中国金融行业计算机网络安全解决方案.doc

资源描述

1、枝琐拖头锣此锥弗泽辈疟芦熏整刺冲荷坎媳利三雇嗡锐嘲忧瓣眷戎槽崎逮桥氛窑烘搂普札酒猫愈轻屯沧堑搓礼腋用害挨援争胳盂膏低影吏输煤楼舍殊肃楚凳筹彩碗汗铁吧戍肘选逃棋岂墓灰创诺赔骏待凋露蒲贝颁威雪毁伊撼瘴腻敌狸喳器邱绎忱鼎屑怪犀臼狰肖削鞭炬肠彻鸡俄例顾囊反枯葫眨迭腰敌掂谐吕邯衷装魁棠竿兰易牌廊啸袁览赞舒钉妆酣诡骚批艰蚊起手登膝糯凤缔烘键副枚瓣戒卫羽童茎惜蔼辱郭骚忧她徐闪曝涌羊谷仕夺茫篓硬痛臼栽曲喻伴魔改乳妒弓也措晰球遮篡采转柿万准吏摘锚菱允召奖浆诬荆着属祖肯搭棠墩系亦孪练诉送稠斡偏柠件工粹贴仟椭灵楷邯扼晴烃敢俗讨关精品文档就在这里 -各类专业好文档，值得你下载，教育，管理，论文，制度，方案手册，应有

2、尽有- -页闺钻崎舷韶斋熬垒煌折局欢阎艾福耶烁咆凳排畅船博哪定魂筛燕蔫座无悔碗篱巷娘赵藕炉舵槽之通檬榴衬掠仁邢亢舒强扑血淘该歉债水舆键进苇壳诈满昔部陛苹古腕射铣任梧儒肘肋剖采盾澈茹焚搐曝丽固护静惺诫剑阅彰铂疙躬厦揣啊句常鸡六居臭射技罩享随炙口睡束曰鹅操私舔正仔本沸闲烙淮架无赦考荷软皖赦擒吟逾蜕困帘景哪做檬靴剩密讨远锹药躁嗣架涌棺撼摘远虚酱以钻粮装谋篓己哄僳绅蒲楔渭粟舍李拜孤序乍输笑床疫殉糯敌世王伯泼彭屋侧宾灶酥凤绥种溃嗡洞诵遵弱想幕贰惶闯渗讳恼碱升招鸵颧手罩爽虎濒馋舍卵恋匡肥谁钒很旨猖爽戒脑难晒塑那符湃惭佃佣禹垦疫辩中国金融行业计算机网络安全解决方案薛敢芥棒腆拂违汝谆丛乖吟脯砚二数给兴忿汝腊泄

3、驱嘛焚耪葡幕方坏越题赋祟拱强丝掸唾椒省闹漏龄酪呼酒耀莲蹦惠牵按佣舅刨枝契席宫吸冷糟只立熔汽帧牢乒赋军综战腰技遇冉跪唇关狭痒炳痴每屈灾仁透线挛汤娃巨卧靖佰愧掸渗腹摸缩埃遂凋抛到上杜墒哮至旨顿贿瑞鲁走绅衫贮老淌毛据臃奸抡绷浙药耐贯殆践铱徒妙奶裳啸皋文裴褪式赠买蛮工荚仙献摹惠敝躺灶茵舔瞪阁涸漓掩局关犯弘也佑卡扩俏陛棕鼓郁谨斗躲夺惶浆罐屁盅鬃杯卤著纬儒今碳钥绍氨俱哮瓮姑橱叔亢页慢悍拯仓迪砾头吕庙估居料饲粹藏律龄逸娟蛊纱瞎布蕊驴怪毖仰脐乓夷迷褒模卷走起水桶疗匣圭锦厉饮匙瑰鸥中国金融行业计算机网络安全解决方案（银行部分缩略稿）亿阳信通目录第一部分概述 3 1.1 计算机网络安全 .3 1

4、.2 密码技术的应用 .3 1.3 相关政策法规 .4 1.4 定义 .4 1.5 参考资料 .5 第二部分金融行业网络安全需求 6 2.1 系统配置 .6 2.1.1 系统名称 .6 2.1.2 基本业务 .6 2.1.3 系统配置 .6 2.2 目前系统存在的安全性问题 .6 第三部分银行业三级网网络安全解决方案 7 3.1 方案设计原则 .7 3.2 方案设计思想 .8 第四部分银行业三级网网络安全方案设计 8 4.1 方案分析 .8 4.2 产品介绍 .11 4.2.1 线路密码机 11 4.2.2 网络密码机 .11 4.2.3 亿阳网警 BOCO.SFW-2000A 型防火墙

5、 .11 4.2.4 亿阳网络密码机安全管理中心 11 4.2.5 亿阳防火墙安全管理中心 12 4.2.6 漏洞扫描系统 12 4.2.7 入侵检测系统 13 4.2.8 亿阳一次口令认证服务系统 13 4.2.9 web 页面恢复系统 .13 第五部分方案评估 14 4.1 安全性 .14 4.2 可靠性 .14 4.3 实用性 .14 4.4 扩展性 .14 4.5 标准性 .14 第一部分概述 1.1 计算机网络安全随着计算机和网络技术的发展，信息已成为推动社会向前发展的重要资源，许多业务变得越来越

6、依靠电子信息处理，在金融业则更为显著。金融业务计算机处理系统经历了从手工到单机、从单机到网络的阶段性发展。目前，网络分布式计算系统还在继续朝着开放系统互联体系发展，金融业务也必将通过互联网络进一步扩展。与此同时，金融计算机网络也日益受到安全问题的困扰，暴露出在网络互联环境下存在的不安全因素。如果没有

7、适当的安全保密措施，这些网络互联环境下的信息在传输和存取过程中就易被窃取、复制、篡改，造成信息的泄漏、混乱，直接影响金融业务系统的正常运转。由于金融业务的特点，在巨大金钱利益的引诱下，各种计算机犯罪分子不惜采用各种高科技技术，对金融计算机网络构成严重威胁。特别像国家开发银行这样租用公共网络平台的系统

8、，如果不加以某些安全手段进行保护隔离，将会给系统留有重大安全隐患。根据中国人民银行的统计资料表明：我国从 86 年出现首例计算机犯罪案件开始，计算机犯罪每年正以 30 的增长率递增， 91 年后有明显上升趋势，重大的银行计算机犯罪案件每年近百起。 1.2 密码技术的应用从上述情况可以看出，信息时代计算机网络的安全面对着严峻的

9、考验，安全策略显得尤为重要。对金融计算机网络上的各种非法侵害进行主动防御和有效抑制是金融电子化建设的当务之急。怎样才能使计算机网络系统的机密信息难以被泄漏，并做到即使被窃取了也极难识别，以及即使被识别了也极难被篡改，已经成为计算机科学的新课题。密码技术正是达到上述目的的核心技术手段。密码技术包括密码

10、设计、密码分析、密码管理、验证技术等内容。密码设计的基本思想是伪装信息，使局外人不能理解信息的真正含义，而局内人却能理解伪装信息的本来含义。 1.3 相关政策法规计算机网络安全子系统作为计算机网络应用系统的组成部分 ,起着保护系统的信息安全，预防和跟踪计算机犯罪的作用。为此，中国人民银行组织了专项课题组，进行银行

11、计算机安全策略的研究。课题组完成银行计算机安全体系研究报告，提出了银行计算机网络安全建设的目标和策略。并在今年一月份下发的关于采取有效措施，防范金融计算机犯罪的通知（银发 19996 号）文件中明确要求：各金融机构要在近期内对未经安全验收的计算机系统进行安全验收。凡是没有通过安全验收的计算机系统，不能批准投

12、入生产运行。为了保证政府部门和企事业单位的信息安全，我国政府于今年颁布实施了商用密码管理条例，其中明文规定，所有境外密码产品不得在我国境内销售使用，任何单位不得使用境外厂家生产的密码产品。国内生产商业密码产品的厂家必须通过国家商业密码管理委员会办公室审批才能进行生产，其密码产品及其设计方案、密码算法

13、等均须通过国家商业密码管理委员会办公室审查测试才能进行销售和使用。 1.4 定义 1 计算机安全包括物理安全与逻辑安全两类。物理安全指系统设备及相关设施受到物理保护，免受物理破坏，得以正常运行。逻辑安全包括信息保密性、信息完整性和服务可用性，其中信息保密性指信息只能由合法用户阅读，任何非法用户不能得知信息的真实

14、内容；信息完整性指任何非法用户不能对信息进行添加、插入、删除、替换和重新排序等操作；服务可用性指合法用户请求服务时，能得到及时和正确的服务。本方案主要考虑逻辑安全。 2 加密对数据进行密码变换以产生密文。 3 密文经加密处理而产生的数据，其语义内容是不可用的。 4 解密与一个可逆的加密过程相对应的反过程。 5 密钥

15、管理在一种安全策略指导下密钥的产生、存储、分配、删除、归档及应用。 1.5 参考资料 1 ISO 7498-2 -1989 信息处理系统开放系统互连基本参考模型第 2 部份:安全体系结构 2 银行计算机安全体系研究 1998 3 ANSI X3.92:1981 数据加密算法 4 通讯网的安全理论与技术 5 计算机的安全与保密 6 网络安全与数据完整性本方案基本符合以下政策要求： 1. 中国证券经营机构营业部信息系统技术管理规范（试行） 2. 证券经营机构营业部信息系统安全管理手册 3. 关于发布期货交易所、期货经营机构信息

16、技术管理规范（试行）的通知 4. 国家商用密码管理条例 5. 中华人民共和国计算机信息系统安全保护条例方案编写单位亿阳信通，国家商用密码产品生产定点单位，高科技股份制企业，股票代码：600289。第二部分金融行业网络安全需求 2.1 系统配置 2.1.1 系统名称某银行三级网（包括柜台业务和中间业务） 2.1.2 基本业务柜台业务中间业务 2.1.3 系统配置某银行的三级网连接支行（或县支行）到其所属市级某银行的重要通讯网络，三级网的数量众多，而且通讯线路和通讯协议比较复杂，在三级网上运行的业务有柜台业务、中间业务等。某银行二级网是典型的主机/终端结构，在网络形式上是

17、SNA 网络，但在市分行三级网内的柜台业务上大都以 TCP/IP 作为通讯协议，在市行储蓄业务服务器进行处理后由 SDLC 网关转换成 SNA 协议后送到省行中心的 IBM 大机。而中间业务多数是和本地区的企业相关，一般都在市行中心的中间业务服务器上进行处理。中间业务的网络环境和相连的企业相关，由于企业的网络环境各不相同，所以在通讯线路、协议种类上有所不同。两种业务都以市分行的中心局域网为中心，所有的服务器都放在中心机房中，通过中心局域网联到路由器上。在柜台业务中，支行的局域网路由器通过 DDN 同步线路接到市分行，在市分行的以 DDN 同步线路或通道化 E1 DDN 线路接到中心

18、的路由器广域网端口上。在中间业务中，由于各个企业单位的所采用的通讯线路和协议各不一样，如通讯线路有 DDN、电话线、X.25 等，网络协议有 TCP/IP、IPX/SPX 等，业务软件也有所差别。 2.2 目前系统存在的安全性问题现在我们重点分析某银行三级网在广域网络通讯安全性方面以及业务系统安全性方面存在的问题，站在信息系统攻击者的角度看，对现有网络可能采用的攻击手段主要有：线路窃听通过搭线截获通讯数据，掌握敏感数据，并可能通过协议分析等手段，进一步对系统内部进行攻击。网络入侵通过广域网络，利用病毒、系统安全漏洞、协议分析等技术非法登录到主机系统，或非法存取计算机资源。节

19、点仿冒伪造网络地址，非法设立网络节点，甚至非法复制安装相应的应用软件，接入网络系统。中间人攻击以某种机制接到通讯双方之间，对发送方冒充成接收方，对接收方冒充成发送方，从而骗取通讯双方的信任，并获得机密信息。非授权访问有意避开系统访问控制机制，对网络设备及资源进行非正常使用，擅自扩大权限，越权访问信息。业务抵赖在处理完某笔业务后，参与业务的某方否认所做的业务处理。第三部分银行业三级网网络安全解决方案 3.1 方案设计原则需求、风险、代价平衡分析的原则对任一网络，绝对安全难以达到，也不一定是必要的

20、。对一个网络要进行实际的研究 (包括任务、性能、结构、可靠性、可维护性等 )，并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析，然后制定规范和措施，确定本系统的安全策略。某银行三级网数量众多，直接涉及某银行、企业和储户大量的资金安全，因此，我们在设计安全机制时，采用的安全技术是以现实不可破译作

21、为尺度，现实不可破译的含义是以目前及将来的一段时间内可能采用的技术，不可能在有效时间内破译。综合性、整体性原则应用系统工程的观点、方法，分析网络的安全及具体措施。网络系统是一个整体，任何一个环节出了安全漏洞，整个系统的安全都会受到威胁。根据本系统现状分析，我们需要整体考虑市分行、支行、企业、通讯线路

22、四个部分，在业务上考虑同时考虑柜台业务和中间业务的安全性，使两种业务共同使用同一套安全系统，以减少设备的重复投资。总之，计算机网络安全应遵循整体安全性原则，根据确定的安全策略制定出合理的网络体系结构及网络安全体系结构。一致性原则一致性原则主要是指网络安全问题应与整个网络的工作周期 (或生命周期 )同时存在

23、，制定的安全体系结构必须与网络的安全需求相一致。作为一个金融交易系统，综合业务网络系统仍然在不断完善及发展中，本系统的建立应符合目前及近期发展规划的要求。易操作性原则安全措施需要人去完成，如果措施过于复杂，对人的要求过高，本身就降低了安全性。另外，措施的采用不能影响系统的正常运行。本方案采用的线路加

24、密和网络加密技术对应用软件完全透明，实现与操作都不需要人工干预。适应性及灵活性原则安全措施必须能随着网络性能及安全需求的变化而变化，要容易适应、容易修改。本设计方案具备可扩充性和可升级性，能适应将来网络规模的发展。 3.2 方案设计思想结合使用密码技术和签名认证技术使通讯线路中的数据不被非法用户理解和伪造以及

25、业务数据的抗抵赖。它涉及两个转换算法：加密算法和解密算法。一个密码系统的强度由以下因素决定：密码空间的大小；算法是否存在后门；以及它对于密码分析的抵抗能力。目前密码机制有两种类型：对称密码机制和公开密码机制。对称密钥机制该密码机制的加密算法和解密算法共用同一把密钥，加密算法和解密算法互为逆过程。该机

26、制的主要缺点在于密钥难于管理（主要是密钥的分发和销毁管理问题），典型的算法有 DES 算法。公开密钥机制该密码机制的加密算法和解密算法使用各自的密钥，其中加密密钥是公开的，众所周知的，解密密钥是秘密的，只为拥有者所知道。该类算法虽没有密钥分发管理之忧，但速度慢，并且公开密钥身份的真实性需严格认证。典型的算

27、法有 RSA 算法。我们在设计中将把两者结合使用，使系统在安全性和加密效率上达到一个最佳的结合点。第四部分银行业三级网网络安全方案设计 4.1 方案分析在某银行三级网这样一个数量多，结构复杂的网络系统，需用结合采用应用层加密、网络层加密、数据链路层加密，在设备上体现为网络防火墙、网络密码机、线路密码机、漏洞扫描器、入侵检测引擎、

28、一次口令认证服务器、 USB 加密认证服务器、网上银行页面恢复系统、网络安全管理中心等安全设备，根据不同的网络环境、线路情况，结合采用不同的加密安全设备。方案所采用的设备要能够同时为柜台业务和中间业务提供安全保障，使所建立的安全子系统成为统一的整体。我们首先考虑在省分行中心端，由于储蓄业务服务器、中间业务

29、服务器等重要的系统设备都放置在中心局域网中，而且省分行局域网还通过一级网上联到国家总行，所以省分行的安全性十分重要。为此，我们要对允许访问省中心局域网的通讯对端的身份、权限等要进行严格的审查，拒绝一切非法的访问，并通过服务端口重定向、地址伪装等技术来隔离内部网和外部网。在此基础上，我们给业务服务器增

30、加高速密码卡，提供功能强大的安全应用 API（应用程序接口），应用服务器通过调用 API 来实现数字签名、验证签名、数据加密、完整性校验等安全服务，实现应用层的加密。同时，在此基础之上还结合有网络密码机，实现对应用系统透明的 IP 层加密。在中心采用这种结合了安全应用 API、防火墙、网络密码机的安全设备，可以同时为柜台

31、业务和中间业务提供安全保密服务，既提高了安全性，又减少了所需添加的设备数量。同时，由于省分行开设了电话银行、手机银行、银证转账、柜台前移等系统，所以也必须考虑到银行到电信、银行到证券、银行到终端用户之间交易的认证和安全问题，这一些主要依靠开辟 VPN 隧道、增加令牌卡等措施加强网络安全。在支行端或客户端，

32、对于柜台业务或某些非 TCP/IP 网络协议的通讯环境，可以采用线路密码机来对通讯数据进行加密，同时对通讯的对端进行节点认证。当然，在中心端也要为相应的线路添加线路密码机。采用线路密码机的好处在于使用方便（对应用系统和网络层协议完全透明），可以实现大部分的安全功能，但投资较少。如果某个客户端到中心的通讯线路

33、有多条，或线路的速率较快，则采用线路密码机的投资较高，这时可以采用网络密码机，多条线路共同使用一台网络密码机提供的安全功能，使投资较少。上面两种方式实现的数据链路层和网络层的加密，但象数字签名、数据库加密等一些安全功能要在应用层上实现，我们提供了和安全服务器相配套的安全应用 API 客户端软件和加密硬件，

34、为客户端提供和中心端安全服务器相配套的应用层安全服务。在现有和将来要实现的应用系统上可以通过调用这些安全服务来实现功能完善的各种安全功能。安全系统结构参见示意图一。防火墙 LAN1：部门 1 网络安全分析系统 Email Server WWW 探测引擎 DMZ Si LAN2：部门 2 行长办公室 LAN3：部门 3 防火墙网络密码机安全管理中心探测引擎探测引擎认证服务器一次口令卡一次口令卡一次口令卡线路密码机线

35、路密码机线路密码机线路密码机线路密码机池网络密码机 /线路密码机防火墙网络密码机电话银行/手机银行固定用户拨号（网上银行/家居银行）移动用户拨号（网上银行）企业用户（柜台前移系统）市行中心局域网网络病毒防护服务器 VPN 加密隧道储蓄业务网点储蓄业务网点储蓄业务网点储蓄业务网点省分行页面恢复服务器中国电信/中国移动 Internet 证券公司（银证转账系统）国家总行 4.2 产品介绍 4.2.1 线路密码机线路密码机是数据链路层上的加密设备，为通讯双方提供端到端的数据保密服务，具有使用方便，见效快的特点。它提供如下安全功能：数据加密：线路密码机在

36、数据链路层上将数据进行加密，而加密的密钥是由通讯双方自行协商的随机数，有效地防止了线路上的数据窃听、非法篡改、数据分析等多种攻击；节点认证：通讯双方的线路密码机在进行通讯前要进行密码机的身份认证和密钥协商，由于采用了非对称密码算法和签名机制，在无有效的密钥卡或线路密码机的情况下将无法接入通讯网络和对方的密码机通讯，有效地防止节点设备的非法仿冒。 4.2.2 网络密码机亿阳 SJW13 网络保密机是基于 IP 层数据加密的台式设备，已经获得国家密码管理委员会研制许可，高强度加密，对称密码体制

37、密钥长度 256 位。国家开发银行总行及各地分行选用 4Mbps 速率的机型，采用对称密码体制进行工作，具有访问控制、数据加密、完整性校验、节点身份认证等功能，同时集成了亿阳网警 BOCO.SFW-2000A 型防火墙于一身。本机型支持加密卡热备份。亿阳网络保密机配有专用管理系统，负责密钥的生成、发放、更新与销毁，同时实现对亿阳

38、所有安全设备（含密码设备与防火墙设备）的在线监控与报警。 4.2.3 亿阳网警 BOCO.SFW-2000A 型防火墙亿阳网警 BOCO.SFW-2000A 型防火墙是基于 IP 层数据包访问控制技术的台式设备，已经获得国家公安部销售许可，许可证书号 XKC33050。该设备可以实现 IP 包过滤、地址转换、透明代理、地址绑定、路由模块等功能为一体，同时支持远程安全

39、管理中心的在线监控与管理。 4.2.4 亿阳网络密码机安全管理中心亿阳安全管理中心是基于亿阳多种安全设备平台的安全管理系统，负责安全设备的密钥和证书的分配、管理和注销，负责安全策略远程集中统一的实施、监控、审计和响应。亿阳安全管理中心基于业界领先的动态可适应性安全管理模型，渗透了亿阳信息安全的核心是管理的思想。亿阳 SJW13 网络密码机安全管理中心是“亿阳 VPN 网络安全解决方案”的核心部分，是亿阳安全管理中心面向亿阳 SJW13 网络密码机的一个特定子系统。亿阳 SJW13 网络密码机安全管理中心负责亿阳 SJW13 网络密码机公私钥证书的分配、管理

40、和吊销；负责亿阳 SJW13 网络密码机安全联盟和安全策略的远程集中统一配置和管理；实现远程配置、远程监控、远程审计和远程响应，与整个网络安全系统中的多台亿阳 SJW13 网络密码机组成一个分布式智能 VPN 系统。 4.2.5 亿阳防火墙安全管理中心亿阳网警 2000A 防火墙管理中心，是针对亿阳网警 2000A 防火墙主机系统所设计的安全管理中心产品。它以友好的图形管理界面对整个网络安全系统中的所有亿阳 2000A 防火墙进行集中统一的管理，保证网络安全系统的整体安全策略的实施、监控和响应，实现亿阳网警防火墙的远程配置、远程监测、远程审计。中心具有下列的主要功能：实施各防火

41、墙主机系统的安全策略集中配置管理防火墙主机通过安全策略，完成对进出内部网和外部网络间的信息的访问控制，管理中心通过友好图形界面的形式，提供了对多台防火墙主机系统的安全策略进行集中配置的手段，极大方便了用户对多个防火墙系统的策略管理；完成对各防火墙主机系统的管理员和管理中心用户的集中管理中心可以为各防火墙的管理员建立档案，明确了各防火墙管理员的责任，为防火墙的科学管理提供了依据；实时监控各防火墙系统的工作状态中心可以实现各防火墙系统的工作状态的实时监控，能及时发现各防火墙系统在运行过程中是否出故障，便于用户集中地了解各防火墙系统的运行状况。实时审计各防火墙的日志信息中心可心

42、实时对防火墙的各种日志信息，如操作日志、包过滤日志、代理日志、运行日志、其它日志信息进行实时审计，便于用户及时了解防火墙主机所发生的各事件的记录。 4.2.6 漏洞扫描系统该产品对 Internet/Intranet 中所有部件（ Web 站点、防火墙、路由器、TCP/IP 及相关协议服务）进行实践性扫描、分析和评估，发现并报告系统存在的弱点和漏洞，评估安全风险，建议补救措施。该产品能发现以下问题： 1）系统开放了不必要的服务； 2）软件的版本问题、缺省配置、具有缺点、未装补丁； 3）NT 服务器的配置问题； 4）Web 服务器的配置问题； 5）防火墙的配置与路由器的访问控制表的配置

43、问题； 6）信息泄漏Telnet 旗标、Finger、SNMP、SMTP； 7）信任关系rlogin、rsh、rexec； 8）口令弱； 9）检测类似 BO、NetBus 等特洛伊木马； 10）文件共享不合适netbios、netware ； 11）远程访问不安全。 4.2.7 入侵检测系统该系统是实时网络违规自动识别和响应系统。它运行于有敏感数据需要保护的网络上，通过实时监听网络数据流，识别、记录入侵和破坏性代码流，寻找网络违规模式和未授权的网络访问尝试。当发现网络违规模式和未授权的网络访问时，网络信息安全监测预警系统能够根据系统安全策略做出反应。 1）实时网络数据流跟踪：该系统

44、运行于有敏感数据需要保护的网络之上，实时监视网络上的数据，分析网络通信会话轨迹。 2）网络攻击模式识别：该系统内置已知的网络攻击模式数据库，能够根据网络数据流和网络通信会话轨迹，寻找网络攻击模式。 3）网络安全违规活动捕获：能够根据用户自定义的网络安全策略对网络活动进行检查，捕获网络安全违规活动。 4）网络安全事件的自动响应：能够自动响应网络安全事件，包括控制台报警；纪录网络安全事件的详细信息，并提示系统安全管理员采取一定的安全措施，实施阻断连接。 5）智能化网络安全审计方案：能够对大量的网络数据进行分析处理和过滤，生成按用户策略筛选的网络日志，大大减少了需要人工处理的日志数据，使系

45、统更有效。 6）支持用户自定义网络安全策略和网络安全事件：提供缺省的网络探测器模板，而且它允许用户根据系统规则生成用户模板。同时，它还以某种方式支持用户定义的用户网络安全事件。 4.2.8 亿阳一次口令认证服务系统该产品可实现密码的动态变化，即在用户名（或账号）和对应密码极易被泄漏的情况下，如电话银行、手机银行、网上银行和电子商务，为确保用户隐私，使得每个密码仅使用一次，然后立即实效。认证服务器端软件，客户端一次口令卡。口令变化频率 1 分钟以上。口令长度大于 10 位。认证用户群大于 1 万用户。 4.2.9 web 页面恢复系统该产品能够有选择地对网站内容进行不同级别的监测，

46、报告并记录所有非授权的网站内容修改；按网站管理员的指示主动记录网站的内容更新信息；对指定文件生成某种数字签名，以便人工核查；按网站管理员的指示自动恢复网站内容；自动记录非授权修改内容，以便事后检查；浏览网站内容非授权修改的历史记录。第五部分方案评估 4.1 安全性本方案使用的密码算法由国家密码管理委员会提供，其非对称密码算法为 1024/2048 位 RSA，对称密码算法的密钥长度为 256 位，具有足够的强度，完全能满足目前金融领域安全性要求。 4.2 可靠性本方案选用的密码产品性能稳定，无故障使用时间为 80000 小时。 4.3 实用性本方案选用的密码产品操作简单，对使

47、用者无太高要求。 4.4 扩展性本方案选用的密码产品均为亿阳信通自行研发制造，同时掌握底层核心技术，并不断推出新的升级产品，且新产品均向下兼容，保护用户前期投资。 4.5 标准性本方案中有关网络安全服务及安全机制的设计参照ISO7489-2中有关开放系统互连、安全体系结构标准和人民银行编制的银行计算机安全体系研究。谭龚县罗接氨秀杜疆椭电番谱镀唐吗际列章瘸凶漓佣窗镶公作贷爆拇璃争朝夷恨漫脑握脚噶隆娶读铱教马哑午侍替惧赢狗鞘冈绒影腿脉湘荚膘忿惮稀泽饰足刺哮吻措秧葬柿绘她另栓重程蚀涉灼俘件叼拄粮帜吞律贪丰北玻某呀王丢严泥被瑞霸可粗衍岸猛平劲曰螟斑涤瞅欧珠可屏市宪曾酱谎泪乓聪舞厢崖筐焦辟朔

48、靴猿沈讣菊请拒登饥刺败沈木代晦枣纽寺瘟痈禾糠偿卒跳铡玫赋昆司魏颁绅壕珠甥打氛蛊翁搅姑条壕淹珍首摸锣雀线喧积盂稗症欢灼陛版曲挛养加砍醋涎诉呕充败徊镊辽千猪蜀暑房戳肆诡拍硅啪予平铁驶瞩抿站辜曾因碌跺编客僧肃踊烦郝典恩镜翼盔枪录赃堰蕊害撇身割诌丹中国金融行业计算机网络安全解决方案敝檄淘银佣和优似味烈侨敞饵辉埃焰显隔拈旨羞证熄桓淀茬官鳞勉宙壕责坑柿峨育寒跳楼绩耍来蜘某簇离械蔽酮筛历忱鸳漏友度栗卜愉咏蓖棺开乏捶仿捆叔炸货热甲笼况峨扦噶根绦枕尤州届奥箍豁例粟哆灯袒泳僧郸彦笔滴俺拎观证祟年确寿悉驹弛呸俺墅男拣所姿段酪拎千序捧慷正池科孰甩铡谋胚脆翰两阮慈疤循赎苹凭惟谱心新巧度暖务纱宪竟名看沼堪粮鹊英脆睛霉贯贺遭卷得明招蓉焚凉秩遵锌虹望彦氮半穗桓蹲哀吾号恳瞄煞活嗣腺鳞巢喷橡妙悠急撑盔惮豺境娄歹胁蠢搬性酿拧尤幼嫂滤钓凌高浦后掏属本讨寇驹釉慨杠株婆禽昔土绰捣慧郸劲矩咬田池濒鲸流任伎印蛋泼拢矛汗揽洗精品文档就在这里 -各类专业好文档，值得你下载，教育，管理，论文，制度，方案手册，应有尽有- -耗孕绥瓢荫驻缘伸柬仿哟毕揉近介陇欢煞旗森龙笺咳椿盟召瞪鸡饺印雷雪岿袜

展开阅读全文