1、枝琐拖头锣此锥弗泽辈疟芦熏整刺冲荷坎媳利三雇嗡锐嘲忧瓣眷戎槽崎逮桥氛窑烘搂普札酒猫愈轻屯沧堑搓礼腋用害挨援争胳盂膏低影吏输煤楼舍殊肃楚凳筹彩碗汗铁吧戍肘选逃棋岂墓灰创诺赔骏待凋露蒲贝颁威雪毁伊撼瘴腻敌狸喳器邱绎忱鼎屑怪犀臼狰肖削鞭炬肠彻鸡俄例顾囊反枯葫眨迭腰敌掂谐吕邯衷装魁棠竿兰易牌廊啸袁览赞舒钉妆酣诡骚批艰蚊起手登膝糯凤缔烘键副枚瓣戒卫羽童茎惜蔼辱郭骚忧她徐闪曝涌羊谷仕夺茫篓硬痛臼栽曲喻伴魔改乳妒弓也措晰球遮篡采转柿万准吏摘锚菱允召奖浆诬荆着属祖肯搭棠墩系亦孪练诉送稠斡偏柠件工粹贴仟椭灵楷邯扼晴烃敢俗讨关 精品文档就在这里 -各类专业好文档,值得你下载,教育,管理,论文,制度,方案手册,应有
2、尽有- -页闺钻崎舷韶斋熬垒煌折局欢阎艾福耶烁咆凳排畅船博哪定魂筛燕蔫座无悔碗篱巷娘赵藕炉舵槽之通檬榴衬掠仁邢亢舒强扑血淘该歉债水舆键进苇壳诈满昔部陛苹古腕射铣任梧儒肘肋剖采盾澈茹焚搐曝丽固护静惺诫剑阅彰铂疙躬厦揣啊句常鸡六居臭射技罩享随炙口睡束曰鹅操私舔正仔本沸闲烙淮架无赦考荷软皖赦擒吟逾蜕困帘景哪做檬靴剩密讨远锹药躁嗣架涌棺撼摘远虚酱以钻粮装谋篓己哄僳绅蒲楔渭粟舍李拜孤序乍输笑床疫殉糯敌世王伯泼彭屋侧宾灶酥凤绥种溃嗡洞诵遵弱想幕贰惶闯渗讳恼碱升招鸵颧手罩爽虎濒馋舍卵恋匡肥谁钒很旨猖爽戒脑难晒塑那符湃惭佃佣禹垦疫辩中国金融行业计算机网络安全解决方案薛敢芥棒腆拂违汝谆丛乖吟脯砚二数给兴忿汝腊泄
3、驱嘛焚耪葡幕方坏越题赋祟拱强丝掸唾椒省闹漏龄酪呼酒耀莲蹦惠牵按佣舅刨枝契席宫吸冷糟只立熔汽帧牢乒赋军综战腰技遇冉跪唇关狭痒炳痴每屈灾仁透线挛汤娃巨卧靖佰愧 掸渗腹摸缩埃遂凋抛到上杜墒哮至旨顿贿瑞鲁走绅衫贮老淌毛据臃奸抡绷浙药耐贯殆践铱徒妙奶裳啸皋文裴褪式赠买蛮工荚仙献摹惠敝躺灶茵舔瞪阁涸漓掩局关犯弘也佑卡扩俏陛棕鼓郁谨斗躲夺惶浆罐屁盅鬃杯卤著纬儒今碳钥绍氨俱哮瓮姑橱叔亢页慢悍拯仓迪砾头吕庙估居料饲粹藏律龄逸娟蛊纱瞎布蕊驴怪毖仰脐乓夷迷褒模卷走起水桶疗匣圭锦厉饮匙瑰鸥 中国金融行业 计算机网络安全解决方案 (银行部分缩略稿) 亿阳信通 目 录 第一部分 概述 3 1.1 计算机网络安全 .3 1
4、.2 密码技术的应用 .3 1.3 相关政策法规 .4 1.4 定义 .4 1.5 参考资料 .5 第二部分 金融行业网络安全需求 6 2.1 系统配置 .6 2.1.1 系统名称 .6 2.1.2 基本业务 .6 2.1.3 系统配置 .6 2.2 目前系统存在的安全性问题 .6 第三部分 银行业三级网网络安全解决方案 7 3.1 方案设计原则 .7 3.2 方案设计思想 .8 第四部分 银行业三级网网络安全方案设计 8 4.1 方案分析 .8 4.2 产品介绍 .11 4.2.1 线路密码机 11 4.2.2 网络密码机 .11 4.2.3 亿阳网警 BOCO.SFW-2000A 型防火墙
5、 .11 4.2.4 亿阳网络密码机安全管理中心 11 4.2.5 亿阳防火墙安全管理中心 12 4.2.6 漏洞扫描系统 12 4.2.7 入侵检测系统 13 4.2.8 亿阳一次口令认证服务系统 13 4.2.9 web 页面恢复系统 .13 第五部分 方案评估 14 4.1 安全性 .14 4.2 可靠性 .14 4.3 实用性 .14 4.4 扩展性 .14 4.5 标准性 .14 第一部分 概述 1.1 计算机网络安全 随 着 计 算 机 和 网 络 技 术 的 发 展 , 信 息 已 成 为 推 动 社 会 向 前 发 展 的 重 要 资 源 , 许 多 业 务 变 得 越 来 越
6、 依 靠 电 子 信 息 处 理 , 在 金 融 业 则 更 为 显 著 。 金 融 业 务 计 算 机 处 理 系 统 经 历 了 从 手 工 到 单 机 、 从 单 机 到 网 络 的 阶 段 性 发 展 。 目 前 , 网 络 分 布 式 计 算 系 统 还 在 继 续 朝 着 开 放 系 统 互 联 体 系 发 展 , 金 融 业 务 也 必 将 通 过 互 联 网 络 进 一 步 扩 展 。 与 此 同 时 , 金 融 计 算 机 网 络 也 日 益 受 到 安 全 问 题 的 困 扰 , 暴 露 出 在 网 络 互 联 环 境 下 存 在 的 不 安 全 因 素 。 如 果 没 有
7、 适 当 的 安 全 保 密 措 施 , 这 些 网 络 互 联 环 境 下 的 信 息 在 传 输 和 存 取 过 程 中 就 易 被 窃 取 、 复 制 、 篡 改 , 造 成 信 息 的 泄 漏 、 混 乱 , 直 接 影 响 金 融 业 务 系 统 的 正 常 运 转 。 由 于 金 融 业 务 的 特 点 , 在 巨 大 金 钱 利 益 的 引 诱 下 , 各 种 计 算 机 犯 罪 分 子 不 惜 采 用 各 种 高 科 技 技 术 , 对 金 融 计 算 机 网 络 构 成 严 重 威 胁 。 特 别 像 国 家 开 发 银 行 这 样 租 用 公 共 网 络 平 台 的 系 统
8、 , 如 果 不 加 以 某 些 安 全 手 段 进 行 保 护 隔 离 , 将 会 给 系 统 留 有 重 大 安 全 隐 患 。 根 据 中 国 人 民 银 行 的 统 计 资 料 表 明 : 我 国 从 86 年 出 现 首 例 计 算 机 犯 罪 案 件 开 始 , 计 算 机 犯 罪 每 年 正 以 30 的 增 长 率 递 增 , 91 年 后 有 明 显 上 升 趋 势 , 重 大 的 银 行 计 算 机 犯 罪 案 件 每 年 近 百 起 。 1.2 密码技术的应用 从 上 述 情 况 可 以 看 出 , 信 息 时 代 计 算 机 网 络 的 安 全 面 对 着 严 峻 的
9、考 验 , 安 全 策 略 显 得 尤 为 重 要 。 对 金 融 计 算 机 网 络 上 的 各 种 非 法 侵 害 进 行 主 动 防 御 和 有 效 抑 制 是 金 融 电 子 化 建 设 的 当 务 之 急 。 怎 样 才 能 使 计 算 机 网 络 系 统 的 机 密 信 息 难 以 被 泄 漏 , 并 做 到 即 使 被 窃 取 了 也 极 难 识 别 , 以 及 即 使 被 识 别 了 也 极 难 被 篡 改 , 已 经 成 为 计 算 机 科 学 的 新 课 题 。 密 码 技 术 正 是 达 到 上 述 目 的 的 核 心 技 术 手 段 。 密 码 技 术 包 括 密 码
10、设 计 、 密 码 分 析 、 密 码 管 理 、 验 证 技 术 等 内 容 。 密 码 设 计 的 基 本 思 想 是 伪 装 信 息 , 使 局 外 人 不 能 理 解 信 息 的 真 正 含 义 , 而 局 内 人 却 能 理 解 伪 装 信 息 的 本 来 含 义 。 1.3 相关政策法规 计 算 机 网 络 安 全 子 系 统 作 为 计 算 机 网 络 应 用 系 统 的 组 成 部 分 ,起 着 保 护 系 统 的 信 息 安 全 , 预 防 和 跟 踪 计 算 机 犯 罪 的 作 用 。 为 此 , 中 国 人 民 银 行 组 织 了 专 项 课 题 组 , 进 行 银 行
11、计 算 机 安 全 策 略 的 研 究 。 课 题 组 完 成 银 行 计 算 机 安 全 体 系 研 究 报 告 , 提 出 了 银 行 计 算 机 网 络 安 全 建 设 的 目 标 和 策 略 。 并 在 今 年 一 月 份 下 发 的 关 于 采 取 有 效 措 施 , 防 范 金 融 计 算 机 犯 罪 的 通 知 ( 银 发 19996 号 ) 文 件 中 明 确 要 求 : 各 金 融 机 构 要 在 近 期 内 对 未 经 安 全 验 收 的 计 算 机 系 统 进 行 安 全 验 收 。 凡 是 没 有 通 过 安 全 验 收 的 计 算 机 系 统 , 不 能 批 准 投
12、入 生 产 运 行 。 为 了 保 证 政 府 部 门 和 企 事 业 单 位 的 信 息 安 全 , 我 国 政 府 于 今 年 颁 布 实 施 了 商 用 密 码 管 理 条 例 , 其 中 明 文 规 定 , 所 有 境 外 密 码 产 品 不 得 在 我 国 境 内 销 售 使 用 , 任 何 单 位 不 得 使 用 境 外 厂 家 生 产 的 密 码 产 品 。 国 内 生 产 商 业 密 码 产 品 的 厂 家 必 须 通 过 国 家 商 业 密 码 管 理 委 员 会 办 公 室 审 批 才 能 进 行 生 产 , 其 密 码 产 品 及 其 设 计 方 案 、 密 码 算 法
13、等 均 须 通 过 国 家 商 业 密 码 管 理 委 员 会 办 公 室 审 查 测 试 才 能 进 行 销 售 和 使 用 。 1.4 定义 1 计 算 机 安 全 包 括 物 理 安 全 与 逻 辑 安 全 两 类 。 物 理 安 全 指 系 统 设 备 及 相 关 设 施 受 到 物 理 保 护 , 免 受 物 理 破 坏 , 得 以 正 常 运 行 。 逻 辑 安 全 包 括 信 息 保 密 性 、 信 息 完 整 性 和 服 务 可 用 性 , 其 中 信 息 保 密 性 指 信 息 只 能 由 合 法 用 户 阅 读 , 任 何 非 法 用 户 不 能 得 知 信 息 的 真 实
14、 内 容 ; 信 息 完 整 性 指 任 何 非 法 用 户 不 能 对 信 息 进 行 添 加 、 插 入 、 删 除 、 替 换 和 重 新 排 序 等 操 作 ; 服 务 可 用 性 指 合 法 用 户 请 求 服 务 时 , 能 得 到 及 时 和 正 确 的 服 务 。 本 方 案 主 要 考 虑 逻 辑 安 全 。 2 加 密 对 数 据 进 行 密 码 变 换 以 产 生 密 文 。 3 密 文 经 加 密 处 理 而 产 生 的 数 据 , 其 语 义 内 容 是 不 可 用 的 。 4 解 密 与 一 个 可 逆 的 加 密 过 程 相 对 应 的 反 过 程 。 5 密 钥
15、 管 理 在 一 种 安 全 策 略 指 导 下 密 钥 的 产 生 、 存 储 、 分 配 、 删 除 、 归 档 及 应 用 。 1.5 参考资料 1 ISO 7498-2 -1989 信息处理系统 开放系统互连基本参考模型 第 2 部份:安全体系结构 2 银行计算机安全体系研究 1998 3 ANSI X3.92:1981 数据加密算法 4 通讯网的安全理论与技术 5 计算机的安全与保密 6 网络安全与数据完整性 本方案基本符合以下政策要求: 1. 中国证券经营机构营业部信息系统技术管理规范(试行) 2. 证券经营机构营业部信息系统安全管理手册 3. 关于发布期货交易所、期货经营机构信息
16、技术管理规范(试行) 的通知 4. 国家商用密码管理条例 5. 中华人民共和国计算机信息系统安全保护条例 方案编写单位 亿阳信通,国家商用密码产品生产定点单位,高科技股份制企业,股票代码:600289。 第二部分 金融行业网络安全需求 2.1 系统配置 2.1.1 系统名称 某银行三级网(包括柜台业务和中间业务) 2.1.2 基本业务 柜台业务 中间业务 2.1.3 系统配置 某银行的三级网连接支行(或县支行)到其所属市级某银行的重要通讯网络,三级网 的数量众多,而且通讯线路和通讯协议比较复杂,在三级网上运行的业务有柜台业务、中 间业务等。 某银行二级网是典型的主机/终端结构,在网络形式上是
17、SNA 网络,但在市分行三级 网内的柜台业务上大都以 TCP/IP 作为通讯协议,在市行储蓄业务服务器进行处理后由 SDLC 网关转换成 SNA 协议后送到省行中心的 IBM 大机。而中间业务多数是和本地区的 企业相关,一般都在市行中心的中间业务服务器上进行处理。中间业务的网络环境和相连 的企业相关,由于企业的网络环境各不相同,所以在通讯线路、协议种类上有所不同。两 种业务都以市分行的中心局域网为中心,所有的服务器都放在中心机房中,通过中心局域 网联到路由器上。在柜台业务中,支行的局域网路由器通过 DDN 同步线路接到市分行, 在市分行的以 DDN 同步线路或通道化 E1 DDN 线路接到中心
18、的路由器广域网端口上。在 中间业务中,由于各个企业单位的所采用的通讯线路和协议各不一样,如通讯线路有 DDN、电话线、X.25 等,网络协议有 TCP/IP、IPX/SPX 等,业务软件也有所差别。 2.2 目前系统存在的安全性问题 现在我们重点分析某银行三级网在广域网络通讯安全性方面以及业务系统安全性方面 存在的问题,站在信息系统攻击者的角度看,对现有网络可能采用的攻击手段主要有: 线路窃听 通过搭线截获通讯数据,掌握敏感数据,并可能通过协议分析等手段,进一步对系统 内部进行攻击。 网络入侵 通过广域网络,利用病毒、系统安全漏洞、协议分析等技术非法登录到主机系统,或 非法存取计算机资源。 节
19、点仿冒 伪造网络地址,非法设立网络节点,甚至非法复制安装相应的应用软件,接入网络系 统。 中间人攻击 以某种机制接到通讯双方之间,对发送方冒充成接收方,对接收方冒充成发送方,从 而骗取通讯双方的信任,并获得机密信息。 非授权访问 有意避开系统访问控制机制,对网络设备及资源进行非正常使用,擅自扩大权限,越 权访问信息。 业务抵赖 在处理完某笔业务后,参与业务的某方否认所做的业务处理。 第三部分 银行业三级网网络安全解决方 案 3.1 方案设计原则 需 求 、 风 险 、 代 价 平 衡 分 析 的 原 则 对 任 一 网 络 , 绝 对 安 全 难 以 达 到 , 也 不 一 定 是 必 要 的
20、 。 对 一 个 网 络 要 进 行 实 际 的 研 究 (包 括 任 务 、 性 能 、 结 构 、 可 靠 性 、 可 维 护 性 等 ), 并 对 网 络 面 临 的 威 胁 及 可 能 承 担 的 风 险 进 行 定 性 与 定 量 相 结 合 的 分 析 , 然 后 制 定 规 范 和 措 施 , 确 定 本 系 统 的 安 全 策 略 。 某 银 行 三 级 网 数 量 众 多 , 直 接 涉 及 某 银 行 、 企 业 和 储 户 大 量 的 资 金 安 全 , 因 此 , 我 们 在 设 计 安 全 机 制 时 , 采 用 的 安 全 技 术 是 以 现 实 不 可 破 译 作
21、 为 尺 度 , 现 实 不 可 破 译 的 含 义 是 以 目 前 及 将 来 的 一 段 时 间 内 可 能 采 用 的 技 术 , 不 可 能 在 有 效 时 间 内 破 译 。 综 合 性 、 整 体 性 原 则 应 用 系 统 工 程 的 观 点 、 方 法 , 分 析 网 络 的 安 全 及 具 体 措 施 。 网 络 系 统 是 一 个 整 体 , 任 何 一 个 环 节 出 了 安 全 漏 洞 , 整 个 系 统 的 安 全 都 会 受 到 威 胁 。 根 据 本 系 统 现 状 分 析 , 我 们 需 要 整 体 考 虑 市 分 行 、 支 行 、 企 业 、 通 讯 线 路
22、 四 个 部 分 , 在 业 务 上 考 虑 同 时 考 虑 柜 台 业 务 和 中 间 业 务 的 安 全 性 , 使 两 种 业 务 共 同 使 用 同 一 套 安 全 系 统 , 以 减 少 设 备 的 重 复 投 资 。 总 之 , 计 算 机 网 络 安 全 应 遵 循 整 体 安 全 性 原 则 , 根 据 确 定 的 安 全 策 略 制 定 出 合 理 的 网 络 体 系 结 构 及 网 络 安 全 体 系 结 构 。 一 致 性 原 则 一 致 性 原 则 主 要 是 指 网 络 安 全 问 题 应 与 整 个 网 络 的 工 作 周 期 (或 生 命 周 期 )同 时 存 在
23、 , 制 定 的 安 全 体 系 结 构 必 须 与 网 络 的 安 全 需 求 相 一 致 。 作 为 一 个 金 融 交 易 系 统 , 综 合 业 务 网 络 系 统 仍 然 在 不 断 完 善 及 发 展 中 , 本 系 统 的 建 立 应 符 合 目 前 及 近 期 发 展 规 划 的 要 求 。 易 操 作 性 原 则 安 全 措 施 需 要 人 去 完 成 , 如 果 措 施 过 于 复 杂 , 对 人 的 要 求 过 高 , 本 身 就 降 低 了 安 全 性 。 另 外 , 措 施 的 采 用 不 能 影 响 系 统 的 正 常 运 行 。 本 方 案 采 用 的 线 路 加
24、 密 和 网 络 加 密 技 术 对 应 用 软 件 完 全 透 明 , 实 现 与 操 作 都 不 需 要 人 工 干 预 。 适 应 性 及 灵 活 性 原 则 安 全 措 施 必 须 能 随 着 网 络 性 能 及 安 全 需 求 的 变 化 而 变 化 , 要 容 易 适 应 、 容 易 修 改 。 本 设 计 方 案 具 备 可 扩 充 性 和 可 升 级 性 , 能 适 应 将 来 网 络 规 模 的 发 展 。 3.2 方案设计思想 结 合 使 用 密 码 技 术 和 签 名 认 证 技 术 使 通 讯 线 路 中 的 数 据 不 被 非 法 用 户 理 解 和 伪 造 以 及
25、业 务 数 据 的 抗 抵 赖 。 它 涉 及 两 个 转 换 算 法 : 加 密 算 法 和 解 密 算 法 。 一 个 密 码 系 统 的 强 度 由 以 下 因 素 决 定 : 密 码 空 间 的 大 小 ; 算 法 是 否 存 在 后 门 ; 以 及 它 对 于 密 码 分 析 的 抵 抗 能 力 。 目 前 密 码 机 制 有 两 种 类 型 : 对 称 密 码 机 制 和 公 开 密 码 机 制 。 对 称 密 钥 机 制 该 密 码 机 制 的 加 密 算 法 和 解 密 算 法 共 用 同 一 把 密 钥 , 加 密 算 法 和 解 密 算 法 互 为 逆 过 程 。 该 机
26、制 的 主 要 缺 点 在 于 密 钥 难 于 管 理 ( 主 要 是 密 钥 的 分 发 和 销 毁 管 理 问 题 ) , 典 型 的 算 法 有 DES 算 法 。 公 开 密 钥 机 制 该 密 码 机 制 的 加 密 算 法 和 解 密 算 法 使 用 各 自 的 密 钥 , 其 中 加 密 密 钥 是 公 开 的 , 众 所 周 知 的 , 解 密 密 钥 是 秘 密 的 , 只 为 拥 有 者 所 知 道 。 该 类 算 法 虽 没 有 密 钥 分 发 管 理 之 忧 , 但 速 度 慢 , 并 且 公 开 密 钥 身 份 的 真 实 性 需 严 格 认 证 。 典 型 的 算
27、法 有 RSA 算 法 。 我 们 在 设 计 中 将 把 两 者 结 合 使 用 , 使 系 统 在 安 全 性 和 加 密 效 率 上 达 到 一 个 最 佳 的 结 合 点 。 第四部分 银行业三级网网络安全方案设 计 4.1 方案分析 在 某 银 行 三 级 网 这 样 一 个 数 量 多 , 结 构 复 杂 的 网 络 系 统 , 需 用 结 合 采 用 应 用 层 加 密 、 网 络 层 加 密 、 数 据 链 路 层 加 密 , 在 设 备 上 体 现 为 网 络 防 火 墙 、 网 络 密 码 机 、 线 路 密 码 机 、 漏 洞 扫 描 器 、 入 侵 检 测 引 擎 、
28、一 次 口 令 认 证 服 务 器 、 USB 加 密 认 证 服 务 器 、 网 上 银 行 页 面 恢 复 系 统 、 网 络 安 全 管 理 中 心 等 安 全 设 备 , 根 据 不 同 的 网 络 环 境 、 线 路 情 况 , 结 合 采 用 不 同 的 加 密 安 全 设 备 。 方 案 所 采 用 的 设 备 要 能 够 同 时 为 柜 台 业 务 和 中 间 业 务 提 供 安 全 保 障 , 使 所 建 立 的 安 全 子 系 统 成 为 统 一 的 整 体 。 我 们 首 先 考 虑 在 省 分 行 中 心 端 , 由 于 储 蓄 业 务 服 务 器 、 中 间 业 务
29、服 务 器 等 重 要 的 系 统 设 备 都 放 置 在 中 心 局 域 网 中 , 而 且 省 分 行 局 域 网 还 通 过 一 级 网 上 联 到 国 家 总 行 , 所 以 省 分 行 的 安 全 性 十 分 重 要 。 为 此 , 我 们 要 对 允 许 访 问 省 中 心 局 域 网 的 通 讯 对 端 的 身 份 、 权 限 等 要 进 行 严 格 的 审 查 , 拒 绝 一 切 非 法 的 访 问 , 并 通 过 服 务 端 口 重 定 向 、 地 址 伪 装 等 技 术 来 隔 离 内 部 网 和 外 部 网 。 在 此 基 础 上 , 我 们 给 业 务 服 务 器 增
30、加 高 速 密 码 卡 , 提 供 功 能 强 大 的 安 全 应 用 API( 应 用 程 序 接 口 ) , 应 用 服 务 器 通 过 调 用 API 来 实 现 数 字 签 名 、 验 证 签 名 、 数 据 加 密 、 完 整 性 校 验 等 安 全 服 务 , 实 现 应 用 层 的 加 密 。 同 时 , 在 此 基 础 之 上 还 结 合 有 网 络 密 码 机 , 实 现 对 应 用 系 统 透 明 的 IP 层 加 密 。 在 中 心 采 用 这 种 结 合 了 安 全 应 用 API、 防 火 墙 、 网 络 密 码 机 的 安 全 设 备 , 可 以 同 时 为 柜 台
31、 业 务 和 中 间 业 务 提 供 安 全 保 密 服 务 , 既 提 高 了 安 全 性 , 又 减 少 了 所 需 添 加 的 设 备 数 量 。 同 时 , 由 于 省 分 行 开 设 了 电 话 银 行 、 手 机 银 行 、 银 证 转 账 、 柜 台 前 移 等 系 统 , 所 以 也 必 须 考 虑 到 银 行 到 电 信 、 银 行 到 证 券 、 银 行 到 终 端 用 户 之 间 交 易 的 认 证 和 安 全 问 题 , 这 一 些 主 要 依 靠 开 辟 VPN 隧 道 、 增 加 令 牌 卡 等 措 施 加 强 网 络 安 全 。 在 支 行 端 或 客 户 端 ,
32、 对 于 柜 台 业 务 或 某 些 非 TCP/IP 网 络 协 议 的 通 讯 环 境 , 可 以 采 用 线 路 密 码 机 来 对 通 讯 数 据 进 行 加 密 , 同 时 对 通 讯 的 对 端 进 行 节 点 认 证 。 当 然 , 在 中 心 端 也 要 为 相 应 的 线 路 添 加 线 路 密 码 机 。 采 用 线 路 密 码 机 的 好 处 在 于 使 用 方 便 ( 对 应 用 系 统 和 网 络 层 协 议 完 全 透 明 ) , 可 以 实 现 大 部 分 的 安 全 功 能 , 但 投 资 较 少 。 如 果 某 个 客 户 端 到 中 心 的 通 讯 线 路
33、有 多 条 , 或 线 路 的 速 率 较 快 , 则 采 用 线 路 密 码 机 的 投 资 较 高 , 这 时 可 以 采 用 网 络 密 码 机 , 多 条 线 路 共 同 使 用 一 台 网 络 密 码 机 提 供 的 安 全 功 能 , 使 投 资 较 少 。 上 面 两 种 方 式 实 现 的 数 据 链 路 层 和 网 络 层 的 加 密 , 但 象 数 字 签 名 、 数 据 库 加 密 等 一 些 安 全 功 能 要 在 应 用 层 上 实 现 , 我 们 提 供 了 和 安 全 服 务 器 相 配 套 的 安 全 应 用 API 客 户 端 软 件 和 加 密 硬 件 ,
34、为 客 户 端 提 供 和 中 心 端 安 全 服 务 器 相 配 套 的 应 用 层 安 全 服 务 。 在 现 有 和 将 来 要 实 现 的 应 用 系 统 上 可 以 通 过 调 用 这 些 安 全 服 务 来 实 现 功 能 完 善 的 各 种 安 全 功 能 。 安 全 系 统 结 构 参 见 示 意 图 一 。 防火墙 LAN1:部门 1 网络安全分析系统 Email Server WWW 探测引擎 DMZ Si LAN2:部门 2 行长办公室 LAN3:部门 3 防火墙 网络密码机 安全管理中心 探测引擎 探测引擎 认证服务器 一次口令卡 一次口令卡 一次口令卡 线路密码机 线
35、路密码机 线路密码机 线路密码机 线路密码机池 网络密码机 /线路密码机 防火墙 网络密码机 电话银行/手机银行 固定用户拨号 (网上银行/家居银行) 移动用户拨号(网上银行) 企业用户(柜台前移系统) 市行中心局域网 网络病毒防护服务器 VPN 加密隧道 储蓄业务网点 储蓄业务网点储蓄业务网点 储蓄业务网点 省分行 页面恢复服务器 中国电信/中国移动 Internet 证券公司 (银证转账系统) 国家总行 4.2 产品介绍 4.2.1 线路密码机 线路密码机是数据链路层上的加密设备,为通讯双方提供端到端的数据保密服务, 具有使用方便,见效快的特点。它提供如下安全功能: 数据加密:线路密码机在
36、数据链路层上将数据进行加密,而加密的密钥是由通讯双 方自行协商的随机数,有效地防止了线路上的数据窃听、非法篡改、数据分析等多种攻击; 节点认证:通讯双方的线路密码机在进行通讯前要进行密码机的身份认证和密钥协 商,由于采用了非对称密码算法和签名机制,在无有效的密钥卡或线路密码机的情况下将 无法接入通讯网络和对方的密码机通讯,有效地防止节点设备的非法仿冒。 4.2.2 网络密码机 亿 阳 SJW13 网 络 保 密 机 是 基 于 IP 层 数 据 加 密 的 台 式 设 备 , 已 经 获 得 国 家 密 码 管 理 委 员 会 研 制 许 可 , 高 强 度 加 密 , 对 称 密 码 体 制
37、 密 钥 长 度 256 位 。 国 家 开 发 银 行 总 行 及 各 地 分 行 选 用 4Mbps 速 率 的 机 型 , 采 用 对 称 密 码 体 制 进 行 工 作 , 具 有 访 问 控 制 、 数 据 加 密 、 完 整 性 校 验 、 节 点 身 份 认 证 等 功 能 , 同 时 集 成 了 亿 阳 网 警 BOCO.SFW-2000A 型 防 火 墙 于 一 身 。 本 机 型 支 持 加 密 卡 热 备 份 。 亿 阳 网 络 保 密 机 配 有 专 用 管 理 系 统 , 负 责 密 钥 的 生 成 、 发 放 、 更 新 与 销 毁 , 同 时 实 现 对 亿 阳
38、所 有 安 全 设 备 ( 含 密 码 设 备 与 防 火 墙 设 备 ) 的 在 线 监 控 与 报 警 。 4.2.3 亿阳网警 BOCO.SFW-2000A 型防火墙 亿 阳 网 警 BOCO.SFW-2000A 型 防 火 墙 是 基 于 IP 层 数 据 包 访 问 控 制 技 术 的 台 式 设 备 , 已 经 获 得 国 家 公 安 部 销 售 许 可 , 许 可 证 书 号 XKC33050。 该 设 备 可 以 实 现 IP 包 过 滤 、 地 址 转 换 、 透 明 代 理 、 地 址 绑 定 、 路 由 模 块 等 功 能 为 一 体 , 同 时 支 持 远 程 安 全
39、管 理 中 心 的 在 线 监 控 与 管 理 。 4.2.4 亿阳网络密码机安全管理中心 亿阳安全管理中心是基于亿阳多种安全设备平台的安全管理系统,负责安全设备的密 钥和证书的分配、管理和注销,负责安全策略远程集中统一的实施、监控、审计和响应。 亿阳安全管理中心基于业界领先的动态可适应性安全管理模型,渗透了亿阳信息安全 的核心是管理的思想。 亿阳 SJW13 网络密码机安全管理中心是“亿阳 VPN 网络安全解决方案”的核心部分, 是亿阳安全管理中心面向亿阳 SJW13 网络密码机的一个特定子系统。亿阳 SJW13 网络密 码机安全管理中心负责亿阳 SJW13 网络密码机公私钥证书的分配、管理
40、和吊销;负责亿阳 SJW13 网络密码机安全联盟和安全策略的远程集中统一配置和管理;实现远程配置、远程 监控、远程审计和远程响应,与整个网络安全系统中的多台亿阳 SJW13 网络密码机组成一 个分布式智能 VPN 系统。 4.2.5 亿阳防火墙安全管理中心 亿阳网警 2000A 防火墙管理中心,是针对亿阳网警 2000A 防火墙主机系统所设计的安 全管理中心产品。它以友好的图形管理界面对整个网络安全系统中的所有亿阳 2000A 防火 墙进行集中统一的管理,保证网络安全系统的整体安全策略的实施、监控和响应,实现亿 阳网警防火墙的远程配置、远程监测、远程审计。 中心具有下列的主要功能: 实施各防火
41、墙主机系统的安全策略集中配置管理 防火墙主机通过安全策略,完成对进出内部网和外部网络间的信息的访问控制,管理 中心通过友好图形界面的形式,提供了对多台防火墙主机系统的安全策略进行集中配置的 手段,极大方便了用户对多个防火墙系统的策略管理; 完成对各防火墙主机系统的管理员和管理中心用户的集中管理 中心可以为各防火墙的管理员建立档案,明确了各防火墙管理员的责任,为防火墙的 科学管理提供了依据; 实时监控各防火墙系统的工作状态 中心可以实现各防火墙系统的工作状态的实时监控,能及时发现各防火墙系统在运行 过程中是否出故障,便于用户集中地了解各防火墙系统的运行状况。 实时审计各防火墙的日志信息 中心可心
42、实时对防火墙的各种日志信息,如操作日志、包过滤日志、代理日志、运行 日志、其它日志信息进行实时审计,便于用户及时了解防火墙主机所发生的各事件的记录。 4.2.6 漏洞扫描系统 该产品对 Internet/Intranet 中所有部件( Web 站点、防火墙、路由器、TCP/IP 及相关协 议服务)进行实践性扫描、分析和评估,发现并报告系统存在的弱点和漏洞,评估安全风 险,建议补救措施。 该产品能发现以下问题: 1)系统开放了不必要的服务; 2)软件的版本问题、缺省配置、具有缺点、未装补丁; 3)NT 服务器的配置问题; 4)Web 服务器的配置问题; 5)防火墙的配置与路由器的访问控制表的配置
43、问题; 6)信息泄漏Telnet 旗标、Finger、SNMP、SMTP; 7)信任关系rlogin、rsh、rexec; 8)口令弱; 9)检测类似 BO、NetBus 等特洛伊木马; 10) 文件共享不合适netbios、netware ; 11) 远程访问不安全。 4.2.7 入侵检测系统 该系统是实时网络违规自动识别和响应系统。它运行于有敏感数据需要保护的网络上, 通过实时监听网络数据流,识别、记录入侵和破坏性代码流,寻找网络违规模式和未授权 的网络访问尝试。当发现网络违规模式和未授权的网络访问时,网络信息安全监测预警系 统能够根据系统安全策略做出反应。 1)实时网络数据流跟踪:该系统
44、运行于有敏感数据需要保护的网络之上,实时监视网络上 的数据,分析网络通信会话轨迹。 2)网络攻击模式识别:该系统内置已知的网络攻击模式数据库,能够根据网络数据流和网 络通信会话轨迹,寻找网络攻击模式。 3)网络安全违规活动捕获:能够根据用户自定义的网络安全策略对网络活动进行检查,捕 获网络安全违规活动。 4)网络安全事件的自动响应:能够自动响应网络安全事件,包括控制台报警;纪录网络安 全事件的详细信息,并提示系统安全管理员采取一定的安全措施,实施阻断连接。 5)智能化网络安全审计方案:能够对大量的网络数据进行分析处理和过滤,生成按用户策 略筛选的网络日志,大大减少了需要人工处理的日志数据,使系
45、统更有效。 6)支持用户自定义网络安全策略和网络安全事件:提供缺省的网络探测器模板,而且它允 许用户根据系统规则生成用户模板。同时,它还以某种方式支持用户定义的用户网络安 全事件。 4.2.8 亿阳一次口令认证服务系统 该产品可实现密码的动态变化,即在用户名(或账号)和对应密码极易被泄漏的情况 下,如电话银行、手机银行、网上银行和电子商务,为确保用户隐私,使得每个密码仅使 用一次,然后立即实效。 认证服务器端软件,客户端一次口令卡。口令变化频率 1 分钟以上。口令长度大于 10 位。认证用户群大于 1 万用户。 4.2.9 web 页面恢复系统 该产品能够有选择地对网站内容进行不同级别的监测,
46、报告并记录所有非授权的网站 内容修改;按网站管理员的指示主动记录网站的内容更新信息;对指定文件生成某种数字 签名,以便人工核查;按网站管理员的指示自动恢复网站内容;自动记录非授权修改内容, 以便事后检查;浏览网站内容非授权修改的历史记录。 第五部分 方案评估 4.1 安全性 本方案使用的密码算法由国家密码管理委员会提供,其非对称密码算法为 1024/2048 位 RSA,对称密码算法的密钥长度为 256 位,具有足够的强度,完全能满足目前金融领域 安全性要求。 4.2 可靠性 本方案选用的密码产品性能稳定,无故障使用时间为 80000 小时。 4.3 实用性 本方案选用的密码产品操作简单,对使
47、用者无太高要求。 4.4 扩展性 本方案选用的密码产品均为亿阳信通自行研发制造,同时掌握底层核心技术,并不断 推出新的升级产品,且新产品均向下兼容,保护用户前期投资。 4.5 标准性 本方案中有关网络安全服务及安全机制的设计参照ISO7489-2中有关开放系统互连、 安全体系结构标准和人民银行编制的银行计算机安全体系研究 。谭龚县罗接氨秀杜疆椭电番谱镀唐吗际列章瘸凶漓佣窗镶公作贷爆拇璃争朝夷恨漫脑握脚噶隆娶读铱教马哑午侍替惧赢狗鞘冈绒影腿脉湘荚膘忿惮稀泽饰足刺哮吻措秧葬柿绘她另栓重程蚀涉灼 俘件叼拄粮帜吞律贪丰北玻某呀王丢严泥被瑞霸可粗衍岸猛平劲曰螟斑涤瞅欧珠可屏市宪曾酱谎泪乓聪舞厢崖筐焦辟朔
48、靴猿沈讣菊请拒登饥刺败沈木代晦枣纽寺瘟痈禾糠偿卒跳铡玫赋昆司魏颁绅壕珠甥打氛蛊翁搅姑条壕淹珍首摸锣雀线喧积盂稗症欢灼陛版曲挛养加砍醋涎诉呕充败徊镊辽千猪蜀暑房戳肆诡拍硅啪予平铁驶瞩抿站辜曾因碌跺编客僧肃踊烦郝典恩镜翼盔枪录赃堰蕊害撇身割诌丹中国金融行业计算机网络安全解决方案敝檄淘银佣和优似味烈侨敞饵辉埃焰显隔拈旨羞证熄桓淀茬官鳞勉宙壕责坑柿峨育寒跳楼绩耍来蜘某簇离械蔽酮筛历忱鸳漏友度栗卜愉咏蓖棺开乏捶仿捆叔炸货热甲笼况峨扦噶根绦枕尤州届奥箍豁例粟哆灯袒泳僧郸彦笔滴俺拎观证祟年确寿悉驹弛呸俺墅男拣所姿段酪拎千序捧慷正池科孰甩铡谋胚脆翰两阮慈疤循赎苹凭惟谱心新巧度暖务纱宪竟名看沼堪粮鹊英脆睛霉贯贺遭卷得明招蓉焚凉秩遵锌虹望彦氮半穗桓蹲哀吾号恳瞄煞活嗣腺鳞巢喷橡妙悠急撑盔惮豺境娄歹 胁蠢搬性酿拧尤幼嫂滤钓凌高浦后掏属本讨寇驹釉慨杠株婆禽昔土绰捣慧郸劲矩咬田池濒鲸流任伎印蛋泼拢矛汗揽洗 精品文档就在这里 -各类专业好文档,值得你下载,教育,管理,论文,制度,方案手册,应有尽有- -耗孕绥瓢荫驻缘伸柬仿哟毕揉近介陇欢煞旗森龙笺咳椿盟召瞪鸡饺印雷雪岿袜
Copyright © 2018-2021 Wenke99.com All rights reserved
工信部备案号:浙ICP备20026746号-2
公安局备案号:浙公网安备33038302330469号
本站为C2C交文档易平台,即用户上传的文档直接卖给下载用户,本站只是网络服务中间平台,所有原创文档下载所得归上传人所有,若您发现上传作品侵犯了您的权利,请立刻联系网站客服并提供证据,平台将在3个工作日内予以改正。