XX公司湖南省农信社安全解决方案

1、目 录1.建设背景及现状建设背景及现状 -22.网络安全监控平台需求分析网络安全监控平台需求分析 -43.建设原则及设计思路建设原则及设计思路 -53.1.安全监控平台建设原则-53.2.安全监控平台设计思路-53.2.1.以安全为核心规划网络-53.2.2.用防火墙隔离各安全区域-63.2.3.对关键路径进行深入检测防护-63.2.4.对终端进行安全访问控制-63.2.5.根据实际需要部署其他安全系统-74.网络安全监控平台规划方案网络安全监控平台规划方案 -94.1.安全硬件部署规划-94.1.1.互联接口区域-94.1.2.数据中心-104.1.3.网络交互-114.2.安全软件部署规划

2、-124.2.1.网络设备安全-124.2.2.用户安全-144.2.3.审计安全-184.3.安全监控平台可实现的功能-204.3.1.对dos/ddos的抵御-204.3.2.应用层威胁和深度安全保护-214.3.3.虚拟软件补丁技术-224.3.4.基于应用层的状态检测技术aspf-234.3.5.基于soa架构的综合管理平台-244.3.6.与网络管理无缝结合的用户管理-255.详细的产品配置清单详细的产品配置清单-276.特殊需求和扩展应用特殊需求和扩展应用-286.1.双网用户的实施方式-286.2.arp 欺骗的威胁抵御-286.3.p2p 流量的灵活限制-286.3.1.p2p

3、技术即应用简介-286.3.2.secpath f1800-a对p2p的灵活控制-296.3.3.h3c ips 2400e对p2p的灵活控制-306.3.4.软硬件结合对p2p进行控制-306.4.统一安全管理监控功能-316.4.1.seccenter a1000 产品介绍-316.4.2.seccenter a1000 重要功能列表-3216.5.设备配置的批量管理-356.6.acl 安全策略管理-356.7.mpls vpn 网络管理-376.8.外联业务扩展应用-387.安全管理建议（仅供参考）安全管理建议（仅供参考）-397.1.安全管理组织结构-397.1.1.人员需求与技能要

4、求-397.1.2.岗位职责-397.2.安全管理制度-407.2.1.业务网服务器上线及日常管理制度-407.2.2.安全产品管理制度-407.2.3.应急响应制度-407.2.4.制度运行监督-418.售后服务承诺售后服务承诺-42附录：成功案例及用户名单附录：成功案例及用户名单-438.1.农信联清算中心案例-438.2.嘉兴农信联-448.3.江苏华夏银行-458.4.金融行业部分用户名单-错误！未定义书签。错误！未定义书签。21.1.建设背景及现状建设背景及现状作为国民经济中最为敏感、最为复杂的银行业正在经历着一场深刻的变革，金融国际化使中国银行在面对国内各类型银行强烈竞争的同时，还

5、要面对发达国家跨国银行的竞争；金融市场化则必然导致金融管制的放松，政府在业务、地域等方面对银行的保护也不可避免地被削弱。面对外有强敌、内乏支援的难堪境地，中国银行业明智选择了依靠高新技术的特色经营道路。银行的发展重点正在从以“量的扩张”为主转变到以“质的提高”为主,追求利润和市场的最大化,向数据集中化、业务电子化、管理信息化和服务创新等方向发展。所有这一切的变化和发展，必然需要对银行现有的业务基础进行改造和重建，而作为承载平台的网络系统也在悄然发生着历史性的转变。网上银行进程加快，导致网络系统安全问题成为首要问题。网上银行不同于以前银行应用的信息技术，如果以前的信息技术是在支持和运作银行业务的

6、话，那么网上银行则是在改造银行业务。未来的网上银行将成为一个综合性的电子服务网络系统，它将具有多种交易渠道、满足多种服务需求、联通多种外部单位、支持多种支付方式，提供高可用、高性能、可伸缩、易管理、开放性、连通性等多方面的优势。在给予银行业新的活力的同时，必然导致不同银行机构的差别分工日趋淡化的新格局的出现，一个更加开放的互联框架将形成，行业内、外部之间的信息交换将更加频繁。在这个必然的过程中，传统封闭性的金融业务网络将逐渐实现与公开网络的相互融合或者连接，在这种情况下，如何保障业务网络的安全性成为新形势下金融网络建设的重要问题。数据大集中、管理信息系统及新一代综合业务系统等多种关键且复杂系统

7、的建设，迫切需要简单、高效、灵活新系统平台提供有力支撑。从技术层面而言，大集中的前提是网络平台构建，因此，大集中的建设过程将对网络平台提出新的要求，是考验新的银行网络系统平台的最大挑战。同时，我国银行业新一代综合业务系统是以会计核算为基础，以客户为中心，以决策管理为导向，面向管理和业务，集中、统一、整合、联动的综合业务处理系统，它不仅涵盖了金融系统原有的数据网络资源系统、oa、企业资源系统，还包含着盈利分析、风险管理、客户关系管理、市场营销及模型预测等银行的管理信息系统（mis） 。所有的这些业务都需要一个整合的基础网络平台来实现承载，将零散的业务基础部件有机的整合在一起；也意味着需要构建一个

8、维护简单、管理高效、低投资成本且保证更加顺畅的处理流程、更精确的网络掌控和更加高效的业务回报。当然，满足业务需求是我们追求的最终目标，那么在当今金融数据大集中、网络平台化的基础上，如何更快更好的达成业务网络需求呢？这是我们在构建新的网络平台时候不得不慎重考虑的问题！中间件在银行业的应用将日益得到关注。随着银行对各种旧有应用系统的不断扩充，新业务需求的不断增加以及分布式应用的迅猛发展，银行业的技术人员开始更多地关注中间件，希望能借助于中间件的强大功能来满足迅速增长的银行业务需求。但是不同的硬件平台、异构的网络环境、系统效率较低、网络传输不可靠等，不是仅仅通过购买更高档的主机、申请更宽的网络带宽或

9、依赖传统的系统软件和工具软件就能完全解决的，银行业急需一个更为合理的平台支撑，一个更加完善的服务质量保证策略，一个完整的系统管理平台来为不断变化的新银行业务保驾护航。农村信用社是一个多法人的群体组织，遍布广大农村地区。伴随着信息化的浪潮席卷而来，各农信社纷纷加快信息基础架构建设的步伐。而作为农业大省，在目前农村金融体系还不健全的条件下，湖南省农信社实际上起到了服务“三农”的主渠道和主力军作用。湖南省农村信用社辖下共有 4 家市级联社、10 个市级办事处和 118 家县级联社，储蓄网点3多，分布极为分散。目前湖南省农村信用社已经建成了覆盖整个湖南省范围内的业务纵向网。整个纵向网分为省、地市、县三

10、级。省业务网作为整个纵向网的中心，建设较早。局域网核心交换机采用 cisco 6500 系列，核心路由器采用 cisco 7600 系列；地市级中心部署 quidwaynetengine 40/20 系列路由器；县、区级联社部署 h3c ar 4600 系列路由器和 h3c s3900 系列以太网交换机。整个纵向网从中心到分之全部采用双链路双机热备方式部署，以保证链路的高可靠性。主干网络从省到地市到区县全部采用 sdh 技术作为链路承载，以提供高速的数据交互带宽和便捷的链路扩容能力。整个网络还包含了迈普、博大等多家厂商的路由交换设备，网络设备合计超过 5000 台，终端计算机超过 10000

11、台。除了现有的业务网之外，在省核心农信联还已经建设完成了省中心办公局域网，该局域网将来会作为湖南省农信联的办公纵向网中心，提供办公网与业务网之间的数据交互。整个网络现状拓扑示意如下：i.图 湖南省农信联网络现状拓扑示意在地市和区县网点，也有一部分小型办公局域网已经完成，在图上并没有详细标注。42.2.网络安全监控平台需求分析网络安全监控平台需求分析金融系统特别是银行的网络对于安全的要求非常高。目前，在仅有纵向的业务网的情况下，网络相对比较安全。纵向业务网和其他网络相互之间物理隔离，没有数据交互的接口，从而避免了网络威胁的侵蚀。银行的业务是非常复杂的，对这些复杂业务需要进行完善的管理。所以，需要

12、在纵向业务网存在的同时，提供一张能够满足日常办公、对业务进行管理的纵向网络进行支撑。这也就是农信联准备在后期建设的纵向办公网。纵向办公网当中，日常的 erp 等办公流与业务网没有密切关系，可以分开隔离，但是对业务的管理数据流要求纵向办公网必须能够从业务网当中获取数据。这就要求纵向业务网与纵向办公网之间必然存在物理的链接。同时，考虑到外连机构、远程办公的问题，纵向办公网必然与 internet 也存在物理的接口。那么，如何在保证数据获取的同时，保护纵向业务网的安全是核心问题。现在的业务网当中，由于没有外连接口，网络在物理链路上独立存在，导致网络中并不需要考虑太多的安全防护因素。基于以上需求，网络

13、安全监控平台的建设成为纵向办公网实施的前提。分析网络安全威胁的具体存在，结合相关法律法规（bs7799、公安部信息安全等级规范） ，首先对业务网进行安全资产和安全区域的划分。从安全资产来看，整个网络当中的设备可以划分为四大类。他们分别是网络承载链路、网络数据交互设备、网络接入终端（包括服务器）和应用业务软件。从安全区域进行划分整个业务承载网被分割成四个区域，分别是终端接入区域、互联接口区域、网络交互区域和数据中心。根据数据的三大存在形态，即数据的存储、计算和交互，结合 h3c 范信息安全模型 it-cmm-security，要求安全资产具有以下特性。承载链路：要求链路具有冗余机制和高可靠性。农

14、信联业务纵向网通过双链路冗余提供承载，在链路层面提供了较高的安全性；sdh 技术的快速时间响应机制和高速交互的带宽保证了链路的可靠性和稳定性。网络数据交互设备：要求关键设备具有高可靠和稳定特性。目前农信联业务纵向网当中采用的数据交互设备都为主流厂商提供，设备本身提供了足够的可靠性。通过设备的关键部件（如 mcu、power）冗余和关键设备的双机冗余热备进一步从设备层面提升可靠性。设备本身对相关冗余很链路切换协议（如ospf、stp、rstp、vrrp、hsrp）的支持保证了设备可靠性和链路可靠性的有机融合。接入终端：要求接入终端具备安全接入特性。接入终端 pc 和服务器必须采用足够支撑业务软件

15、的硬件系统和操作系统，并要求相关操作系统能够即使进行漏洞和补丁的更新，配备最新的病毒防护和攻击防护软件保证终端的安全。目前农信联业务纵向网当中的接入设备按操作系统分为两大类别，分别是 unix 系统和 windows系统。unix 系统相对漏洞较少，稳定性更强。而由于 windows 本身的不稳定性和多漏洞特性，需要对网络终端的漏洞防护和病毒防护进行进一步的安全保护，有待于在本次安全平台建设的过程中进行实施。应用业务软件：要求软件具有稳定的构架和安全使用机制。目前农信联的应用业务软件属于 c/s 和 b/s 并存的架构，业务软件本身都经过了长期的使5用和检验，相对安全性较高。但是对使用者身份认

16、证、合法用户的管理需要在本次建设中实施。63.3.建设原则及设计思路建设原则及设计思路.安全监控平台建设原则安全监控平台建设原则农信联的安全监控平台的建设属于其信息化建设的一个重要组成部分，所以农信联的安全监控平台的建设必将伴随信息化建设的逐步完善而分步实施，要求具备以下原则。（1）整体均衡原则 要对信息系统进行全面均衡的保护，要提高整个信息系统的安全最低点的安全性能，保证各个层面防护的均衡。 （2） 安全目标与效率、投入之间的平衡原则 要综合考虑安全目标与效率、投入之间的均衡关系，确定合适的平衡点，不能为了追求安全而牺牲效率，或投入过大。（3） 标准化与一致性原则 在技术、设备

17、选型方面必须遵循一系列的业界标准，充分考虑不同设备技术之间的兼容一致性。（4） 产品异构性原则在安全产品选型时，考虑不同厂商安全产品功能互补的特点，在进行多层防护时，将选用不同厂商的安全产品。（5）区域等级原则要将信息系统按照合理的原则划分为不同安全等级，分区域分等级进行安全防护。（6）动态发展原则 安全防范体系的建设不是一个一劳永逸的工作，而是一个长期不断完善的过程，所以技术方案要能够随着安全技术的发展、外部环境的变化、安全目标的调整而不断升级发展。（7）统筹规划分步实施原则 技术方案的部署不可能一步到位，所以要在一个全面规划的基础上，根据实际情况，在不影响正常生产的前提下，分步实施。（8）

18、保护原有投资原则设计技术方案时，要尽量利用湖南省农信联现有的设备与软件，避免投资浪费，这些设备包括安全设备、网络设备等。.安全监控平台设计思路安全监控平台设计思路湖南省农信联的网络应用比较复杂，对安全的要求也很高，根据对湖南农信联网络和应用的理解，结合在金融行业的成功经验，提出了如下安全建设思路。3.2.1. 以安全为核心规划网络现有网络大多是以连通性作为中心进行设计的，而很少考虑安全性。例如最典型的网络三层架构模型（核心层、汇聚层、接入层架构）中，网络是向核心层集中的而并没有考虑同一层7不同节点之间的安全隔离问题。而在网络安全改造中首先需要改变的就是将以连通性为中心的设计思路转

19、变为以安全为中心的设计思路。并按照以安全为核心的设计思路的要求对网络进行重新设计。所谓以安全为核心的设计思路就是要求在进行网络设计时，首先根据现有以及未来的网络应用和业务模式，将网络分为不同的安全区域，在不同的安全区域之间进行某种形式的安全隔离，比如采用防火墙隔离业务网和办公网。3.2.2. 用防火墙隔离各安全区域防火墙作为不同网络或网络安全域之间信息的出入口，能根据安全策略控制出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。在逻辑上，防火墙是一个分离器、限制器和分析器，可以有效监不同安全网络之间的任何活动。防火墙在网络间实现访问控制，比如一个

20、是用户的安全网络，称之为被信任应受保护的网络 ，另外一个是其它的非安全网络称为某个不被信任并且不需要保护的网络 。防火墙就位于一个受信任的网络和一个不受信任的网络之间，通过一系列的安全手段来保护受信任网络上的信息。3.2.3. 对关键路径进行深入检测防护虽然，网络中已部署了防火墙等基础网络安全产品，但是，在网络的运行维护中，it 部门仍然发现网络的带宽利用率居高不下、而应用系统的响应速度越来越慢。产生这个问题的原因并不是当初网络设计不周，而是自 2003 年以来，蠕虫、点到点，入侵技术日益滋长并演变到应用层面（l7）的结果，而这些有害代码总是伪装成客户正常业务进行传播，目前部署的防火墙等安全产

21、品其软硬件设计当初仅按照其工作在 l2-l4 时的情况考虑，不具有对数据流进行综合、深度监测的能力，自然就无法有效识别伪装成正常业务的非法流量，结果蠕虫、攻击、间谍软件、点到点应用等非法流量轻而易举地通过防火墙开放的端口进出网络。因此在关键路径上部署独立的具有深度检测防御的 ips 系统就显得非常重要。深度检测防御是为了检测计算机网络中违反安全策略行为。一般认为违反安全策略的行为有： 入侵非法用户的违规行为； 滥用用户的违规行为；深度检测防御识别出任何不希望有的活动，从而限制这些活动，以保护系统的安全。深度检测防御的应用目的是在入侵攻击对系统发生危害前，检测到入侵攻击，并利用报警与防护系统驱逐

22、入侵攻击。在入侵攻击过程中，能减少入侵攻击所造成的损失。3.2.4. 对终端进行安全访问控制目前，针对病毒、蠕虫的防御体系还是以孤立的单点防御为主，如在个人计算机上安装防病毒软件、防火墙软件等。当发现新的病毒或新的网络攻击时，一般是由网络管理员发布病毒告警或补丁升级公告，要求网络中的所有计算机安装相关防御软件。从企业病毒泛滥、损失严重的结果来看，当前的防御方式并不能有效应对病毒和蠕虫的威胁，存在严重不足。主要表现在： 被动防御，缺乏主动抵抗能力。 单点防御，对病毒的重复、交叉感染缺乏控制。8 分散管理，安全策略不统一，缺乏全局防御能力。只有从用户的接入终端进行安全控制，才能够从源头上防御威胁，

23、但是，分散管理的终端难以保证其安全状态符合企业安全策略，无法有效地从网络接入点进行安全防范。在分散管理的安全体系中，新的补丁发布了却无人理会、新的病毒出现了却不及时升级病毒库的现象普遍存在。分散管理的安全体系无法彻底解决病毒和操作系统漏洞带来的网络安全威胁，只有集中管理、强制终端用户执行，才能够起到统一策略、全局防范的效果。 全网部署防病毒系统在所有计算机安全威胁中，计算机病毒是最为严重的，它往往是发生的频率高、损失大、潜伏性强、覆盖面广。计算机病毒直接涉及到每一个计算机使用人员，是每一个使用人员经常会碰到和感到头痛的事。由于 internet 技术及信息技术的普及和发展，病毒的传染速度越来越

24、快。internet 的发展使的病毒没有国界，5 分钟以前在美国发现的病毒，有可能在 5 分钟之后，就到了国内；依赖于 internet，病毒可以通过邮件、http、网络共享、系统漏洞等实时的方式通过办公网感染到湖南农信联业务网内部。另外，在农信联内部的群件系统和办公自动化、工作流系统的使用(如 notes、exchange)，使得病毒在农信联内部的传染速度加快，各个员工在共享信息的同时，有可能共享病毒；同时，在群件环境中，部分机器的防病毒能力弱，会导致整个系统弱的防病毒能力。因此全网部署防病毒系统就显得非常重要。部署一套具有方便、易用的防病毒系统，使计算机环境免受病毒和其它恶意代码的攻击。对

25、系统进行主动的保护，以免遭受可能来自软盘、网络下载、电子邮件附件、网络共享文件、cd-rom、在线服务和其它更多途径的感染。同时提供保护，以免遭受移动代码如恶意的 activex 和 java 小程序的攻击，深入最为通用的压缩文件类型进行扫描。在病毒发作之前即可自动阻止其发作。通过寻找新病毒发作的典型活动来查询新的攻击。 充分利用网络以及资源管理系统在网络系统中，整个网络的安全首先要确保网络设备的安全，保证非授权用户不能访问任一台服务器、路由器、交换机或防火墙等网络设备，采用网络管理系统是一种有效的解决方法。通过网络管理管理系统提供的配置管理、性能管理、失效管理和安全管理功能，可以实现网络设备

26、安全有效的配置，为整个网络系统提供安全运行的基石。3.2.5. 根据实际需要部署其他安全系统以上的安全系统部署基本可以涵盖一般性网络安全需求，但是很多特殊的应用也需要特别的应用保护系统。此外管理员也需要一些其他的安全工具对网络安全运行进行审计评估等操作。在湖南农信联网络中，还需要以下安全系统和安全工具： 补丁管理系统从公开的统计资料可以看到，在 2003 年全球有 80%的大型企业遭受病毒感染而使得业务系统运作受到干扰，即使这些大型企业已经具备了良好的边界安全措施，也普遍部署了病毒防御机制。造成困境的原因，一方面当然是由于现有防御体系的缺陷，是由于现有的边界防御、基于签名的入侵检测和防病毒系统

27、从原理上就决定了其不擅长对付基于漏洞进行感染的病毒，单9单具备这些措施，不足以遏制病毒的泛滥。另一方面，也是由于基于漏洞进行感染的病毒传播速度极快，以至来不及采取措施，病毒就已经大规模爆发了。这恰好说明企业需要一些应付这种情况的措施，最好在病毒前面就消灭漏洞隐患，杜绝病毒传播的可能。补丁管理就是这一思想的产物，因为它的原理就是对软件进行修补从而根本上消灭漏洞，杜绝了病毒利用漏洞的可能。 反垃圾邮件系统说到“垃圾邮件” ，越来越多的通过网络辅助自己通信的人，都十分熟悉。尽管它不像“病毒”或者“黑客”那样仿佛是洪水猛兽，但其却如同小白蚁一样，慢慢地噬咬着健康的银行网络，渐渐地并越来越严重地影响、阻

28、碍甚至摧毁着银行网络通信的顺畅、自由和安全。近年来，垃圾电子邮件在国内互联网上已成泛滥之势。垃圾电子邮件的传播蔓延，严重侵害电子邮件银行用户通信利益，影响电子邮件服务的正常运营秩序，危害互联网的安全和社会稳定，已经成为互联网一大公害。因此部署反垃圾邮件系统就显得尤为重要。 漏洞扫描工具如今，每天都有数十种有关操作系统、网络软件、应用软件的安全漏洞被公布，利用这些漏洞可以很容易的破坏乃至完全的控制系统；另外，由于管理员的疏忽或者技术水平的限制造成的配置漏洞也是广泛存在的，这对于系统的威胁同样很严重。一般来说，最有效的方法是定期对网络系统进行安全性分析，及时发现并修正存在的弱点和漏洞，保证系统的安

29、全性。因此湖南农信联需要一套帮助管理员监控网络通信数据流、发现网络漏洞并解决问题的工具，以保证整体网络系统平台安全。 网络流量监测与审计对网络流量进行监测和分析是十分必要的，尤其是在大型的网络环境中。利用网络流量监测与分析系统可以实时监测网络流量峰值，以及方便管理员根据分析报告来排除网络故障，所以目前很多的大型企业都部署了专业的网络流量监测与分析系统。104.4.网络安全监控平台规划方案网络安全监控平台规划方案农信联网络安全监控平台从整体部署上分为两大部分，分别是软件部署和硬件部署。软硬件结合提供安全防护、安全监控、威胁抵御等功能。.安全硬件部署规划安全硬件部署规划根据安全资产的

30、划分和要求，对安全资产按照区域有针对性的进行安全硬件的部署。其中终端接入安全主要依靠安全软件产品的部署进行保障，对于安全硬件的部署主要从互联接口、网络交互和数据中心三个区域进行部署。4.1.1. 互联接口区域农信联纵向业务网与将来建设的纵向办公网的数据互联接口通过省中心完成，两个网络采用统一接口的方式互联。考虑到纵向办公网将来会预留与 internet 的接口，纵向业务网在物理上与办公网互联就导致了业务网间接的暴露在 internet 环境下。分析 internet 的安全威胁状况，要求农信联纵向业务网与办公网的接口区域安全设备的部署可以提供以下功能： 采用在线模式部署 在优先保证业务持续的基

31、础上提供全面的防护； 基于状态的链路检测功能； 能够有效抵御 dos/ddos 攻击； 对网络蠕虫病毒进行有效防护； 可以针对数据进行 27 层的深度安全防护； 监控并屏蔽恶意软件； 提供对网络设备、主机、链路的保护； 能够抵御 zeroday attack； 具备实时的升级特性； 提供可供分析的标准日志结构； 便捷的统一的管理； 保护有效数据带宽，针对 p2p 协议对数据流可以灵活控制带宽；根据以上要求，这里采用防火墙设备和入侵抵御设备共同部署完成互联接口区域的安全保护。其中防火墙采用 h3c secpath f1800-a，入侵抵御采用 h3c ips 2400e，为优先保证业务的持续性，

32、在部署 ips 设备的时候通过 zpha 掉电保护设备提供掉电链路保护机制。具体部署见下图。11ii.图 湖南农信联网络安全监控平台互联接口区域硬件部署拓扑示意图4.1.2. 数据中心对于业务网数据中心，办公网对它所有的数据调用都需要通过互联区域，并不直接面对internet。相对于来自 internet 的安全威胁，已经由互联区域进行了充分的安全保护。因此主要考虑的来自于业务网内部的安全威胁。针对业务网内部进行分析，其威胁的主要入口是终端设备的接入。要求数据中心区域的安全设备部署提供以下功能： 采用在线模式部署 在优先保证业务持续的基础上提供全面的防护 对操作系统漏洞可以提供补丁功能； 对网

33、络蠕虫病毒进行有效防护； 可以针对数据进行 47 层的深度安全防护； 提供对服务器集群的有效保护； 具备实时的升级特性； 提供可供分析的标准日志结构； 便捷的统一的管理；考虑到数据中心防护相对 internet 处于互联接口区域之后，来自 internet 的 23 层威胁已经被过滤掉，而更重要的对操作系统和数据的保护，在这里根据以上要求，部署入侵抵御设12备完成数据中心区域的安全保护。入侵抵御采用 h3c ips 2400e，为优先保证业务的持续性，在部署 ips 设备的时候通过 zpha 掉电保护设备提供掉电链路保护机制。具体部署见下图。iii. 图 湖南农信联网络安全监控平台数据中心区域

34、硬件部署拓扑示意图4.1.3. 网络交互为了保证部署的硬件设备和安全软件能够统一的为网络安全服务，必须要求对全网设备，包括主机和数据交互设备进行统一的日志收集和日志分析。这样就要求必须在网络当中部署安全管理中心来完成统一的策略规划和分析。安全管理中心并不是一个威胁抵御的直接发起者，而是一个系统规划的首脑。所以要求安全管理中心可以提供以下功能：旁路部署模式，不影响正常业务和造成瓶颈；具有广泛的日志采集功能，要求可以对网络当中的所有设备（防火墙、ips、交换机、路由器、pc、server 等）进行日志分析； 采用先进的关联算法，能够对日志数据按照不同的关联组合进行分析； 对安全威胁的实时监控功能；

35、 对网络流量的实时监控功能； 可支持多家厂商的设备日志采集； 提供拓扑发现功能，并能够准确迅速的根据日志定为网络故障； 对网络故障提供多种迅速的告警机制；13 具有完善的安全审计功能； 对历史数据进行压缩并可提供高效的查询机制； 根据需要提供多种报表； 根据需求可分步实施的灵活部署方式；根据以上需求，这里采用 h3c 的 seccenter 作为整个网络的安全管理中心，对全网设备进行日志分析，帮助定制安全策略。考虑到 seccenter 的部署模式是旁路方式，仅仅需要路由可达即可完成上述功能，其部署位置相对灵活，建议可以和网络管理软件服务器部署在一起，以方便硬件的管理。.安全软件

36、部署规划安全软件部署规划硬件部署主要解决了区域安全问题，而安全软件的目的是要解决设备安全（即网络设备管理） 、用户安全（即终端管理）和审计监控这三方面的问题，从而与安全的硬件基础设施一道，构成一个完整的网络安全监控平台解决方案。考虑到不同管理软件之间的互连互通问题，最好在同一个管理平台上，采用不同的模块分别满足网络管理、用户管理、审计监控三方面的需求。这些模块之间需要能相互耦合，可以根据实际情况进行灵活的装配，同时也需要提供对外的服务接口，以便被第三方软件所调用。这样一种统一平台、模块耦合的方式，有利于农信联的投资保护，也具有很强的灵活性和适应性。4.2.1. 网络设备安全当网络设备出现异常无

37、法连通，或到网点的链路意外中断的时候，都会对农信联的正常业务造成影响。这需要有一个网络管理工具来实时监控这些设备的状态，当发现设备和链路的故障后必须能及时通知网管，并提供丰富的设备配置功能，以便管理员采取相应的故障处理措施。网络异常有时是用户引起的，比如 arp 攻击等行为，在接入 hub 的环境下，这种行为更加难以发现和管理。这就要求网络管理工具实现与用户管理的无缝集成，能看到设备上的每一个活跃用户及其帐号，而不光是 ip 地址，并且针对 hub 环境提供强制下线的有效处理措施。要实现状态监控和故障管理的目的，网络管理工具必须能提供以下功能： 采用 b/s 架构，便于管理员从任意位置登录并了

38、解网络情况； 支持 java 技术，不管是哪种平台的哪种浏览器都具有统一的图形用户界面； 支持多厂商设备，最好支持对主流设备的配置能力，做到既能看又能管； 提供对网络设备、unix 主机、链路、pc 的全面监控功能； 能够自动发现逻辑链路和物理链路，并生成拓扑图； 支持故障定位，告警信息可以直接链接到有故障的设备； 支持告警转发，如邮箱、手机短信等； 监控设备的 cpu、内存等性能参数，并提供 topn 排序功能；14 具备端口环回测试工具，可远程诊断链路的故障位置； 与用户管理无缝集成，能看到设备上的每一个活跃用户，即使是 hub 环境也可以让用户强制下线；根据以上需求，采用 h3c imc

39、 智能网管中心的 plat 基础网管组件，作为整个网络的设备管理工具，对全网设备进行监控和故障管理，并提供与用户管理的无缝集成。考虑到农信联的设备数目较多，仅部署一套网管的话对服务器资源要求较高，且存在带宽占用等问题，因此建议采取分布式部署方式方案：省中心一套，管理省中心的网络设备、14 个地市的核心路由器、118 个县的核心路由器；14 个地市各一套，管理地市的网络设备、县的网络设备和各网点的网络设备。具体部署见下图。iv.图 湖南农信联网络安全监控平台省网管中心部署示意图15v.图 湖南农信联网络安全监控平台省地市中心部署示意图4.2.2. 用户安全对于农信联来说，分支网点用户私设代理服务

40、器、私自访问互联网的行为普遍存在，网络用户不及时升级系统补丁、升级病毒库，造成病毒屡杀不止的现象也比比皆是。这些问题如果用防火墙、ids/ips 等安全硬件来控制管理的话不是好办法，最好的办法还是通过用户管理软件来管理。为了避免终端用户出于逃避监管的目的，私自卸载软件或打开个人防火墙，用户管理软件应能通过 802.1x 等协议与网络设备配合，强制用户必须正常安装和运行安全客户端。同时，由于涉及到系统补丁和杀毒软件，用户管理软件应该通过官方的微软补丁服务器自动升级补丁，并且与杀毒软件之间有良好的配合，以避免影响终端用户操作系统的正常运行。用户管理软件还应提供实时的修复机制，避免只在接入网络时进行

41、一次性检查的做法。另外，考虑到 pc 数目众多，用户管理软件应提供快速部署客户端的功能，避免管理员到每一台 pc 上手工安装的烦琐过程。用户管理软件应能提供以下功能： 限制终端用户使用多网卡和拨号网络：防止用户终端成为内外网互访的桥梁，避免因此可能造成的信息安全问题。 代理限制：限制用户使用和设置代理服务器。 终端补丁检测：评估客户端的补丁安装是否合格，可以检测的补丁包括：操作系统如windows 2000/xp/2003 等符合微软补丁规范的热补丁。16 自动补丁管理：提供与微软官方的 wsus/sms（windows server update services/system manage

42、ment server）协同的自动补丁管理，当用户补丁不合格时，自动安装补丁。 防病毒联动：当端点用户接入网络时，检查其计算机上防病毒软件的安装运行情况以及病毒库和扫描引擎版本是否符合安全要求等，不符合安全要求可以根据策略阻止用户接入网络或将其访问限制在隔离区。 黑白软件管理：检测终端软件的安装和运行状态。可以限制接入网络的用户必须安装、运行或禁止安装、运行其中某些软件。对于不符合安全策略的用户可以记录日志、提醒或隔离等多种策略。 安全状态定时检测和修复：安全客户端可以定时检测用户安全状态，如果发现不符合安全要求可以根据策略强制让用户下线或将其访问限制在隔离区。 强身份认证：在用户身份认证时，

43、可绑定用户接入 ip、mac、接入设备 ip、端口和vlan 等信息，进行强身份认证，防止帐号盗用、限定帐号所使用的终端，确保接入用户的身份安全。 “危险”用户隔离：对于安全状态评估不合格的用户，可以限制其访问权限（通过 acl隔离） ，使其只能访问防病毒服务器、补丁服务器等用于系统修复的网络资源。 在线隔离：用户上网过程中安全状态发生变化造成与安全策略不一致时（如感染不能杀除的病毒） ，可以在线隔离并通知用户。 支持匿名认证：可提供用户匿名认证功能，用户不需要输入用户名、密码即可完成身份认证和安全认证，便于前期部署过程中的过渡。 接入时间、区域控制：可以限制用户只能在允许的时间和地点（接入设

44、备和端口）上网。 终端强制或提醒修复：强制或提醒不符合安全策略的终端用户主机进行防病毒软件升级，病毒库升级，补丁安装； 安全日志审计：定时收集客户端的实时安全状态并记录日志；查询用户的安全状态日志、安全事件日志以及在线用户的安全状态。 强制用户下线：管理员可以强制行为“可疑”的用户下线。 支持 b/s 登录，便于管理员从任意位置进行管理。根据以上需求，采用 h3c imc 智能网管中心的 ead 用户管理组件，作为整个网络的用户管理方案，对全网设备用户的安全状态进行管理，并提供与网络管理的无缝集成。ead 用户管理组件的管理思路，是通过将网络接入控制和用户终端安全策略控制相结合，以用户终端对企

45、业安全策略的符合度为条件，控制用户访问网络的接入权限，从而降低病毒、非法访问等安全威胁对企业网络带来的危害。其原理流程如下图：17用户终端安全联动设备安全策略服务器修复服务器身份认证请求发起身份认证radius/身份信息radius/身份认证成功，下发隔离acl安全认证请求安全状态信息（防病毒版本、系统补丁等信息）安全状态不合格（缺少补丁等）根据安全认证结果，修复系统漏洞安全状态检查安全状态检查安全状态信息（防病毒版本、系统补丁等信息）安全认证成功，下发监控策略radius/安全认证成功，下发工作acl安全状态监控安全状态信息检查终端安全状态vi.图 ead 解决方案原理流程图h3c 用户管理

46、方案的组成部分包括 ead 安全策略服务器、防病毒服务器、补丁服务器等修复服务器、安全联动设备和 h3c 安全客户端，各部件各司其职，由安全策略中心协调，共同完成对网络接入终端的安全准入控制。见下图：18vii. 图 h3c ead 用户管理方案组成部分示意图ead 方案的核心是整合与联动，而 ead 安全策略服务器是 ead 方案中的管理与控制中心，兼具用户管理、安全策略管理、安全状态评估、安全联动控制以及安全事件审计等功能。在 ead 方案中，修复服务器可以是第三方厂商提供的防病毒服务器、补丁服务器或用户自行架设的文件服务器。此类服务器通常放置于网络隔离区中，用于终端进行自我修复操作。网络

47、版的防病毒服务器提供病毒库升级服务，允许防病毒客户端进行在线升级；补丁服务器则提供系统补丁升级服务，在用户终端的系统补丁不能满足安全要求时，用户终端可连接至补丁服务器进行补丁下载和升级。安全联动设备是企业网络中安全策略的实施点，起到强制用户准入认证、隔离不合格终端、为合法用户提供网络服务的作用。根据应用场合的不同，安全联动设备可以是交换机或 bas 设备，分别实现不同认证方式（如 802.1x 或 portal）的端点准入控制。不论是哪种接入设备或采用哪种认证方式，安全联动设备均具有以下功能：h3c 客户端是安装在用户终端系统上的软件，是对用户终端进行身份认证、安全状态评估以及安全策略实施的主

48、体。考虑到农信联的 pc 数目虽多，但主要是接入时的认证流量较大，认证成功后的实时检测流量很小，另外考虑到管理、维护的方便性，在省中心部署部署一套用户管理系统就可以满足农信联的要求。如果要实现高可用性，可增加一台服务器做双机热备或双机冷备方案。具体部署见下图。19viii.图 湖南农信联网络安全监控平台省用户管理中心部署示意图4.2.3. 审计安全用户管理是一种基于事前、事中的安全管理模式，即通过强制性措施避免问题发生，当问题发生时采取在线隔离和修复等措施解决问题，相对来说应该是一种比较严格的管理模式。但在实际应用中，用户管理往往会采取比较宽松的安全策略，并不是所有的问题都会被及时发现，这样就

49、必须通过事后的安全管理来加以完善。而事后安全管理主要是包括两方面，一个是用户行为的日志审计，另一个是网络流量的监控分析。传统的审计方式是 ip 地址审计，即提供源 ip、源端口、目的 ip、目的端口四元组信息的审计，这种审计方式存在很大的局限性。在使用 dhcp 动态获取 ip 地址的环境，用户所获得的ip 地址可能会随时间或接入地点而变化。如果采用传统的 ip 地址审计可能只审计到用户某个时间段某个 ip 地址的行为，并不能获取该用户所有时间段所有 ip 地址的行为。这就要求日志审计系统必须能支持基于用户的行为审计，而不止是基于 ip 地址的行为审计。作为农信联来说，没有必要去查看上万用户中

50、每个用户都做了些什么，而应该从宏观角度去监控和分析网络中是否存在异常，如省节点到地市节点的带宽是否够用，使用最多的是哪种应用，该应用中哪个用户占用了最多带宽等，先从流量分析的角度去发现网络异常，进而借助用户行为审计工具获得该用户的详细行为记录，并作为证据报告给领导。由于网络中存在多种厂商的设备，可采取旁挂的方法进行部署，通过镜像流量收集原始流量中的日志信息和流量信息。要实现用户行为审计和网络流量分析的目的，网络管理工具必须能提供以下功能： 支持基于 ip 地址的行为审计，也可以基于用户进行网络行为审计；20 除对网址进行审计外，还支持对网页摘要信息、ftp 摘要信息、邮件摘要信息等内容的审计；

51、 提供总体流量分析，能够查看总流量随时间变化的趋势； 提供应用流量分析，可以查看某种应用的带宽占用情况，包括该应用中哪个用户的流量最大； 提供节点流量分析，可以查看哪个服务器的访问量最大，来源于哪些用户； 支持七层分析，能够识别 bt、edonkey、迅雷、qq 文字通讯、msn 文字通讯、aim 文字通讯等目前流行的 p2p 和即时通信应用。 支持自定义报表，用户可以定制关心的报表内容，并提供报表打印和输出功能。 支持日志过滤和聚合，可以按照指定的过滤条件对接收到的日志进行过滤，或对相同或类似的日志进行聚合，以减少日志采集量，提高系统整体性能 支持 b/s 登录，便于管理员从任意位置进行管理

52、。根据以上需求，采用 h3c imc 智能网管中心的 xlog 行为审计和流量分析组件，作为整个网络的审计监控工具，通过与用户管理的无缝集成，提供基于用户的行为审计，并提供 7 层流量分析功能。考虑到管理、维护的方便性，在省中心路由器的部署行为审计和网流分析系统，通过镜像方式收集原始流量并产生流量信息。每台核心路由器都有一条链路分别部署一套行为审计系统和一套网络流量分析系统。由于核心路由器的流量较大，对服务器的资源要求较高，因此考虑将组成系统的组件分开部署，信息采集专用一台服务器，后台处理用另一台服务器。行为审计系统采用两台服务器，一台充当后台服务器，一台充当流量采集器 dig 探针，安装三个

53、网卡。其中两个网卡接收分别接收一台核心路由器的镜像流量，另一个网卡发送日志信息给行为审计系统的后台服务器。流量分析系统同样采用两台服务器，一台充当后台服务器，一台充当流量采集器 dig 探针，安装三个网卡。其中两个网卡接收分别接收一台核心路由器的镜像流量，另一个网卡发送流量信息给流量分析系统的后台服务器。具体部署见下图。21ix.图 湖南农信联网络安全监控平台省监控审计中心部署示意图.安全监控平台可实现的功能安全监控平台可实现的功能通过对湖南农信联安全监控平台的建设，可以帮助纵向业务网进行统一的安全规划和威胁抵御，从而为后续的与办公网互联提供高可靠的安全保障。4.3.1. 对 d

54、os/ddos 的抵御为应对愈来愈猖獗的 dos 和 ddos 攻击，h3c 研发了一整套防护机制来对付攻击者所使用的各种手法。h3c ips 2400e 和 secpath f1800-a 的工作在线内(in-line)的工作方式，检查经过的进出流量中每个比特并过滤掉不想要的流量，在线保护与之连接的网络和主机。h3c ips 2400e 和 secpath f1800-a 防护可分为两类：标准 dos 防护和高级 ddos 防护。标准 dos 防护为针对漏洞、攻击工具及异常流量提供基础的防护。高级 ddos 防护则可以抵御 syn flood、established connection f

55、lood 和 connection per second flood 攻击。漏洞防护保护服务器不受攻击者利用已知漏洞进行的攻击。“傀儡计算机”招募防护对木马程序入侵 pc 使其变成“傀儡计算机”的防护。攻击工具防护阻断 tfn、loki 和 stacheldraht 等已知的 ddos 攻击工具使用的隐藏通信通道。带宽防护保护网络不受 icmp、tcp 或 udp 等数据包的洪水攻击，以免耗尽网络带宽和服务资源，进而避免合法数据包的丢失。这些过滤器会制定一个流量基线，在流量超出设定的比例时就会自动控制流量。高级 ddos 防护除了上述功能外，还可提供以下防护：syn proxy攻击者以伪造的源

56、 ip 地址，对某台服务器发送大量的恶意连接请求（如 tcp syn） ，这使得合法客户无法访问该服务器。connection per second （cps）flood攻击者利用“傀儡计算机”军团，重复向22服务器发出资源请求，如网页请求。从而造成服务器负担过重，导致回应迟缓，甚至不可访问。established connection flood攻击者利用“傀儡计算机”军团，向服务器建立大量（甚至上百万）的恶意 tcp 连接，从而使得服务器无法对合法客户的请求做出响应。标准和高级 dos/ddos 防护配合使用，以防止系统遭到野蛮粗暴的 dos 攻击，并且保护新机器不被吸收为“傀儡计算机”

57、。4.3.2. 应用层威胁和深度安全保护h3c ips 2400e 可以被“in-line”地部署到网络当中去，对所有流经的流量进行深度分析与检测，从而具备了实时阻断攻击的能力，同时对正常流量不产生任何影响。基于其高速和可扩展的硬件平台，h3c ips 2400e 不断优化检测性能，使其能够达到与交换机同等级别的高吞吐量和低延时，同时可以对所有主要网络应用进行分析，精确鉴别和阻断攻击。h3c ips 2400e的出现使得应用层威胁问题迎刃而解。x.图 h3c ips 2400e 威胁抵御引擎 tseh3c ips 2400e 基于 asic、fpga 和 np 技术开发的威胁抑制引擎（tse，

58、threat suppression engine）是高性能和精确检测的基础。tse 的核心架构由以下部件有机融合而成：定制的 asicfpga(现场可编程门阵列)20g 高带宽背板高性能网络处理器该核心架构提供的大规模并行处理机制，使得 h3c ips 2400e 对一个报文从 2 层到 7 层所有信息的检测可以在 215 微秒内完成，并且保证处理时间与检测特征数量无线性关系。采用流水线与大规模并行处理融合技术的 tse 可以对一个报文同时进行几千种检测，从而将整体的处理性能提高到空前水平。在具备高速检测功能的同时，tse 还提供增值的流量分类、流量管理和流量整形功能。tse23可以自动统计

59、和计算正常状况下网络内各种应用流量的分布，并且基于该统计形成流量框架模型；当 dos/ddos 攻击发生，或者短时间内大规模爆发的病毒导致网络内流量发生异常时，tse将根据已经建立的流量框架模型限制或者丢弃异常流量，保证关键业务的可达性和通畅性。此外，为防止大量的 p2p、im 流量侵占带宽，tse 还支持对 100 多种点到点应用的限速功能，保证关键应用所需的带宽。h3c ips 2400e 在跟踪流状态的基础上，对报文进行 2 层到 7 层信息的深度检测，可以在蠕虫、病毒、木马、dos/ddos、后门、walk-in 蠕虫、连接劫持、带宽滥用等威胁发生前成功地检测并阻断。而且，h3c ip

60、s 2400e 也能够有效防御针对路由器、交换机、dns 服务器等网络重要基础设施的攻击。xi.图 h3c ips 2400e 提供无处不在的威胁保护h3c ips 2400e 还支持以下检测机制：基于访问控制列表（acl）的检测基于统计的检测基于协议跟踪的检测基于应用异常的检测报文规范检测（normalization）ip 报文重组tcp 流恢复以上机制协同工作，h3c ips 2400e 可以对流量进行细微粒度的识别与控制，有效检测流量激增、缓冲区溢出、漏洞探测、ips 规避等一些已知的、甚至未知的攻击。4.3.3. 虚拟软件补丁技术h3c ips 2400e 实现了几个基于漏洞的过滤器，