中国金融行业计算机网络安全解决方案

1、中国金融行业计算机网络安全解决方案（银行部分缩略稿）亿阳信通 目 录 TOC o 1-3 第一部分 概述 PAGEREF _Toc511120537 h 31.1计算机网络安全 PAGEREF _Toc511120538 h 31.2密码技术的应用 PAGEREF _Toc511120539 h 31.3相关政策法规 PAGEREF _Toc511120540 h 41.4定义 PAGEREF _Toc511120541 h 41.5 参考资料 PAGEREF _Toc511120542 h 5第二部分 金融行业网络安全需求 PAGEREF _Toc511120543 h 62.1 系统配置

2、PAGEREF _Toc511120544 h 62.1.1 系统名称 PAGEREF _Toc511120545 h 62.1.2 基本业务 PAGEREF _Toc511120546 h 62.1.3 系统配置 PAGEREF _Toc511120547 h 62.2 目前系统存在的安全性问题 PAGEREF _Toc511120548 h 6第三部分 银行业三级网网络安全解决方案 PAGEREF _Toc511120549 h 73.1 方案设计原则 PAGEREF _Toc511120550 h 73.2 方案设计思想 PAGEREF _Toc511120551 h 8第四部分 银行业

3、三级网网络安全方案设计 PAGEREF _Toc511120552 h 84.1方案分析 PAGEREF _Toc511120553 h 84.2产品介绍 PAGEREF _Toc511120554 h 11线路密码机 PAGEREF _Toc511120555 h 114.2.2 网络密码机 PAGEREF _Toc511120556 h 11亿阳网警BOCO.SFW-2000A型防火墙 PAGEREF _Toc511120557 h 11亿阳网络密码机安全管理中心 PAGEREF _Toc511120558 h 11亿阳防火墙安全管理中心 PAGEREF _Toc511120559 h 1

4、2漏洞扫描系统 PAGEREF _Toc511120560 h 12入侵检测系统 PAGEREF _Toc511120561 h 13亿阳一次口令认证服务系统 PAGEREF _Toc511120562 h 134.2.9 web页面恢复系统 PAGEREF _Toc511120563 h 13第五部分 方案评估 PAGEREF _Toc511120564 h 144.1 安全性 PAGEREF _Toc511120565 h 144.2 可靠性 PAGEREF _Toc511120566 h 144.3 实用性 PAGEREF _Toc511120567 h 144.4扩展性 PAGEREF

5、 _Toc511120568 h 144.5 标准性 PAGEREF _Toc511120569 h 14第一部分 概述1.1计算机网络安全 随着计算机和网络技术的发展，信息已成为推动社会向前发展的重要资源，许多业务变得越来越依靠电子信息处理，在金融业则更为显著。金融业务计算机处理系统经历了从手工到单机、从单机到网络的阶段性发展。目前，网络分布式计算系统还在继续朝着开放系统互联体系发展，金融业务也必将通过互联网络进一步扩展。与此同时，金融计算机网络也日益受到安全问题的困扰，暴露出在网络互联环境下存在的不安全因素。如果没有适当的安全保密措施，这些网络互联环境下的信息在传输和存取过程中就易被窃取、

6、复制、篡改，造成信息的泄漏、混乱，直接影响金融业务系统的正常运转。 由于金融业务的特点，在巨大金钱利益的引诱下，各种计算机犯罪分子不惜采用各种高科技技术，对金融计算机网络构成严重威胁。特别像国家开发银行这样租用公共网络平台的系统，如果不加以某些安全手段进行保护隔离，将会给系统留有重大安全隐患。根据中国人民银行的统计资料表明：我国从86年出现首例计算机犯罪案件开始，计算机犯罪每年正以30的增长率递增，91年后有明显上升趋势，重大的银行计算机犯罪案件每年近百起。1.2密码技术的应用 从上述情况可以看出，信息时代计算机网络的安全面对着严峻的考验，安全策略显得尤为重要。对金融计算机网络上的各种非法侵害

7、进行主动防御和有效抑制是金融电子化建设的当务之急。怎样才能使计算机网络系统的机密信息难以被泄漏，并做到即使被窃取了也极难识别，以及即使被识别了也极难被篡改，已经成为计算机科学的新课题。密码技术正是达到上述目的的核心技术手段。 密码技术包括密码设计、密码分析、密码管理、验证技术等内容。密码设计的基本思想是伪装信息，使局外人不能理解信息的真正含义，而局内人却能理解伪装信息的本来含义。1.3相关政策法规计算机网络安全子系统作为计算机网络应用系统的组成部分,起着保护系统的信息安全，预防和跟踪计算机犯罪的作用。为此，中国人民银行组织了专项课题组，进行银行计算机安全策略的研究。课题组完成银行计算机安全体系

8、研究报告，提出了银行计算机网络安全建设的目标和策略。并在今年一月份下发的关于采取有效措施，防范金融计算机犯罪的通知（银发19996号）文件中明确要求：各金融机构要在近期内对未经安全验收的计算机系统进行安全验收。凡是没有通过安全验收的计算机系统，不能批准投入生产运行。为了保证政府部门和企事业单位的信息安全，我国政府于今年颁布实施了商用密码管理条例，其中明文规定，所有境外密码产品不得在我国境内销售使用，任何单位不得使用境外厂家生产的密码产品。国内生产商业密码产品的厂家必须通过国家商业密码管理委员会办公室审批才能进行生产，其密码产品及其设计方案、密码算法等均须通过国家商业密码管理委员会办公室审查测试

9、才能进行销售和使用。1.4定义计算机安全 包括物理安全与逻辑安全两类。物理安全指系统设备及相关设施受到物理保护，免受物理破坏，得以正常运行。逻辑安全包括信息保密性、信息完整性和服务可用性，其中信息保密性指信息只能由合法用户阅读，任何非法用户不能得知信息的真实内容；信息完整性指任何非法用户不能对信息进行添加、插入、删除、替换和重新排序等操作；服务可用性指合法用户请求服务时，能得到及时和正确的服务。本方案主要考虑逻辑安全。加密 对数据进行密码变换以产生密文。 密文 经加密处理而产生的数据，其语义内容是不可用的。解密 与一个可逆的加密过程相对应的反过程。密钥管理 在一种安全策略指导下密钥的产生、存储

10、、分配、删除、归档及应用。1.5 参考资料 1 ISO 7498-2 -1989 信息处理系统 开放系统互连基本参考模型 第2部份:安全体系结构 银行计算机安全体系研究 1998 ANSI X3.92:1981 数据加密算法 通讯网的安全理论与技术 计算机的安全与保密 网络安全与数据完整性本方案基本符合以下政策要求：中国证券经营机构营业部信息系统技术管理规范（试行）证券经营机构营业部信息系统安全管理手册关于发布期货交易所、期货经营机构信息技术管理规范（试行）的通知国家商用密码管理条例中华人民共和国计算机信息系统安全保护条例方案编写单位亿阳信通，国家商用密码产品生产定点单位，高科技股份制企业，股

11、票代码：600289。第二部分 金融行业网络安全需求2.1 系统配置2.1.1 系统名称 某银行三级网（包括柜台业务和中间业务）2.1.2 基本业务 柜台业务 中间业务2.1.3 系统配置某银行的三级网连接支行（或县支行）到其所属市级某银行的重要通讯网络，三级网的数量众多，而且通讯线路和通讯协议比较复杂，在三级网上运行的业务有柜台业务、中间业务等。某银行二级网是典型的主机/终端结构，在网络形式上是SNA网络，但在市分行三级网内的柜台业务上大都以TCP/IP作为通讯协议，在市行储蓄业务服务器进行处理后由SDLC网关转换成SNA协议后送到省行中心的IBM大机。而中间业务多数是和本地区的企业相关，一

12、般都在市行中心的中间业务服务器上进行处理。中间业务的网络环境和相连的企业相关，由于企业的网络环境各不相同，所以在通讯线路、协议种类上有所不同。两种业务都以市分行的中心局域网为中心，所有的服务器都放在中心机房中，通过中心局域网联到路由器上。在柜台业务中，支行的局域网路由器通过DDN同步线路接到市分行，在市分行的以DDN同步线路或通道化E1 DDN线路接到中心的路由器广域网端口上。在中间业务中，由于各个企业单位的所采用的通讯线路和协议各不一样，如通讯线路有DDN、电话线、X.25等，网络协议有TCP/IP、IPX/SPX等，业务软件也有所差别。2.2 目前系统存在的安全性问题 现在我们重点分析某银

13、行三级网在广域网络通讯安全性方面以及业务系统安全性方面存在的问题，站在信息系统攻击者的角度看，对现有网络可能采用的攻击手段主要有： 线路窃听通过搭线截获通讯数据，掌握敏感数据，并可能通过协议分析等手段，进一步对系统内部进行攻击。 网络入侵通过广域网络，利用病毒、系统安全漏洞、协议分析等技术非法登录到主机系统，或非法存取计算机资源。 节点仿冒伪造网络地址，非法设立网络节点，甚至非法复制安装相应的应用软件，接入网络系统。 中间人攻击以某种机制接到通讯双方之间，对发送方冒充成接收方，对接收方冒充成发送方，从而骗取通讯双方的信任，并获得机密信息。 非授权访问有意避开系统访问控制机制，对网络设备及资源进

14、行非正常使用，擅自扩大权限，越权访问信息。 业务抵赖 在处理完某笔业务后，参与业务的某方否认所做的业务处理。第三部分 银行业三级网网络安全解决方案3.1 方案设计原则需求、风险、代价平衡分析的原则对任一网络，绝对安全难以达到，也不一定是必要的。对一个网络要进行实际的研究(包括任务、性能、结构、可靠性、可维护性等)，并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析，然后制定规范和措施，确定本系统的安全策略。某银行三级网数量众多，直接涉及某银行、企业和储户大量的资金安全，因此，我们在设计安全机制时，采用的安全技术是以现实不可破译作为尺度，现实不可破译的含义是以目前及将来的一段时间内可能

15、采用的技术，不可能在有效时间内破译。综合性、整体性原则应用系统工程的观点、方法，分析网络的安全及具体措施。网络系统是一个整体，任何一个环节出了安全漏洞，整个系统的安全都会受到威胁。根据本系统现状分析，我们需要整体考虑市分行、支行、企业、通讯线路四个部分，在业务上考虑同时考虑柜台业务和中间业务的安全性，使两种业务共同使用同一套安全系统，以减少设备的重复投资。总之，计算机网络安全应遵循整体安全性原则，根据确定的安全策略制定出合理的网络体系结构及网络安全体系结构。一致性原则一致性原则主要是指网络安全问题应与整个网络的工作周期(或生命周期)同时存在，制定的安全体系结构必须与网络的安全需求相一致。作为一

16、个金融交易系统，综合业务网络系统仍然在不断完善及发展中，本系统的建立应符合目前及近期发展规划的要求。易操作性原则安全措施需要人去完成，如果措施过于复杂，对人的要求过高，本身就降低了安全性。另外，措施的采用不能影响系统的正常运行。本方案采用的线路加密和网络加密技术对应用软件完全透明，实现与操作都不需要人工干预。适应性及灵活性原则安全措施必须能随着网络性能及安全需求的变化而变化，要容易适应、容易修改。本设计方案具备可扩充性和可升级性，能适应将来网络规模的发展。3.2 方案设计思想 结合使用密码技术和签名认证技术使通讯线路中的数据不被非法用户理解和伪造以及业务数据的抗抵赖。它涉及两个转换算法：加密算

17、法和解密算法。一个密码系统的强度由以下因素决定：密码空间的大小；算法是否存在后门；以及它对于密码分析的抵抗能力。目前密码机制有两种类型：对称密码机制和公开密码机制。对称密钥机制 该密码机制的加密算法和解密算法共用同一把密钥，加密算法和解密算法互为逆过程。该机制的主要缺点在于密钥难于管理（主要是密钥的分发和销毁管理问题），典型的算法有DES算法。 公开密钥机制 该密码机制的加密算法和解密算法使用各自的密钥，其中加密密钥是公开的，众所周知的，解密密钥是秘密的，只为拥有者所知道。该类算法虽没有密钥分发管理之忧，但速度慢，并且公开密钥身份的真实性需严格认证。典型的算法有RSA算法。我们在设计中将把两者

18、结合使用，使系统在安全性和加密效率上达到一个最佳的结合点。第四部分 银行业三级网网络安全方案设计4.1方案分析在某银行三级网这样一个数量多，结构复杂的网络系统，需用结合采用应用层加密、网络层加密、数据链路层加密，在设备上体现为网络防火墙、网络密码机、线路密码机、漏洞扫描器、入侵检测引擎、一次口令认证服务器、USB加密认证服务器、网上银行页面恢复系统、网络安全管理中心等安全设备，根据不同的网络环境、线路情况，结合采用不同的加密安全设备。方案所采用的设备要能够同时为柜台业务和中间业务提供安全保障，使所建立的安全子系统成为统一的整体。我们首先考虑在省分行中心端，由于储蓄业务服务器、中间业务服务器等重

19、要的系统设备都放置在中心局域网中，而且省分行局域网还通过一级网上联到国家总行，所以省分行的安全性十分重要。为此，我们要对允许访问省中心局域网的通讯对端的身份、权限等要进行严格的审查，拒绝一切非法的访问，并通过服务端口重定向、地址伪装等技术来隔离内部网和外部网。在此基础上，我们给业务服务器增加高速密码卡，提供功能强大的安全应用API（应用程序接口），应用服务器通过调用API来实现数字签名、验证签名、数据加密、完整性校验等安全服务，实现应用层的加密。同时，在此基础之上还结合有网络密码机，实现对应用系统透明的IP层加密。在中心采用这种结合了安全应用API、防火墙、网络密码机的安全设备，可以同时为柜台

20、业务和中间业务提供安全保密服务，既提高了安全性，又减少了所需添加的设备数量。同时，由于省分行开设了电话银行、手机银行、银证转账、柜台前移等系统，所以也必须考虑到银行到电信、银行到证券、银行到终端用户之间交易的认证和安全问题，这一些主要依靠开辟VPN隧道、增加令牌卡等措施加强网络安全。在支行端或客户端，对于柜台业务或某些非TCP/IP网络协议的通讯环境，可以采用线路密码机来对通讯数据进行加密，同时对通讯的对端进行节点认证。当然，在中心端也要为相应的线路添加线路密码机。采用线路密码机的好处在于使用方便（对应用系统和网络层协议完全透明），可以实现大部分的安全功能，但投资较少。如果某个客户端到中心的通

21、讯线路有多条，或线路的速率较快，则采用线路密码机的投资较高，这时可以采用网络密码机，多条线路共同使用一台网络密码机提供的安全功能，使投资较少。上面两种方式实现的数据链路层和网络层的加密，但象数字签名、数据库加密等一些安全功能要在应用层上实现，我们提供了和安全服务器相配套的安全应用API客户端软件和加密硬件，为客户端提供和中心端安全服务器相配套的应用层安全服务。 在现有和将来要实现的应用系统上可以通过调用这些安全服务来实现功能完善的各种安全功能。安全系统结构参见示意图一。防火墙LAN1：部门1网络安全分析系统Email ServerWWW探测引擎DMZLAN2：部门2行长办公室LAN3：部门3防

22、火墙网络密码机安全管理中心探测引擎探测引擎认证服务器一次口令卡一次口令卡一次口令卡线路密码机线路密码机线路密码机线路密码机线路密码机池网络密码机/线路密码机防火墙网络密码机电话银行/手机银行固定用户拨号（网上银行/家居银行）移动用户拨号（网上银行）企业用户（柜台前移系统）市行中心局域网网络病毒防护服务器VPN加密隧道储蓄业务网点储蓄业务网点储蓄业务网点储蓄业务网点省分行 页面恢复服务器中国电信/中国移动Internet证券公司（银证转账系统）国家总行4.2产品介绍4.2.1线路密码机线路密码机是数据链路层上的加密设备，为通讯双方提供端到端的数据保密服务，具有使用方便，见效快的特点。它提供如下安

23、全功能：数据加密：线路密码机在数据链路层上将数据进行加密，而加密的密钥是由通讯双方自行协商的随机数，有效地防止了线路上的数据窃听、非法篡改、数据分析等多种攻击；节点认证：通讯双方的线路密码机在进行通讯前要进行密码机的身份认证和密钥协商，由于采用了非对称密码算法和签名机制，在无有效的密钥卡或线路密码机的情况下将无法接入通讯网络和对方的密码机通讯，有效地防止节点设备的非法仿冒。4.2.2 网络密码机亿阳SJW13网络保密机是基于IP层数据加密的台式设备，已经获得国家密码管理委员会研制许可，高强度加密，对称密码体制密钥长度256位。国家开发银行总行及各地分行选用4Mbps速率的机型，采用对称密码体制

24、进行工作，具有访问控制、数据加密、完整性校验、节点身份认证等功能，同时集成了亿阳网警BOCO.SFW-2000A型防火墙于一身。本机型支持加密卡热备份。亿阳网络保密机配有专用管理系统，负责密钥的生成、发放、更新与销毁，同时实现对亿阳所有安全设备（含密码设备与防火墙设备）的在线监控与报警。4.2.3亿阳网警BOCO.SFW-2000A型防火墙亿阳网警BOCO.SFW-2000A型防火墙是基于IP层数据包访问控制技术的台式设备，已经获得国家公安部销售许可，许可证书号XKC33050。该设备可以实现IP包过滤、地址转换、透明代理、地址绑定、路由模块等功能为一体，同时支持远程安全管理中心的在线监控与管

25、理。4.2.4亿阳网络密码机安全管理中心亿阳安全管理中心是基于亿阳多种安全设备平台的安全管理系统，负责安全设备的密钥和证书的分配、管理和注销，负责安全策略远程集中统一的实施、监控、审计和响应。亿阳安全管理中心基于业界领先的动态可适应性安全管理模型，渗透了亿阳信息安全的核心是管理的思想。亿阳SJW13网络密码机安全管理中心是“亿阳VPN网络安全解决方案”的核心部分，是亿阳安全管理中心面向亿阳SJW13网络密码机的一个特定子系统。亿阳SJW13网络密码机安全管理中心负责亿阳SJW13网络密码机公私钥证书的分配、管理和吊销；负责亿阳SJW13网络密码机安全联盟和安全策略的远程集中统一配置和管理；实现

26、远程配置、远程监控、远程审计和远程响应，与整个网络安全系统中的多台亿阳SJW13网络密码机组成一个分布式智能VPN系统。4.2.5亿阳防火墙安全管理中心亿阳网警2000A防火墙管理中心，是针对亿阳网警2000A防火墙主机系统所设计的安全管理中心产品。它以友好的图形管理界面对整个网络安全系统中的所有亿阳2000A防火墙进行集中统一的管理，保证网络安全系统的整体安全策略的实施、监控和响应，实现亿阳网警防火墙的远程配置、远程监测、远程审计。中心具有下列的主要功能：实施各防火墙主机系统的安全策略集中配置管理防火墙主机通过安全策略，完成对进出内部网和外部网络间的信息的访问控制，管理中心通过友好图形界面的

27、形式，提供了对多台防火墙主机系统的安全策略进行集中配置的手段，极大方便了用户对多个防火墙系统的策略管理；完成对各防火墙主机系统的管理员和管理中心用户的集中管理中心可以为各防火墙的管理员建立档案，明确了各防火墙管理员的责任，为防火墙的科学管理提供了依据；实时监控各防火墙系统的工作状态中心可以实现各防火墙系统的工作状态的实时监控，能及时发现各防火墙系统在运行过程中是否出故障，便于用户集中地了解各防火墙系统的运行状况。实时审计各防火墙的日志信息中心可心实时对防火墙的各种日志信息，如操作日志、包过滤日志、代理日志、运行日志、其它日志信息进行实时审计，便于用户及时了解防火墙主机所发生的各事件的记录。4.

28、2.6漏洞扫描系统该产品对Internet/Intranet中所有部件（Web站点、防火墙、路由器、TCP/IP及相关协议服务）进行实践性扫描、分析和评估，发现并报告系统存在的弱点和漏洞，评估安全风险，建议补救措施。该产品能发现以下问题：系统开放了不必要的服务；软件的版本问题、缺省配置、具有缺点、未装补丁；NT服务器的配置问题；Web服务器的配置问题；防火墙的配置与路由器的访问控制表的配置问题；信息泄漏Telnet旗标、Finger、SNMP、SMTP；信任关系rlogin、rsh、rexec；口令弱；检测类似BO、NetBus等特洛伊木马；文件共享不合适netbios、netware；远程访问不安全。4.2.7入侵检测系统该系统是实时网络违规自动识别和响应系统。它运行于有敏感数据需要保护的网络上，通过实时监听网络数据流，识别、记录入侵和破坏性代码流，寻找网络违规模式和未授权的网络访问尝试。当发现网络违规模式和未授权的网络访问时，网络信息安全监测预警系统能够根据系统安全策略做出反应。实时网络数据流跟踪：该系统运行于有敏感数据需要保护的网络之上，实时监视网络上的数据，分析网络通信会话轨迹。网络攻击模