人民银行内联网防火墙安全子系统建设方案(编辑修改稿)

人民银行内联网防火墙安全子系统建设方案(编辑修改稿)内容摘要：

................................................................. 102 可视化配置 ........................................................................................................ 102 预置包过滤规则集 ............................................................................................ 102 总结 ............................................................................................................................ 102 1 北大 XX 集团、 XX 数码公司简介 北京北大 XX 集团公司是北京大学创建的高新技术企业。 XX 集团拥有３个控股的上市公司， XX（控股）有限公司 、 XX 数码有限公司 、 上海 XX 延中科技集团股份有限公司， 17 家独资、合资企业。 员工总数约6000 人，总资产 50 亿元， 2020 年销售规模达 101 亿元。 1997 年， XX 集团已成为国家 120 家大型试点企业集团之一，国家首批６家技术创新试点企业之一，国家重点支持的５家 PC 生产厂家之一。 创造科技与文明，是北大 XX 的一贯宗旨，集团坚持以人为本 的宗旨 ， 以 创新为先导，产 、 学 、 研结合，不断以优质产品和技术服务于社会。 XX 数码有限公司（ ECFounder Co., Ltd.）是从事发展互联网应用技术及电子商务的软件技术公司。 其业务专注于互联网 安全产品及网络安全服务 等 领 域 ，是互联网时代的软件技术公司。 XX 数码借助技术、研发方面的优势，借鉴世界上最先进的管理运作经验，定位于 电子商务赋能者 （ emerce enabler），用不断创新的技术与 优质的 服务赋予客户新经济时代可持续发展的能力，帮助政府、行业、企业、网站、电子商务的运营者运用先进技术和高效管理手段在互联网时代健康发展，取得成功。 XX 数码有限公司的业务围绕 在 互联网安全技术应用、 网络安全服务 及 网络安全 知识管理等主要领域，在技术开发、应用解决方案和运营服务方面为用户提供先进 的网络安全产品 和 技术。 为此 XX 数码推出 SHARKS 互联网安全解决方案。 SHARKS 解决方案是在深入的研究后，提出的一套基于中国国情、全部自主开发、具有领先优势的解决方案。 它是一套整体的集群平台，可以解决企业最为关切的安全性、高可靠性、可扩展性和易于远程管理的问题。 目前这套方案已经得到国家有关部门的大力支持，被国家经贸委列为国家创新计划项目之一，还得到了国家“ 863”计划的肯定与支持。 XX 方御防火墙是 SHARKS 安全解决方案中的主要安全产品之一。 XX 方御防火墙凭借其独特的技术优势，在保证系统自身的安全性的同时又保证了其 运行效率。 XX 方御防火墙中还融入了入侵检测技术，可以有效地防范攻击企图的试探；另外利用先进的 III 技术， XX 方御防火墙可以有效滤除著名的 DDoS 攻击，正是这种攻击曾迫使包括美国雅虎在内的若干世界最大的网站停止服务。 除防火墙之外， XX 数码有限公司还向用户提供 VPN、安全扫描系统、入侵检测系统（ IDS）等安全产品及方案，从多层次、多角度、全方位保护用户的网络。 在立足于自主开发外， XX 数码公司还与众多国际、国内知名的安全公司保持着良好的合作关系，集成国内外最优秀的安全产品，为用户的安全建设保驾护航。 2 XX 银行 内联网结构分析 XX 银行 内联网整体情况 某 XX 银行 内联网是以总行为中心、各个分支区域为基础，覆盖某 XX 银行全国各部门、各层次分支机构，基于 TCP/IP 协议体系的计算机信息服务网络；是某 XX 银行 应用系统的基础网络平台。 目前整个系统已网络实现到地市，系统运行着某 XX 银行 多种应用系统。 其中，这些系统通过与全国各商业银行以及其他金融机构的互联网络，实现信息交换和共享。 XX 银行 内联网网络结构 某 XX 银行 内联网由广域网和各级机构局域网组成。 某 XX 银行 内联网主要连接由两个部分组成：一是某 XX 银行 自己的纵向连网，连接某 XX 银行 各级机构；一是某 XX 银行 和其他商业银行的横向连网，实现金融系统之间数据通信。 某 XX 银行 内联网建立在 CNFN 的 Frame relay 网络之上，使用独立的地址空间和域名系统。 广域网采用 Frame relay 技术。 全国网络以总行为根节点，形成树形结构，各叶节点是某 XX 银行 各级机构内部的局域网络，是广域网的信息源和终点，同时也是连接各商业银行的起点。 XX 银行 内联网整体结构遵循网络设计三级原则，分成骨干网（核心层）、省域网（交换层）、区域网（访问层）。  骨干网 由总行、分行营业管理部、省会城市中心支行等节点 构成；  省域网 由省会城市中心支行以及省域内各地市中心支行等节点组成；  区域网 由地市中心支行以及所辖的县支行等节点组成。 同时，某 XX 银行 在总行、省（市）、地（市）三个层次上与各个商业银行以及其他金融机构进行互连 （系统总体机构如下） 同时，网络系统中的网络设备以路由器、交换机为主。 骨干网上运行 OSPF 路由协议。 XX 银行 内联网支撑的应用系统 某 XX 银行 内联网上已经或即将运行的主要应用服务系统包括：  政务与办公自动化系统；  业务处理系统；  管理信息系统；  决策支持系统；  多 媒体应用与会议电视系统；  信息咨询服务系统；  外汇应用系统； 省域网 省域网区域网 区域网 区域网 区域网骨干网某人民银行纵向连网 某人民银行同商业银行及其他金融机构互连 商业银行 内 联 网 商业银行 内 联 网 商业银行 内 联 网 商业银行内联网 商业银行内联网 商业银行内联网 XX 银行 系统平台 某 XX 银行 目前系统平台主要采用  Window NT 系统；  Unix 系统；  数据库系统； 3 XX 银行 内联网安全分析 XX 银行 内联网安全现状分析  某 XX 银行 内联网骨干网有独立的 PVC,IP 地址以及域名系统。 广域网基本满足涉密网保密条件。  某 XX 银行 和其他商业银行以及金融机构连接目前没有采取网络安全措施，为了防范来自外部网络（其他商业银行和金融机构）安全威胁，迫切需要进行 XX 银行 内联网防火墙系统基础建设，保障内部网络安全。 XX 银行 内联网安全风险分析 当前， XX 银行 的系统与外部非信任网络系统之间缺乏完善的安全保护体系。 某 XX 银行 内联网各个叶节点网络结构如下： 同城网 下级人民银行 机构 上级人民银行 机构 有关政府机构 服务器1 复制 服务器 文件 服务器 信贷数据库 服务器 内部Web 服务器 外联 服务器1 外联 服务器2 工作站1 工作站2 同城商业银行1 人民 银行 机关 局域 网 人民银行内联网(广域网) ( 同城商业银行n 主要应用服务的安全风险 应用服务 系统中各个叶节点有各种应用服务，这些应用服务提供给 XX 银行 各级分行或商业银行使用。 不能防止未经验证的操作人员利用应用系统的脆弱性来攻击应用系统，使得系统数据丢失、数据更改、获得非法数据等。 而某 XX 银行 的这些应用系统是某 XX 银行 内联网中最重要的组成部分。 DNS 服务 DNS 是 网络正常运作的基本元素，它们是由运行专门的或操作系统提供的服务的 Unix 或 NT 主机构成。 这些系统很容易成为外部网络攻击的目标或跳板。 对 DNS 的攻击通常是对其他远程主机进行攻击做准备，如篡改域名解析记录以欺骗被攻击的系统，或通过获取 DNS 的区域文件而得到进一步入侵的重要信息。 著名的域名服务系统 BIND 就存在众多的可以被入侵者利用的漏洞。 某 XX 银行 对外各种应用，特别是基于 URL 的应用依赖于 DNS 系统， DNS 的安全性也是网络安全关注的焦点。 EMail 由于邮件服务器软件的众多广为人知的安全漏洞，邮件服务器成为 进行远程攻击的首选目标之一。 如利用公共的邮件服务器进行的邮件欺骗或邮件炸弹的中转站或引擎；利用 sendmail 的漏洞直接入侵到邮件服务器的主机等。 而某 XX 银行 的内部 Email 系统覆盖面广，所以迫切需要使用防火墙来保护 XX 银行 的内部 Email 系统。 WWW 利用 HTTP 服务器的一些漏洞，特别是在大量使用服务器脚本的系统上，利用这些可执行的脚本程序，未经授权的操作者可以很容易地获得系统的控制权。 在某 XX 银行 存在各种 WWW 服务，这些服务协议或多或少存在安全隐患。 FTP 一些 FTP 服务器的缺陷会使服务器很容易 被错误的配置，从而导致安全问题，如被匿名用户上载的木马程序，下载系统中的重要信息（如口令文件）并导致最终的入侵。 有些服务器版本带有严重的错误，比如可以使任何人获得对包括 root 在内的任何帐号的访问。 网络中主要系统的安全风险 整个系统中网络设备主要采用路由器设备，有必要分析这些设备的风险。 路由器是某 XX 银行 内联网的核心部件，路由器的安全将直接影响整个网络的安全。 下面列举了一些路由器所存在的主要安全风险： ■ 路由器缺省情况下只使用简单的口令验证用户身份，并且远程TELNET 登录时以明文传输口令。 一旦口令泄密 路由器将失去所有的保护能力。 ■ 路由器口令的弱点是没有计数器功能，所以每个人都可以不限次数的尝试登录口令，在口令字典等工具的帮助下很容易破解登录口令。 ■ 每个管理员都可能使用相同的口令，因此，路由器对于谁曾经作过什么修改，系统没有跟踪审计的能力。 ■ 路由器实现的某些动态路由协议存在一定的安全漏洞，有可能被恶意的攻击者利用来破坏网络的路由设置，达到破坏网络或为攻击做准备的目的。 针对这种情况，必须采取措施，有效防止非法对网络设备访问。 ■ TCP/IP 风险：系统采用 TCP/IP 协议进行通信，而因为 TCP/IP 协议中存在固有的漏洞，比如：针对 TCP 序号的攻击， TCP 会话劫持， TCP SYN攻击等。 同时系统的 DNS 采用 UDP 协议，因为 UDP 协议是非面向连接的协议，对系统中的 DNS 等相关应用带来安全风险。 数据库系统安全分析 数据库系统是存储重要信息的场所并担负着管理这些数据信息的任务。 数据库的安全问题，在数据库技术诞生之后就一直存在，并随着数据库技术的发展而不断深化。 不法份子利用已有的或者更加先进的技术手段通常对数据库进行伪造数据库中的数据、损坏数据库、窃取数据库中的数据。 如何保证和加强数据库系统的安全性和保密 性对于网络的正常、安全运行至关重要。 Unix 系统的安全分析 UNIX 系统安全具有如下特征 ：  操作系统可靠性：它用于保证系统的完整性，系统处于保护模式下，通过硬件和软件保证系统操作可靠性。  访问控制：允许通过改变用户安全级别、访问权限，具有统一的访问控制表。  对象可用：当对象不需要时应该立即清除。  个人身份标识与认证：它主要为了确定身份，如用户登陆时采用扩展的 DES 算法对口令进行加密。  审计：它要求对使用身份标识和认证的机制，文件的创建，修改，系统管理的所有操作以及其他有关安全事件进行记录，以便系统管理 员进行安全跟踪。  往来文件系统： UNIX 系统提供了分布式文件系统（ DFS）的网络安全。 将网络与外部网络相连接，会使您的网络遭受潜在的服务中断、未经授权的入侵以及相当大的破坏。 比如下面的一些安全隐患： ■ “拒绝服务”攻击 (Denial of Service Attacks): 这些攻击禁止系统向顾客提供服务，使顾客不能得到某种服务。 例如，攻击可能使用大而无用的流量充斥网络，导致无法向顾客提供服务。 最通常的情况是这种攻击可能毁坏系统或者只是让系统在向顾客提供服务时慢的出奇。 ■缓冲区溢出攻击 (Buffer Overrun Exploits): 其中包括利用软件的弱点将任意数据添加进某个程序中，从而在它以根的身份运行时，有可能赋予剥削者对您的系统的根访问权。 这也可能导致某种“拒绝服务”攻击。 ■窃听和重放攻击 (Snooping and Replay Attacks): 窃听攻击涉及某个对网络上的两台。