中国金融行业计算机网络安全解决方案

中国金融行业计算机网络安全解决方案（银行部分缩略稿）亿阳信通目录TOC\o"1-3"第一部分概述 31.1计算机网络安全 31.2密码技术的应用 31.3相关政策法规 41.4定义 41.5参考资料 5第二部分金融行业网络安全需求 62.1系统配置 62.1.1系统名称 62.1.2基本业务 62.1.3系统配置 62.2目前系统存在的安全性问题 6第三部分银行业三级网网络安全解决方案 73.1方案设计原则 73.2方案设计思想 8第四部分银行业三级网网络安全方案设计 84.1方案分析 84.2产品介绍 114.2.1线路密码机 114.2.2网络密码机 114.2.3亿阳网警BOCO.SFW-2000A型防火墙 114.2.4亿阳网络密码机安全管理中心 114.2.5亿阳防火墙安全管理中心 124.2.6漏洞扫描系统 124.2.7入侵检测系统 134.2.8亿阳一次口令认证服务系统 134.2.9web页面恢复系统 13第五部分方案评估 144.1安全性 144.2可靠性 144.3实用性 144.4扩展性 144.5标准性 141.5参考资料[1]ISO7498-2-1989信息处理系统开放系统互连基本参考模型第2部份:安全体系结构银行计算机安全体系研究1998ANSIX3.92:1981数据加密算法通讯网的安全─理论与技术计算机的安全与保密网络安全与数据完整性本方案基本符合以下政策要求：《中国证券经营机构营业部信息系统技术管理规范（试行）》《证券经营机构营业部信息系统安全管理手册》《关于发布〈期货交易所、期货经营机构信息技术管理规范（试行）〉的通知》《国家商用密码管理条例》《中华人民共和国计算机信息系统安全保护条例》方案编写单位亿阳信通，国家商用密码产品生产定点单位，高科技股份制企业，股票代码：600289。第二部分金融行业网络安全需求2.1系统配置2.1.1系统名称某银行三级网（包括柜台业务和中间业务）2.1.2基本业务柜台业务中间业务2.1.3系统配置某银行的三级网连接支行（或县支行）到其所属市级某银行的重要通讯网络，三级网的数量众多，而且通讯线路和通讯协议比较复杂，在三级网上运行的业务有柜台业务、中间业务等。某银行二级网是典型的主机/终端结构，在网络形式上是SNA网络，但在市分行三级网内的柜台业务上大都以TCP/IP作为通讯协议，在市行储蓄业务服务器进行处理后由SDLC网关转换成SNA协议后送到省行中心的IBM大机。而中间业务多数是和本地区的企业相关，一般都在市行中心的中间业务服务器上进行处理。中间业务的网络环境和相连的企业相关，由于企业的网络环境各不相同，所以在通讯线路、协议种类上有所不同。两种业务都以市分行的中心局域网为中心，所有的服务器都放在中心机房中，通过中心局域网联到路由器上。在柜台业务中，支行的局域网路由器通过DDN同步线路接到市分行，在市分行的以DDN同步线路或通道化E1DDN线路接到中心的路由器广域网端口上。在中间业务中，由于各个企业单位的所采用的通讯线路和协议各不一样，如通讯线路有DDN、电话线、X.25等，网络协议有TCP/IP、IPX/SPX等，业务软件也有所差别。2.2目前系统存在的安全性问题现在我们重点分析某银行三级网在广域网络通讯安全性方面以及业务系统安全性方面存在的问题，站在信息系统攻击者的角度看，对现有网络可能采用的攻击手段主要有：⑴线路窃听通过搭线截获通讯数据，掌握敏感数据，并可能通过协议分析等手段，进一步对系统内部进行攻击。⑵网络入侵通过广域网络，利用病毒、系统安全漏洞、协议分析等技术非法登录到主机系统，或非法存取计算机资源。⑶节点仿冒伪造网络地址，非法设立网络节点，甚至非法复制安装相应的应用软件，接入网络系统。⑷中间人攻击以某种机制接到通讯双方之间，对发送方冒充成接收方，对接收方冒充成发送方，从而骗取通讯双方的信任，并获得机密信息。⑸非授权访问有意避开系统访问控制机制，对网络设备及资源进行非正常使用，擅自扩大权限，越权访问信息。⑹业务抵赖 在处理完某笔业务后，参与业务的某方否认所做的业务处理。第三部分银行业三级网网络安全解决方案3.1方案设计原则需求、风险、代价平衡分析的原则对任一网络，绝对安全难以达到，也不一定是必要的。对一个网络要进行实际的研究(包括任务、性能、结构、可靠性、可维护性等)，并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析，然后制定规范和措施，确定本系统的安全策略。某银行三级网数量众多，直接涉及某银行、企业和储户大量的资金安全，因此，我们在设计安全机制时，采用的安全技术是以现实不可破译作为尺度，现实不可破译的含义是以目前及将来的一段时间内可能采用的技术，不可能在有效时间内破译。综合性、整体性原则应用系统工程的观点、方法，分析网络的安全及具体措施。网络系统是一个整体，任何一个环节出了安全漏洞，整个系统的安全都会受到威胁。根据本系统现状分析，我们需要整体考虑市分行、支行、企业、通讯线路四个部分，在业务上考虑同时考虑柜台业务和中间业务的安全性，使两种业务共同使用同一套安全系统，以减少设备的重复投资。总之，计算机网络安全应遵循整体安全性原则，根据确定的安全策略制定出合理的网络体系结构及网络安全体系结构。一致性原则一致性原则主要是指网络安全问题应与整个网络的工作周期(或生命周期)同时存在，制定的安全体系结构必须与网络的安全需求相一致。作为一个金融交易系统，综合业务网络系统仍然在不断完善及发展中，本系统的建立应符合目前及近期发展规划的要求。易操作性原则安全措施需要人去完成，如果措施过于复杂，对人的要求过高，本身就降低了安全性。另外，措施的采用不能影响系统的正常运行。本方案采用的线路加密和网络加密技术对应用软件完全透明，实现与操作都不需要人工干预。适应性及灵活性原则安全措施必须能随着网络性能及安全需求的变化而变化，要容易适应、容易修改。本设计方案具备可扩充性和可升级性，能适应将来网络规模的发展。3.2方案设计思想结合使用密码技术和签名认证技术使通讯线路中的数据不被非法用户理解和伪造以及业务数据的抗抵赖。它涉及两个转换算法：加密算法和解密算法。一个密码系统的强度由以下因素决定：密码空间的大小；算法是否存在后门；以及它对于密码分析的抵抗能力。目前密码机制有两种类型：对称密码机制和公开密码机制。对称密钥机制该密码机制的加密算法和解密算法共用同一把密钥，加密算法和解密算法互为逆过程。该机制的主要缺点在于密钥难于管理（主要是密钥的分发和销毁管理问题），典型的算法有DES算法。公开密钥机制该密码机制的加密算法和解密算法使用各自的密钥，其中加密密钥是公开的，众所周知的，解密密钥是秘密的，只为拥有者所知道。该类算法虽没有密钥分发管理之忧，但速度慢，并且公开密钥身份的真实性需严格认证。典型的算法有RSA算法。我们在设计中将把两者结合使用，使系统在安全性和加密效率上达到一个最佳的结合点。第四部分银行业三级网网络安全方案设计4.1方案分析在某银行三级网这样一个数量多，结构复杂的网络系统，需用结合采用应用层加密、网络层加密、数据链路层加密，在设备上体现为网络防火墙、网络密码机、线路密码机、漏洞扫描器、入侵检测引擎、一次口令认证服务器、USB加密认证服务器、网上银行页面恢复系统、网络安全管理中心等安全设备，根据不同的网络环境、线路情况，结合采用不同的加密安全设备。方案所采用的设备要能够同时为柜台业务和中间业务提供安全保障，使所建立的安全子系统成为统一的整体。我们首先考虑在省分行中心端，由于储蓄业务服务器、中间业务服务器等重要的系统设备都放置在中心局域网中，而且省分行局域网还通过一级网上联到国家总行，所以省分行的安全性十分重要。为此，我们要对允许访问省中心局域网的通讯对端的身份、权限等要进行严格的审查，拒绝一切非法的访问，并通过服务端口重定向、地址伪装等技术来隔离内部网和外部网。在此基础上，我们给业务服务器增加高速密码卡，提供功能强大的安全应用API（应用程序接口），应用服务器通过调用API来实现数字签名、验证签名、数据加密、完整性校验等安全服务，实现应用层的加密。同时，在此基础之上还结合有网络密码机，实现对应用系统透明的IP层加密。在中心采用这种结合了安全应用API、防火墙、网络密码机的安全设备，可以同时为柜台业务和中间业务提供安全保密服务，既提高了安全性，又减少了所需添加的设备数量。同时，由于省分行开设了电话银行、手机银行、银证转账、柜台前移等系统，所以也必须考虑到银行到电信、银行到证券、银行到终端用户之间交易的认证和安全问题，这一些主要依靠开辟VPN隧道、增加令牌卡等措施加强网络安全。在支行端或客户端，对于柜台业务或某些非TCP/IP网络协议的通讯环境，可以采用线路密码机来对通讯数据进行加密，同时对通讯的对端进行节点认证。当然，在中心端也要为相应的线路添加线路密码机。采用线路密码机的好处在于使用方便（对应用系统和网络层协议完全透明），可以实现大部分的安全功能，但投资较少。如果某个客户端到中心的通讯线路有多条，或线路的速率较快，则采用线路密码机的投资较高，这时可以采用网络密码机，多条线路共同使用一台网络密码机提供的安全功能，使投资较少。上面两种方式实现的数据链路层和网络层的加密，但象数字签名、数据库加密等一些安全功能要在应用层上实现，我们提供了和安全服务器相配套的安全应用API客户端软件和加密硬件，为客户端提供和中心端安全服务器相配套的应用层安全服务。在现有和将来要实现的应用系统上可以通过调用这些安全服务来实现功能完善的各种安全功能。安全系统结构参见示意图一。防火墙防火墙LAN1：部门1网络安全分析系统EmailServerWWW探测引擎DMZLAN2：部门2行长办公室LAN3：部门3防火墙网络密码机安全管理中心探测引擎探测引擎认证服务器一次口令卡一次口令卡一次口令卡线路密码机线路密码机线路密码机线路密码机线路密码机池网络密码机/线路密码机防火墙网络密码机电话银行/手机银行固定用户拨号（网上银行/家居银行）移动用户拨号（网上银行）企业用户（柜台前移系统）市行中心局域网网络病毒防护服务器VPN加密隧道储蓄业务网点储蓄业务网点储蓄业务网点储蓄业务网点省分行页面恢复服务器中国电信/中国移动Internet证券公司（银证转账系统）国家总行4.2产品介绍4.2.1线路密码机线路密码机是数据链路层上的加密设备，为通讯双方提供端到端的数据保密服务，具有使用方便，见效快的特点。它提供如下安全功能：数据加密：线路密码机在数据链路层上将数据进行加密，而加密的密钥是由通讯双方自行协商的随机数，有效地防止了线路上的数据窃听、非法篡改、数据分析等多种攻击；节点认证：通讯双方的线路密码机在进行通讯前要进行密码机的身份认证和密钥协商，由于采用了非对称密码算法和签名机制，在无有效的密钥卡或线路密码机的情况下将无法接入通讯网络和对方的密码机通讯，有效地防止节点设备的非法仿冒。4.2.2网络密码机亿阳SJW13网络保密机是基于IP层数据加密的台式设备，已经获得国家密码管理委员会研制许可，高强度加密，对称密码体制密钥长度256位。国家开发银行总行及各地分行选用4Mbps速率的机型，采用对称密码体制进行工作，具有访问控制、数据加密、完整性校验、节点身份认证等功能，同时集成了亿阳网警BOCO.SFW-2000A型防火墙于一身。本机型支持加密卡热备份。亿阳网络保密机配有专用管理系统，负责密钥的生成、发放、更新与销毁，同时实现对亿阳所有安全设备（含密码设备与防火墙设备）的在线监控与报警。4.2.3亿阳网警BOCO.SFW-2000A型防火墙亿阳网警BOCO.SFW-2000A型防火墙是基于IP层数据包访问控制技术的台式设备，已经获得国家公安部销售许可，许可证书号XKC33050。该设备可以实现IP包过滤、地址转换、透明代理、地址绑定、路由模块等功能为一体，同时支持远程安全管理中心的在线监控与管理。4.2.4亿阳网络密码机安全管理中心亿阳安全管理中心是基于亿阳多种安全设备平台的安全管理系统，负责安全设备的密钥和证书的分配、管理和注销，负责安全策略远程集中统一的实施、监控、审计和响应。亿阳安全管理中心基于业界领先的动态可适应性安全管理模型，渗透了亿阳信息安全的核心是管理的思想。亿阳SJW13网络密码机安全管理中心是“亿阳VPN网络安全解决方案”的核心部分，是亿阳安全管理中心面向亿阳SJW13网络密码机的一个特定子系统。亿阳SJW13网络密码机安全管理中心负责亿阳SJW13网络密码机公私钥证书的分配、管理和吊销；负责亿阳SJW13网络密码机安全联盟和安全策略的远程集中统一配置和管理；实现远程配置、远程监控、远程审计和远程响应，与整个网络安全系统中的多台亿阳SJW13网络密码机组成一个分布式智能VPN系统。4.2.5亿阳防火墙安全管理中心亿阳网警2000A防火墙管理中心，是针对亿阳网警2000A防火墙主机系统所设计的安全管理中心产品。它以友好的图形管理界面对整个网络安全系统中的所有亿阳2000A防火墙进行集中统一的管理，保证网络安全系统的整体安全策略的实施、监控和响应，实现亿阳网警防火墙的远程配置、远程监测、远程审计。中心具有下列的主要功能：实施各防火墙主机系统的安全策略集中配置管理防火墙主机通过安全策略，完成对进出内部网和外部网络间的信息的访问控制，管理中心通过友好图形界面的形式，提供了对多台防火墙主机系统的安全策略进行集中配置的手段，极大方便了用户对多个防火墙系统的策略管理；完成对各防火墙主机系统的管理员和管理中心用户的集中管理中心可以为各防火墙的管理员建立档案，明确了各防火墙管理员的责任，为防火墙的科学管理提供了依据；实时监控各防火墙系统的工作状态中心可以实现各防火墙系统的工作状态的实时监控，能及时发现各防火墙系统在运行过程中是否出故障，便于用户集中地了解各防火墙系统的运行状况。实时审计各防火墙的日志信息中心可心实时对防火墙的各种日志信息，如操作日志、包过滤日志、代理日志、运行日志、其它日志信息进行实时审计，便于用户及时了解防火墙主机所发生的各事件的记录。4.2.6漏洞扫描系统该产品对Internet/Intranet中所有部件（Web站点、防火墙、路由器、TCP/IP及相关协议服务）进行实践性扫描、分析和评估，发现并报告系统存在的弱点和漏洞，评估安全风险，建议补救措施。该产品能发现以下问题：系统开放了不必要的服务；软件的版本问题、缺省配置、具有缺点、未装补丁；NT服务器的配置问题；Web服务器的配置问题；防火墙的配置与路由器的访问控制表的配置问题；信息泄漏——Telnet旗标、Finger、SNMP、SMTP；信任关系——rlogin、rsh、rexec；口令弱；检测类似BO、NetBus等特洛伊木马；文件共享不合适——netbios、netware；远程访问不安全。4.2.7入侵检测系统该系统是实时网络违规自动识别和响应系统。它运行于有敏感数据需要保护的网络上，通过实时监听网络数据流，识别、记录入侵和破坏性代码流，寻找网络违规模式和未授权的网络访问尝试。当发现网络违规模式和未授权的网络访问时，网络信息安全监测预警系统能够根据系统安全策略做出反应。实时网络数据流跟踪：该系统运行于有敏感数据需要保护的网络之上，实时监视网络上的数据，分析网络通信会话轨迹。网络攻击模式识别：该系统内置已知的网络攻击模式数据库，能够根据网络数据流和网络通信会话轨迹，寻找网络攻击模式。网络安全违规活动捕获：能够根据用户自定义的网络安全策略对网络活动进行检查，捕获网络安全违规活动。网络安全事件的自动响应：能够自动响应网络安全事件，包括控制台报警；纪录网