中国金融行业计算机网络安全解决专项方案.doc

1、中国金融行业计算机网络安全处理方案（银行部分缩略稿）亿阳信通 目 录第一部分 概述31.1计算机网络安全31.2密码技术应用31.3相关政策法规41.4定义41.5 参考资料5第二部分 金融行业网络安全需求62.1 系统配置62.1.1 系统名称62.1.2 基础业务62.1.3 系统配置62.2 现在系统存在安全性问题6第三部分 银行业三级网网络安全处理方案73.1 方案设计标准73.2 方案设计思想8第四部分 银行业三级网网络安全方案设计84.1方案分析84.2产品介绍114.2.1线路密码机114.2.2 网络密码机114.2.3亿阳网警BOCO.SFW-A型防火墙114.2.4亿阳网络

2、密码机安全管理中心114.2.5亿阳防火墙安全管理中心124.2.6漏洞扫描系统124.2.7入侵检测系统134.2.8亿阳一次口令认证服务系统134.2.9 web页面恢复系统13第五部分 方案评定144.1 安全性144.2 可靠性144.3 实用性144.4扩展性144.5 标准性14第一部分 概述1.1计算机网络安全 伴随计算机和网络技术发展，信息已成为推进社会向前发展关键资源，很多业务变得越来越依靠电子信息处理，在金融业则更为显著。金融业务计算机处理系统经历了从手工到单机、从单机到网络阶段性发展。现在，网络分布式计算系统还在继续朝着开放系统互联体系发展，金融业务也必将经过互联网络深入

3、扩展。和此同时，金融计算机网络也日益受到安全问题困扰，暴露出在网络互联环境下存在不安全原因。假如没有合适安全保密方法，这些网络互联环境下信息在传输和存取过程中就易被窃取、复制、篡改，造成信息泄漏、混乱，直接影响金融业务系统正常运转。 因为金融业务特点，在巨大金钱利益引诱下，多种计算机犯罪分子不惜采取多种高科技技术，对金融计算机网络组成严重威胁。尤其像国家开发银行这么租用公共网络平台系统，假如不加以一些安全手段进行保护隔离，将会给系统留有重大安全隐患。依据中国人民银行统计资料表明：中国从86年出现首例计算机犯罪案件开始，计算机犯罪每十二个月正以30增加率递增，91年后有显著上升趋势，重大银行计算

4、机犯罪案件每十二个月近百起。1.2密码技术应用 从上述情况能够看出，信息时代计算机网络安全方面对着严峻考验，安全策略显得尤为关键。对金融计算机网络上多种非法侵害进行主动防御和有效抑制是金融电子化建设当务之急。怎样才能使计算机网络系统机密信息难以被泄漏，并做到即使被窃取了也极难识别，和即使被识别了也极难被篡改，已经成为计算机科学新课题。密码技术正是达成上述目标关键技术手段。 密码技术包含密码设计、密码分析、密码管理、验证技术等内容。密码设计基础思想是伪装信息，使局外人不能了解信息真正含义，而局内人却能了解伪装信息原来含义。1.3相关政策法规计算机网络安全子系统作为计算机网络应用系统组成部分,起着

5、保护系统信息安全，预防和跟踪计算机犯罪作用。为此，中国人民银行组织了专题课题组，进行银行计算机安全策略研究。课题组完成银行计算机安全体系研究汇报，提出了银行计算机网络安全建设目标和策略。并在今年一月份下发相关采取有效方法，防范金融计算机犯罪通知（银发19996号）文件中明确要求：各金融机构要在近期内对未经安全验收计算机系统进行安全验收。通常没有经过安全验收计算机系统，不能同意投入生产运行。为了确保政府部门和企机关信息安全，中国政府于今年颁布实施了商用密码管理条例，其中明文要求，全部境外密码产品不得在中国境内销售使用，任何单位不得使用境外厂家生产密码产品。中国生产商业密码产品厂家必需经过国家商业

6、密码管理委员会办公室审批才能进行生产，其密码产品及其设计方案、密码算法等均须经过国家商业密码管理委员会办公室审查测试才能进行销售和使用。1.4定义1 计算机安全 包含物理安全和逻辑安全两类。物理安全指系统设备及相关设施受到物理保护，免受物理破坏，得以正常运行。逻辑安全包含信息保密性、信息完整性和服务可用性，其中信息保密性指信息只能由正当用户阅读，任何非法用户不能得悉信息真实内容；信息完整性指任何非法用户不能对信息进行添加、插入、删除、替换和重新排序等操作；服务可用性指正当用户请求服务时，能得到立即和正确服务。本方案关键考虑逻辑安全。2 加密 对数据进行密码变换以产生密文。 3 密文 经加密处理

7、而产生数据，其语义内容是不可用。4 解密 和一个可逆加密过程相对应反过程。5 密钥管理 在一个安全策略指导下密钥产生、存放、分配、删除、归档及应用。1.5 参考资料 1 ISO 7498-2 -1989 信息处理系统 开放系统互连基础参考模型 第2部份:安全体系结构2 银行计算机安全体系研究 19983 ANSI X3.92:1981 数据加密算法4 通讯网安全理论和技术5 计算机安全和保密6 网络安全和数据完整性本方案基础符合以下政策要求：1. 中国证券经营机构营业部信息系统技术管理规范（试行）2. 证券经营机构营业部信息系统安全管理手册3. 相关公布期货交易所、期货经营机构信息技术管理规范

8、（试行）通知4. 国家商用密码管理条例5. 中国计算机信息系统安全保护条例方案编写单位亿阳信通，国家商用密码产品生产定点单位，高科技股份制企业，股票代码：600289。第二部分 金融行业网络安全需求2.1 系统配置2.1.1 系统名称 某银行三级网（包含柜台业务和中间业务）2.1.2 基础业务 柜台业务 中间业务2.1.3 系统配置某银行三级网连接支行（或县支行）到其所属市级某银行关键通讯网络，三级网数量众多，而且通讯线路和通讯协议比较复杂，在三级网上运行业务有柜台业务、中间业务等。某银行二级网是经典主机/终端结构，在网络形式上是SNA网络，但在市分行三级网内柜台业务上大全部以TCP/IP作为

9、通讯协议，在市行储蓄业务服务器进行处理后由SDLC网关转换成SNA协议后送到省行中心IBM大机。而中间业务多数是和当地域企业相关，通常全部在市行中心中间业务服务器上进行处理。中间业务网络环境和相连企业相关，因为企业网络环境各不相同，所以在通讯线路、协议种类上有所不一样。两种业务全部以市分行中心局域网为中心，全部服务器全部放在中心机房中，经过中心局域网联到路由器上。在柜台业务中，支行局域网路由器经过DDN同时线路接到市分行，在市分行以DDN同时线路或通道化E1 DDN线路接到中心路由器广域网端口上。在中间业务中，因为各个企业单位所采取通讯线路和协议各不一样，如通讯线路有DDN、电话线、X.25等

10、，网络协议有TCP/IP、IPX/SPX等，业务软件也有所差异。2.2 现在系统存在安全性问题 现在我们关键分析某银行三级网在广域网络通讯安全性方面和业务系统安全性方面存在问题，站在信息系统攻击者角度看，对现有网络可能采取攻击手段关键有： 线路窃听经过搭线截获通讯数据，掌握敏感数据，并可能经过协议分析等手段，深入对系统内部进行攻击。 网络入侵经过广域网络，利用病毒、系统安全漏洞、协议分析等技术非法登录到主机系统，或非法存取计算机资源。 节点仿冒伪造网络地址，非法设置网络节点，甚至非法复制安装对应应用软件，接入网络系统。 中间人攻击以某种机制接到通讯双方之间，对发送方冒充成接收方，对接收方冒充成

11、发送方，从而骗取通讯双方信任，并取得机密信息。 非授权访问有意避开系统访问控制机制，对网络设备及资源进行非正常使用，私自扩大权限，越权访问信息。 业务抵赖 在处理完某笔业务后，参与业务某方否认所做业务处理。第三部分 银行业三级网网络安全处理方案3.1 方案设计标准n 需求、风险、代价平衡分析标准对任一网络，绝对安全难以达成，也不一定是必需。对一个网络要进行实际研究(包含任务、性能、结构、可靠性、可维护性等)，并对网络面临威胁及可能负担风险进行定性和定量相结合分析，然后制订规范和方法，确定本系统安全策略。某银行三级网数量众多，直接包含某银行、企业和储户大量资金安全，所以，我们在设计安全机制时，采

12、取安全技术是以现实不可破译作为尺度，现实不可破译含义是以现在及未来一段时间内可能采取技术，不可能在有效时间内破译。n 综合性、整体性标准应用系统工程见解、方法，分析网络安全及具体方法。网络系统是一个整体，任何一个步骤出了安全漏洞，整个系统安全全部会受到威胁。依据本系统现实状况分析，我们需要整体考虑市分行、支行、企业、通讯线路四个部分，在业务上考虑同时考虑柜台业务和中间业务安全性，使两种业务共同使用同一套安全系统，以降低设备反复投资。总而言之，计算机网络安全应遵照整体安全性标准，依据确定安全策略制订出合理网络体系结构及网络安全体系结构。n 一致性标准一致性标准关键是指网络安全问题应和整个网络工作

13、周期(或生命周期)同时存在，制订安全体系结构必需和网络安全需求相一致。作为一个金融交易系统，综合业务网络系统仍然在不停完善及发展中，本系统建立应符合现在及近期发展计划要求。n 易操作性标准安全方法需要人去完成，假如方法过于复杂，对人要求过高，本身就降低了安全性。另外，方法采取不能影响系统正常运行。本方案采取线路加密和网络加密技术对应用软件完全透明，实现和操作全部不需要人工干预。n 适应性及灵活性标准安全方法必需能伴随网络性能及安全需求改变而改变，要轻易适应、轻易修改。本设计方案含有可扩充性和可升级性，能适应未来网络规模发展。3.2 方案设计思想 结合使用密码技术和署名认证技术使通讯线路中数据不

14、被非法用户了解和伪造和业务数据抗抵赖。它包含两个转换算法：加密算法和解密算法。一个密码系统强度由以下原因决定：密码空间大小；算法是否存在后门；和它对于密码分析抵御能力。现在密码机制有两种类型：对称密码机制和公开密码机制。 对称密钥机制 该密码机制加密算法和解密算法共用同一把密钥，加密算法和解密算法互为逆过程。该机制关键缺点在于密钥难于管理（关键是密钥分发和销毁管理问题），经典算法有DES算法。 公开密钥机制 该密码机制加密算法和解密算法使用各自密钥，其中加密密钥是公开，众所周知，解密密钥是秘密，只为拥有者所知道。该类算法虽没有密钥分发管理之忧，但速度慢，而且公开密钥身份真实性需严格认证。经典算

15、法有RSA算法。我们在设计中将把二者结合使用，使系统在安全性和加密效率上达成一个最好结合点。第四部分 银行业三级网网络安全方案设计4.1方案分析在某银行三级网这么一个数量多，结构复杂网络系统，需用结合采取应用层加密、网络层加密、数据链路层加密，在设备上表现为网络防火墙、网络密码机、线路密码机、漏洞扫描器、入侵检测引擎、一次口令认证服务器、USB加密认证服务器、网上银行页面恢复系统、网络安全管理中心等安全设备，依据不一样网络环境、线路情况，结合采取不一样加密安全设备。方案所采取设备要能够同时为柜台业务和中间业务提供安全保障，使所建立安全子系统成为统一整体。我们首先考虑在省分行中心端，因为储蓄业务

16、服务器、中间业务服务器等关键系统设备全部放置在中心局域网中，而且省分行局域网还经过一级网上联到国家总行，所以省分行安全性十分关键。为此，我们要对许可访问省中心局域网通讯对端身份、权限等要进行严格审查，拒绝一切非法访问，并经过服务端口重定向、地址伪装等技术来隔离内部网和外部网。在此基础上，我们给业务服务器增加高速密码卡，提供功效强大安全应用API（应用程序接口），应用服务器经过调用API来实现数字署名、验证署名、数据加密、完整性校验等安全服务，实现应用层加密。同时，在此基础之上还结合有网络密码机，实现对应用系统透明IP层加密。在中心采取这种结合了安全应用API、防火墙、网络密码机安全设备，能够同

17、时为柜台业务和中间业务提供安全保密服务，既提升了安全性，又降低了所需添加设备数量。同时，因为省分行开设了电话银行、手机银行、银证转账、柜台前移等系统，所以也必需考虑到银行到电信、银行到证券、银行到终端用户之间交易认证和安全问题，这部分关键依靠开辟VPN隧道、增加令牌卡等方法加强网络安全。在支行端或用户端，对于柜台业务或一些非TCP/IP网络协议通讯环境，能够采取线路密码机来对通讯数据进行加密，同时对通讯对端进行节点认证。当然，在中心端也要为对应线路添加线路密码机。采取线路密码机好处于于使用方便（对应用系统和网络层协议完全透明），能够实现大部分安全功效，但投资较少。假如某个用户端到中心通讯线路有

18、多条，或线路速率较快，则采取线路密码机投资较高，这时能够采取网络密码机，多条线路共同使用一台网络密码机提供安全功效，使投资较少。上面两种方法实现数据链路层和网络层加密，但象数字署名、数据库加密等部分安全功效要在应用层上实现，我们提供了和安全服务器相配套安全应用API用户端软件和加密硬件，为用户端提供和中心端安全服务器相配套应用层安全服务。 在现有和未来要实现应用系统上能够经过调用这些安全服务来实现功效完善多种安全功效。安全系统结构参见示意图一。防火墙LAN1：部门1网络安全分析系统Email ServerWWW探测引擎DMZLAN2：部门2行长办公室LAN3：部门3防火墙网络密码机安全管理中心

19、探测引擎探测引擎认证服务器一次口令卡一次口令卡一次口令卡线路密码机线路密码机线路密码机线路密码机线路密码机池网络密码机/线路密码机防火墙网络密码机电话银行/手机银行固定用户拨号（网上银行/家居银行）移动用户拨号（网上银行）企业用户（柜台前移系统）市行中心局域网网络病毒防护服务器VPN加密隧道储蓄业务网点储蓄业务网点储蓄业务网点储蓄业务网点省分行 页面恢复服务器中国电信/中国移动Internet证券企业（银证转账系统）国家总行4.2产品介绍4.2.1线路密码机线路密码机是数据链路层上加密设备，为通讯双方提供端到端数据保密服务，含有使用方便，见效快特点。它提供以下安全功效：数据加密：线路密码机在数

20、据链路层上将数据进行加密，而加密密钥是由通讯双方自行协商随机数，有效地预防了线路上数据窃听、非法篡改、数据分析等多个攻击；节点认证：通讯双方线路密码机在进行通讯前要进行密码机身份认证和密钥协商，因为采取了非对称密码算法和署名机制，在无有效密钥卡或线路密码机情况下将无法接入通讯网络和对方密码机通讯，有效地预防节点设备非法仿冒。4.2.2 网络密码机亿阳SJW13网络保密机是基于IP层数据加密台式设备，已经取得国家密码管理委员会研制许可，高强度加密，对称密码体制密钥长度256位。国家开发银行总行及各地分行选择4Mbps速率机型，采取对称密码体制进行工作，含有访问控制、数据加密、完整性校验、节点身份

21、认证等功效，同时集成了亿阳网警BOCO.SFW-A型防火墙于一身。本机型支持加密卡热备份。亿阳网络保密机配有专用管理系统，负责密钥生成、发放、更新和销毁，同时实现对亿阳全部安全设备（含密码设备和防火墙设备）在线监控和报警。4.2.3亿阳网警BOCO.SFW-A型防火墙亿阳网警BOCO.SFW-A型防火墙是基于IP层数据包访问控制技术台式设备，已经取得国家公安部销售许可，许可证书号XKC33050。该设备能够实现IP包过滤、地址转换、透明代理、地址绑定、路由模块等功效为一体，同时支持远程安全管理中心在线监控和管理。4.2.4亿阳网络密码机安全管理中心亿阳安全管理中心是基于亿阳多个安全设备平台安全

22、管理系统，负责安全设备密钥和证书分配、管理和注销，负责安全策略远程集中统一实施、监控、审计和响应。亿阳安全管理中心基于业界领先动态可适应性安全管理模型，渗透了亿阳信息安全关键是管理思想。亿阳SJW13网络密码机安全管理中心是“亿阳VPN网络安全处理方案”关键部分，是亿阳安全管理中心面向亿阳SJW13网络密码机一个特定子系统。亿阳SJW13网络密码机安全管理中心负责亿阳SJW13网络密码机公私钥证书分配、管理和吊销；负责亿阳SJW13网络密码机安全联盟和安全策略远程集中统一配置和管理；实现远程配置、远程监控、远程审计和远程响应，和整个网络安全系统中多台亿阳SJW13网络密码机组成一个分布式智能V

23、PN系统。4.2.5亿阳防火墙安全管理中心亿阳网警A防火墙管理中心，是针对亿阳网警A防火墙主机系统所设计安全管理中心产品。它以友好图形管理界面对整个网络安全系统中全部亿阳A防火墙进行集中统一管理，确保网络安全系统整体安全策略实施、监控和响应，实现亿阳网警防火墙远程配置、远程监测、远程审计。中心含有下列关键功效：l 实施各防火墙主机系统安全策略集中配置管理防火墙主机经过安全策略，完成对进出内部网和外部网络间信息访问控制，管理中心经过友好图形界面形式，提供了对多台防火墙主机系统安全策略进行集中配置手段，极大方便了用户对多个防火墙系统策略管理；l 完成对各防火墙主机系统管理员和管理中心用户集中管理中

24、心能够为各防火墙管理员建立档案，明确了各防火墙管理员责任，为防火墙科学管理提供了依据；l 实时监控各防火墙系统工作状态中心能够实现各防火墙系统工作状态实时监控，能立即发觉各防火墙系统在运行过程中是否出故障，便于用户集中地了解各防火墙系统运行情况。l 实时审计各防火墙日志信息中心可心实时对防火墙多种日志信息，如操作日志、包过滤日志、代理日志、运行日志、其它日志信息进行实时审计，便于用户立即了解防火墙主机所发生各事件统计。4.2.6漏洞扫描系统该产品对Internet/Intranet中全部部件（Web站点、防火墙、路由器、TCP/IP及相关协议服务）进行实践性扫描、分析和评定，发觉并汇报系统存在

25、弱点和漏洞，评定安全风险，提议补救方法。该产品能发觉以下问题：1） 系统开放了无须要服务；2） 软件版本问题、缺省配置、含有缺点、未装补丁；3） NT服务器配置问题；4） Web服务器配置问题；5） 防火墙配置和路由器访问控制表配置问题；6） 信息泄漏Telnet旗标、Finger、SNMP、SMTP；7） 信任关系rlogin、rsh、rexec；8） 口令弱；9） 检测类似BO、NetBus等特洛伊木马；10） 文件共享不适宜netbios、netware；11） 远程访问不安全。4.2.7入侵检测系统该系统是实时网络违规自动识别和响应系统。它运行于有敏感数据需要保护网络上，经过实时监听网

26、络数据流，识别、统计入侵和破坏性代码流，寻求网络违规模式和未授权网络访问尝试。当发觉网络违规模式和未授权网络访问时，网络信息安全监测预警系统能够依据系统安全策略做出反应。1） 实时网络数据流跟踪：该系统运行于有敏感数据需要保护网络之上，实时监视网络上数据，分析网络通信会话轨迹。2） 网络攻击模式识别：该系统内置已知网络攻击模式数据库，能够依据网络数据流和网络通信会话轨迹，寻求网络攻击模式。3） 网络安全违规活动捕捉：能够依据用户自定义网络安全策略对网络活动进行检验，捕捉网络安全违规活动。4） 网络安全事件自动响应：能够自动响应网络安全事件，包含控制台报警；纪录网络安全事件具体信息，并提醒系统安

27、全管理员采取一定安全方法，实施阻断连接。5） 智能化网络安全审计方案：能够对大量网络数据进行分析处理和过滤，生成按用户策略筛选网络日志，大大降低了需要人工处理日志数据，使系统更有效。6） 支持用户自定义网络安全策略和网络安全事件：提供缺省网络探测器模板，而且它许可用户依据系统规则生成用户模板。同时，它还以某种方法支持用户定义用户网络安全事件。4.2.8亿阳一次口令认证服务系统该产品可实现密码动态改变，即在用户名（或账号）和对应密码极易被泄漏情况下，如电话银行、手机银行、网上银行和电子商务，为确保用户隐私，使得每个密码仅使用一次，然后立即实效。认证服务器端软件，用户端一次口令卡。口令改变频率1分

28、钟以上。口令长度大于10位。认证用户群大于1万用户。4.2.9 web页面恢复系统该产品能够有选择地对网站内容进行不一样等级监测，汇报并统计全部非授权网站内容修改；按网站管理员指示主动统计网站内容更新信息；对指定文件生成某种数字署名，方便人工核查；按网站管理员指示自动恢复网站内容；自动统计非授权修改内容，方便事后检验；浏览网站内容非授权修改历史统计。第五部分 方案评定4.1 安全性本方案使用密码算法由国家密码管理委员会提供，其非对称密码算法为1024/2048位RSA，对称密码算法密钥长度为256位，含有足够强度，完全能满足现在金融领域安全性要求。4.2 可靠性本方案选择密码产品性能稳定，无故障使用时间为80000小时。4.3 实用性本方案选择密码产品操作简单，对使用者无太高要求。4.4扩展性 本方案选择密码产品均为亿阳信通自行研发制造，同时掌握底层关键技术，并不停推出新升级产品，且新产品均向下兼容，保护用户前期投资。4.5 标准性l 本方案中相关网络安全服务及安全机制设计参考ISO7489-2中相关开放系统互连、安全体系结构标准和人民银行编制银行计算机安全体系研究。