银行办公局域网办公防御方案.doc

《银行办公局域网办公防御方案.doc》由会员分享，可在线阅读，更多相关《银行办公局域网办公防御方案.doc（11页珍藏版）》请在三一办公上搜索。

1、银行办公局域网办公防御方案 小小商业银行经过多年的建设，已经形成比较完善的综合网络，整体结构是通过广域网连接的二级网络，在二级网络上运行着银行业务系统、办公自动化系统、代理业务系统等，由于应用系统的复杂化，网络安全体系的建立和网络安全的全面解决方案更是迫在眉睫。Internet接入安全，中心生产网络的网络安全，全网防病毒系统体系，生产前置机安全，办公网络与生产网络物理线路共享情况下保证生产网络的安全。一、 技术安全手段需求分析1.1、网络现状目前某市商业银行已经建成了以中心网络为一级网络，支行与网点为二级网络的生产网络，同时还并行有一套覆盖到办公大楼、支行、网点的办公自动化系统停可弦？行系统目

2、前处于筹建阶段，在图一中办公网部分没有接入商业银行生产网络，虚线表示当办公自动化需要从生产主机获得帐表信息时，才手工联接两个网络，完成帐表信息导出之后，手工断开两个网络之间的连接。在安全方案中需要在系统部署前统一考虑两个网络连接在一起之后的安全问题。OA服务器在部署以后未来可能提供远程移动办公支持，移动用户通过远程接入Internet，利用浏览器访问OA服务器本身提供的Web服务。OA服务器本身基于Lotus Notes建设。生产网络是银行网络的最根本应用。某市商业银行生产网络分为3个大的部分：第一部分：中心生产网络核心包括以SNA网络为基础的生产机系统，以两台RS9000作为生产系统，且互相

3、备份。所有对生产主机的访问均通过前置机群完成。第二部分：外联单位。外联单位是主要涉及到商业银行与银联之间的结算等业务，企业通过各种多样的方式接入商业银行网络。第三部分：支行及网点。某市商业银行目前有多个网点和支行。通过DDN接入中心网络。同时采用PSTN作为备份线路。由于目前办公网络虽然在逻辑上独立于生产网络，但是办公网络在物理线路上与生产网络共享，因此生产网络需要考虑来自办公网络的安全威胁。1.2、办公网络安全技术需求分析办公自动化系统是基于Unix平台的办公自动化系统，某市商业银行初步拟定采用Lotus Notes作为办公自动化的开发与运行平台，利用Lotus Notes自身提供的邮件服务

4、功能，对办公自动化系统的用户提供内部办公自动化服务，同时利用Lotus Notes系统自身提供的Web服务功能，由于管理的需要，办公系统要定期从生产主机上提取数据进行统计分析生成报表。其中，信贷业务、帐务查询数据要传往办公网上的服务器，数据在这两个网段上经过加工，供其他系统查询。因此，办公网要保持与生产网的连接，同时生产主机也要为其提供相应的服务。在办公网上还运行着许多与生产网无关的主机和工作站，结果造成生产网上的主机暴露于这些主机和工作站的直接访问之下，从而造成系统的安全隐患。办公自动化系统的安全技术需求如下：办公自动化服务器自身安全，需求内容：保证办公自动化系统的基础运行平台Unix操作系

5、统的安全。保证办公自动化系统的基础运行平台Unix操作系统的安全，需求内容：保证办公自动化系统的基础开发运行平台Lotus Notes系统的安全。办公自动化系统自身安全，需求内容：保证基于Lotus Notes开发的办公自动化系统本身安全远程移动办公安全，需求内容：保证远程移动办公用户能够安全可靠的使用本系统。防病毒体系，需求内容：针对办公自动化系统覆盖面广，终端以Windows系统为主体的特点，需要建立全网统一的防病毒体系。1.3、生产网络安全技术需求分析某市商业银行生产网络是典型的银行生产系统，以大型Unix主机为核心，采用SNA网络；前置机围绕大型Unix主机，负责将外围IP网络或其他网

6、络转换到SNA网络中。商业银行与传统银行多级网络的区别在于某市商业银行生产网络为二级网络，在支行、网点等的业务连接到中心，必须通过前置机访问中心网络，在支行、网点不存在二级的前置机直接访问核心网络。目前商业银行的生产网络在中心节点与二级节点之间的没有采用加密传输和认证机制。生产网络安全技术需求如下：生产机的安全，需求内容：保证生产系统主机的安全；前置机的安全，需求内容：保证前置机的安全；网络传输安全，需求内容：保证生产网络传输的安全；系统审计，需求内容：建立网络安全审计与系统审计机制；实时网络入侵检测，需求内容：对生产网络进行分布式入侵行为的实时检测，并实施统一集中管理。1.4、网络互联安全某

7、市商业银行网络互联安全分为三部分：第一部分：与外部网络的互联安全。某市商业银行网络与移动、银联系统、人行、医保和社保、电信等系统需要进行网络互联，这部分网络互联的需求如下：访问控制，需求内容：保证指定用户访问指定前置机；过滤机制，需求内容：过滤与前置机业务无关访问；地址转化，需求内容：保证前置机与外部网络之间彼此隔离；第二部分：内部办公网与生产网之间的互联安全；内部办公网与生产网之间共享物理线路，两个网络物理上彼此互联，这两个网互联的安全需求如下：保证各自网络的安全边界，需求内容：即办公网络的安全事故不能影响生产网络的正常运行；保证网络的逻辑隔离，需求内容：即从办公网络内部不能危害生产网络；保

8、证网络服务质量，需求内容：即保证生产网络在现有带宽需求中的服务质量，办公网络的应用带宽需求不应影响生产网络正常有序工作。第三部分：与公共电话系统的互联安全。为了网上银行系统能够满足企业用户的需求，因此网上银行系统需要与公共电话连接，同时某市商业银行的信息网络建设规划中包括了通过Internet提供网上银行业务，对网上银行系统的互联安全需求如下：拨号访问路由接入的访问控制,需求内容：对来自公共电话网络的访问进行控制，对匿名用户的访问资源进行控制。网上银行应用服务器的安全,需求内容：保证应用服务器运行的操作系统平台安全。网上银行应用服务系统的安全，需求内容：保证应用服务的自身安全。实时网络入侵检测

9、，,需求内容：对针对网上银行前置业务的攻击进行入侵行为的实时检测，并实施统一集中管理。网络拓扑图： 办公服务区办公外联区办公用户区生产网二、针对安全风险的技术解决手段2.1、防火墙技术防火墙可以作为不同网络或网络安全域之间信息的出入口，将内部网和公众网如Internet分开，它能根据企业的安全策略控制出入网络的信息流，且本身具有较强的抗攻击能力。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。防火墙技术可以有效控制的风险包括：利用Finger来发掘用户信息，利用TCP/IP指纹识别确定操作系统类型，利用Teln

10、et旗标确定操作系统类型，利用服务的旗标信息确定服务类型，用专用工具进行服务类型探测，对服务器进行端口扫描，利用Unix的FTP服务漏洞SITEl EXEC漏洞，利用Unix的FTP服务漏洞setproctitle()漏洞，利用Bind服务漏洞，利用Telnet服务漏洞，利用后门与木马，利用rpc.mountd服务漏洞，利用sendmail服务漏洞，利用lpd服务漏洞，利用NFS服务漏洞，利用X-windows服务漏洞，绑定Shell端口，利用IPC$列举用户名，从AD上查找前置机主机，Windowsl RPC DCOM远程溢出MS026，Windows RPCl DCOM远程溢出MS039，

11、网络蠕虫堵塞整个网络，影响生产网络，利用前置机群与生产主机之间的信任关系攻击生产网络核心，利用办公自动化服务器与前置机群或生产主机之间的信任关系攻击生产网络，蠕虫影响办公网内部Window平台，蠕虫影响办公网内部邮件系统，办公网应用形式较为丰富，因此对网络带宽消耗可能造成生产网的数据通信带宽不足，从而导致生产网不畅通。二级网点或支行与中心连接没有必要的访问控制和边界控制手段，因此来自二级网点或支行局域网的用户可能威胁办公自动化系统和中心生产系统。应用防火墙技术之后，有效的控制了上述风险的同时，可以简化管理，同时本节提出的防火墙技术可以降低管理员的负担，提供更多更灵活的选择。2.2、网络防病毒体

12、系计算机病毒感染所造成的威胁以及破坏是目前广大计算机用户所面临的主要问题。本方案采用网络防病毒体系，要求网络防病毒体系应针对整个网络或是单一的工作站都能进行有效保护的防病毒解决方案。可以对Windows 2000/NT/95/98/3.x，以及DOS和Macintosh,Novell NetWare，Linux和UNIX等操作系统提供保护，作为一个一体化的网络防病毒解决方案，应具备特征代码检查方式和基于规则的变态分析器病毒扫描程序，从而检测到已知病毒。防病毒引擎可以从多个侧面和途径防止计算机病毒侵入系统，保护整个企业IT系统的安全，具有强大的功能和优秀的可管理性。应用网络防病毒体系结构之后，可

13、控制网络蠕虫堵塞整个网络，影响生产网络、病毒威胁桌面PC等风险：应用了网络防病毒技术之后，可以从三个层面有效防范病毒的传播和蔓延：Internet下载，软盘和光盘传播，邮件传播l2.3、网络入侵检测技术应用入侵检测的网络监测功能、攻击行为检查、高速流量捕获、策略响应、防火墙联动、关联事件分析等技术要素，可实现如下风险的控制：利用Lotusl Notes的Web服务器漏洞Lotus Notes口令认证可被绕过，利用Lotus Notes的Web服务器漏洞Lotusl Notes配置信息被远程读取，利用Unix的FTP服务漏洞SITEl EXEC漏洞，利用Unix的FTP服务漏洞setprocti

14、tle()漏洞，利用Bind服务漏洞，利用Telnet服务漏洞，利用后门与木马，利用rpc.mountd服务漏洞，利用sendmail服务漏洞，利用lpd服务漏洞，利用NFS服务漏洞，利用X-windows服务漏洞，Windowsl RPC DCOM远程溢出MS026，Windows RPCl DCOM远程溢出MS039，TCP登录会话劫持发送一个伪造的报告到telnet/login/sh，安装木马。应用网络入侵检测技术之后不仅有效控制了上述风险，同时入侵检测要求如自身安全性、抗IDS逃避、抗事件风暴等技术要素，有效避免了入侵检测自身引入的新的风险，同时分级管理、多用户权限、分布式部署的要求大

15、大降低了管理员的负担。2.4、基于X.509证书的身份认证技术与SSL技术针对某市商业银行办公自动化系统远程移动办公安全认证技术，本方案采用X509证书协议，为远程移动办公的身份认证提供基础保障。同时采用SSL技术实现了远程移动办公用户与办公自动化服务器之间的通信安全，在SSL中，利用如下安全机制保证认证信息不被篡改和伪造：通过SSL协议完成客户端（浏览器）和服务器之间的双向身份认证。客户端数字证书和个人私钥存储在外部介质如USB-key中。l由统一的用户管理中心中心为客户端和服务器分发的密钥对，其密钥长度1024bit。认证过程中使用证书吊销列表验证证书有效状态。l应用证书身份认证与SSL技

16、术以后控制的风险如下：已知内部命名规范情况下暴力破解口令，利用内部名单搜寻登录办公自动化系统的授权用户，利用公开的默认口令尝试办公自动化系统，获取内部公文，获取帐表系统报表数据，获取内部通讯录，篡改公文内容，网络窃听，获得更多广播信息，窃听以明文方式传输的用户名和密码，匿名用户利用WebSphare的Web服务缺陷远程获取敏感信息，匿名用户利用WebSphare的Web服务缺陷远程绕过WebSphare的基本认证，缺乏有效的身份认证手段识别远程企业用户和匿名用户，企业用户远程交易时数据传输缺乏加密保证。2.5、网络安全审计技术本方案采用网络安全审计技术，主要针对使用互联网访问非法站点，传递和发

17、布非法信息，内部网络中的资源滥用，内部商业信息泄漏等等问题。对被监控网络中的Internet使用情况进行监控，对各种网络违规行为实时报告，甚至对某些特定的违规主机进行封锁，以帮助网络管理员对网络信息资源进行有效的管理和维护。应用网络安全审计技术以后可以控制的风险包括：Internet资源被滥用，获取内部公文，获取帐表系统报表数据，获取内部通讯录，获取口令文件的shadow，破解系统管理员口令。2.6、VPN技术针对小小商业银行保证生产网络、办公网以及通信机密性的需求，方案规划系统采用VPN技术解决方案。应用VPN技术以后可以控制的风险包括：窃听以明文方式传输的用户名和密码，网络窃听，获得更多广

18、播信息，TCP登录会话劫持发送一个伪造的报告到telnet/login/sh，TCP登录会话劫持从已存在的telnet/login/sh中窃听TCP报文序号，获取下属支行或网点的业务数据，获取业务数据中的敏感信息：如卡号、口令等，网络窃听，获得更多广播信息：如前置主机群内别的业务系统数据，在办公网通过修改IP进入生产网，在办公网内通过网络窃听可以随意窃听整个局域网内的所有数据，包括生产网与办公网的数据。三、产品解决方案1、双网隔离。由于办公网中运行的程序众多，而且许多程序需要访问外部的网络，极易感染各种病毒，或者遭受攻击，所以可以说办公网对于生产网的安全造成了威胁。“安全办公局域网”解决方案中

19、，将生产网和办公网利用锐捷网络的高性能防火墙隔离开来，最大程度上保证了生产网的安全，使得病毒大面积爆发时，银行业务不会受到影响。2、功能分块。为保证办公网络的稳定运行，让不同业务之间不受到影响，“安全办公局域网”解决方案将办公局域网按照业务的需求进行了分块设计，例如将OA服务器、Notes服务器以及病毒库服务器和RG-GSN系统所需的服务器隔离出来，成为单独的服务器区域，对此区域进行完善的安全防护，以保证核心业务服务器的安全。而在对外接口方面，为防止“病从口入”，也将这部分划分为单独的区域，来保障办公网核心的安全。分区之间通过高速链路相连，并加以适当的安全策略，实现了性能和安全的双重保障。 3

20、、双核备份。在“安全办公局域网”解决方案中，采用锐捷网络RG-S6800E作为办公网的双核心，通过冗余备份和负载均衡的连接，辅以VRRP和OSPF等协议，在保障稳定的同时也提升了网络的性能。RG-S6800E系列万兆交换机是锐捷网络自主研发的国内首款万兆交换机，它所独有的SPOH同步式硬件转发技术、ECMP/WCMP技术、三平面分离等特色技术，为银行办公网提供了高性能、高稳定的解决方案。 4、身份准入。方案中使用了锐捷网络的全局安全解决方案-GSN，作为GSN的重要组件，SAM身份认证系统起到了重要的作用。通过与锐捷安全智能交换机S2100系列的联动，SAM系统可以实现对于用户身份的完全验证，

21、并可实现基于IP、MAC、交换机端口号、交换机ID、VLAN号、用户名和密码等在内的六元素绑定，实现了入网用户身份的唯一、合法，也使的在安全事件发生时，方便的追查、排除。RG-SAM身份认证系统在高校中已经有了非常广泛的应用，而针对银行更高的安全要求，锐捷网络对SAM系统进行了有针对性的研发，更加适应银行网络的需求。 5、安全检测。作为GSN全局安全解决方案的第二个重要组成部分，RG-IDS即入侵检测系统的作用就像植入网络中的一个探针，它实时收集着网络中发生的安全事件，并将它及时的报告给GSN的另一个组成部分即安全管理平台SMP，从而是SMP能够对安全事件进行及时准确的处理。IDS可以方便的部

22、署在办公网络的核心交换机中，通过交换机的端口镜像功能，在不影响任何办公数据流的情况下，即可对网络中的数据流进行细致的检测。 6、自动修复。作为GSN全局安全解决方案的总管，RG-SMP即安全管理平台担负着主机完整性检测、主机信息检测、系统漏洞检测、安全事件分析处理、系统补丁下发、必要软件及更新下发等多项工作，通过与RG-SAM和RG-IDS以及安全交换机的联动，RG-SMP对于全网安全情况以及接入网络中的PC的安全情况了如指掌，并通过内置的数据库对发生在网络中的安全事件自动做出分析和决策。通过对二级分行生产、办公局域网的分析，在优化过程中可重点关注以下几个关键点及其解决办法：关键点一：网络可靠

23、性1、异常流量或病毒对客户端和网络设备均会造成单点失效甚至网络失效的可能，增加了网络的中断风险；2、当前二级分行生产和办公共用一对核心交换，在生产或办公在进行网络升级、优化、扩容时，增加了核心交换设备的稳定性风险；3、在分行内网及跨行办公过程中有时会有大量数据交换的情况，如远程会议、培训等影像、语音数据量交换时，可能会对生产业务造成一定的压力。解决办法：1、生产和办公网可以采用双平面隔离设计，并且两网之间部署防火墙，一方面有效规避异常流量或病毒造成的不良影响；另一方面也保障了在网络升级、优化、扩容时，生产和办公互不影响；2、网络核心节点的设备可以采用关键部件全冗余配置或者采用双机冗余热备的方式

24、，实现冗余硬件快速切换，缩短故障恢复时间，有效避免单点失效；3、生产和办公通过分布层单独建网，也就是说生产和办公的核心交换在物理上独立的，通过新增一对核心交换设备，从根本上保证了核心交换的稳定性及生产、办公互不影响。关键点二：业务扩展性1、生产的核心处理主要集中在总行和一级分行，当前在二级分行的生产区主要用来支持生产服务器、网络管理服务器及外联和同城机构的接入，未来外联区将逐步过渡到一级分行数据中心，此时二级分行生产区的数据流主要来自于支行/网点同一级分行的交互，单独部署生产区的核心交换将最大程度地满足了二级分行在生产业务上的扩展需求。2、办公网 中随着VOIP、视频会议、培训等事务的增加，核

25、心交换机的接口和交换容量有了新的要求，以满足长期发展需求。解决办法：1、原核心交换可定为生产区专用。2、新增核心交换机，双机热备，丰富的业务接口和交换容量，满足办公网多应用升级及高带宽保障的需求。关键点三：访问安全性1、在生产和办公两个网络中部分应用系统间的互访是有严格控制的，除了通过代理服务器、防火墙进行控制外，还对路由学习进行了隔离。当前农行生产和办公的路由隔离通常由核心设备启用OSPF 多进程来实现，二级分行的生产和办公共用一对核心交换，此时多进程会增加设备系统的资源消耗；2、当前二级分行办公网是通过一级分行接入internet 的，但仍然存在被外网攻击的风险，即由此可能带来生产或办公涉

26、密信息被外泄或窃取；3、无线局域网WLAN 的快速方便受到了广泛的欢迎，但无线接入的安全控制也同样倍受关注。有线局域网相对无线局域网还是具有较高的安全性，且相对也有较多进行安全管理的机制。解决方案：1、新建一对核心交换，将OSPF 多进程的路由学习和重发布进行分担，以降低核心设备的系统消耗，增强设备的健壮性；2、在涉密信息安全保障上主要要依靠合理的网络结构和安全监管的策略，首先可以将生产和办公的核心交换层进行隔离，同时在两个核心交换层间设置防火墙等安全设备，保证核心业务的安全性；3、WEP 是目前最普遍的无线加密机制，但同样也是较为脆弱的安全机制，存在许多缺陷，密钥非常容易被篡改或破译，从而非

27、法接入无线网络，目前尚不建议在金融系统部署WLAN。在进行有线局域网部署时可以同时部署安全准入策略，加强终端接入网络的安全管理。关键点四：精细化QOS 部署1、总行和各级分行数据中心的局域网采用千兆或捆绑的多千兆端口互联，一般不会出现网络拥塞，网络拥塞和数据包丢弃主要发生在各级广域网链路上。解决方案：1、生产和办公局域网内数据先在两个独立的核心交换层上进行流分类、流标记，之后再在广域网部署拥塞管理及避免的控制策略，保障生产和办公数据在广域网上的服务质量。保证网络易维护1、上下设备型号统一，具有更好的兼容性杜绝因为厂商设备软件版本变化造成的问题， 比如MSTP 线路需要配置链路检测协议，才能够实

28、现在线路中断时的网络快速切换。但目前链路检测协议没有统一标准，各个厂商间实现有较大区别，所以在版本升级时可能会导致出现问题，从而影响业务。2、与思科操作风格一致，减少工行科技人员维护难度MP7500 配置和思科保持了很好的一致，使用MP7500，对维护人员也不会增加难度，可高效维护网络，同时减少学习成本。总结在这次实训中，我学到了许多东西，比如耐心，我以前做事情总是急于求成，所以很多事情做得不是很好，很容易出错的，信心也很重要，没有信心就很难做成大事，名人说过，信心是通向成功的一把钥匙。我的计算机网络基础课学的不是很好，理论知识还很薄弱，老师刚布置任务的时候，我惊呆了，要我怎么做呀，我一点也不

29、懂。但是不懂不学，就永远不懂，我当时很无奈，后来想想，不管怎么样，做得好不好都要做啊，不如尽自己最大的努力去完成它，在接下来的时间中，我一点一点的操作，在网上查资料，我坚信我一定能好好的完成实训任务。在这次实训中，让我体会最深的是理论联系实际，实践是检验真理的唯一标准。理论知识固然重要可是无实践的理论就是空谈。真正做到理论与实践的相结合，将理论真正用到实践中去，才能更好的将自己的才华展现出来。以前学的那些计算机网络的理 论知识，都没有得到很好的运用，总以为自己懂了，可真正用起来时就觉得很困难。我以前总以为看书看的明白，也理解就得了，经过这次，我现在终于明白，没有实践所学的东西就不属于你的。俗话说：“尽信书则不如无书”我们要读好书，而不是读死书。现在的社会需要的是动手能力强的人，而不是理论好的人，对于我们来说这更重要了。我认为我也有很多不足的地方，我相信通过我的努力，我以后一定会改掉这些缺点的。