造成生产网的数据通信带宽不足 从而导致生产 网不畅通 二级网点或支行与中心连接没有必要的访问控制和边界控制手段 因此来自二级网点或支行局域网的 用户可能威胁办公自动化系统和中心生产系统 应用防火墙技术之后 有效的控制了上述风险的同时 可以简化管理 同时本节提出的防火墙技术可 以降低管理员的负担 提供更多更灵活的选择 2 2 网络防病毒体系 计算机病毒感染所造成的威胁以及破坏是目前广大计算机用户所面临的主要问题 本方案采用网络防病毒体系 要求网络防病毒体系应针对整个网络或是单一的工作站都能进行有效保 护的防病毒解决方案 可以对 Windows 2000 NT 95 98 3 x 以及 DOS 和 Macintosh Novell NetWare Linux 和 UNIX 等操作系统提供保护 作为一个一体化的网络防病毒解决方案 应具备特征代 码检查方式和基于规则的变态分析器病毒扫描程序 从而检测到已知病毒 防病毒引擎可以从多个侧面和 途径防止计算机病毒侵入系统 保护整个企业 IT 系统的安全 具有强大的功能和优秀的可管理性 应用网络防病毒体系结构之后 可控制网络蠕虫堵塞整个网络 影响生产网络 病毒威胁桌面 PC 等 风险 应用了网络防病毒技术之后 可以从三个层面有效防范病毒的传播和蔓延 Internet 下载 软盘和光盘传播 邮件传播 2 3 网络入侵检测技术 应用入侵检测的网络监测功能 攻击行为检查 高速流量捕获 策略响应 防火墙联动 关联事件分 析等技术要素 可实现如下风险的控制 利用 Lotus Notes 的 Web 服务器漏洞 Lotus Notes 口令认证可被绕过 利用 Lotus Notes 的 Web 服务器漏洞 Lotus Notes 配置信息被远程读取 利用 Unix 的 FTP 服务漏洞 SITE EXEC 漏洞 利用 Unix 的 FTP 服务漏洞 setproctitle 漏洞 利用 Bind 服务漏洞 利用 Telnet 服务漏洞 利用后门与木马 利用 rpc mountd 服务漏洞 利用 sendmail 服务漏洞 利用 lpd 服务漏洞 利用 NFS 服务漏洞 利用 X windows 服务漏洞 Windows RPC DCOM 远程溢出 MS026 Windows RPC DCOM 远程溢出 MS039 TCP 登录会话劫持 发送一个伪造的报告到 telnet login sh 安装木马 应用网络入侵检测技术之后不仅有效控制了上述风险 同时入侵检测要求如自身安全性 抗 IDS 逃避 抗事件风暴等技术要素 有效避免了入侵检测自身引入的新的风险 同时分级管理 多用户权限 分布式 部署的要求大大降低了管理员的负担 2 4 基于 X 509 证书的身份认证技术与 SSL 技术 针对某市商业银行办公自动化系统远程移动办公安全认证技术 本方案采用 X509 证书协议 为远程 移动办公的身份认证提供基础保障 同时采用 SSL 技术实现了远程移动办公用户与办公自动化服务器之 间的通信安全 在 SSL 中 利用如下安全机制保证认证信息不被篡改和伪造 通过 SSL 协议完成客户端 浏览器 和服务器之间的双向身份认证 客户端数字证书和个人私钥存储在外部介质如 USB key 中 由统一的用户管理中心中心为客户端和服务器分发的密钥对 其密钥长度 1024bit 认证过程中使 用证书吊销列表验证证书有效状态 应用证书身份认证与 SSL 技术以后控制的风险如下 已知内部命名规范情况下暴力破解口令 利用内部名单搜寻登录办公自动化系统的授权用户 利用公开的默认口令尝试办公自动化系统 获取内部公文 获取帐表系统报表数据 获取内部通讯录 篡改公文内容 网络窃听 获得更多广播信息 窃听以明文方式传输的用户名和密码 匿名用户利用 WebSphare 的 Web 服务缺陷远程获取敏感信息 匿名用户利用 WebSphare 的 Web 服务缺陷远程绕过 WebSphare 的基本认证 缺乏有效的身份认证手段识别远程企业用户和匿名用户 企业用户远程交易时数据传输缺乏加密保证 2 5 网络安全审计技术 本方案采用网络安全审计技术 主要针对使用互联网访问非法站点 传递和发布非法信息 内部网络 中的资源滥用 内部商业信息泄漏等等问题 对被监控网络中的 Internet 使用情况进行监控 对各种网络 违规行为实时报告 甚至对某些特定的违规主机进行封锁 以帮助网络管理员对网络信息资源进行有效的 管理和维护 应用网络安全审计技术以后可以控制的风险包括 Internet 资源被滥用 获取内部公文 获取帐表系统报表数据 获取内部通讯录 获取口令文件的 shadow 破解系统管理员口令 2 6 VPN 技术 针对某市商业银行保证生产网络 办公网以及通信机密性的需求 方案规划系统采用 VPN 技术解决 方案 应用 VPN 技术以后可以控制的风险包括