XX网络安全方案书(15200字)

来源:m.fanwen118.com时间:2021.4.8

XX网络安全设计方案

一、 引言

20xx年是全球信息革命和Internet新腾飞的一年。“带宽爆炸”, 用户超

亿, 网上协同攻破密码等等创造性的应用层出不穷。Internet已成为全新的传

播媒体, 克林顿丑闻材料在48小时内就有2000万人上网观看。电子商务发展更

出人意料, 网上购物仅圣诞节就突破3亿美元的销售额, 比预计的全年20亿还

多。美国对“Internet经济”投资达到1240亿, 第二代Internet正式启动,第

三代智能网络已在酝酿, 以Internet为代表和主体的信息网络必将在21世纪成

为人类生产、生活、自下而上的一个基本方式。世界各国都以战略眼光注视着它

的发展, 并在积极谋取网上的优势和主动权。但是Internet网的信息安全问题

在19xx年也较突出, 下面摘录上电报导:

? 病毒感染事件19xx年增加了二倍, 宏病毒入侵案件占60%, 已超过1300种,

而1996只有40种。

? 网上攻击事件大幅上升, 对50个国家的抽样调查显示: 去年有73%的单位受

到各种形式的入侵, 而19xx年是42%。据估计, 世界上已有两千万人具有进

行攻击的潜力。

? 网上经济诈骗增长了五倍, 估计金额达到6亿美元, 而同年暴力抢劫银行的

损失才5900万。一份调查报告中说: 有48%的企业受过网上侵害, 其中损失

最多的达一百万美元。

? 对美军的非绝密计算机系统的攻击试验表明, 成功率达到88%。而被主动查

出的只占5%。19xx年5月美CIA局长在信息安全的报告中正式宣布:“信息

战威胁确实存在。”

? 网上赌博盛行, 去年在200个网点上的赌博金额达到60亿美元, 预计今年

还会增加一倍。

? 网上色情泛滥, 通过浏览器、电子邮件等方式大量扩散。由于问题严重,西

方12个国家的警方在去年九月进行了一次联合行动, 共抓96人, 其中一个

网址竟有25万张黄色图像。联合国科教文组织决定今年一月召开会议, 研

究遏制网上色情。

? 欧盟正式发表了对网上有害和非法信息内容的处理法规。

? 电子邮件垃圾已被新闻界选为19xx年Internet坏消息之一, 美国一家网络

公司一年传送的电子邮件中有三分之一是电子垃圾。

? 网上违反保密和密码管制的问题已成为各国政府关注的一个焦点。

? 暴露个人隐私问题突出, 例如通过美国一个网站很容易量到别人的经济收入

信息, 另一网址只要输入车牌号码就可查到车主地址, 为此这些网址已被封

闭。在电子邮件内传播个人隐私的情况更为严重。

? 带有政治性的网上攻击在19xx年有较大增加, 包括篡改政府机构的网页,侵

入竞选对手的网站窃取信息, 在东南亚经济危机中散布谣言, 伪造世界热点

地区的现场照片, 煽动民族纠纷等等, 已引起各国政府的高度重视。

我国的情况也大致相仿。一方面Internet上网人数增加, 仅下半年年就由

117万剧增到210万, 另一方面, 同一时期内外电对在我国发生的Internet安

全事件的报道数量也大增, 比19xx年全年还多6倍, 其中包括经济犯罪、窃密、

黑客入侵, 造谣惑众等等。以上报导只是全部景观的一角,却预示着下一个世纪

全球信息安全形势不容乐观。我国正处于网络发展的初级阶段, 又面临着发达国

家信息优势的压力, 要在信息化进程中趋利避害,从一开始就做好信息安全工作

十分重要。这是这项工作难度也非常大, 经常遇到十分困难的选择, 甚至非难。

人们对于“该不该”和“能不能”抓好信息安?全也尚有不同的看法。我们应当

充分相信我国的制度优越性和人民的智慧与觉悟, 积极寻求解决中国特色的

Internet安全问题的办法。在此, 仅就企业内部网的信息安全的建设作一个详

细的讨论。

二、公司简介

二、 NetScreen 网络安全解决方案

3.1公司背景

NetScreen 科技公司成立于19xx年10月,总部位于美国加州的硅谷。公司

的奠基者有过在Cisco和Intel等科技领先公司多年的工作经验。19xx年11月,

Robert Thomas即Sun公司的执行总裁加盟NetScreen公司,任公司总裁。

公司致力于发展一种新型的与网络安全有关的高科技产品,把多种功能集成到一

起,创造新的业界性能纪录。NetScreen创建新的体系结构并已取得了专利。该

项技术能有效消除传统防火墙实现数据加盟时的性能瓶颈,能实现最高级别的IP

安全(Ipsec),先进的系统级的设计允许产品提供多种功能,并且这些功能都具

有无与伦比的性能。

NetScreen 科技公司已经为业界在虚拟专用网领域设立了新的安全解决系统

的标准。所有的功能全部放在有关专有的硬件平台的盒子里,并且这些功能都有

着无与伦比的性能。

目前公司由 Sequoia Capital投资。Sequoia 是一家领先的风险投资公司,成

立于19xx年,已成功地为超过350家公司提供了最初的风险投资基金,其中包

括3Com 公司、Cisco 系统公司、Oracle 公司、Symantec 公司和Yahoo 公司等

等。其中大部分公司的股票都已成功上市。

NetScreen 科技公司目前有50多名员工公司在全美的主要城市都设有办事

处,而且积极拓展海外市场。用户群包括HP、日立、日本电讯电话公司和美国

在线等,覆盖了欧美亚等十几个国家和地区。

NetScreen公司的产品NetScreen-100获得了KeyLabs工作组的“测试首选

奖”,在19xx年4月举行的数据通讯杂志的评测中,NetScreen-100的VPN吞吐

量是获得第二名的2.5倍。19xx年11月,NetScreen公司再次荣获“测试者选择

奖”,这是数据通讯杂志的年度奖。在同类产品中,NetScreen是唯一员工把防火

墙、虚拟专用网(VPN)、负载均衡及流量控制结合起来,且提供100M的线速

性能的产品。NetScreen保证这一点。

在19xx年的8月和9月,NetScreen-10 和NetScreen-100 通过了ICSA (国际

计算机安全协会)的防火墙认证。19xx年9月,NetScreen 推出了VPN远程存取

客户端软件。19xx年10月,NetScreen 宣布推出 NetScreen-1000的产品。这是

第一个支持千兆位传输的具有防火墙和VPN功能的产品。

19xx年6月,NetScreen-100 被HP公司选为它在防火墙方面的新的合作伙伴。HP的合

作伙伴是在全球范围年为HP提供集成解决系统,并在增强用户的Internet上的应用。

NetScreen是HP选中的二家防火墙厂家的一家,而且是唯一一家基于硬件的产品。19xx年

12月日立公司宣布它将在日本推广NetScreen 产品。日立公司准备在未来三年内卖出10000

套NetScreen 产品。

3.2产品系列

目前,NetScreen 有 NetScreen-10 用于10MB 传输的网络。

NetScreen-100 用于 100MB 传输的网络。NetScreen-100 端口是自适应的端

口,也可用于目前传输为10MB 并计划将来升级为100MB的网络。

NetScreen-1000 已经面市,它将为那些大型企业、数据中心和网络主干

的供应商提供千兆网安全的解决方案。

NetScreen 远程 VPN 客户软件可提供远程VPN访问的解决方案。

NetScreen Global manager 软件可以集中管理多达1000台NetScreen设

备。

3.3产品功能及特点

NetScreen产品是基于安全包处理器的产品。全新的技术包括定制的专有的

芯片免费加盟和策略实现。高性能的多总线体系结构、内嵌的高速RISC CPU和

专用软件。

NetScreen防火墙的专用ASIC芯片提供存取策略的功能。该功能以硬件方

式实现,它比软件防火墙有着无可比拟的速度优势。CPU可专门负责管理数据

流。(策略存取执行防火墙保护和加密解密功能)。由于做到了系统级的安全处理

功能。NetScreen消除了基于PC平台的防火墙的需管理多个部件所引起的性能

下降的瓶颈。

NetScreen提供了多功能和高安全性能的无缝连接,NetScreen-1000,

NetScreen-100 和 NetScreen-10 分别提供了1000M、100M和10M的传输性能。

NetScreen-1000是市场上唯一的千兆的集防火墙、VPN和流量管理于一身的防火

墙产品。同样,NetScreen-100是业界最快的防火墙,另外,NetScreen自动调整

端口速率,使其达到10M和100M自适应。

因为是基于硬件的设计,NetScreen是唯一一家安全解决系统的提供商,

NetScreen产品的高性能允许用户享受到高速的好处,可提供多条E1线路,甚至

更高如E3的线路。

另外,该产品允许用户在远程实现加密通信,并且这种VPN功能不影响性

能。NetScreen提供给ISP们一个价廉物美的安全解决方案。NetScreen-10为中

小企业提供他们负担得起的全面的安全解决方案。允许他们在自己的企业网内部

构筑安全体系。

性能

NetScreen产品动态加密保护和按优先级实时监控未来数据,它专有的独特

的系统设计保证了它的高性能,ASIC芯片可以独自处理并过滤包。先进的多总

线结构比基于PC的平台上的防火墙产品快。同样基于系统级的安全功能设计消

除了传输的瓶颈。

用户认证和策略

NetScreen 支持高性能的存取为每一个当前用户,无论是远程还是在防火墙

内,支持创纪录的并行连接用户数。NetScreen-1000创纪录地实现了TCP/IP并

发连接(超过256000);策略数(多于5000)和并发的VPN连接数(超过10000)。

NetScreen-100支持每秒4370个连接,(基于32个客户),领先于它的最接近

的竞争对手。根据独立的测试机构,KeyLab的测试报告,NetScreen-100支持

32000个并发用户连接,NetScreen-10支持16000个并发连接。所有产品都支持

超过5000个存取策略,并提供简单易用的过滤界面。

防火墙

NetScreen全功能防火墙包括了包过滤、代理服务器和动态线路级过滤器。

该产品提供了高级的包检查和事件日志功能。该产品与Ipsec协议兼容。

VPN

NetScreen会集了VPN功能,保证了数据在传输过程中的加密和解密,但在

数据被加、解密之前,首先要满足预定的策略。

不论NetScreen-100还是NetScreen-10都支持业界的加密标准。包括网络

密钥交换(IKE, 或以前的ISAKMP) 通过IP,DES,Triple DES。并且还支持数

据签名(MD5)算法。NetScreen将支持X.509认证公钥算法(PKI),可以自动

地管理VPN。

NetScreen-1000建立了新的VPN性能测试基准,与其它同类产品比较,

NetScreen-1000有着更高的吞吐量,更广泛的安全性和更低的价位。

流量管理

流量管理提供给网络管理员所有必须的信息去监控和管理网络流量。网络控

制功能象带宽分配。流量优先级和负载均衡,使该产品成为web服务器和ISP

的理想产品。

网络管理

该产品易于安装,而且NetScreen产品可以远程通过网络上任何一台具有浏

览器的机器来管理。

NetScreen可以被用来作透明传输。你可以在这种方式下不分配任何IP给

NetScreen网络界面。它只需要一个管理界面。不用更改您现有的任何网络配置

就可以利用策略来管理网络流量。除了它可以在两台NetScreen之间运行VPN,

即使有些产品可以在透明模式下工作,但它们也不能在透明模式下实现VPN。

特点

? 独特的ASIC设计及已申请专利保护的系统体系结构

? 最优的性能价格比

? 无用户数目限制

? 独特的负载均衡能力及流量优先级控制能力

? 创记录的性能,具有线速运行能力

? 配置简单,管理方便

? 支持透明传输模式

? 设计紧凑,一些附加功能转移到主机上完成.如日志功能

? 支持一主一备的管理模式

3.4访问控制

NetScreen 使用了状态检查的方法来实现动态的包过滤。 相比其他的两

种方法简单的包过滤和复杂的应用网关来讲,它具有更快速和更安全的优点。

简单的包过滤只检查IP地址和端口号。它通常由路由器来实现。但它

只能做到拒绝端口访问或允许端口访问。它不能了解连接的状态。一旦真正

的用户完成了TCP的连接后,就留下了可使黑客劫持端口号的漏洞。

应用网关通过检查应用层所有的包,提供了更好的安全性。但是用户需

要厂商提供所有应用的代理。而且它只能用软件实现,因此性能是很低的。

状态检查的链路层代理,另一方面,可实现硬件层。防火墙保持所有的

TCP会话的检查。一旦一个会话结束,防火墙就结束这个连接。在不牺牲安

全性的条件下,提供更高的性能。

NetScreen 也可提供网络层的 URL 过滤,并在不久的将来实现病毒扫

描的功能。

NetScreen 产品也提供信息的和用户的认证。NetScreen是通过建立VPN

通道,由MD5实现的ESP信息的认证,并依从IPSec 标准

用户的认证可由三种方法实现。用户可在防火墙上定义多达1500 个用户

或者设置一个 Radius 服务器或Secur ID server来存储和认证用户信息。

3.5 管理

NetScreen 产品可连接信任端口(Trusted )或 不信任端口(Untrusted)然

后通过web 界面来管理。并提供了跨Internet来实现远程管理能力。不信任端口

(Untrusted)可以因安全的原因而设置为取消。如果取消它,不信任端口是不可

ping的。 (不信任端口(untrusted) 在 1.60版本以前是不可ping的)。

XX网络安全方案书

图一、NetScreen防火墙远程管理示意图

NetScreen 产品同样也可通过console 端口,使用命令行方式进行管理。如

果用户喜欢使用命令行方式或希望通过远程来管理防火墙,可在console口连接

一个调制解调器。Console口的访问也可因为安全原因设置为取消。

NetScreen 产品也可以通过telnet来管理。Telnet 和 Web 管理也可通过

VPN 通道加密,提供安全的管理。

管理方便,可通过串口管理,使用命令行方式。也可以在图形方式下用浏

览器进行管理,不分硬件平台和操作系统,只要把浏览器打开就可以通过用Web

server 的方式来管理.配置简单尤其在配置三个端口的IP时很方便。对于大型

网络中多个NetScreen设备,可以采用snmp的集中式管理,通过NS Global

manager可管理多达1000台Netscreen设备。而且NetScreen还可以提供备份的

远程拨号方式的管理。不仅如此,为安全起见,NetScreen 可以关闭远程的管理

方式,而只使用本地的、安全的管理方式。

3.6 处理能力及性能指标

.具有线速带宽且不受信息包大小影响(wirespeed)

.在作地址转换和添加策略时,性能不受任何影响

.具有VPN功能,支持IPSEC,DES,TripleDES,

.人工密钥管理,自动ISAKMP密钥管理,支持MD5

.线速带宽的包过滤

.支持64,000个并发连接

.5000个高级访问过滤策略

.具有网络地址转换功能

.支持透明模式传输

.动态过滤,具有硬件级代理服务器功能

.有实时监控流量和报警功能

.可以实现日志记载功能

.流量控制,可以根据不同用户及不同策略分配带宽

.支持8级用户优先级设置

.支持服务器负载均衡

.动态IP pool,实现端口地址转换

.支持多种标准协议:ARP,TCP/IP,UDP,ICMP

DHCP, HTTP, RADUIS, Ipsec, MD5, SHA-1

Des, Triple -DES, IKE, X.509v3,H.323

.可以通过浏览器,TFTP服务器,快速闪存来进行软件版本

的升级及配置参数的下载,备份

.支持一主一备的管理模式

3.7 产品适用范围

? 企业网 (INTRANET)

Netscreen-100,以其创记录的100Mbps运行速度,将业界的性能标准一

下子提高了十倍,创新的,独特设计的软硬件体系结构,使Netscreen-100将

高速的性能,最大限度的安全性及简单易用有机地结合在一起,有效的消除

了制约传统软件类防火墙的性能瓶颈。

Netscreen-100是当今市场上为企业网(INTRANET)与互连网

(INTERNET) 及企业内部各单独子网之间提供信息保护的最可信赖的解决

方案。它可以被灵活地设置在企业局域网的各个关键位置,以保护各个部门

的资讯,如财务部,工程部 等关键部门,或保护重要的企业网服务器,甚

至可以保护企业高层管理人员个人电脑上的敏感资讯。

将虚拟专用网(VPN)方便的能力与放火墙功能设计在同一个体系结构

中,是使Netscreen-100在当今防火墙技术市场上居于领先地位的关键。VPN

保证了加密的数据在进出公司局域网和外部互连网时受到检验。

Netscreen-100强大的DMZ服务器负载平衡功能,使得用牺牲网络性能

换取网络安全的矛盾迎刃而解。无论需求是来自企业网(INTRANET)还是互

连网(INTERNET), Netscreen-100都有能力平衡多个服务器。运用一个加

权系统,网络管理员可以保证为企业内部信任端口(TRUSTED)服务器和公共

的隔离端口(DMZ)服务器按需分配带宽Netscreen-100的100Mbps的速度性

能,保证了网络具有实时响应能力和最短的等待时间,实现了网络性能与网

络安全的完美统一。

? 互联网(INTERNET)

Netscreen-100在防火墙市场之所以出类拔萃,是因为其实现了防火墙安

全性能与高速率的完美结合。它不仅适用于单个的E1,而且适用于多个E1

或E3,甚至快速以太网。Netscreen-100可以很容易地配置在任何现有的企业

网络结构中。

Netscreen-100为网络管理员提供了综合的网络流量控制方法,从而实现

了高效的网络流量管理。Netscreen-100的先进功能之一,优先级管理,就是

对带宽按级别来分配,保证了网络数据的高效交换。这就使诸如视屏会议等

特定服务和应用,在全部可用带宽范围内,可被确保一定比例的带宽而顺畅

进行。与此相关的,Netscreen-100同时具有全面的网络分析能力,如实时的

日志记录,快速准确的报警功能和方便的报表能力。

? 外联网(EXTRANET)

Netscreen-100以其先进便利的VPN功能,确保特定局域网之间在互联网上

以密文交换信息。在公网上开辟出一条安全通道,为用户降低成本。在

Netscreen-100高速处理能力的保障下,VPN可使公司安全地进行远程数据复制

与拷贝,以及对远端服务器的配置与管理。如果您的企业需要通过互联网与诸如

供货商,商业伙伴,分支机构进行端到端信息交换,Netscreen-100的VPN功能

将是您最安全可靠和经济有效的工具。由于VPN使用公网传输,节省了昂贵的

租用专线费用,极大地降低了企业网络为通讯安全进行的投资。

3.8 NetScreen 网络安全主要产品简介

3.8.1 NetScreen-10

NetScreen-10是一台集成防火墙、VPN、NAT、流量管理等功能于一体的

Internet安全设备。具有以太网线速的处理性能,为中小型企业、分公司提供安

全及高性能的Internet 连接。易于安装和配置,通过Web浏览器、CLI(命令行)

管理或通过NetScreen Global Manager软件进行集中管理。NetScreen-10对性能

和易用性进行专门优化,各种商业环境。

性能参数

性能

高达10Mbps先进的防火墙策略和VPN加(IPSec)

100个并发VPN通道

符合IPSec标准(可与其他厂商设备互连)

DES (56位)和三倍DES加密级别

符合IKE密钥管理协议(ISAKMP),认证:MD5,SHA-1认证

防火墙

网络地址转换(NAT)

透明模式(无需改变现有的网络设置)

状态检测,实时报警和日志

通过ICSA认证、Web、Radius和SecureID认证

URL地址的限定

4000并发会话连接数、4000条安全策略

便捷管理

基于Web浏览器的配置或通过CLI(命令行接口)或者通过Netscreen Global

Manager集中管理,确保网络最大带宽,或按优先级设置不同的带宽。

支持的协议

ARP,TCP/IP,UDP,ICMP,HTTP,RADIUS,IPSec(IPESP),MD5,SHA-1,

三倍DES,IKE(ISAKMP),TFTP(客户端)SNMP

接口

三个10BaseT以太网端口:(信任端口、非信任端口、DMZ),RS-232诊断端口,

PCMCIA插槽

软件升级

Web浏览器,TFTP服务器

电源

通电电源,100-240VAC(自适应),功率消耗30W

安全认证

UL,FCC,CE,DUL,ICSA

图二、NetScreen-10的应用环境视图

3.8.2 NetScreen-100

NetScreen-100是一个专门为网络安全方面设计的Internet安全设备,它为电

子商务站点、ASP/ISP 数据中心和企业中心站点、网络银行等提供专门优化的防

火墙、VPN流量控制(带宽监控)功能NetScreen-100包括了一个专门设计的

ASIC以加速加密工程和防火墙功能,一个高性能的多总线结构,内(钱???)

嵌高速RISCCPU和专用的软件。它的专利——独特的体系结构消除了传统系统

中由于在通用处理器、PC或工作站上运行软件的防火墙、VPN、加密所导致的

性能瓶颈、以及安全性上的先天性不足。NetScreen在消除了性能瓶颈的同时依

然提供了ICSA认证的全状态监测防火墙安全和最高级的3DESIPSec加密的数据

安全。

高性能防火墙

NetScreen-100提供了防火墙的全部安全功能,并结合了包过滤、

XX网络安全方案书

链路过滤和

应用代理服务器等技术。NetScreen-100创建了新的防火墙性能基准,它用基于

全状态监测的技术实现了用户访问控制,提供了具有线速性能的ICSA认证的防

火墙安全。它的专利——独特的系统结构和专门设计的ASIC为要求苛刻的数据

中心,服务提供商和企业环境提供了高性能的安全功能。

? 高容量:128,000个并发TCP会话连接

? 健壮的对包括SYN攻击、ICMP flood、端口扫描和其他许多攻击的防护

? 网络地址转换(NAT)、端口地址转换(PAT)和虚拟IP(VIP)——隐藏内

部IP编址和保留IP地址

? DMZ端口提供一个单独、隔离的网络来部署连接公网的服务器如Web、

E-Mail、FTP等

? 透明模式——基于网桥的网络操作,对其他网络设备和攻击者不可见

? 通过内部数据库,RADIUS和SecureID对用户进行认证

? WebSense URL地址过滤

? 高可用性——用两台NetScreen-100提供故障恢复功能(具有多机备份的功

能)

VPN

NetScreen-100目前以其便利的VPN功能,确保特定局域网之间在公网上以

密文交互信息,它支持端对端和远程访问的VPN应用。NetScreen专门设计的

ASIC接管了CPU的高密度加密任务,提供线速性能以支持环境要求苛刻的ISP、

ASP和中心站点VPN集中应用。集成的VPN功能通过加密的VPN通道也使安

全的远程管理得以实现。

? 与IPSec兼容——同其他厂商设备可相互操作

? 1000个IPSec VPN通道

? 3DES吞吐量达到85Mbps

? IKE自动密钥管理——安全动态密钥交换

? DES和三倍DES——最高级别加密

? 强有力的认证——MD5,SHA-1

VPN应用示例

XX网络安全方案书

图三、VPN应用示意图

四、XX网络安全总体设计

4.1 XX网络安全设计原则

? 防止来自外部的黑客攻击

? 防止来自内部的恶意攻击

? 网络资源访问控制

? 网络传输的实时监控

? 强大的安全审计

? 事件分析与告警

在本方案中我们从XX公司各种业务、XX公司总行和分行的业务连接和OA

系统、网上银行各方面进行网络安全方面的设计。在网络的对外出口处以及在总

行和分行之间的连接都设置防火墙将是最理想的选择,因此我们在本方案中建议

XX在所有与外部网出口都配置NetScreen系列防火墙,以及在总行与分行的业

务网的连接处也配置防火墙,对外防止黑客入侵,对内以防止内部人员的恶意攻

击或由于内部人员造成的网络安全问题。

本方案中主要用到NetScreen-10和NetScreen-100,在总行与分行连接点采

用NetScreen-100作为防火墙,同时在重要的业务连接点采用NetScreen独特的

多机备份技术用两台作为热备份,保证整个系统的网络安全。在分行采用

NetScreen-10防火墙,为连接各银行网点提供安全防护。详细技术特点请参见

3.4.2。福建兴业网络安全设计整体配置图如图四。

另银行通过INTERNET网上进行业务时,由于分行与INTERNE都有出口,

也带来了一定的风险,我们建议在连接INTERNET的出口上也配置NetScreen-10

防火墙。

4.2 XX各业务系统的安全设计

4.2.1 威胁及漏洞

XX网络作为一个金融网络系统,由于涉及信息的敏感性自然会成为内部和

外部黑客攻击的目标,当前XX面临的主要风险和威胁有:

非法访问:XX公司网络是一个远程互连的金融网络系统。现有网络系统

利用操作系统网络设备进行访问控制,而这些访问控制强度较弱,攻击者可以在

任一终端利用现有的大量攻击工具发起攻击;由于整个网络通过公用网络互连同

样存在达???接终端进行攻击的可能;另一方面银行开发的很多增值业务、代

理业务,存在大量与外界互连的接口这些接口现在没有强的安全保护措施存在外

部网络通过这些接口攻击银行,可能造成巨大损失。

窃取PIN/密钥等敏感数据:XX公司信用卡系统和柜台系统采用的是

软件加密的形式保护关键数据,软件加密采用的是公开加密算法(DES)(肯定

吗???),因此安全的关键是对加密密钥的保护,而软件加密最大的安全隐患

是无法安全保存加密密钥,程序员可修改程序使其运行得到密钥从而得到主机中

敏感数据。

假冒终端/操作员:XX公司网络中存在大量远程终端通过公网与银行业

务前置机相连国内银行以出现多起在传输线路上搭接终端的案例。XX公司网络

同样存在大量类似安全隐患。现有操作员身份识别唯一,但口令的安全性非常弱

因此存在大量操作员假冒的安全风险。

截获和篡改传输数据:XX公司现有网络系统通过公网传输大量的数据

没有加密,由于信息量大且采用的是开放的TCP/IP,现有的许多工具可以很容

易的截获、分析甚至修改信息,主机系统很容易成为被攻击对象。

其他安全风险:主要有病毒、系统安全(主要有操作系统、数据库的安

全配置)以及系统的安全备份等。

4.2.2设计说明

在对XX分行网络结构和业务系统网络结初步分析后我们提出

以下安全措施来安全处理。

XX网络安全方案书

图四、XX网络安全防火墙保护总体示意图

通常银行,也包括XX网络中用到的通信线路涉及到:X.25、FR、DDN、

ISDN、拨号等通信接口和协议,因此,最佳的方案是在网络层上采用先进的

NETSCREEN网络安全技术,以有效的阻止外来的攻击和保证业务数据在公网上

的安全传输,同时在应用层上提供对敏感数据加密消息进行完整性鉴别及密钥管

理因此可以通过各级分行节点配备NETSCREEN100 来保证IP包的机密性。在

业务系统中为了保护用户敏感信息防止信息被非法篡改实现对业务数据加密、身

份认证等安全功能。

4.3 总行与分行业务系统和OA系统的安全设计

4.3.1 各业务系统的分离

XX公司有网络上开展各种应用,包括人民币业务系统、外汇业务系统、内

部OA系统等一系列的业务,这些业务之间存在一定的联系,但又要防备侵权使

用资源,特别是银行业务系统与办公OA系统,所以各业务系统的隔离是保障业

系统安全的一个重环节。

XX网络安全方案书

图五、XX公司各业务系统隔离方案

在银行内部,各业务系统使用的主机IP地址要有严格的区分,为建立访问

控制机制为核心的隔离措施提供方便。

在总行的局域网当中,通过具有第二层(支持VLAN划分,VLAN为虚拟

局域网)或三层交换的交换机(支持VLAN划分及网内路由),划分业务系统在

一个VLAN范围内,OA系统在另的一个VLAN范围内,各VLAN之间不直接

交换数据,在必要的情况下,采取一定技术实现部分数据交换。

在分行内可以象总行一样,通过VLAN的划分,划分业务VLAN和OA

VLAN,隔离办公网与业务网。

VLAN技术是近阶段较流行的局域网隔离技术,在一套硬件网络环境内运

行许多个(视交换机支持数据)完全独立、互不通信的局域网,看起来就象两个

完全分隔开的局域网系统。

使用VLAN划分开之后,当网络信息通过路由器后,MAC地址信息都会

被路由器的MAC地址所替代,VLAN的隔离作用消失。就是说总行内和分行内

划分出的业务VLAN和OA VLAN,在局域网内根据路由策略,及对对MAC地

址的判别,可使隔离的业务VLAN和OA VLAN按需实现通迅。

远程通讯是通过路由器的同一个广域网端口,经过广域网传输后的业务网

和OA网是无法通过VLAN技术加以隔离的。如不加以控制,总行的业务网和

OA网虽然不能互相访问,但总行的业务网可以和分行的OA网相互通讯,因此

必须建立一定的访问控制加以限制。因此要在路由器之后配备防火墙,执行访问

控制功能,分划业务网与OA网的通讯界线。

4.3.1 敏感数据区的保护

银行系统内存在许多敏感数区域(如银行业务系统主机等),这些敏感的数

据区域要求严格保密,对访问的权限有严格的限制,但所有的主机处于同一个网

络系统之内,如不加以控制,这样很容易造成网内及网外的恶意攻击,所以在这

些数据区域的出入口要加以严格控制,在这些地方放置防火墙,防火墙执行以下

控制功能。

1、 对来访数据包进行过滤,只允许验证合法主机数据包通过,禁止

一切非授权主机访问。

2、

3、 对来访用户进行验证。防上非法用户侵入。 运用网络地址转换及应用代理使数据存储区域与业务前端主机隔

离,业务前端主机不直接与数据存储区域建立网络连接,所有的

数据访问通过防火墙的应用代理完成,以保证数据存储区域的安

全。

XX网络安全方案书

图六、敏感数据区保护方案

4.3.3 通迅线路数据加密

在银行的广域网传输系统中,从总行到分行、分行到支行、支行到分理处

等,广泛应用到帧中继、X.25、DDN、PSTN等等之类的通用线路,但这些线路

大多数都是由通讯公司提供,与许多用户在一套系统上使用他们的业务,由于这

些线路都是暴露在公共场所,这样很容易造成数据被盗。传输数据当中如果不进

行数据加密,后果可想而知。所以对数据传输加密这是一非常重要的环节。

对网络数据加密大致分为以下几处区域:

1、 应用层加密

建立应用层加密,应用程序对外界交换数据时进行数据加密。主要优点是

使用方便、网络中数据从源点到终点均得到保护、加密对网络节点透明。缺点是

某些信息必须以明文形式传输,容易被分析。此种加密已被广泛应用于各应用程

序当中,并有相应的标准。

2、 基于网络层的数据加密

在总部到各分行,以及分行到支行建议采用VPN加密技术进行数据加密。

VPN是通过标准的加密算法,对传输数据进行加密,在公用网上建立数据

传输的加密“隧道”。加密实现是在IP层,与具体的广域网协议无关,也就是说

适应不同的广域网信道(DDN、X.25、帧中继、PSTN等)。由于VPN技术已经

拥有标准,因此所有的VPN产品可以实现互通。

当然,银行可根据自身的需要,可选用专用加密设备进行数据传输加密。

XX网络安全方案书

图七、利用VPN技术对数据传输进行加密

4.3.4防火墙自身的保护

要保护网络安全,防火墙本身要保证安全,由于系统供电、硬件故障等特

殊情况的发生,使防火墙系统瘫痪,严重阻碍网络通讯,网络的安全就无法保证,

所以要求防求防火墙有冗余措施及足够防攻击的能力。

XX网络安全方案书

图八、防火墙双机备份方案

4.4XX公司网上业务网络安全设计

目前,在发达国家,电子商务发展十分迅速,电子商务技术已趋成熟,通

过Internet进行交易也已逐渐成为潮流,全球电子商务的应用也已拉开帷幕。网

上银行是银行在电子商务中的一个具体应用,自19xx年10月,全球第一家网上

银行开张,到19xx年8月,已有600多家银行上网,提供服务信息甚至在网上

提供全套金融服务。19xx年,研究企业对17个国家的130家大型金融机构调查,

发现13%已经在网上与客户直接交易。而19xx年,60%在网上营业。

在我国,Internet的应用发展也很快,而且金融通讯网络正在迅速扩大,我

国的银行金融系统,以银行金融网络为基础,以现代支付系统为龙头的金融电子

化工程已经全面铺开,进展很快。建设网上银行已是大势所趋,而其中非常重要

的一点就是整个系统的安全保证,包括数据的安全保证、交易的安全保证、支付

的安全保证。现今有许多实现手段,以保证电子商务系统的安全运行,其中比较

流行有如下几种:

? 电子商务系统防火墙

? 信息加密

? 身份认证

? 信息签名

目前,国内的一些网上银行试点陆续开通了一部分的银行业务,比如中国电

信总局与中国农业银行总行、中国银行总行在湖南实行的网上银行企对帐系统、

网上银行银证转账系统等系统。在本方案中,我们在分析了这些网上银行的系统

结构以及其所面临的网络安全问题的基础上,对XX公司的网上银行系统采取如

下安全措施。

1. 在银行电子商务平台与Internet的接口处安装NetScreen-100方火墙。

2. 采用Netscreen-100的虚拟IP技术,为电子商务服务器作负载平衡。

3. 在银行电子商务平台与银行综合业务网之间安装NetScreen-100防火

墙。

4. 启用Netscreen-100的VPN通道功能,利用标准加密技术对传输数据

加密。

图九、系统示意图

XX网络安全方案书

设计说明:

1. 通过在银行电子商务平台和INTERNET之间安装NetScreen-100,通过其基

于状态检测包过滤,能有效的将非法的数据包排除在防火墙以外,通过NAT

(网络地址翻译),将内部服务器(如提供电子商务服务的服务器)的IP地

址转换成外部IP地址,能有效的防止黑客通过各种手段来攻击或入侵内部

的服务器。可以保证电子商务平台不受到入侵,能够对所有的信息流封锁,

并且开放希望提供的服务。

2. Netscreen-100可以设置虚拟IP,选择负载平衡算法,如轮询、带优先级的轮

询、最少连接数、带优先级的最少优先级等多种算法实现电子商务服务器的

负载平衡。

XX网络安全方案书

可以将一个合法的外部IP地址映射给内部多台服务器的IP,由多台服务器 图十、负载平衡示意

分担网络上访问服务器的流量。如上图中将一个IP地址:200.10.10.5指定给DMZ

区的多台服务器(各服务器IP不相同),以此来分担整个网络的流量,以保证网

上银行的电子商务平台能够安全、快速、稳定的运行。

3. 同样在电子商务平台和XX公司综合业务网间也安装Netscreen-100,确保数

据源控制,并且开启防火墙的VPN功能,采用IPSEC协议,用点对点的DES

和三倍DES加密,对传输数据加密,并且支持人工、自动

理,保证通过Internet进行商务活动不受破坏。

ISAKMP密钥管

更多类似范文
┣ 信息安全论文――网络信息安全现状及发展趋势 the information security status quo and development trend 9900字
┣ 安全协议作业 第一次 2200字
┣ 网络安全 6800字
┣ 网络安全--名词解释 3100字
┣ 更多网络安全协议书
┗ 搜索类似范文