1、 学科专业:计算机技术指导教师:刘晓强蔡立志本人郑重声明:我恪守学术道德,崇尚严谨学风。所呈交的学位论文,是本人在导师的指导下,独立进行研究工作所取得的成果。除文中已明确注明和引用的内容外,本论文不包含任何其他个人或集体己经发表或撰写过的作品及成果的内容。论文为本人亲自撰写,我对所写的内容负责,并完全意识到本声明的法律结果由本人承担。学位论文作者签名:削蜘东华大学学位论文版权使用授权书保密口,在一年解密后适用本版权书。学位论文作者签名:绯循硷指导教师签名:未甀吃乌葩檄苎随着我国社会网络化进程的全面加快,国民经济和社会发展对基础信息网络和重要信息系统的依赖性越来越大,因此网络安全保障越来越受到业
2、内人士的关注,信息安全等级保护作为国家信息安全基本制度,对保障政府部禾企事业的基础信息系统安全有着非常重要的作用。信息安全等级保护制度是国家信息安全保障工作的重要内容,也是一项事关国家安全、社会稳定的政治任务。然而,信息安全等级保护在国内才刚刚推广,缺乏具有可操作性的量化模型算法和支撑软件,因而,等级保护工作是当前信息网络安全工作的客观需要和紧迫需求。最后基于一定的思想和策略指导,通过在各安全区域边界和安全区域内部应用不同安全防护技术和安全防护策略,设计出一个包括框架结构、安全策略、系统部署等内容的具有一定通用性和实用性的安全防护体系。同时介绍了整体的网络结构模型,并对其中使用的相应技术及产品
3、进行了详细分析和介绍,从整个系统的角度出发去考虑系统整体的安全问题,具有系统性和实用性,希望有类似安全需求的银行可作为解决方案设计的参考模型。 瓾 瑂 ,“, ,瑃 ,;等级保护相关防护技术概述某银行核心网络系统概况核心网络安全风险分析安全域的划分网络防病毒系统 安全产品部署方案入侵防御系统实现。总结展望研究背景随着全球信息化浪潮的快速到来,以信息网络为基础、涉及社会各领域的信息开发利用对推动社会进步和经济发展起着日益重要的作用。但因为我国信息化体系的建立较国外先进国家相比起动较晚,配套体系不完备,近年来信息安全问题也日益凸显出来。非法入侵、网络攻击、挂马等行为逐年上升,黑客攻击政府、军事、邮
4、电和金融网络,对网络和系统造成很大破坏。据统计,全球每年发生嗤虼魏诳凸魇录雒拦磕暌虼硕贾碌木盟鹗统 亿美元。因此,加强对重要领域内计算机信息系统安全保护工作的监督和管理,遏制各类计算机违法犯罪活动,建立完善的信息安全政策和策略,既是做好国家信息安全保护工作的关键,也是我国信息产业发展的紧迫需要和重要保证。国务院国家信息化领导小组代表党中央和国务院发布了关于加强信息安全保障三项系列标准,用以规范和指导金融等级保护工作的实施,将国家等级保护要求研究现状及存在的问题国外等级保护研究现状年,美国颁布了联邦信息安全管理法案基于等级保护的银行核心网络系统安全防护体系的研究与设计挣毒螬簿德髀风险管理框架璺。
5、摄藏壤鲢避拧疆刍的爱套翻淹对赣壤无论是美国联邦政府还是国防部,在考虑系统分级因素的时候,都给予了信息系统所处理、传输和存储的信息以很大的权重。的系统影响级是完全建立在信息影响级基础之上的;而国防部考虑到其所处理的信息的密级,故将信息的保密性单独作为一项指标。可见,系统所处理的信息的重要性可作为我们划分等级时的重要依据。【颁布的系列标准。系列标准分为两个部接受,成为国际标准信息技术一安基于等级保护的银行核心网络系统安全防护体系的研究与设计基于等级保护的银行核心网络系统安全防护体系的研究与设计基于等级保护的银行核心网络系统安全防护体系的研究与设计如何按照信息安全等级保护的要求,进一步提高核心网络系
6、统的安全防护能力,降低核心网络系统安全风险,已经成为银行信息安全防护的重要课题。要做好银行核心网络系统信息安全等级保护工作,就必须针对银行核心网络系统的这些特点,结合等级保护标准,制定出满足银行自身需要的核心网络系统等级保护设计方案。本论文的研究方向及做的主要工作本文将针对银行核心网络系统存在的安全风险,对照信息系统安全等级保护的要求,利用现有的成熟可靠的安全防护技术,设计出一个具有一定通用性和实用价值的安全防护体系,为银行优化核心网络系统安全防护方案,可以作为银行信息安全等级保护建设方案设计的参考模型,为进一步提高核心网络系统安全防护水平提供参考和借鉴。基于等级保护的银行核心网络系统安全防护
7、体系的研究与设计基于等级保护的银行核心网络系统安全防护体系的研究与设汁信息安全等级保护是对信息和信息载体按照重要性等级分级别进行保护的一种工作,是指对国家安全、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置的综合性工作。描述第一级信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害信息系统受到破坏后,会对国家安全造成特别严重损害系统、应用和数据等几个层面。技术要求与安全层面存在一定的对应关系,某些安全要求只适用于特定的
8、安全层面,例如防雷、防火等针对物理层面的安全,边界防护、区域划分等针对网络层面的安全。而某些安全要求可以在多个层面实现,例如身份鉴别、访问控制等,可以分别针对网络层面、主机层面和应用层面的安全。【等级保护安全技术体系架构如图所示。图安全技术体系架构基于等级保护的银行核心网络系统安全防护体系的研究与设计等级保护相关防护技术概述代理服务是运行于内部网络与外部网络之间的主机葜骰一种应用。当用户需要访问代理服务器另一侧主机时,对符合安全规则的连接,代理服务器会代替主机响应,并重新向主机发出一个相同的请求。当此连接请求得到回应并建立起连接之后,内部主机同外部主机之间的通信将通过代理程序将相应连接映射来实
9、现。对于用户而言,似乎是直接与外部网络相连的,代理服务器对用户透明。代理型防火墙完全阻断了内部网络外部网络的直接联系,保证了内部网络拓扑结构等重要信息被限制在代理网关内侧,不会外泄,从而减少了黑客攻击时所需的必要信息。同时,它还能提供单点的访问、控制和日志记录的功能等等。代理服务器的应用也受到诸多限制。它对每一种服务都需要代理,当一项新是继防火墙、数据加密等传统发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反入侵防御系统是部署在网络的安全关键点,实时收集各种信息,根据内置的基于等级保护的银行核心网络系统安全防护体系的研究与设计审计记录实现方式有如下三种:一是集中式审计。所
10、有多用户操作系统都有一个统计软件,用于采集用户活动信息;二是专用审计记录。它只记录入侵检测系统所需的审计数据。它可以独立于各种具体操作系统单独运行,便于实现安全审计;三是分布式审计。分布式审计允许从网络中的异型系统中采集审计数据。这是在网络环境中保证安全性所必须的。因为在同一个网络所发生的用户活动相关性有可能呈现出某个恶意的行为,而相同的行为在单个主机层面上可能看起来是合法的。充,保护网络的整体安全。计算机病毒历来是信息系统安全的主要问题之一。在网络环境下,计算机病毒具有不可估量的威胁性和破坏力,严重威胁着计算机和网络设备的安全使用。计算机病毒是一种在计算机系统运行过程中能够实现传染和侵害计算
11、机系统的功能程序。随着各级网络的广泛互联,病毒的传播途径和速度大大加快,安全问题也更加尖锐了。防病毒技术的发展经历了以下几个阶段:第四代反病毒技术则是针对计算机病毒的发展而基于病毒家族体系的命名在网络安全技术不断发展的今天,各种技术己不再是单一独立的发展,他们之间也出现了相互融合的趋势。信息安全检查技术、反病毒技术和入侵监测技术在计算机网络防火墙中的应用正在逐渐融合。研究表明,防火墙所支持的反病毒解决方案跨越了中小型企业、大型企业、和服务供应商。网络安全技术的融合是目前网络安全的发展趋势。内,由上海分行负责管理,分行信息技术管理部负责信息系统的构建、运行和维该系统中主要传输的数据包括上海分行业
12、务的各类信息,即包括客户信息、蔡丁等级保护的银行核心刚络系统安全防护体系的研究与设汁疶,该系统中系统服务受到破坏后所侵害的程度为“严重损害” 。业务信息安全被破坏时所侵害的客体公民、法人和其他组织的合法权益社会秩序、公共利益国家安全对相应客体的侵害程度系统服务安全被破坏时所侵害的客体公民、法人和其他组织的合法权益社会秩序、公共利益国家安全第二级第三级骨干网的定级结果:为生产核心交换机;在广域城域接入区为广域城域交换机,在互联网接入区为应用服务器交换机,在本地用户、运维管理接入区为管理、监控终端交换机,在外联接入区为外联交换机;分别为外联第三方服务器接入机,本的区域,所以此处的安全部署不容忽视。
13、核心网络安全风险分析网上银行、电子商务、网上交易系统的广泛发展促进了银行业的发展,但是基于等级保护的银行核心网络系统安全防护体系的研究与设计从以上网络安全风险分析能够得出对于网络安全的需求有以下几个方面:基于等级保护的银行核心网络系统安全防护体系的研究与设计才能访问合法资源。 合法用户的非授权访问是指合法用户在没有预先经过同意的情况下越权访问了他本不该访问的资源。通常情况下,每个成员的主机系统中,允许外部访问的只有部份信息,而有些信息具有一定私密性。外部用户采取一些手段越权访问了他人拒绝其访问的信息,因而而造成他人的信息泄露。因此,要采用加密机制进行访问控制。一般防火墙等安全产品并不具备对数据流进行整理分析和深度监测的能力,当然也就没有办法来有效识别伪装成正常业务的非法流量,导致蠕虫、攻击、间谍软件、点到点应用等非法流量能够轻易地通过防火墙开放的端口进出网络。故而,确保网络的高安全性一定要装各入侵检测防御系统,能够对透过防火墙的攻击进行检测并做恰当反应。
