金融系统安全体系解决方案

书山有路勤为径，学海无涯苦作舟。书山有路勤为径，学海无涯苦作舟。第第页金融系统安全体系解决方案

更新时间：201*-04-21

前言

随着网络的快速发展，各金融企业之间的竟争也日益激烈，通过提高金融机构的运作效率，为客户提供方便快捷和丰富多彩的服务，增强金融企业的发展能力和影响力来实现的；为了适应这种发展趋势，银行在改进服务手段、增加服务功能、完善业务品种、提高服务效率等方面做了大量的工作，以提高银行的竞争力，争取更大的经济效益。而实现这一目标必须通过实现金融电子化，利用高科技手段推动金融业的发展和进步，网络的建设为银行业的发展提供了有力的保障，并且势必为银行业的发展带来具大的经济效益。

随着银行网络规模逐渐扩大，网上银行、代理缴款等新业务的开通，大批信息管理系统正在陆续投入运行，计算机系统在银行工作中的应用将日益广泛；目前银行主要应用有：储蓄、对公、信用卡、储蓄卡、ic卡、国际业务、电子汇兑、电子邮件、电子公文、网上银行、网上交易系统、新的综合对公业务、国际业务信贷系统等。但是我们应该意识到事务的两面性，随着应用的不断增加，网络安全风险也会不断暴露出来。原来由单个计算机安全事故引起的损害可能传播到其他系统和主机，引起大范围的瘫痪和损失。而且由于银行属于商业系统，都有一些各自的商业机密信息，如果这些机密信息在网上传输过程中泄密，其造成的损失将是不可估量的。所以金融业网络安全方案的解决不容忽视。银行网络安全风险分析校校通工程的实施，一方面是国家教育发展的必然趋势，同时也是教育行业自身依据当前教育形势发展而提出的需求。校校通工程的实施将会极大的推动学校信息化建设的步伐，使学校的教育方式和教学效果迈上一个新的台阶。为了进一步完善网络，并对原有的网络进行完全改造，根据教育网络安全建设的要求，总结其安全需求如下：网络安全方案要求：来自互联网风险

银行这样的金融系统自然会被恶意的入侵者列入其攻击目标的前列。来自外单位风险

由于银行与这些单位之间不可能是完全任信关系，因此，它们之间的互联，也使得银行网络系统存在着来自外单位的安全威胁。来自内部网风险

据调查统计，已发生的网络安全事件中，70%的攻击是来自内部。因此内部网的安全风险更严重。管理安全风险

企业员工的安全意识薄弱，企业的安全管理体制不健全也是网络存在安全风险的重要因素之一。

安全威胁可能引发的结果有非法使用资源、恶意破坏数据、数据窃取、数据篡改、假冒、伪造、欺骗、敲诈勒索等。种种结果对银行这样特殊性的行业来说，其损失都是不可估量的。必须将风险防患于未然。解决方案典型银行网络一般大致可以分为外部网络，银行oa网和业务网络三部分。拓扑图如下：

扩展阅读：系统安全解决方案

系统安全解决方案

目录

1系统概述11.1系统应用领域及建设目标11.2系统资产描述11.3系统业务描述11.4系统用户描述1安全需求分析22.1总体安全需求22.2物理安全需求分析32.3网络安全需求分析42.4主机安全需求分析52.5应用安全需求分析62.6数据安全需求72.7安全管理需求分析72.8信息安全目标8亚洲大药房网站代码安全防护方案93.1网站对于93.2验证登陆方式92.3系统加密方式9安全设计规划104.1安全设计目标104.2设计原则10

4.2.1需求、风险、代价平衡分析的原则104.2.2综合性、整体性原则104.2.3一致性原则114.2.4易操作性原则114.2.5适应性原则114.2.6多重保护原则124.3设计依据12安全系统实现125.1安全网络系统125.2防病毒135.3防火墙175.4入侵检测系统205.5漏洞扫描系统265.6应急响应服务机制275.7备份还原系统28运营安全296.1风险管理29

6.1.1管理目标336.1.2管理程序33安全服务体系建设35

23456”：[{“c”：{“ix”：0，”iy”：0，”iw”：893，”ih”：1263}，”p”：{“h”：1263，”w”：893，”x”：0，”y”：0，”z”：1}，”ps”：{“_drop”：1}，”s”：null，”t”：”pic”}，{“c”：{“ix”：0，”iy”：1268，”iw”：656，”ih”：241}，”p”：{“h”：241，”opacity”：1，”rotate”：0，”w”：622.8，”x”：135，”x0”：135，”x1”：135，”x2”：757.8，”x3”：757.8，”y”：61.049，”y0”：289.799，”y1”：61.049，”y2”：61.049，”y3”：289.799，”z”：1}，”ps”：null，”s”：{“pic_file”：”/home/iknow/conv//data//bdef//127624048//127624048_2_1.jpg”}，”t”：”pic”}]，”page”：{“ph”：1262.879，”pw”：892.979，”iw”：893，”ih”：1509，”v”：6，”t”：”1”，”pptlike”：false，”cx”：0，”cy”：0，”cw”：892.979，”ch”：1262.879}}）1系统概述

1.1系统应用领域及建设目标

亚洲大药房网上药品交易平台，能通过互联网给用户提供用药咨询，产品销售。并致力打造中国健康方便的网上药品交易平台，给消费带来更多的选择。

1.2系统资产描述

亚洲大药房网上药品交易平台目前的资产如下：

硬件设备：ibm服务器一台。（cpuxeonx34302.4ghz4g内存，146gsas硬盘2块），同时做了raid1技术处理，保证数据的安全。软件资产：windows201*r2操作系统，亚洲大药房网上交易平台业务信息：客户档案信息、客户操作记录、安全信息和交易业务数据等；

1.3系统业务描述

通过互联网向个人用户提供药品信息及对其进行网上药品销售。

1.4系统用户描述

亚洲大药房网上药品交易平台平台的用户分为四类：（1）前台管理员。（权限：查看所有交易信息的记录和日志）（2）前台用户。（权限：包括下订单和修改、查询订单信息。）（3）后台管理员。（权限：包括前台管理员的所有功能，并且有随时增加、修改和停止用户某些权限的功能。）（4）监管员。（权限：查询所有订单记录和日志）

2安全需求分析2.1总体安全需求

安全需求和风险评估是制定网络系统安全策略的依据.风险分析，是指确定网络资产的安全威胁和脆弱性，并估计可能由此造成的损失或影响的过程.风险分析有两种基本方法：定性分析和定量分析.我们协助制订业务网络安全策略的时候，是从全局进行考虑，基于风险分析的结果进行决策，建议究竟是加大投入，采取更强有力的保护措施，还是可以容忍一些小的风险存在而不采取措施.因此，我们采取了科学的风险分析方法对亚洲大药房网上药品交易平台平台的安全进行风险分析，风险分析的结果作为制定安全策略的重要依据之一。根据安全策略的要求，我们协助选择相应的安全机制和安全技术，实施安全防御系统，进行监控与检测.我们认为亚洲大药房网上药品交易平台平台安全防御系统必须包括技术和管理两方面，涵盖物理层，系统层，网络层，应用层和管理层各个层面上的诸多风险类.安全防御系统搭建得完善与否，直接决定了亚洲大药房网上药品交易平台的安全程度，无论哪个层面上的安全措施不到位，都可能是很大的安全隐患，都有可能造成业务网络中的后门。

响应与恢复系统是保障网络系统安全性的重要手段.我们协助采取检测手段，制订紧急事件响应的方法与技术.根据检测和响应的结果，可以发现防御系统中的薄弱环节，或者安全策略中的漏洞，进一步进行风险分析，修改安全策略，根据技术的发展和业务的变化，逐步完善安全策略，加强业务网安全措施。

药品交易系统有以下几个主要特点：[有待补充]

根据以上分析，亚洲大药房网上药品交易平台平台总体安全需求为：

（1）保证传输安全；

（2）保证数据存取安全；有效的机房管理；（3）要具备大量并发处理能力；（4）交易操作及数据要抗抵赖；

（5）保证数据不能被篡改，对交易的有效性要有严格的手段控制（多于两种措施）。在保证交易有效的前提下尽可能的保证业务不中断。

（6）采用以防为主的信息安全策略，把发生信息安全事件的可能性降到最低。

2.2物理安全需求分析

物理安全是指各种服务器、路由器、交换机、工作站等硬件设备和通信链路的安全。风险的来源有：

（1）自然灾害：台风、地震、水灾、火灾、雷击等产生的破坏。（2）环境事故：有害气体、电磁污染、电磁干扰、静电、鼠害以及其它环境事故的破坏。

（3）电源故障。包括电力供应的突然中断或电压的波动。（4）人为操作失误或错误；人为的对设备的盗窃、毁坏。（5）设备老化及意外故障，电磁泄露。（6）数据媒体的损坏、出错。

（7）物理安全的威胁可以直接造成设备的损坏，系统和网络的不可用，数据的直接损坏或丢失等等。

2.3网络安全需求分析

网络安全主要是指在局域网或者广域网中所面临的网络层面的攻击，风险的来源有：

1）内部网络暴露。tcp/ip通信协议将内部网络拓扑信息暴露给相连接的其它网络，为外部攻击提供了目标信息。

2）地址欺骗。源ip地址极易被伪造、更改以及ip地址鉴别机制的缺乏，使攻击者通过修改或伪造源ip地址进行地址欺骗和假冒攻击。

3）序列号攻击。tcp/ip协议中所使用的随机序列号是一个具有上下限的伪随机数，因而是可猜测的。攻击者利用猜测的序列号来组织攻击。

4）路由攻击。tcp/ip网络动态地传递新的路由信息，但缺乏对路由信息的认证，因此伪造的或来自非可信源的路由信息就可能导致对路由机制的攻击。

5）拒绝服务。攻击者影响目标的可获得性，故意阻碍对信息，服务器或其它资源的合法访问。如故意加重服务器的接入访问流量使得其它用户无法访问该服务器，或是用大量的数据包阻塞某个网络地址。许多tcp/ip协议实现中的缺点都能被用来实施拒绝服务攻击，如邮件炸弹、tcpsynflooding、icmpechofloods等。

6）鉴别攻击。tcp/ip协议不能对用户进行有效的身份认证，因此无法鉴别登录用户的身份合法性。

7）地址诊断。运用tcp/ip协议的机器有一个用于局域网卡本地诊断的特殊地址，它常常被攻击者操纵来实施攻击。

8）网络管理软件的缺陷。包括程序开发者有意或无意留下的后门、恶意代码等，同时，大部分网络管理软件的通信会话采用极为简单的会话鉴别机制，且使用“公共变量格式”传输和存储管理信息，攻击者一旦猜到会话口令，便能修改或删除管理信息，造成灾难性后果。

9）局域网内子网间的直接物理连接。局域网内各物理/逻辑子网之间存在着安全策略的差异，直接连接可能导致非授权访问或非法入侵。

2.4主机安全需求分析

主机的安全风险主要是针对本系统中所采用的操作系统、数据库及相关商用产品的威胁分析。主要风险来源有：

1）漏洞或缺陷：操作系统在开发时由于对安全问题考虑不周而留下的漏洞或缺陷，往往被攻击者利用来进行系统攻击。2）后门：操作系统的开发者用于系统诊断、维护或其它目的而有意或无意留下的，攻击者可用此获得操作特权或对系统资源进行非授权访问或使用。

3）口令获取。包括通过偷窃、猜测、字典攻击和转让等手段获取系统口令，非法获得对系统的操作特权，导致信息系统的管理权转移。

4）特洛伊木马。是一种具有明显或实际有用功能的计算机程序，它又包含了附加的（隐藏的）能暗中利用合法授权的功能，以此破坏计算机安全与完整性的进程。一旦进入系统，在满足一定条件时便会危及系统。

5）病毒：一种将自己复制进入系统的程序，一旦执行被感染的

程序，便会破坏系统的正常功能，甚至导致整个系统的崩溃。

2.5应用安全需求分析

对计算中的各系统成员，要共同完成任务.一般而言，管理员需要最高的可信度，他可以定义系统成员之间的信任关系策略，计算用户必须信任管理员的管理和服务。

“安全”对系统中不同的成员有不同的含义.对计算用户而言，就是准确的把计算任务提交给系统，并从系统中获取正确的计算结果，对敏感的计算任务还需要确保内容不被泄漏.这就需要系统确保计算用户的应用程序，数据和结果在提交，执行和传输过程中不被篡改，泄露或截取.对用户而言，就是在本机上执行的应用程序不会对本地系统造成影响和伤害.这就需要系统确保对等计算程序中不会出现重大bug，恶意代码和病毒，以及不会访问未授权的资源.对管理员而言，就是能够有效地控制和管理系统，使系统有序高效的运行.这就需要系统对用户，程序的管理提供支持，包括计算用户和对等计算程序的标识，认证，授权以及计算资源的访问控制和使用审计.

综上所述，对等计算应用的安全需求主要包括：（1）系统中各成员之间的信任关系管理（2）对用户信息的保护：主要指保证运行和提交过程中的代码，数据以及结果的正确性，完整性和保密性.

（3）对用户的管理：系统中的所有用户必须进行标识，认证，并对计算用户访问系统资源进行授权.

（4）对程序的管理：系统中的应用程序应该进行标识和认证，并确保它的执行不会对用户的安全产生影响.

2.6数据安全需求

安全不是绝对的，没有哪种产品的可以做到百分之百的安全，但我们的许多数据需要绝对的保护。最安全的、最保险的方法是对重要数据信息进行安全备份，通过网络备份与灾难恢复系统进行定时自动备份数据信息到本地或远程的磁带上，并把磁带与机房隔离保存于安全位。如果遇到系统来重受损时，可以利用灾难恢复系统进行快速恢复。

1）数据篡改。数据遭受以未授权方式所做的修改或未授权的使用，包括对数据值的删除、修改和插入另外的数据；改变数据存在的方式，包括数据的创建或删除。

2）数据毁坏。发生其它不可预料的事件导致数据损坏。

2.7安全管理需求分析

安全管理是一个广泛理念，系统中出现的安全问题并非全部可以通过技术本身解决，相反更多需要通过非技术手段进行解决。安全管理是整个安全体系结构中不可缺少的重要组成部分，涵盖了与安全技术措施相配套的风险分析与评估、法规制度、机构与人事管理以及安全测评等多个方面。安全管理的不健全，同样可以影响整个系统的安全。例如：

1）管理不当造成的口令及密钥丢失或泄露。

2）制度遗漏造成信息系统的无序运行，严重时导致雪崩式的安全漏洞和脆弱性。

3）人事管理漏洞。指对系统管理员、秘密信息管理员和存储介质管理员等的审查、录用、素质和道德培养以及调离、解聘各个环节中，管理制度及执行中出现漏洞和疏忽。这些漏洞和疏忽可导致人为操作错误，有意破坏信息和信息系统的可用性，以及直接窃取信息等安全事故。

4）审计不力或无审计。指信息系统未建立或不全建立审计岗位、审计制度和审计系统。这可导致不能及时发现信息系统运行中的故障或安全隐患，出现事故时无据可查或无追踪、审查能力，无法落实安全责任和责任人。

5）系统管理者的失误、失职或人为对系统的蓄意破坏。

2.8信息安全目标

我们知道传统的信息安全有7个属性，即保密性confidentiality）、完整性（integrity）、可用性（availability）、真实性（authenticity）、不可否认性（nonreputiation）、可追究性（

accountability

）和可控性/可治理性（controllability/governability）。信息安全的目标是要确保全局的掌控，确保整个体系的完整性，而不仅限于局部系统的完整性；对于安全问题、事件的检测要能够汇总和综合到中央监控体系，确保可追究性是整个体系的可追究性。soc的出现就是为了确保对全局的掌控，实现全面支撑信息安全管理目标。

可控性是信息安全7个属性中最重要的一个，可控性最重要的体现是全局监控、预警能力和应急响应处理能力。全局预警就是要建立全局性的安全状况收集系统，对于新的安全漏洞和攻击方法的及时了解，针对体系内局部发生的安全入侵等事件进行响应。我们通常用水桶效应来描述分布式系统的安全性问题，认为整个系统的安全性取决于水桶中最薄弱的一块木条。soc就像是这个水桶的箍，有了这个箍，水桶就很难崩溃，即使出现个别的漏洞，也不至于对整个体系造成灾难性的破坏。soc充分利用所掌握的空间、时间、知识、能力等资源优势，形成全局性的资源协调体系，为系统的全局可控性提供有力的保障。

3亚洲大药房网上药品交易平台网站代码安全防护方案

3.1网站对于跨站脚本攻击命令注入防护非法输入

本系统采用自主研发tpage（数据验证组件）和shove（数据库操作组件）tpage对于系统每一个需要输入的数据进行数据验证shove系统基层组件安全性极高对于任何形式的安全都具有相应的处理（已申请专利）系统所有数据操作都用shove提供操作。保证数据的合法性以及稳定性。

3.2验证登陆方式

采用本公司shove.web.ui安全验证组件对于系统所有登陆安全处理生产验证码session加密处理。延长处理，防止恶意登陆。

2.3系统加密方式

密码采用md5加密敏感信息采用shove加密组件支持加密解密支持密银。

4安全设计规划4.1安全设计目标

网络安全与保密的目标主要表现在系统的保密性、完整性、真实性、可靠性、可用性、不可抵赖性等方面。亚洲大药房网上药品交易平台平台信息安全的总体目标是降低系统的信息安全风险，以及在发生信息安全事件后能够做到可控、快速响应和恢复。

4.2设计原则

4.2.1需求、风险、代价平衡分析的原则

对任何信息系统，绝对安全难以达到，也不一定是必要的。对一个信息系统要进行实际的研究（包括任务、性能、结构、可靠性、可维护性等），并对系统面临的威胁及可能承担的风险进行定性与定量相结合的分析，然后制定规范和措施，确定系统的安全策略。

4.2.2综合性、整体性原则

运用系统工程的观点、方法，分析系统的安全及具体措施。安全措施主要包括：行政法律手段、各种管理制度（人员审查、工作流程、维护保障制度等）以及专业技术措施（访问控制、加密技术、认证技术、攻出检测技术、容错、防病毒等）。一个较好的安全措施往往是多种方法适当综合的应用结果。计算机信息系统的各个环节，包括个人（使用、维护、管理）、设备（含设施）、软件（含应用系统）、数据等，在网信息安全中的地位和影响作用，也只有从系统整体的角度去看待、分析，才可能得到有效、可行的措施。不同的安全措施其代价、效果对不同系统并不完全相同。计算机信息系统安全应遵循整体安全性原则，根据确定的安全策略制定出合理的安全体系结构。

4.2.3一致性原则

一致性原则主要是指信息系统安全问题应与整个系统的工作周期（或生命周期）同时存在，制定的安全体系结构必须与系统的安全需求相一致。安全的系统设计（包括初步或详细设计）及实施计划、验证、验收、运行等，都要有安全的内容及措施。实际上，在系统建设的开始就考虑系统安全对策，比在系统建设好后再考虑安全措施，不但容易，且花费也少得多。

4.2.4易操作性原则

安全措施需要人去完成，如果措施过于复杂，对人的要求过高，本身就降低了安全性；其次，措施的采用不能影响系统的正常运行。

4.2.5适应性原则

安全措施必须能随着系统性能及安全需求的变化而变化，要容易适应、容易修改和升级。

4.2.6多重保护原则

任何安全措施都不是绝对安全的，都可能被攻破。但是建立一个多重保护系统，各层保护相互补充，当一层保护被攻破时，其它层保护仍可保护信息的安全。

4.3设计依据

本设计方案参考了以下标准文件：

1.gb/t22239-201*《信息安全技术信息系统安全等级保护基本要求》2.gb/t20214-201*《信息安全技术信息安全风险评估规范》3.gb/t18336-201*《信息技术安全技术信息技术安全性评估准则》4.gb/t19716-201*《信息技术信息安全管理实用规则》5.iatf《信息技术保障框架》

6.gb/t20219-201*《信息安全技术信息系统安全管理要求》7.gb/t20210-201*《信息安全技术网络基础安全技术要》8.gb/t20211-201*《信息安全技术信息系统通用安全技术要求》9.gb/t20212-201*《信息安全技术操作系统安全技术要求》10.gb/t20213-201*《信息安全技术数据库管理系统安全技术要求》11.gb/t20212-201*《信息安全技术信息系统安全工程管理要求》

5安全系统实现5.1安全网络系统

系统安全设计网络拓扑如下：

5.2防病毒

针对防病毒危害性极大并且传播极为迅速，必须配备从服务器到单机的整套防病毒软件，防止病毒入侵主机并扩散到全网，实现全网的病毒安全防护。并且由于新病毒的出现比较快，所以要求防病毒系统的病毒代码库的更新周期必须比较短。防病毒建立独立的防病毒服务器。网络防病毒软件主要考虑以下几个方面：

1）病毒查杀能力。也就是对实际流行病毒的查杀能力。查杀病毒的种数要包括可能染上的所有病毒。

2）对新病毒的反应能力。就是及时、有效地查杀新出现的病毒，这是一个防病毒软件好坏的重要方面。

3）病毒实时监测能力。目前的病毒传播途径都有一定的实时性，用户无法人为地了解可能感染的时间。因此，防病毒软件必须要具有实时监测能力。

4）快速、方便的升级能力：就是防病毒软件要能及时、方便地进行病毒代码和病毒查杀引擎的更新，尽可能地减少人力的介入。5）集中管理、远程安装：就是管理员可以在一台机器上对全网的机器进行统一安装，和针对性的设，而且，安装时能够自动区分服务器与客户端，并安装相应的软件，大大减轻管理员“奔波”于每台机器进行安装、设的繁重工作。

6）对现有资源的占用情况。防病毒程序进行实时监控都或多或少地要占用部分系统资源，这就不可避免地要带来系统性能的降低。

7）系统兼容性。防病毒软件有一部分常驻程序，如果跟其它软件不兼容将会带来更大的问题。

8）管理方便、日志记录：防病毒系统要有生成病毒监控报告等辅助管理功能，以方便管理员随时了解各台计算机病毒感染的情况，并借此制定或调整防病毒策略；也要有相应的权限管理功能，如只能是对出现且只能是管理员从系统整体角度出发对各台计算机进行设，如果各员工随意修改自己使用的计算机上防毒软件参数，可能会造成一些意想不到的漏洞，使病毒趁虚而入。因此，还必须具有完整的日志记录，以便安全审计。防病毒产品主要功能要求：

1）网络病毒防护产品必须包括中心控管系统及客户端、服务器端、邮件/群件防毒软件几个部份。

2）管理员可以通过防病毒系统执行针对该病毒的防范策略，如：在客户端/服务器端强制关闭病毒对应开放的未知端口及漏洞等等，并统一部署分发到客户端/服务器端/网关/群件；通过部署防范策略实现免疫功能。3）防病毒厂商的防病毒系统具备病毒爆发防御功能。当新病毒爆发时，通过病毒爆发防护策略opp，在病毒代码未完成之前，通过爆发防护策略自动对企业网络中的各节点，客户端、服务端对病毒传播端口、共享、攻击的文件等进行关闭保护，切断病毒传播途径，预防最新病毒的攻击。

4）可自动下载，提供对常驻内存型病毒、木马程序、间谍软件等有害代码的清除功能，并能有效恢复被感染的系统文件及注册。

5）运用先进技术防范未知病毒、internet恶意代码（jave/activex），可对未知病毒进行隔离。

6）当网络中有异常流量产生时，可通知管理员，可对病毒数据包进行丢弃并隔离发包计算机，拒绝此计算机联入企业核心网络7）对被感染网络病毒的计算机可实行远程自动和本地清除，并对注册表和系统文件进行自动修复

8）发现病毒后，有多种处理方法，例如自动清除、删除或隔离。9）病毒处理方式必须支持智能式的处理方式。根据不同的病毒类型，采取不同的处理策略。

10）对无法清除病毒的感染文件进行隔离，并能够得到相应的防病毒解决方案

11）防病毒厂商提供的防病毒产品必须要支持网络病毒识别码。防病毒软件必须提供两种病毒识别码（传统的病毒识别码、网络病毒识别码）。

12）防病毒软件具备远程病毒集中清除修复功能。可对网络中感染病毒的计算机进行远程自动清除修复，提供的病毒清除修复工具必须支持集中升级，病毒清除修复必须支持所有病毒的修复程序，管理员通过web管理控制台对企业内部的所有客户端执行自动修复功能。

13）具有全网集中监控和管理的功能，并要求实时监控；14）是通过tcpip的方式实现，必须支持远程浏览器（web）管理方式；

15）支持病毒源头查询机制，通过日志查找病毒源头；16）支持目录和文件防修改、删除、写入保护功能。17）可跨广域网进行管理；

18）事件驱动机制，对广域网带宽占用很小；19）基于tcp/ip协议的通讯方式。

20）可以做到多级管理，而且有不同的权限设。

21）防病毒策略的统一配管理，能根据不同的防病毒需求分别制定和实施不同的防病毒策略；

22）具有分组（域）管理客户端防病毒策略和调度相关任务执行的能力。

23）具有单一节点集中报警和日志功能，能生成统计分析报告。24）提供占用网络通讯流量最小的增量病毒定义码、引擎的更新升级方式；

25）提供多种方式的更新升级方法；

26）能方便实现全网病毒定义码、引擎的统一更新升级；27）提供客户端定时自动更新、升级功能；28）提供手工的方式进行升级部署；

29）更新、升级后避免重启主机或关闭相关应用进程。30）病毒定义码更新周期小于一周，当病毒爆发流行或其它紧急情况发生时，病毒定义码一定要及时更新，病毒定义码更新升级周期小于24小时。

31）对更新、升级中可能出现的错误具有可靠的预防和应急恢复措施。

5.3防火墙

防火墙是网络安全最基本、最经济、最有效的手段之一，可以实现内部、外部网或不同信任域网络之间的隔离，达到有效的控制对网络访问的作用。

本方案中防火墙采用双机冗余设计。

防火墙作为一个核心的关键安全设备，对性能、功能有较高的要求，将选用先进的防火墙，具体的要求如下：

1）千兆防火墙，要求配至少4个千兆多模光纤接口和1个10/100m自适应电口；2）标准机架式硬件结构；3）网络吞吐率大于990mbps；4）防火墙并发连接数，大于120万；5）防火墙网络延迟小于100μs；

6）采用专用硬件平台和专用安全操作系统或者嵌入式安全操作系统；

7）防火墙自身安全性强，支持nsnmp网管协议，能通过第三方网管软件对防火墙进行监测；

8）防火墙具有高可用性，支持双机热备份，主从防火墙切换时已建立连接不中断；

9）防火墙必须支持trunk工作模式；

10）隔离内外网络的通信，对进出的网络访问进行安全控制，严格控制外部用户非法进入内部专用网络，限制内部用户出访公网或互联网的站点和资源；11）强大的日志记录和管理功能；

12）支持透明模式/路由模式/混合模式等接入方式；

13）具备双向nat功能（静态、动态），支持内部网络主机和服务器采用私有地址，对外界隐藏内部网络拓扑；

14）有源、目地址路由功能，适应有多个网络出口的环境；15）具有透明应用代理功能，支持ftp、http、telnet、ping、ssh、ftpdata、smtp、wins、tacacs、dns、tftp、pop3、rtelnet、sqlserv、nntp、imap、snmp、netbios、dns、ipsecisakmp、rlogin、dhcp、ms-sql-（s、m、r）、radius-1645、sqlnet1521、sqlnet1525、h.323、msn、mysql、、gre等协议命令级的控制，实现对文件级的过滤；

16）支持众多网络通信协议和应用协议，如dhcp、vlan、adsl、ipx、rip、isl、802.1q、spanningtree、decnet、netbeui、ipsec、pptp、appletalk、h.323、bootp等，保证用户所需要的各种网络应用，包括：扩展ip宽带接入、ip电话、视频会议、vod点播等，特别要求对视频有良好的支持；17）具备针对对象配安全策略功能，安全策略、安全对象分组功能；

18）具备审计能力，可提供对违规通信、安全事件的实时报警和处能力；

19）采用基于策略的方式对防火墙设备进行配；

20）具有安全策略配向导，辅助用户建立有效的访问控制规则；21）基于对象模式的全中文图形管理器界面，可对多台防火墙进行集中管理；

22）当发现违规事件时，管理员可以采取远程关闭外来连接或让防火墙得新启动等安全措施。

23）标准机架式硬件结构，采用模块化设计，接口模块支持热插拨；

24）支持核心网络中生成树（stp）的计算：通过生成树计算，防火墙能够同核心交换机一起进行生成树计算，实现了核心网络的全连接拓扑结构，能够进行链路的自动切换，保证了整个网络的稳定；

25）防火墙的物理接口支持d0t1q封装格式，能够与交换机通过trunk方式互联，并可实现不同vlan间产路由功能，保证了防火墙对于各种网络环境的易接入性；

26）支持多种身份认证，如otp、radius、s/key、secureid、tacacs/tacacs+、口令方式、数字证书（ca），更好更广泛的实现了用户鉴别和访问控制；

27）具备针对对象配安全策略功能，安全策略、安全对象分组wenku_22（{“font”：{“9559c30516fc700abb68fc6e0030016”：”仿宋_gb2312”，”9559c30516fc700abb68fc6e0050016”：”仿宋_gb2312”，”9559c30516fc700abb68fc6e0070016”：”arialbold”，”9559c30516fc700abb68fc6e0080016”：”arial”}，”style”：[{“t”：”style”，”c”：[1，4，6，13，14，15，16，17，18，19，20，21，22，23，0]，”s”：{“font-size”：”21.06”}}，{“t”：”style”，”c”：[6，13，14，15，18，1]，”s”：{“font-family”：”9559c30516fc700abb68fc6e0050016”}}，{“t”：”style”，”c”：[0，1，3，4，5，6，7，8，9，10，11，12，13，14，15，16，17，18，19，20，21，22，23，2]，”s”：{“color”：”#000000”}}，{“t”：”style”，”c”：[1，6，12，13，14，15，18，3]，”s”：{“font-family”：”9559c30516fc700abb68fc6e0050016”}}，{“t”：”style”，”c”：[20，21，23，4]，”s”：{“font-family”：”9559c30516fc700abb68fc6e0030016”}}，{“t”：”style”，”c”：[4，9，20，21，23，5]，”s”：{“font-family”：”9559c30516fc700abb68fc6e0030016”}}，{“t”：”style”，”c”：[6]，”s”：{“letter-spacing”：”0.067”}}，{“t”：”style”，”c”：[7]，”s”：{“font-size”：”23.94”}}，{“t”：”style”，”c”：[7，9，10，11，12，19，20，8]，”s”：{“bold”：”true”}}，{“t”：”style”，”c”：[20，9]，”s”：{“bold”：”true”}}，{“t”：”style”，”c”：[10]，”s”：{“font-family”：”9559c30516fc700abb68fc6e0070016”}}，{“t”：”style”，”c”：[11]，”s”：{“font-size”：”22.5”}}，{“t”：”style”，”c”：[12]，”s”：{“bold”：”true”}}，{“t”：”style”，”c”：[13]，”s”：{“letter-spacing”：”-0.037”}}，{“t”：”style”，”c”：[14]，”s”：{“letter-spacing”：”-0.063”}}，{“t”：”style”，”c”：[15]，”s”：{“letter-spacing”：”-0.047”}}，{“t”：”style”，”c”：[15，16]，”s”：{“letter-spacing”：”-0.047”}}，{“t”：”style”，”c”：[23，17]，”s”：{“letter-spacing”：”-0.035”}}，{“t”：”style”，”c”：[18]，”s”：{“letter-spacing”：”-0.051”}}，{“t”：”style”，”c”：[20，19]，”s”：{“bold”：”true”}}，{“t”：”style”，”c”：[20]，”s”：{“bold”：”true”}}，{“t”：”style”，”c”：[21]，”s”：{“letter-spacing”：”0.089”}}，{“t”：”style”，”c”：[223）要求入侵检测系统探针为机架式硬件设备，系统硬件为全内封闭式结构，稳定可靠，无需usb盘、光盘等外部存储设备即可运行。

4）入侵检测系统能够准确有效地识别所有网络活动中的已知攻击、可疑网络行为，一旦发现攻击，立即报警，并采取预先设定的响应措施（报警、切断网络连接、记录日志等等）。5）提供便于使用的图形界面；可进行远程管理。6）提供全面的在线帮助，便于管理员使用。

7）能够定期升级最新攻击特征，支持远程升级方式，要求升级过程不停止监测过程。

8）能够定期升级软件系统，支持远程升级方式。9）要求说明入侵检测系统探测引擎的数据分析能力。10）要求不能对网络的正常运行以及系统的负载造成干扰和影响。

2.事件分析功能

1）要求采用高级模式匹配及先进的协议分析技术对网络数据包进行分析；

2）具备碎片重组、tcp流重组、统计分析能力；

3）具备分析采用躲避入侵检测技术的通信数据的能力，从而有效的检测针对ids进行的躲避行为；4）具有网络蠕虫病毒检测功能；

5）具有事件关联分析功能，可以管理已发生的入侵事件，进行关联分析，处理垃圾报警信息，准确描述攻击行为；6）具有异常流量分析和内容异常分析功能；

7）具有用户自定义事件的功能，拥有完备、开放的特征库，支持用户对网络安全事件自定义和定制功能，允许修改或定义特定事件，生成自己的事件库，对非通用入侵行为进行定义检测；

8）支持对http，ftp，icmp，snmp，telnet，smtp，pop3，rlogin，imap，tftp，chargen，dns，nfs，rsh，finger，nntp，whois，arp，netbios，rip，irc，sunrpc，mssql，ntalk，echo，pmap，auth，tns，tds等30种以上协议的分析；

9）入侵检测系统采用的事件库必须经过国际cve组织的授权证书。

3.响应功能

1）支持多种实时响应方式，要求提供界面报警，声音报警，email报警，windows消息报警，执行应用程序报警，自定义报警等多种报警方式；

2）具有大规模部署的成功应用案例，产品部署后能够支持应急响应。

3）按照安全策略定义的地址、事件、协议及端口对通信连接进行阻断；

4）能够对流量异常现象进行及时报警；

4.管理功能1）具有分布式部署，统一管理、集中监控、多级运行的功能：2）支持多个分布式的探测引擎，对多个网段同时进行入侵检测与响应；

3）采用组件架构，包括显示中心、日志中心独立组件，并且要求可以分布部署；

4）支持与网络漏洞扫描、windows以及多种unix主机入侵检测系统组件的同台管理（提供截图证明）；

5）具备分级管理功能，应能够实现三级以上的管理部署，满足分级管理的要求；

6）要求具有全局预警功能，下级控制中心应具有向上级控制中心汇报安全事件的能力，上级控制中心应具有制定并下发全局入侵管理策略、接收并显示全局网络安全态势的能力；

7）具有节点实名功能，在大规模分布式监测环境中迅速直观地显示报警区域和方位信息；

8）具有事件规则集管理功能，要求可以重新定义通用网络协议的默认端口；

9）提供全面、灵活的事件规则自定义功能，能提供多种预定义、可衍生的事件策略集，并允许用户自定义入侵检测策略，能够根据预设条件和当前事件统计趋势提供策略自动调整响应方式；10）入侵检测控制中心的报警窗口应满足以下要求：显示内容全面、窗口组织灵活、可提供同类事件的统计显

示方式；能有效防止事件风暴，保证报警内容的可视性；能以多窗口形式显示多种分类信息，并可提供用户自定义

窗口及窗口过滤条件方式，保证信息的可视性和完整性；11）告警事件提供高级、中级、低级、扫描、行为关联事件等不同级别，并提供便于使用的图形界面，可进行远程管理；支持标准的vt++事件自定义语言，易于使用，用户可以方便的自定义检测事件。

5.安全功能

1）要求对授权用户根据角色进行授权管理，提供用户登录身份鉴别和多次鉴别失败处理，系统不存在默认可登录控制的账户；2）要求对用户进行分级受权，严格按权限进行管理，不同权限的用户提供不同操作允可，并对各级权限的用户行为进行审计。3）对控制台与探测引擎之间的数据通信及存储进行加密、完整性检查，并进行基于rsa（1024位）的身份鉴别处理；4）网络探测引擎应采用固化模块（包含软硬件），使用专有操作系统，探测引擎不设ip地址，便于在网络中实现自身隐藏及带外管理。

6.审计功能

1）能够通过分析网络中的数据，记录入侵的完整过程，为安全事件的调查提供证据；

2）能够依据定制的过滤条件获取某一特定网络协议、端口的原始报文数据，并对http、ftp、smtp、pop3、telnet等主要的网络协议通信进行内容恢复、事件回放；

3）能够提供灵活的过滤条件，对指定的信任地址或应用服务进行检测和报警过滤；

4）能够提供完整的网络事件记录，对网络中发生的所有事件进行记录，生成完整的网络审计日志，对日志的管理要求如下：支持大数据量的数据库存储，并能自动统计日志记录的存储空间，当发现存储空间快要耗尽时提前报知管理人员，提供专门的数据库维护功能，要求能够按照事件上报的日期、时间、风险等级、引擎来源等条件对日志数据库进行查询、删除及转储等操作，

支持多种数据库格式，包括：access、msde（sqlserver）和任何提供odbc通用数据库接口的数据库系统；5）能够为用户提供灵活的报告格式，要求如下：

6）用户可以定制报表，可按照日期和时间、事件地址、网络协议、事件类型等分类生成报表，并能以图表的形式进行统计分析和显示，

7）提供报表、统计分析图表的预览和打印功能，8）可以输出标准格式的中文报表，如html、txt等格式；入侵检测系统必须实现与漏洞扫描产品的关联分析，并且能够提供详尽的关于入侵行为的危害程度分析报告。

5.5漏洞扫描系统

应具备对操作系统（windows，unix，linux等），数据库（oracle，ms-sql，mysql等），网络设备（路由器等），安全设备（防火墙等），特定应用程序等多种系统进行漏洞扫描评估的能力.

漏洞扫描系统应采用软件形式，以便于在不同的场合中灵活使用.

应能够自动检测目标对象的操作系统并提供精确的端口扫描功能，扫描漏洞数量应在1300个以上.

漏洞扫描应能够实时显示扫描过程进行状态，被扫描对象信息，漏洞信息，便于管理员了解扫描进展情况.

支持直观的图形化中文界面，以方便扫描操作和对结果的评估.支持对每次扫描结果进行保存，以便对历史扫描记录进行调用.应支持预约扫描功能，可以在计划的时间按照定义的策略自动执行扫描任务.

应具备灵活的用户自定义安全策略功能.提供不同策略模板供用户使用，并支持细力度的扫描策略编辑功能，用户可定义扫描范围，扫描端口，服务类型等.

支持dos攻击测试，提供字典（暴力远程破解）攻击等功能.应具备高速扫描能力，并发扫描多个系统，同时并发扫描200台以上目标系统.

进行扫描时，应对网络性能和被扫描对象主机性能不会产生明显影响.

应提供用户管理功能，只有通过身份认证的用户才可以使用漏洞扫描系统，防止漏洞扫描器的盗用和滥用，保证自身的安全;

应能够将扫描结果自动通知管理员（例如电子邮件方式）.扫描结果以压缩文件形式并设口令的形式发送，以保护内部机密信息.

应提供丰富的crystal格式统计分析报表（10种或10种以上），包括基于主机的报表，基于漏洞危险度的报表，基于服务的报表，漏洞及解决方案，漏洞趋势报告，汇总报表等，以直观，清晰的方式呈现漏洞分布，帮助管理员从多种角度进行分析.

报表中对漏洞的描述，应自动分类漏洞的危险级别，并对所有发现的漏洞逐个解释.漏洞信息应包括漏洞的详细说明，补救方法，补丁文件的获取方式，建议的配策略，以及国际安全组织关于该漏洞的说明或连接.

扫描报告应具有灵活的导出功能，支持html，word，excel，rtf，pdf，txt等文件格式，以满足不同角色的人员的需要.

应提供扫描模块和漏洞库周期性的自动升级功能，同时提供升级工具以支持按需即时升级，保证最新的安全问题能被及时发现和修补.

应采用国际先进的网络漏洞扫描系统，漏洞库应与国际标准cve，bugtraq兼容，具有国内和国外成功应用案例的产品.

5.6应急响应服务机制

及时响应客户信息系统的安全紧急事件，保证事件的损失降到最小。

7*24*365快速响应服务，1小时内响应（本地）提供全天候的紧急响应服务，本地在2个小时内到达现场判定安全事件类型

从网络流量、系统和ids日志记录、桌面日志中判断安全事件类型。查明安全事件原因，确定安全事件的威胁和破坏的严重程度。查明安全事件原因，确定安全事件的威胁和破坏的严重程度。

抑制事态发展

抑制事态发展是为了将事故的损害降低到最小化。在这一步中，通常会将受影响系统和服务隔离。这一点对保持系统的可用性是非常重要的。

排除系统故障

针对发现的安全事件来源，排除潜在的隐患，消除安全威胁，彻底解决安全问题。

恢复信息系统正常操作

在根除问题后，将已经被攻击设备或由于事故造成的系统损坏做恢复性工作，使网络系统能在尽可能短的时间内恢复正常的网络服务。

客户信息系统安全加固

对系统中发现的漏洞进行安全加固，消除安全隐患。重新评估客户信息系统的安全性能

重新评价客户系统的安全特性，确保在一定的时间范围内，不发生同类的安全事件。

5.7备份还原系统

安全不是绝对的，没有哪种产品的可以做到百分之百的安全，但我们的许多数据需要绝对的保护。最安全的、最保险的方法是对重要数据信息进行安全备份，通过网络备份与灾难恢复系统进行定时自动备份数据信息到本地或远程的磁带上，并把磁带与机房隔离保存于安全位。如果遇到系统来重受损时，可以利用灾难恢复系统进行快速恢复。

6运营安全

安全运维是确保信息系统正常运行的必要环节。安全运维涉及的内容较多，包括安全运行维护机构和维护机制的建立，环境、资产、设备、介质的管理，网络、系统的管理，密码、密钥的管理，运行变更的管理，安全状态的监控和安全事件处，安全审计和安全检查等等。

6.1风险管理

风险管理的目的是防止紧急情况发展成为危机，如果发生这种

情况则控制相关的风险。制订业务连续性计划并成立危机管理小组。确保对紧急局势做出正确的反应，而且对亚洲大药房网上药品交易平台平台的声誉和运作产生消极影响的突发事件进行完全处理。在适当的情况下，制订计划应对以下情况：

1）意外火灾和纵火2）洪水

3）断电或基本服务中断4）恐怖活动或无政府主义活动5）蓄意破坏6）行业间谍活动

7）劳工行动包括罢工和怠工8）静坐示威和非法占用9）敌对接管

10）因为媒体曝光而导致的公众对抗11）绑架、挟持和敲诈

为了确保业务连续性，建立风险管理准则和内部控制系统，维持

有效的键客网运营安全，应建立如下风险管理策略：

1）任命生存协调员：

为确保在发生重大业务损失后维持业务连续性的适当水平，应任命生存协调员。生存协调员市危机管理小组成员之一，主要职责为确认并审查业务复苏过程中的核心关键任务、制订定期审查和更新计划中列出的所有任务、安排定期的测试计划等工作；

2）计算资源的使用要求：确保计算机资源按照购买的意图使用，并规定需要遵循的规则以防滥用资源，确保计算机资源只能用于相关的数据、系统管理者授权的范围；

3）外部采购控制：确保外部供应商应满足一定程度的安全要求，所有外购的服务要根据协议合同执行，合同应满足要求包括：机构安全政策和支持性规则和程序、信息安全政策和支持性规则和程序、it安全政策和支持性规则和程序、互联网安全政策和支持性规则和程序、使用性能、维护程序、故障和事件扩大程序、保密协议、恢复和后备安排、安全和系统管理细节、活动监控和报告、所有资源的所有权、供应商管理的资产的责任制度、保险范围和中止程序；

4）遵守系统开发标准：系统开发所采用的开发方法应确保功能说明由制订的数据、系统管理者开发并需获得相关的只能管理人员的认可；

5）数据库管理安全要求：数据库管理员的职责和责任由相关的数据、系统管理者来确定，其职责不得涉及业务来往和应用开发；6）审计跟踪和内部控制：应提供对敏感信息进行处理和变更的记录，并检查、防止和制止输入、输出以及处理中发生异常情况。对所有的主要业务应用程序和操作系统生成全面的审计跟踪记录；

7）pc软件安装：确保所有的it资源上只安装经过授权、得到许可的无病毒软件，而且系统按照核准的程序安装；

8）系统测试：确保所有新的程序和所有被修改的现有程序只有在获得相关的数据、系统管理者授权，并和只能管理人员协商、在完成一系列测试程序后才能转移到生产环境中；

9）从开发到生产环境的程序转换。应防止含有逻辑错误或不属于程序最新版本的计算机程序应用到生产环境中，确保系统文件不断更新，数据、系统用户及时掌握程序变化情况。准备投入生产环境中使用的新程序或修改过的程序应获得职能管理人员的许可后方能由相关的数据、系统管理者载入生产程序库。这种授权应包括更新的文件、更新的程序、用户通知、用户培训、系统测试、管理变更授权、设正确的源程序库和设正确的生产程序库等措施；

10）有效数据的使用限制：应防止有效生产数据被意外或无意破坏、更改、误用或损坏以及违反保密规定等情况的发生；11）变更管理：应确保对已经安装完毕或正在开发的软件和系统所做的变更均以获得授权，且所有的变更都可被审计。对重要的业务应用程序、操作系统和硬件做出变更时都要严格遵从变更控制程序。所有计划内的变更在实施之前必须经过授权，在投入生产运用之前，需按照已制订的系统测试程序，进行严格、全面的测试；

12）生产环境的变更：对重要的业务应用程序、操作系统和硬件做出变更时都要严格遵从变更控制程序，在变更在实施之前必