XX证券公司安全域划分及防护规范.doc

XX证券公司安全域划分及防护规范CISCO金牌代理目录安全域划分及防护规范1一. 概述51.1 适用范围51.2 引用标准5二. XX证券信息系统概述6三. 安全域划分规范83.1 划分原则83.2 安全域划分113.2.1 网络外部域123.2.2 网络接入域123.2.3 网络核心域133.2.4 计算域143.2.5 管理用户域143.2.6 安全支撑域143.2.7 边界描述15四. 安全域保护定级18五. 安全域防护策略205.1 xx证券信息系统防护策略205.2 网络核心域防护205.2.1 边界防护策略215.2.2 边界5的防护策略215.2.3 边界6的防护策略225.2.4 边界7、8的防护策略235.2.5 边界9的防护策略245.2.6 内部防护策略245.3 网络接入域的防护265.3.1 边界防护策略265.3.2 互联网接入域275.3.3 外联网接入域1的防护策略295.3.4 外联网接入域2的防护策略315.3.5 内联网接入域的防护策略32六. 总结33一. 概述1.1 适用范围本文档是根据xx证券公司2008年网络安全评估项目的要求，结合xx证券网络的建设现状，制定了安全域划分框架，并在此基础上制定了安全域的保护等级以及对应的安全防护规范。本文档为xx证券信息网络的安全规划和工程建设提供了依据，可用来指导构建详细的安全技术防护体系和安全产品部署方案。本文档面向xx证券公司信息系统的管理者和信息系统安全的工程技术人员。1.2 引用标准l 关于加强信息安全保障工作的意见（中办、国办200327号文）l 公安部、保密局、机要局、国务院信息办联合下发的关于信息安全等级保护工作的实施意见（公通字【2004】66号文）l 国务院信息办信息安全风险评估课题组编制的信息安全风险评估研究报告l 美国国家标准和技术研究所（NIST，National Institute of Standards and Technology）制订的SP 800系列文档：IT系统安全自评估指南、IT系统风险管理指南、联邦IT系统安全认证和认可指南、信息系统安全规划指南等，http:/csrc.ncsl.nist.gov/publications/nistpubs/l 美国国家安全局，信息保障技术框架IATF（Information Assurance Technical Framework），V3.1版，l 计算机信息系统安全保护等级划分准则（GB 17859）l 公安部GA/T 387-391-2002系列标准，计算机信息系统安全等级保护操作系统技术要求、管理要求、通用技术要求、网络技术要求、数据库管理系统技术要求二. xx证券信息系统概述xx证券信息网络整体逻辑如图。从图中可以看出，xx证券网络采取星型的网络拓扑结构，由双核心交换机为核心连接银行、灾备中心、深沪交易所、营业部、互联网和业务系统，同时还连接相关网络系统。该图仅说明系统之间的连接关系，对设备间的具体连接、与外部系统的连接、以及系统内部的组成情况都进行了简化。xx证券网络由4大部分组成，具体如下：1） 位于总公司机房的核心交换机，由两台CISCO4006热备，是网络的核心部分。2） 业务系统，包括网上行情、交易系统、银证转帐等，是xx证券网络的主要业务系统。3） 网管系统，对公司信息系统进行管理。4） 对外连接的相关系统，包括：银行系统、深沪交易所、灾备中心、营业部、互联网，核心交换作为xx证券网络的核心，连接了所有的相关系统。xx证券核心交换和主要业务系统的物理实体集中在总公司机房，在机房中提供业务系统的接入，同时提供主要的对外连接接口以及网络管理的连接。由上图我们可以看出，信息系统必须与其他系统实现网络互通和信息共享与交互。在这种应用需求下，使得不同的外部网络、不同身份和目的的人都有机会连接到xx证券内部网络中，从而对信息系统的安全带来了威胁。从xx证券网络环境的层面而言，信息系统的安全威胁主要来自以下几个方面。 1.来自内部误用和滥用的安全威胁，包括:各种调查都显示来自于内部的误用(操作)和滥用对企业网络和业务的影响都是最为致命的。而这类误用和滥用，与公司内部不同IT系统或者与其他相关系统的互联互通、合作伙伴之间的互联互通、与客户或者厂商的互联互通所采取的安全措施不利是有非常大关系的;2.来自互联网的安全威胁:目前网上交易系统、网上行情系统等系统是与互联网相连的，如果安全措施不力就很有可能被黑客利用，带来网络安全问题; 3.来自缺省配置的安全威胁:在建设IT系统时，大量的UNIX/WINDOWS等系统很多都采用缺省配置，造成开放不必要的端口等安全隐患，如果对其IT局域网架构缺乏安全边界的划分，而又没有采取一个可集中控制访问请求的措施，则很容易被不法分子利用进行非法入侵。三. 安全域划分规范3.1 划分原则信息系统安全体系的最终目标就是在技术可行和管理可行的前提下，将安全风险和隐患降低到一个可以接收的水平。要实现这一目标，需要解决的问题不仅仅是选购何种品牌的防火墙、IDS和考虑在何处安装这些安全设备，更是需要综合考虑如何在现有网络架构上安装何种安全设备才能发挥最大的作用。如果没有一个结构清晰、可靠实用、扩展灵活的信息系统，依然沿袭各套系统的安全建设自成体系、分散单一的常规做法，即使选用最先进的安全设备，那么也只能是搭建了一个空中楼阁，无法从根本上减弱信息系统所受到的安全威胁和隐患。因此，克服和改造信息系统传统局域网整体结构的不足是xx证券解决网络安全的首要工作。为规划和建设一个完善的信息系统局域网，需要引入安全域。安全域的定义是，在安全策略的统一指导下，根据各套系统的工作属性、组成设备、所携带的信息性质、使用主体、安全目标等，将xx证券的信息系统划分成不同的域，将不同系统中具有相近安全属性的组成部分归纳在同级或者同一域中。一个安全域内可进一步被划分为安全子域，安全子域也可继续依次细化。需要明确的是，信息系统的安全域划分并不是传统意义上的物理隔离，物理隔离是由于存在信息安全的威胁而消极地停止或者滞后信息化进程，隔断网络使信息不能共享;而安全域划分是在认真分析各套系统的安全需求和面临的安全威胁的前提下，既重视各类安全威胁，也允许系统之间以及与其他系统之间正常传输和交换的合法数据。在安全域划分时应该遵循以下的一些基本原则。1.根据系统中各设备其所承担的工作角色和对安全方面要求的不同进行划分;在划分的同时有针对性的考虑安全产品的部署。从网络构架层面来讲，系统整体结构安全域的划分是与安全产品的部署密不可分的，一方面安全域的划分为安全产品的部署提供了一个健康规范灵活的网络环境;另一方面，将安全域划分为域内划分和域外划分两种，域和域之间主要采用通过交换设备划分VLAN和防火墙来彼此策略隔离;在域内主要根据不同被保护对象的安全需求采用部署AAA、IDS和防病毒系统等来完成，因此，安全域的划分不能脱离安全产品的部署。2.安全域的个数不应过多，否则在策略设置上过于复杂，会给今后管理带来很大不便;在划分的保证各个安全域之间路由或者交换跳数不应该过多;3.安全域划分的目的是发挥安全产品的整体效能，并不是对原有系统整体结构的彻底颠覆。因此在对网络结构改造的同时需要考虑保护已有投资，避免重复投入与建设。根据上述原则，为了建立xx证券网络的整体安全防护体系，并作为现有网络系统安全改造的依据和新建网络边界安全防护需遵循的原则，将采用划分安全域、分类分级确定安全防护策略的总体技术思路。首先，根据所处的运行环境划分信息系统。具有相同的或相似的运行环境意味着系统所面临的威胁相似，有利于采取统一策略的安全保护。根据xx证券的实际情况，划分为网络外部域、网络接入域、网络核心域这三类安全域。其次，在网络外部域、网络接入域、网络核心域这三类安全域内，根据系统结构、业务逻辑、安全威胁、风险大小、安全需求、控制成本等因素，在安全域内部继续划分网络域、计算域和用户域。网络域是在系统内部从网络架构上进行的划分，为网络层防护策略的具体落实提供基础。网络域划分完毕后，可根据网络系统内部所包含对象的实际情况，确定是否进行计算域和用户域的划分。计算域落在网络域内，是数据处理和数据存储的区域，为主机系统层、应用层、数据层防护策略的具体落实提供基础。用户域落在网络域内，是访问业务应用系统的终端用户所在的区域，为终端系统层、应用层、数据层防护策略的具体落实提供基础。最后，网络域、计算域和用户域的划分不是内部划分安全域的最佳粒度，还可以进一步细化。网络域可继续划分为：网络核心域、主网络接入域、备份网络接入域和网络外部域等子域；主网络接入域根据接入系统的情况可分：互联网接入域、外联网接入域、内联网接入域；网络核心域可继续划分为：核心计算域、备份核心计算域、安全支撑域；用户域继续划分为：管理用户域。3.2 安全域划分对于xx证券核心网来说，首先从网络架构上对其进行安全域的划分，包括网络核心域、主网络接入域、备份网络接入域和网络外部域等子域；其次，网络核心域中包含核心计算域、备份核心计算域、安全支撑域，网络接入域中包含互联网接入域、内联网接入域、外联网接入域和备份网络接入域，网络外部域包含Internet、Extranet、分支网络用户域，如图所示。3.2.1 网络外部域是指与xx证券公司有连接的其它IT系统所在的区域，包括互联网的接入、银行网络、沪深交易所、各营业部。3.2.2 网络接入域是指xx证券总部网络之外的网络系统与xx证券总部进行通信的接入区域。依据对端网络可信度的不同，网络接入域进一步分为：互联网接入域、外联网接入域1、外联网接入域2、管理用户域、备份网络接入域。1） 互联网接入域，连接互联网，经由边界防火墙及radware负载均衡器接入。其中，使用了1G电信、100M电信、100M网通、10M联通接入。2） 外联网接入域1，连接银行系统，经由3825路由器、交换机接入，实现与银行业务系统的外联。3） 外联网接入域2，连接沪深交易所，经由2M SDH 专线和卫星系统、交换机接入，实现与沪深交易所行情的接收。4） 内联网接入域，连接xx证券各分支机构营业部，经由VPN、ISDN、帧中继等多条线路，由cisco7204、cisco3662、fortigate200A防火墙接入。实现对分支机构的网络互联功能。5） 备份网络接入域，通过SDH、帧中继，连接银行系统、沪深交易所、各分支机构的备份线路，实现备份功能。3.2.3 网络核心域是指网络的核心功能区，主要由网络核心交换设备组成。包括2台Cisco 4006交换机为核心交换设备，通过它实现对外与其它相关系统的互联及信息交互；对内连接核心计算域、备份核心计算域、安全支撑域。3.2.4 计算域3.2.4.1 核心计算域落在网络核心域，包括：恒生各应用服务器、主备小型机、数据库、存储系统等，是网络的核心部分。3.2.4.2 备份核心计算域落在网络核心域，和核心计算域的结构类似，包括：恒生各应用服务器、主备小型机、数据库、存储系统等，是网络的备份核心部分。3.2.4.3 接入计算域 落在网络接入域，包括各台交换机、路由器、防火墙等，是核心部分与外部系统的信息交互的前置部分。3.2.5 管理用户域落在网络接入域，是提供给xx证券内部网管人员终端接入的区域，以实现对网络的业务管理和系统维护。3.2.6 安全支撑域落在网络核心域，包括漏洞扫描设备、补丁管理服务器、入侵检测设备等。3.2.7 边界描述按照安全域划分的具体情况，对照分析安全域之间的业务关系，xx证券公司网络存在以下几类边界，具体如下图。xx证券网络安全域划分及边界接口定义所示。描述如下：1 边界1互联网接入域的通信边界，通过多条线路实现外部用户或系统接入的通道。互联网与互联网接入域的连接，实现与交易系统连接，从而向用户提供网上行情、网上交易等业务。2 边界2外联网接入域1与的各银行通信边界。银行系统通过银行接口机经外联网接入域1，实现银证转帐。通过多条SDH线路连接至灾备中心。3 边界3外联网接入域2与深沪交易所的通信边界。深沪交易所通过SDH、卫星线路经外联网接入域2，实现行情接收，沪深交易所通过SDH线路连接至灾备中心。4 边界4内联网接入域与各营业部的通信边界。其中包括了VPN、ISDN、帧中继的多种线路，实现与营业部的数据交互。营业部通过专线连接至灾备中心。5 边界5管理用户域与网络核心域之间的通信边界。实现网管系统的网络管理。6 边界6互联网接入域与网络核心域之间的通信边界。实现公众用户的晚上行情及交易管理。7 边界7外联网接入域1与网络核心域的通信边界，包括与银行系统的业务数据和业务管理数据的交互。8 边界8 外联网接入域2与网络核心域的通信边界，与深沪交易所的行情数据接收。9. 边界9 内联网接入域与网络核心域的通信边界，包括各营业部的数据交互。10. 边界10 备份核心交换设备与备份核心域的通信边界，包括各备份系统数据交互。11. 边界11安全支撑域与核心交换设备的通信边界，包括各安全设备与核心计算域主机的管理。12. 边界12核心交换设备与核心计算域的通信边界。13. 边界13核心交换设备与备份核心交换设备之间的通信边界。四. 安全域保护定级根据安全域等级定级规范，xx证券信息系统的安全保护等级是由其包含的逻辑业务子系统决定的，即xx证券信息系统的安全保护等级等于其逻辑业务子系统的最高安全保护等级。xx证券信息系统在资产价值方面，主要体现在业务关联性、业务网络的影响、业务收益的影响、以及面向客户的重要程度等方面，具体描述及赋值如下：1） 业务关联性：xx证券信息系统直接对外，面向服务，负责业务流程的控制和业务数据的管理。赋值为3。2） 对业务网络的影响：xx证券信息系统是网络的核心部分，一旦出现问题，将对业务的开展产生直接的严重影响。赋值为3。3） 业务收益的影响：xx证券信息系统间接影响业务的运营收益，一旦出现问题，将对公司造成一定的损失。赋值为2。4） 面向客户的重要程度：xx证券信息系统是直接为合作伙伴、大众用户提供服务。赋值为3。在安全要求方面，则是根据系统的重要性，确定其在可用性、完整性、机密性三个方面的需求等级，具体描述及赋值如下：在安全要求方面：系统每天都要处理大量的信息交互，而且对信息处理的实时性要求较高，因此对系统的可用性有很高的要求；按照国家的有关规定及相关服务协议，公司具有对用户数据保护的义务，因此对系统的保密性要求很好；同时，公司也必须保证数据内容的完整，防止被非法篡改、丢失，而且必须保证系统本身不受非法的损害，以保证信息的有效处理，因此对系统的完整性有很高的要求。5） 可用性指的是对系统实时可用的要求：xx证券信息系统对业务的可用性及实时性要求高。赋值为3。6） 完整性指的是对完整性和准确性的要求：xx证券信息系统对用户的交易数据等信息的完整性和准确性要求高。赋值为3。7） 机密性指的是对保密性的要求：xx证券信息系统涉及客户个人隐私信息较少，对对机密性要求低。赋值为1。表 Error! No text of specified style in document.1 xx证券信息系统系统定级指标资产价值安全要求合计业务关联性对业务网络的影响对业务收益的影响客户重要程度对可用性的要求对完整性和准确性的要求对保密性的要求332333118根据信息系统的定级规范，xx证券信息系统的指标累计为18分，安全保护等级为3级。同时，依据安全域的定级原则，xx证券信息系统安全域的安全保护等级如下：表 Error! No text of specified style in document.2 xx证券信息系统安全域保护等级安全域类型安全域安全子域安全保护等级网络域网络核心域3网络接入域互联网接入域3外联网接入域13外联网接入域23内联网接入域3备份网络接入域3计算域核心计算域3备份核心计算域3接入计算域3用户域管理用户域3五. 安全域防护策略5.1 xx证券信息系统防护策略xx证券信息系统主要包括网络外部域、网络接入域、网络核心域。安全域的安全保护等级全部为3级。5.2 网络核心域防护网络核心域主要承担本域内的主机、设备的互联和通信，以及与网络接入域内的主机、设备的通信功能。域内和跨越域边界的通信量很大。网络核心域主要承担本域内的主机、设备的互联和通信，以及与互联网接入域、外联网接入域1、外联网接入域2、内联网接入域和备份网络接入域内的主机、设备的通信功能。5.2.1 边界防护策略网络核心域和网络接入域的连接包括以下边界：u 边界5：网络核心域与网络接入域的管理用户域的互联边界；u 边界6：网络核心域与网络接入域的互联网接入域的互联边界；u 边界7：网络核心域与网络接入域的外联网接入域1的互联边界；u 边界8：网络核心域与网络接入域的外联网接入域2的互联边界；u 边界9：网络核心域与网络接入域的内联网接入域的互联边界；网络核心域内部主要包括以下边界：u 边界10：网络核心域内备份主交换设备与备份核心计算域的互联边界；u 边界11：网络核心域内主交换设备与安全支撑域的互联边界；u 边界12：网络核心域内主交换设备与核心计算域的互联边界；u 边界13：网络核心域与备份网络核心域互联边界；5.2.2 5.2.3 5.2.4 .边界5的防护策略边界5是网络核心域与网络接入域的管理用户域的互联边界。实现网管系统的网络管理。本边界主要面临着人员滥用、数据安全、口令猜测等威胁。需采用的安全保护技术或措施如下：A. 在核心交换设备中进行VLAN划分，不同业务部署在不同VLAN上。B. 在核心交换设备中启用访问控制列表（ACL）功能，并设置路由过滤安全策略，安全策略应细化到IP地址和端口。可选择的安全保护技术或措施如下：C. 必要时，考虑在管理用户域和网络域之间部署单层防火墙实现访问控制策略，合理设置路由，严格禁止任何旁路路由。5.2.5 边界6的防护策略边界6是互联网接入域与网络核心域的通信边界，包括经电信、网通、联通到网络接入域后与网络核心域的通信，主要包括业务数据流。本边界主要面临着病毒、蠕虫、黑客攻击、DDOS攻击、口令猜测等威胁，威胁能力极高。需采用的安全保护技术或措施如下：A. 在核心交换设备中进行VLAN划分，不同业务部署在不同VLAN上。B. 在核心交换设备中启用访问控制列表（ACL）功能，只允行合法的数据流通过，实现不同业务之间的隔离。安全策略应细化到IP地址和端口。C. 部署基于状态检测的防火墙进行访问控制。安全策略设置中，仅允许互联网接入域访问网络核心域特定的服务；在安全策略设置上，严格控制访问策略。D. 在防火墙、三层交换机等边界设备上设置严格的访问控制列表针对基于网络传播的恶意代码（如冲击波、SQL Slammer等）进行检测和清除。E. 在核心交换设备上部署IDS并及时进行策略更新，监控异常网络行为，实现安全内容审计。可选择的安全保护技术或措施如下：F. 核心交换设备应按照对业务服务的重要次序来指定带宽分配优先级别，以保证在网络发生拥堵的时候优先保护重要业务数据主机。G. 在核心域核心交换边界部署防病毒网关设备，实现对安全区域之间的病毒进行过滤，并定期维护恶意代码库的升级和检测系统的更新。5.2.6 边界7、8的防护策略边界7、8是外联网接入域与网络核心域之间的通信边界。合法通过的业务数据流通过实现与网络核心域信息的交互。本边界主要面临着人员滥用、数据安全、病毒蠕虫等威胁。需采用的安全保护技术或措施如下：A. 在核心交换设备中进行VLAN划分，不同业务部署在不同VLAN上。B. 在核心交换设备中启用访问控制列表（ACL）功能，只允行合法的数据流通过，实现不同业务之间的隔离。安全策略应细化到IP地址和端口。C. 在DMZ配置下，也可以使用边界1的防火墙设备来加强边界7、8的安全访问控制。可选择的安全保护技术或措施如下：D. 核心交换设备应按照对业务服务的重要次序来指定带宽分配优先级别，以保证在网络发生拥堵的时候优先保护重要业务数据主机。E. 在核心网络设备上部署入侵检测类（IDS类）产品，提供对数据流的内容进行检测、发现、报警等功能。5.2.7 边界9的防护策略边界9是内联网接入域与网络核心域之间的通信边界。合法通过的业务数据流通过实现与网络核心域信息的交互。本边界主要面临着人员滥用、数据安全、口令猜测、病毒蠕虫等威胁。需采用的安全保护技术或措施如下：A. 在核心交换设备中进行VLAN划分，不同业务部署在不同VLAN上。B. 在核心交换设备中启用访问控制列表（ACL）功能，只允行合法的数据流通过，实现不同业务之间的隔离。安全策略应细化到IP地址和端口。C. 可以使用防火墙设备来加强边界的安全访问控制。可选择的安全保护技术或措施如下：D. 核心交换设备应按照对业务服务的重要次序来指定带宽分配优先级别，以保证在网络发生拥堵的时候优先保护重要业务数据主机。E. 在核心网络设备上部署入侵检测类（IDS类）产品，提供对数据流的内容进行检测、发现、报警等功能。5.2.8 内部防护策略边界10、11、12、13都属于网络核心域的内部，主要是安全设备、网络设备、主机间的互相通信。主要面临着系统自身、恶意代码、误操作等威胁。主要安全需求是保证服务的完整性、可用性，以及信息的完整性、机密性、可用性。需采用的安全保护技术或措施如下：A. 核心域服务器上部署防病毒客户端软件，进行恶意代码防护，实时监控主机的工作状况和网络访问情况，一旦发现有病毒发作，立即执行相应的操作，并进行告警处理。B. 应部署网络入侵检测(IDS)系统并及时进行策略更新，监控异常网络行为，实现安全内容审计。C. 部署漏洞扫描系统，搜集核心域内关键网络设备、各业务子系统和关键服务器等的漏洞信息，并在不会对业务系统的正常运行造成影响的前提下进行相应安全加固。D. 对登录操作系统和数据库系统的用户，建议采用动态口令认证系统实现身份认证，采用发放给用户的令牌和用户口令作为认证依据，通过应用服务器、接口主机中安装的认证代理与口令认证服务器联动实现动态身份认证。E. 应在主机操作系统和数据库管理系统上设置访问控制策略（或访问控制列表），控制主体（如用户）以用户和/或用户组的身份规定对客体（如文件或系统设备，目录表和存取控制表访问控制等）的访问行为。访问控制的覆盖范围应包括与信息安全直接相关的主体（如用户）和客体（如文件，数据库表等）及它们之间的操作（如读、写或执行）；访问控制的粒度应达到主体为用户级，客体为文件、数据库表级。F. 应启用操作系统和数据库系统的登录失败处理功能、非法登录的次数限制功能以及登录连接超时功能等。G. 应设置主要服务器操作系统和主要数据库管理系统的特权用户权限分离，设置访问控制列表，严格限制匿名/默认用户的访问权限。H. 核心域中应部署安全审计系统，记录服务器操作系统、数据系统、业务应用系统内重要的安全相关事件，包括重要用户行为、系统资源的异常使用和重要系统命令的使用。可选择的安全保护技术或措施如下：I. 必要时，考虑在主机系统中部署基于系统的主机防火墙，对来访数据流IP地址、端口、协议等信息进行访问控制。J. 必要时，对关键的主机服务器应部署主机入侵检测系统。入侵防范内容包括主机运行监视、资源使用超过值报警、特定进程监控、入侵行为检测、完整性检测等方面。5.3 网络接入域的防护5.3.1 边界防护策略网络接入域包括上下两个边界，边界接口如下：u 边界1：互联网接入域与电信、网通、联通的互联边界；u 边界6：互联网接入域与网络核心域的互联边界；边界6主要用于对网络核心域的安全防护，内容参见5.2.3节所述。u 边界2：外联网接入域1与银行系统的互联边界；u 边界7：外联网接入域1与网络核心域的互联边界；边界7主要用于对网络核心域的安全防护，内容参见5.2.4节所述。u 边界3：外联网接入域2与深沪交易所系统的互联边界；u 边界8：外联网接入域2与网络核心域的互联边界；边界8主要用于对网络核心域的安全防护，内容参见5.2.4节所述。u 边界4：内联网接入域与各营业部系统的互联边界；u 边界9：内联网接入域与网络核心域的互联边界；边界9主要用于对网络核心域的安全防护，内容参见5.2.5节所述。5.3.2 互联网接入域5.3.2.1 边界的防护策略边界1是互联网接入域与电信、网通、联通之间的通信边界。本边界主要面临着拒绝服务攻击、漏洞利用、病毒蠕虫、口令猜测等威胁。需采用的安全保护技术或措施如下：A. 在路由设备中启用ACL功能，进行数据流过滤，针对基于网络传播的恶意代码（如冲击波、SQL Slammer等）进行检测和清除。B. 应部署基于状态检测的防火墙进行访问控制。安全策略设置中，只允许特定的数据流通过防火墙，通信流控制要细化到通信的IP地址和服务端口，并且除允许的业务通信外，严格禁止其他通信。安全策略设置可根据实际需要在防火墙上部署如NAT、端口映射、主机映射等策略。C. 应部署网络入侵检测系统(IDS系统)并及时进行策略更新，监控异常网络行为，实现安全内容审计。D. 应该部署防病毒网关设备，实现对从外部网络进入内部网络的病毒进行过滤，并定期维护恶意代码库的升级和检测系统的更新。可选择的安全保护技术或措施如下：E. 必要时，应部署抗DDOS攻击系统，以抵御来自互联网的DDOS攻击。抗DDOS设备应双机冗余备份。5.3.2.2 内部防护策略互联网接入域内主要包括接入路由器、防火墙、交换机、负载均衡等设备。其安全需求主要包括防止恶意代码、黑客的攻击，以及审计和检测各种潜在的威胁。需采用的安全保护技术或措施如下：A. 对网络设备仅开启最小服务，并配置合理的访问策略。可结合双因素认证来进行用户身份的鉴别。B. 应启用网络设备的安全通信机制实现对用户的安全鉴别及敏感数据的加密传送，如使用SSH替代TELNET通信，使用HTTPS替代HTTP通信。C. 网络中的交换机、路由器等设备进行安全配置，包括登录失败处理、登录地址限制，并合理设置用户名和密码，对用户进行严格的权限登记和管理。必要时，将交换机端口、MAC地址、IP地址和用户进行绑定，防止非授权访问。D. 关键的核心交换设备应部署安全审计系统，审计记录应包含网络系统中的网络设备运行状况、网络流量、用户行为等；事件审计记录应包括：事件的日期和时间、用户、事件类型、事件成功情况，及其他与审计相关的信息。E. 在互联网接入域内部署漏洞扫描设备，定期搜集网络设备如路由器、交换机等的漏洞信息，并进行相应安全加固。5.3.3 外联网接入域1的防护策略5.3.3.1 边界防护策略边界2是外联网接入域1与银行系统的互联边界。其正常的业务通信流是与银行系统的数据交互。本边界主要面临着人员滥用、数据安全、病毒蠕虫、口令猜测等威胁。需采用的安全保护技术或措施如下：A. 在路由设备中启用ACL功能，进行数据流过滤，针对基于网络传播的恶意代码（如冲击波、SQL Slammer等）进行检测和清除。B. 应部署基于状态检测的防火墙进行访问控制。安全策略设置中，只允许特定的数据流通过防火墙，即只允许银行系统与FEP的通信。C. 应该部署防病毒网关设备，实现对从外部网络进入内部网络的病毒进行过滤，并定期维护恶意代码库的升级和检测系统的更新。可选择的安全保护技术或措施如下：D. 必要时，部署网络入侵检测系统(IDS系统)并及时进行策略更新，监控异常网络行为，实现安全内容审计。E. 根据需要，可考虑在外部接入域边界部署接口机服务器，实现系统之间的互访。在银行系统与内部系统互访时，均通过接口服务器实现。5.3.3.2 内部防护策略该域内主要包括接入路由器、防火墙、交换机、密码机、前置机等设备。其安全需求主要包括防止恶意代码、黑客的攻击，以及审计和检测各种潜在的威胁。需采用的安全保护技术或措施如下：A. 对网络设备仅开启最小服务，并配置合理的访问策略。可结合双因素认证来进行用户身份的鉴别。B. 应启用网络设备的安全通信机制实现对用户的安全鉴别及敏感数据的加密传送，如使用SSH替代TELNET通信，使用HTTPS替代HTTP通信。C. 网络中的交换机、路由器等设备进行安全配置，包括登录失败处理、登录地址限制，并合理设置用户名和密码，对用户进行严格的权限登记和管理。D. 关键的核心交换设备应部署安全审计系统，审计记录应包含网络系统中的网络设备运行状况、网络流量、用户行为等；事件审计记录应包括：事件的日期和时间、用户、事件类型、事件成功情况，及其他与审计相关的信息。可选择的安全保护技术或措施如下：E. 必要时，在域内部署漏洞扫描设备，定期搜集网络设备如路由器、交换机等的漏洞信息，并进行相应安全加固。5.3.4 外联网接入域2的防护策略5.3.4.1 边界防护策略边界3是外联网接入域2与沪深交易所的通信边界。本边界主要面临着线路故障、人员滥用、数据安全、病毒蠕虫等威胁。需采用的安全保护技术或措施如下：A. 边界的网络结构应设计合理，充分考虑可靠性、扩展性、可用性、安全性等要求，如提供链路冗余备份、设备冗余备份、合理设计网络带宽等，以避免单点故障的发生。B. 在路由设备中启用ACL功能，进行数据流过滤，针对基于网络传播的恶意代码（如冲击波、SQL Slammer等）进行检测和清除。C. 应部署基于状态检测的防火墙进行访问控制。安全策略设置中，只允许特定的数据流通过防火墙。D. 应该部署防病毒网关设备，实现对从外部网络进入内部网络的病毒进行过滤，并定期维护恶意代码库的升级和检测系统的更新。可选择的安全保护技术或措施如下：E. 必要时，部署网络入侵检测系统(IDS系统)并及时进行策略更新，监控异常网络行为，实现安全内容审计。F. 根据需要，可考虑在边界部署接口机服务器，实现系统之间的互访。在系统互访时，均通过接口服务器实现。5.3.4.2 内部防护策略外联网接入域2内主要包括接入路由器、交换机、行情接收机等设备。其安全需求主要包括防止漏洞利用及审计和检测各种潜在的威胁。需采用的安全保护技术或措施如下：A. 网络中的交换机、路由器等设备进行安全配置，包括登录失败处理、登录地址限制，并合理设置用户名和密码，对用户进行严格的权限登记和管理。B. 关键的核心交换设备应部署安全审计系统，审计记录应包含网络系统中的网络设备运行状况、网络流量、用户行为等；事件审计记录应包括：事件的日期和时间、用户、事件类型、事件成功情况，及其他与审计相关的信息。可选择的安全保护技术或措施如下：C. 必要时，在外联网接入域2内部署漏洞扫描设备，定期搜集网络设备如路由器、交换机等的漏洞信息，并进行相应安全加固。5.3.5 内联网接入域的防护策略5.3.5.1 边界防护策略本边界主要面临着人病毒、蠕虫、木马、越权访问、特权滥用等威胁，导致系统服务不可用，核心数据安全（机密性、完整性和可用性）受到破坏，因此需要采取以下接入防护策略： 需采用的安全保护技术或措施如下：A. 营业部用户通过VPN或拨号方式接入必须采用双因素或数字证书认证方式，并严格对接入对象授权，传输通道进行安全加密；B. 营业部用户只允许访问指定系统；C. 营业部用户接入边界处进行主机安全性检查，补丁检查，防病毒检查，对不符合安全接入要求的进行安全隔离；D. 严格控制营业部用户访问的帐号权限并及时回收，并进行安全审计。六. 总结采用安全域方式来划分xx证券的信息系统，不仅网络结构清晰，交换和路由跳数适中，而且还存在着以下优点。1.便于安全产品的部署。核心交换设备是整个系统网络的神经中枢，各域和外部的信息传输和交互都要通过它来完成。因此可以部署一套IDS，用于对进入核心交换设备的信息，尤其是来自互联网区域的信息进行监控。管理用户域是运维人员操作维护相关系统的区域，因此可以在该区域增加一套AAA系统用于实现对相关交换机、终端主机等设备的认证、授权、审计;也可以统一部署防病毒系统，用于对维护终端的病毒监测和清除。互联网接入区域中出入信息量很大，信息源也较为复杂，因此可以在互联网接入域和网络外部域之间增加一套防火墙，起到基本的边界防护作用，抵御内部网络不受威胁。总之，采用这种方式来划分xx证券的安全域，只需要在不同安全域之间，在安全域内部有针对性的集中部署一些安全设备，不但节约投资，而且可以明显提高各套IT系统的整体防护效能，较好地贯彻了积极防御、综合防范的方针。2.扩展性和灵活性好。采用这种方式来划分的安全域不仅能较好地满足当前系统的需求，而且在今后引入其他支撑系统时，无需再按照传统方式附加一个安全工程，甚至可以完全不考虑安全问题，只需根据具体情况接入不同的安全域，就能够满足一般安全需求。如果某一系统的连接端口需求比较少，还可以直接就近接入与其安全需求接近的系统所配备的交换设备，不但节省投资，还加快了系统的建设速度。3.为将来的集中管理奠定了基础:采用这种方式来划分的安全域，可以做到两个“集中部署”，一是不同系统中工作角色接近的设备集中部署;一个是安全产品的集中部署。这两个集中部署，为今后安全管理平台和IT管理平台的建设创造了理想的网络环境。安全管理平台，主要完成统一集中的安全策略发布、安全设备管理等;系统管理平台，主要完成对各套系统的集中管理、集中监控和集中维护。