解决问题的四步骤

一、问题识别：
►所产生的问题：多达4000万个信用卡账户在一个黑客事件中被
暴露。

（根据加利福尼亚州普莱森顿市的Javelin
Strategy&Research公司的首席分析师James
Van Dyke说，单从数字角度看，这很可能是最
大的数据安全破坏事件。

其中暴露的账户包括
安2200万个维萨卡账户、1390万个万事达卡
账户、少量的美国运通卡账户和Discover卡账
户。

►产生该问题的原因：
►人员方面：1、银行和信用卡公司对员工在安
全防范方面的管理和培训不够。

2、银行和信用卡公司内部员工的恶意行为和粗心。

3、由于银行和信用卡公司之前没有经历过这样的
损失，所以导致员工缺乏保护客户数据的财务
动机。

►组织方面：1、银行和信用卡公司对其处理方的监管不够严密，
金融机构在某种程度上像是放任了其发生破坏
行为，此外它们对安全要求的规定也很模糊。

2、Cardsystems公司在处理将信用卡资料传给合适
的银行时，本不应该保留客户的数据，但是
Cardsystems公司存储了成千上万名持卡人的交
易记录，包括姓名、账号、到日期以及安全代码
等。

3、银行和和信用卡公司是有义务确保支付处理方遵
守安全准则的，并且联邦金融机构检查委员会对
这些金融机构是有执法权的，银行哈支付方必须
每隔36个月向委员会提交一份IT和安全评估报
告，但是，只有当问题或风险出现，必须调查时，
委员会才可以调查支付处理公司。

►技术方面：维护数据安全的技术较弱而犯罪不断进步的技术
手段。

►该问题所产生的影响：在Cardsystems公司的破坏事件被披露
之后的很短一段时间内，针对万事达客
户的带有机会主义特点的网络钓鱼欺
诈行为也开始猖獗起来。

其方式是：通
过电子邮件提供一个连接，使用户根据
提示点击进入，输入用户名和密码，
诱惑他们核实或更新其账户资料。

二、方案实施：（案例中所考虑的一些解决措施）
►人员方面：银行和信用卡公司加强了对内部员工的控制，使得
员工不能访问与其工作不相关的文件、应用程序以及
网络的一些区域。

在这个方面，公司可以利用复杂密
码、令牌、智能卡以及生物统计身份认证设备来强化
密码保护，从而建立这些控制。

►组织方面：银行和信用卡公司开始重视对员工的管理和培训，以及对客户的教育。

►技术方面：部署反网络钓鱼软件、使用反网络钓鱼服务和部署多层次认证系统。

具体在技术方面，将物理磁带的货运
输方式为通过安全告诉的网络传输方式所取代。

►其他方面：《萨班斯—奥克斯利法案》生效后，上市公司必须保证（法律方面）其经过审计人员确认过的财务记录的准确性。

遵守该法案，就要证明含有财务报告的个人受到处罚。

数据
安全专家布鲁斯认为，政府应该将这一模式应用于个人
数据安全方面，如果公司丢失了一个账户，就应对其处
以罚金。

还有一个纽约的民主党参议院建议，让一个
管理身份失窃的办公室将对任何处理敏感个人数据的
组织设立最低安全标准，并且对美欧执行标准的组织
处以罚金。

相关案例分析：
某市商业银行网络安全解决方案
某市商业银行经过多年的建设，已经形成比较完善的综合网络，整体结构是通过广域网连接的二级网络，在二级网络上运行着银行业务系统、办公自动化系统、代理业务系统等，由于应用系统的复杂化，
网络安全体系的建立和网络安全的全面解决方案更是迫在眉睫。

根据某市商业银行网络的实际情况，本方案从以下几个方面来解决某市商业银行网络的安全隐患。

Internet接入安全
中心生产网络的网络安全
全网防病毒系统体系
办公自动化系统的安全
生产前置机安全
办公网络与生产网络物理线路共享情况下保证生产网络的安全
一、技术安全手段需求分析
1.1、网络现状
网络总体结构：
图一网络拓扑结构
目前某市商业银行已经建成了以中心网络为一级网络，支行与网点为二级网络的生产网络，同时还并行有一套覆盖到办公大楼、支行、网点的办公自动化系统停可弦？行系统目前处于筹建阶段，在图一中办公网部分没有接入商业银行生产网络，虚线表示当办公自动化需要
从生产主机获得帐表信息时，才手工联接两个网络，完成帐表信息导出之后，手工断开两个网络之间的连接。

在安全方案中需要在系统部署前统一考虑两个网络连接在一起之后的安全问题。

OA服务器在部署以后未来可能提供远程移动办公支持，移动用户通过远程接入Internet，利用浏览器访问OA服务器本身提供的Web服务。

OA服务器本身基于Lotus Notes建设。

生产网络是银行网络的最根本应用。

某市商业银行生产网络分为3个大的部分：
第一部分：中心生产网络核心包括以SNA网络为基础的生产机系统，以两台RS9000作为生产系统，且互相备份。

所有对生产主机的访问均通过前置机群完成。

第二部分：外联单位。

外联单位是主要涉及到商业银行与银联之间的结算等业务，企业通过各种多样的方式接入商业银行网络，第三部分：支行及网点。

某市商业银行目前有多个网点和支行。

通过DDN接入中心网络。

同时采用PSTN作为备份线路。

由于目前办公网络虽然在逻辑上独立于生产网络，但是办公网络在物理线路上与生产网络共享，因此生产网络需要考虑来自办公网络的安全威胁。

1.2、办公网络安全技术需求分析
办公自动化系统是基于Unix平台的办公自动化系统，某市商业银行初步拟定采用Lotus Notes作为办公自动化的开发与运行平台，
利用Lotus Notes自身提供的邮件服务功能，对办公自动化系统的用户提供内部办公自动化服务，同时利用Lotus Notes系统自身提供的Web服务功能，由于管理的需要，办公系统要定期从生产主机上提取数据进行统计分析生成报表。

其中，信贷业务、帐务查询数据要传往办公网上的服务器，数据在这两个网段上经过加工，供其他系统查询。

因此，办公网要保持与生产网的连接，同时生产主机也要为其提供相应的服务。

在办公网上还运行着许多与生产网无关的主机和工作站，结果造成生产网上的主机暴露于这些主机和工作站的直接访问之下，从而造成系统的安全隐患。

办公自动化系统的安全技术需求如下：
表一办公自动化系统的安全需求
1.3、生产网络安全技术需求分析
某市商业银行生产网络是典型的银行生产系统，以大型Unix主机为核心，采用SNA网络；前置机围绕大型Unix主机，负责将外围IP网络或其他网络转换到SNA网络中。

商业银行与传统银行多级网络的区别在于某市商业银行生产网络为二级网络，在支行、网点等的业务连接到中心，必须通过前置机访问中心网络，在支行、网点不存在二级的前置机直接访问核心网络。

目前商业银行的生产网络在中心节点与二级节点之间的没有采用加密传输和认证机制。

生产网络安全技术需求如下：
表二生产网络安全技术需求表
1.4、网络互联安全
某市商业银行网络互联安全分为三部分：
第一部分：与外部网络的互联安全。

某市商业银行网络与移动、银联系统、人行、医保和社保、电信等系统需要进行网络互联，这部分网络互联的需求如下：
表三与外部网络的互联安全需求
第二部分：内部办公网与生产网之间的互联安全。

内部办公网与生产网之间共享物理线路，两个网络物理上彼此互联，这两个网互联的安全需求如下：
表四内部办公网与生产网之间互联的安全需求第三部分：与公共电话系统的互联安全。

为了网上银行系统能够满足企业用户的需求，因此网上银行系统需要与公共电话连接，同时某市商业银行的信息网络建设规划中包括了通过Internet提供网上银行业务，对网上银行系统的互联安全需求如下：
4. 实时网络入侵检测对针对网上银行前置业务的攻击进行
入侵行为的实时检测，并实施统一集
中管理
表五网上银行的互联安全需求表
二、针对安全风险的技术解决手段
2.1、防火墙技术
防火墙可以作为不同网络或网络安全域之间信息的出入口，将内部网和公众网如Internet分开，它能根据企业的安全策略控制出入网络的信息流，且本身具有较强的抗攻击能力。

在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。

防火墙技术可以有效控制的风险包括：
利用Finger来发掘用户信息
利用TCP/IP指纹识别确定操作系统类型
利用Telnet旗标确定操作系统类型
利用服务的旗标信息确定服务类型
用专用工具进行服务类型探测
对服务器进行端口扫描
利用Unix的FTP服务漏洞－SITE EXEC漏洞
利用Unix的FTP服务漏洞－setproctitle()漏洞
利用Bind服务漏洞
利用Telnet服务漏洞
利用后门与木马
利用rpc.mountd服务漏洞
利用sendmail服务漏洞
利用lpd服务漏洞
利用NFS服务漏洞
利用X-windows服务漏洞
绑定Shell端口
利用IPC$列举用户名
从AD上查找前置机主机
Windows RPC DCOM远程溢出－MS026
Windows RPC DCOM远程溢出－MS039
网络蠕虫堵塞整个网络，影响生产网络
利用前置机群与生产主机之间的信任关系攻击生产网络核心
利用办公自动化服务器与前置机群或生产主机之间的信任关系攻击生产网络
蠕虫影响办公网内部Window平台
蠕虫影响办公网内部邮件系统
办公网应用形式较为丰富，因此对网络带宽消耗可能造成生产网的数据通信带宽不足，从而导致生产网不畅通
二级网点或支行与中心连接没有必要的访问控制和边界控制手段，因此来自二级网点或支行局域网的用户可能威胁办公自动化系统和中心生产系统
应用防火墙技术之后，有效的控制了上述风险的同时，可以简化管理，同时本节提出的防火墙技术可以降低管理员的负担，提供更多更灵活的选择。

2.2、网络防病毒体系
计算机病毒感染所造成的威胁以及破坏是目前广大计算机用户
所面临的主要问题。

本方案采用网络防病毒体系，要求网络防病毒体系应针对整个网络或是单一的工作站都能进行有效保护的防病毒解决方案。

可以对Windows 2000/NT/95/98/3.x，以及DOS和Macintosh,Novell NetWare，Linux和UNIX等操作系统提供保护，作为一个一体化的网络防病毒解决方案，应具备特征代码检查方式和基于规则的变态分析器病毒扫描程序，从而检测到已知病毒。

防病毒引擎可以从多个侧面和途径防止计算机病毒侵入系统，保护整个企业IT系统的安全，具有强大的功能和优秀的可管理性。

应用网络防病毒体系结构之后，可控制网络蠕虫堵塞整个网络，
影响生产网络、病毒威胁桌面PC等风险：
应用了网络防病毒技术之后，可以从三个层面有效防范病毒的传播和蔓延：
Internet下载
软盘和光盘传播
邮件传播
2.3、网络入侵检测技术
应用入侵检测的网络监测功能、攻击行为检查、高速流量捕获、策略响应、防火墙联动、关联事件分析等技术要素，可实现如下风险的控制：
利用Lotus Notes的Web服务器漏洞－Lotus Notes口令认证可被绕过
利用Lotus Notes的Web服务器漏洞－Lotus Notes配置信息被远程读取
利用Unix的FTP服务漏洞－SITE EXEC漏洞
利用Unix的FTP服务漏洞－setproctitle()漏洞
利用Bind服务漏洞
利用Telnet服务漏洞
利用后门与木马
利用rpc.mountd服务漏洞
利用sendmail服务漏洞
利用lpd服务漏洞
利用NFS服务漏洞
利用X-windows服务漏洞
Windows RPC DCOM远程溢出－MS026
Windows RPC DCOM远程溢出－MS039
TCP登录会话劫持－发送一个伪造的报告到telnet/login/sh
安装木马
应用网络入侵检测技术之后不仅有效控制了上述风险，同时入侵检测要求如自身安全性、抗IDS逃避、抗事件风暴等技术要素，有效避免了入侵检测自身引入的新的风险，同时分级管理、多用户权限、分布式部署的要求大大降低了管理员的负担。

2.4、基于X.509证书的身份认证技术与SSL技术
针对某市商业银行办公自动化系统远程移动办公安全认证技术，本方案采用X509证书协议，为远程移动办公的身份认证提供基础保障。

同时采用SSL技术实现了远程移动办公用户与办公自动化服务器之间的通信安全，在SSL中，利用如下安全机制保证认证信息不被篡改和伪造：
通过SSL协议完成客户端（浏览器）和服务器之间的双向身份认证。

客户端数字证书和个人私钥存储在外部介质如USB-key中。

由统一的用户管理中心中心为客户端和服务器分发的密钥对，其密钥长度≥1024bit。

认证过程中使用证书吊销列表验证证书有效状态。

应用证书身份认证与SSL技术以后控制的风险如下：
已知内部命名规范情况下暴力破解口令
利用内部名单搜寻登录办公自动化系统的授权用户
利用公开的默认口令尝试办公自动化系统
获取内部公文
获取帐表系统报表数据
获取内部通讯录
篡改公文内容
网络窃听，获得更多广播信息
窃听以明文方式传输的用户名和密码
匿名用户利用WebSphare的Web服务缺陷远程获取敏感信息
匿名用户利用WebSphare的Web服务缺陷远程绕过WebSphare 的基本认证
缺乏有效的身份认证手段识别远程企业用户和匿名用户
企业用户远程交易时数据传输缺乏加密保证
2.5、网络安全审计技术
本方案采用网络安全审计技术，主要针对使用互联网访问非法站点，传递和发布非法信息，内部网络中的资源滥用，内部商业信息泄漏等等问题。

对被监控网络中的Internet使用情况进行监控，对各种网络违规行为实时报告，甚至对某些特定的违规主机进行封锁，以帮助网络管理员对网络信息资源进行有效的管理和维护。

应用网络安全审计技术以后可以控制的风险包括：
Internet资源被滥用
获取内部公文
获取帐表系统报表数据
获取内部通讯录
获取口令文件的shadow，破解系统管理员口令
2.6、 VPN技术
针对某市商业银行保证生产网络、办公网以及通信机密性的需求，方案规划系统采用VPN技术解决方案。

应用VPN技术以后可以控制的风险包括：
窃听以明文方式传输的用户名和密码
网络窃听，获得更多广播信息
TCP登录会话劫持－发送一个伪造的报告到telnet/login/sh
TCP登录会话劫持－从已存在的telnet/login/sh中窃听TCP报文序号
获取下属支行或网点的业务数据
获取业务数据中的敏感信息：如卡号、口令等
网络窃听，获得更多广播信息：如前置主机群内别的业务系统数据
在办公网通过修改IP进入生产网
在办公网内通过网络窃听可以随意窃听整个局域网内的所有数据，包括生产网与办公网的数据
三、产品解决方案
本文只给出总体部署，详细的安全产品选型及实际部署情况等略。

图总体部署。