网络安全解决方案

网络安全解决方案

用户环境

省行和多个地市分行，分别通过DDN、FR、X.25及其它通讯手段连接，互联方式主要采用TCP/IP。

与一级网连接，同样采用TCP/IP实现互联。全辖通过总行的Internet出口访问Internet，进行Web浏览、收发Email、Ftp等应用。

由于业务需要，省行（及下辖各地市行）与同城的其它机构（如人民银行、证券等）采用TCP/IP进行互联。

省分行有基于TCP/IP的业务系统。

省市行计算机系统设备多。

全辖范围内的WAN互联速率从19.2K到256Kbps。

在广域网上传输的数据部分使用了应用层的加密技术。

2.用户需求

随着网络互联的迅速扩大，网络应用的增加，用户越来越关心整个系统的安全生产问题。

2.1现状

在现有的网络和应用系统中，基本未采取任何安全措施，主机仅仅靠PASSWD来维持自身安全，并且主机操作系统和应用系统的安全漏洞也未作任何处理，系统管理上也成在着诸如ROOT用户无口令或长期不改口令等许多问题，在广域网上，随着业务的扩展，也越来越多的同人行、外管、税务等单位

互连，这一切都形成了严重的安全问题，严重的威胁着省行的应用系统。

在近来的网络监控中，也常发现有系统和主机被试图入侵的情况，对辖内的系统和主机的检查的扫描中，发现了大量的安全漏洞，并且有许多安全漏洞是很难避免和根除的。

另外，通过网络进行传播的计算机及网络病毒严重影响了银行的正常业务开展，给安全生产构成威胁。

2.2安全威胁

总结描述的问题，结合目前所知道的安全威胁，我们发现，以下安全问题均可能对银行的安全生产造成严重威胁：

业务系统与其它系统未进行充分隔离。

辖内网络与外单位的互联未进行充分隔离。

对计算机和网络病毒未采用充分手段进行防御。

对存在的已知安全漏洞缺乏评估，因此也无法采用技术和行政手段进行修补。

对是否受到入侵缺乏监控审计和监控措施。

对内部人员操作的技术监控。

缺乏强有力的认证系统，基于用户名/口令模式的系统极易被突破。

2.3安全需求

一个安全生产的银行信息系统，以下的基本安全要求是必须要满足的：

业务系统与辖内其它信息系统使用防火墙隔离。

辖内网络与互联的其它网络使用防火墙隔离。

网络管理员必须对辖内信息系统的安全状况进行周期性评估，并根据评估结果采用相应措施。

网络系统能够监视、记录黑客可能发起的攻击。

全面的病毒防御体系，阻止病毒的传播，恢复已被病毒感染的设备及数据。

完善的备份系统。

敏感系统在公网上的传输必须加密。

可预见的管理和拥有费用。

对整个信息系统安全审计。

3.安全技术

网络安全技术发展到今天，已经有成熟的方案来对付来自各方面的安全威胁。

信息技术的安全体系必须集成多种安全技术实现。如虚拟网技术、防火墙技术、入侵监控技术、安全漏洞扫描技术、加密技术、认证和数字签名技术等。

3.1虚拟网技术

虚拟网技术主要基于近年发展的局域网交换技术（ATM和以太网交换）。交换技术将传统的基于广播的局域网技术发展为面向连接的技术。因此，网管系统有能力限制局域网通讯的范围而无需通过开销很大的路由器。

由以上运行机制带来的网络安全的好处是显而易见的：

信息只到达应该到达的地点。因此，防止了大部分基于网络监听的入侵手段。

通过虚拟网设置的访问控制，使在虚拟网外的网络节点不能直接访问虚拟网内节点。

但是，虚拟网技术也带来了新的安全问题：

执行虚拟网交换的设备越来越复杂，从而成为被攻击的对象。

基于网络广播原理的入侵监控技术在高速交换网络内需要特殊的设置。

基于MAC的VLAN不能防止MAC欺骗攻击。

3.管理省行桌面、服务器的病毒服务软件的病毒特征分发，以及自动通过HTTP从NAI 的病毒特征库实时升级。

3.2防火墙技术

网络层通讯可以跨越路由器，因此攻击可以从远方发起。IP协议族各厂家实现的不完善，因此，在网络层发现的安全漏洞相对更多，如IPsweep,SequenceInsert,teardrop，sync-flood,IPspoofing攻击等。

防火墙是近年发展起来的重要安全技术，其主要作用是在网络入口点检查网络通讯，根据客户设定的安全规则，在保护内部网络安全的前提下，提供内外网络通讯。

选择防火墙的要点在于:

安全性

即是否通过了严格的入侵测试。

抗攻击能力

对典型攻击的防御能力

性能

是否能够提供足够的网络吞吐能力

自我完备能力

自身的安全性，Fail-close

可管理能力

是否支持SNMP网管

VPN支持

认证和加密特性

服务的类型和原理

网络地址转换能力

与网络内其它安全系统的动态适应。

3.3入侵检测技术

利用防火墙技术，经过仔细的配置，通常能够在内外网之间提供安全的网络保护，降低了网络安全风险。但是，仅仅使用防火墙，网络安全还远远不够：

入侵者可寻找防火墙背后可能敞开的后门。

入侵者可能就在防火墙内。

由于性能的限制，防火墙通常不能提供实时的入侵检测能力。

保护措施太单一。

入侵检测系统是近年出现的新型网络安全技术，目的是提供实时的入侵检测及采取相应的防护手段，如记录证据用于跟踪和恢复、断开网络连接等。

实时入侵检测能力之所以重要首先它能够对付来自内部网络的攻击，其次它能够缩短hacker入侵的时间。

入侵检测系统可分为两类：

基于主机

基于网络

基于主机的入侵检测系统用于保护关键应用的服务器，实时监视可疑的连接、系统日志检查、非法访问的闯入等，并且提供对典型应用的监视如Web服务器应用。

基于主机的安全监控系统具备如下特点：

精确，可以精确地判断入侵事件。