1、证券内联网防火墙安全系统建设方案 东莞台商信息网,大量的管理资料下载1证券内联网防火墙安全系统方案方正数码有限公司2001 年 12 月证券内联网防火墙安全系统建设方案 东莞台商信息网,大量的管理资料下载21 北大方正集团、方正数码公司简介 82 网络证券业务分析 103 网络证券安全需 求分析 133.1 安全性 133.2 高效性 143.3 可靠性 153.4 可伸缩性 153.5 易用性 153.6 完善的服务体制 164 安全系统结构 165 安全系统实施 195.1.1 主要应用服务的安全风险 225.1.2 网络中主要系统的安全风险 235.1.3 数据库系统安全分析 235.1
2、.4 管理系统的安全风险 246 方正数码防火墙解决方案 246.1 本方案设计的原则和目标 246.2 防火墙选型 256.3 防火墙设置及工作模式 266.4 防火墙功能设置及安全策略 26证券内联网防火墙安全系统建设方案 东莞台商信息网,大量的管理资料下载36.4.1 完善的访问控制 266.4.2 内置入侵检测(IDS)276.4.3 代理服务 276.4.4NAT 地址转换 286.4.5 日志系统及系统报警 286.4.6 带宽分配,流量管理 286.4.7 集中管理 296.4.8 预制模板 296.4.9 系统升级 296.4.10 双机备份 306.4.11 防火墙方案特点
3、307 证券内联网防火墙安全需求及方案对照说明 317.1 内联网防火墙基本要求 317.2 证券内联网防火墙功能要求 337.2.1 必备功能 337.2.2 增强功能 367.3 防火墙性能 367.4 防火墙管理 388 证券内联网安全管理建议 398.1 整体思路 398.2 集中管理,统一规划 398.3 严格规章安全教育 408.4 明确责任技术培训 40证券内联网防火墙安全系统建设方案 东莞台商信息网,大量的管理资料下载48.5 动态监控专家咨询 419 证券内联网防火墙安全系统实施方案 429.1 合同签订阶段的工作实施 429.2 发货阶段的实施 439.3 到货后工作的实施
4、 459.4 测试及验收 469.4.1 测试及验收描述 4610 证券内联网防火墙系统培训 4810.1 培训目标 4810.2 培训课程 4810.3 培训方式 4810.4 培训时长 4810.5 培训地点 4810.6 培训人数 4910.7 学员要求 4911 方正方御防火墙技术支持与服务 5011.1 方正数码绿色服务体系结构介绍 5011.2 完善的技术支持与服务 5211.2.1 售前服务内容 5311.2.2 售前服务流程 54证券内联网防火墙安全系统建设方案 东莞台商信息网,大量的管理资料下载511.2.3 售后服务内容 5511.2.4 售后服务流程 5611.3 服务方
5、式 5711.4 服务监督 5712 方正方御防火墙成功案例 5912.1 鞍山市商业银行应用案例 5912.1.1 鞍山市商业银行需求分析 5912.1.2 系统安全目的 6012.1.3 安全体系结构 6012.1.4 安全系统实施 6012.2 沈阳建设银行安全应用实例 6112.2.1 沈阳建设银行需求分析 6112.2.2 系统安全目的 6312.2.3 用户安全需求分析 6312.2.3.1 安全性 6312.2.3.2 高效性 6312.2.3.3 可扩展性 6412.2.3.4 易用性(管理控制)6412.2.3.5 完善的服务体制 6412.2.4 安全体系结构 6412.2
6、.5 安全系统实施 6612.3 部分方正方御防火墙客户名单 6713 证券内联网防火墙安全子系统建设报价 7014 方正数码联系方式 71证券内联网防火墙安全系统建设方案 东莞台商信息网,大量的管理资料下载6附录一:授权服务商名单 72附录二:防御防火墙所获证书 77附件三:资格证明文件 82附录四:方正方御防火墙产品说明 87产品概述 87系统特点 88防火墙功能说明 91多种工作模式 91包过滤防火墙 93高效的过滤 93碎片处理功能 94防 SYN Flood 攻击 94强大的状态检测功能 95轻型/复杂 IDS(入侵检测系统)95反端口扫描 95可以防范 20 类 1500 余种攻击
7、方式 96在线升级和实时报警 98入侵检测和防火墙的互动 99双向 NAT99带宽管理和流量统计 100代理服务器功能 100双机热备 101强大的审计功能 101基于 PKI 的高级授权认证 102集中管理 102证券内联网防火墙安全系统建设方案 东莞台商信息网,大量的管理资料下载7实时控制和日志转存 102灵活的配置方式 103可视化配置 103预置包过滤规则集 103总结 1031 北大方正集团、方正数码公司简介北京北大方正集团公司是北京大学创建的高新技术企业。方正集团拥有个控股的上市公司,方正(控股)有限公司、方正数码有限公司、上海方正延中科技集团股份有限公司,17 家独资、合资企业。
8、员工总数约 6000 人,总资产 50 亿元,2000 年销售规模达 101 亿元。1997 年,方正集团已成为国家 120 家大型试点企业集团之一,国家首批家技术创新试点企业之一,国家重点支持的家 PC 生产厂家之一。创造科技与文明,是北大方正的一贯宗旨,集团坚持以人为本的宗旨,以创新为先导,产、学、研结合,不断以优质产品和技术服务于社会。方正数码有限公司(EC-Founder Co., Ltd.)是从事发展互联网应用技术及电证券内联网防火墙安全系统建设方案 东莞台商信息网,大量的管理资料下载8子商务的软件技术公司。其业务专注于互联网安全产品及网络安全服务等领域,是互联网时代的软件技术公司。
9、方正数码借助技术、研发方面的优势,借鉴世界上最先进的管理运作经验,定位于“ 电子商务赋能者“ ( e-commerce enabler) ,用不断创新的技术与优质的服务赋予客户新经济时代可持续发展的能力,帮助政府、证券、金融、行业、企业、网站、电子商务的运营者运用先进技术和高效管理手段在互联网时代健康发展,取得成功。方正数码有限公司的业务围绕在互联网安全技术应用、网络安全服务及网络安全知识管理等主要领域,在技术开发、应用解决方案和运营服务方面为用户提供先进的网络安全产品和技术。为此方正数码推出 SHARKS 互联网安全解决方案。SHARKS 解决方案是在深入的研究后,提出的一套基于中国国情、全
10、部自主开发、具有领先优势的解决方案。它是一套整体的集群平台,可以解决企业最为关切的安全性、高可靠性、可扩展性和易于远程管理的问题。目前这套方案已经得到国家有关部门的大力支持,被国家经贸委列为国家创新计划项目之一,还得到了国家“863”计划的肯定与支持。方正方御防火墙是 SHARKS 安全解决方案中的主要安全产品之一。方正方御防火墙凭借其独特的技术优势,在保证系统自身的安全性的同时又保证了其运行效率。方正方御防火墙中还融入了入侵检测技术,可以有效地防范攻击企图的试探;另外利用先进的 III 技术,方正方御防火墙可以有效滤除著名的证券内联网防火墙安全系统建设方案 东莞台商信息网,大量的管理资料下载
11、9DDoS 攻击,正是这种攻击曾迫使包括美国雅虎在内的若干世界最大的网站停止服务。除防火墙之外,方正数码有限公司还向用户提供 VPN、安全扫描系统、入侵检测系统(IDS)等安全产品及方案,从多层次、多角度、全方位保护用户的网络。在立身自主开发外,方正数码还与 CA、ISS 、Symantec 等众多国际知名的安全公司保持着良好的合作关系,集成国内外最优秀的公司安全产品,为国内Internet 的安全建设保驾护航。2 网络证券业务分析证券业务是改革开放以来,金融系统中增长最快的业务之一,它从无到有,从小到大。在证券交易所注册开户的用户飞速增长,而关心证券交易的人更是成倍的增长,不论大人还是小孩,
12、似乎都知道证券一词。传统的证券交易大概需要以下几个步骤:首先,需要到证券交易机构注册开户;其次,需要将用户的资金从银行转入证券交易的账户中;第三,进行证券信息处理和各种交易。然而在传统的证券交易中,用户需要到证券营业厅进行交易或通过电话等手段进行交易,虽然其交易速度很快,但是和计算机网络相比仍然是小巫见大巫。由于不用担心支付手段、不用担心实物配送等原因,证券业是最适合使用互联网的行业之一。网络证券交易,就是要将传统的证券交易转变为以计算机互联网络为基础的交易方式。用户可以充分利用 Internet 或无线互联网的优势,快捷方便的进行交易。网络证券交易主要业务包括以下几个方面:用户注册开户网上身
13、份验证证券信息浏览在线证券交易证券交易和用户的网络化管理维护证券内联网防火墙安全系统建设方案 东莞台商信息网,大量的管理资料下载10与安全相关业务:在以上几个方面中,用户的网上身份验证、证券信息传输、在线交易和在线管理与维护是非常需要安全保护的,而用户的注册开户是要到证券机构进行申请的,所以不涉及网络的安全性的。涉密信息:上面我们分析了需要安全保护的网络证券交易业务,那么,哪些信息是涉及加密的呢?首先,用户的身份、账户等信息是用户进行交易是需要进行验证的,这些信息若被窃取或破坏,不但无法进行网上的交易,更为严重的可能直接影响用户使用传统形式进行交易,所以需要安全加密;其次,交易数据是涉及用户直
14、接的经济利益,也是需要安全加密的;第三,网络证券交易的管理与维护是网络化的,而这些信息是直接关系到网络证券交易系统自身的安全性的,这些信息是需要安全加密的。经过分析,涉密信息主要有用户信息、交易数据、管理信息三个方面。证券内联网防火墙安全系统建设方案 东莞台商信息网,大量的管理资料下载11网络证券的管理模式:由于网络证券交易时使用 Internet 或无线互联网,用户信息,证券信息,交易数据等是由多台不同的服务器来承担的,同时在其上要运行多种服务的,所以应该采用集中管理的方式对网络证券交易进行管理,这样能减轻管理员的证券内联网防火墙安全系统建设方案 东莞台商信息网,大量的管理资料下载12劳动强
15、度,提高工作效率。安全风险及威胁:前面我们分析了网上证券交易需要安全保护的业务,也分析了有哪些是涉密信息。通过这些分析我们可以很容易的得出网络证券交易的安全风险及威胁来自以下几个方面:用户信息会受到黑客的窃取、破坏以及病毒的破坏交易数据会受到黑客的窃取、破坏以及病毒的破坏系统信息会受到黑客的窃取、破坏以及病毒的破坏服务的正常运行会受到黑客的攻击、破坏以及病毒的破坏系统安全目的:通过以上的分析,网络证券交易系统的安全目的是:要保护用户的信息和数据、系统的资源和信息不被非法窃取和破坏,保护各项网络服务能正常运转,免受入侵和攻击。3 网络证券安全需求分析前面分析了网络证券业务是需要安全保障的。由于证
16、券业自身的特殊性,对安全性也有不同于其他行业的要求。网络证券业务中对安全的要求为安全性、高效性、可靠性、可伸缩性、易于使用性和安全服务体制。3.1 安全性证券的网上交易往往涉及巨额资金,一旦受外部攻击造成系统中断,或网络犯罪使信息泄露,将会造成重大损失。证券的网上交易的安全性主要有以下几个方面:网络环境、操作系统与数据的安全性证券交易通过网络来实现,如果这个网络环境直接暴露于 Internet 上,那么将是可怕的,所以我们需要用防火墙来隔离 Internet 和网络证券交易系统。由于防火墙能够阻挡黑客的攻击行为和异常的网络事件,这样可以保护我们的网络交易环境、网络中计算机的操作系统和数据。防火
17、墙是证券内联网防火墙安全系统建设方案 东莞台商信息网,大量的管理资料下载13网络安全的第一道屏障,单有防火墙是不能进行全面保护的,我们还需要入侵监测系统(IDS)来对黑客的攻击进行报警和自动防范,并使用防病毒模块来保证我们的操作系统和存储的数据免遭病毒的侵害。系统的数据和用户的数据有可能遭到破坏,那么需要应急恢复系统 ERS 来帮助解决这些问题。用户标识与鉴别,抗抵赖程度用户在网上进行证券交易前,必须要用到自己的身份信息,而这些信息必须加以保护,以防止被不法之徒窃取或利用给用户造成不必要的损失。为此,在登录环节就要开始实施防护。为达到保护目的,使用 CA 技术,利用数字证书来确保双方是可以互相
18、信任的。并需要使用加密措施来保护用户的标识。密码支持的安全程度和可信信道的安全性整个信息传输过程使用 SSL 进行加密传输,传输信息和存储信息加密后,就把计算机数据变成一堆无规律的、杂乱无章的字符。攻击者即使得到经过加密的信息即密文、也无法辨认原文,防止信息被窃取。交易服务的防攻击能力保护证券交易的各项网上服务正常的运行,能过滤主要的攻击和异常的网络事件,使用防火墙来完成要求;保护用户的数据和交易的信息不被非法窃取、破坏,拥有入侵检测系统(IDS)进行预警和自动防护,防治病毒的破坏,在紧急情况下能获得最快的服务响应3.2 高效性证券的网上交易集中在几个特定的时段,对系统的反应速度有相当高的要求
19、。要求安全系统具有优秀的数据吞吐能力,在保证安全的同时,效率的损失要减到最小。需要达到这个要求,就需要防火墙和 IDS 系统尽可能小的对网络的吞吐量产生影响。而我们向用户提供的防火墙产品和 IDS 产品在安装到系统证券内联网防火墙安全系统建设方案 东莞台商信息网,大量的管理资料下载14中去后能够完美满足用户的要求,这主要来自产品的优秀性能和针对行业的专门设计,具体性能请参看产品介绍与性能参数。3.3 可靠性在服务致胜的今天,服务的中断就意味着风险。在 Internet 上,早已不再沿用传统上朝九晚五的商业时间。365247 的不间断运营对系统的可靠性提出了挑战。可靠性主要表现在:安全功能和机制
20、的可靠程度在网络环境下,安全功能和机制本身就会成为黑客入侵和破坏的目标,所以安全的可靠性成为网络安全不可缺少的一环。只有在保证了安全功能和机制自身安全下,才能更好的保护网络的安全性。对于防火墙来讲,使用双机热备的方法是目前最可靠,最实用的提高可靠性的手段。数据存储的可靠程度,数据的备份与恢复除了安全功能和机制的可靠性外,数据存储的可靠性也是不可忽视的重要环节。这就必须使用备份与恢复系统,来确保数据损坏后能及时的恢复。3.4 可伸缩性证券网络会随着证券业务的发展而迅速壮大。一个优秀的安全解决方案必须从开始就考虑到这种需求。系统需要基于高可伸缩便于扩充的集群构架。以跟上券商发展的脚步,防止出现大量
21、的设备淘汰造成的资源浪费。3.5 易用性不易使用的安全系统是不安全的。充斥着英文术语的管理界面会大大的增加系统管理人员的工作量,也容易导致不应有的漏洞的出现或安全策略的僵化。易用性主要包括:要界面清晰易懂方便的集中管理证券内联网防火墙安全系统建设方案 东莞台商信息网,大量的管理资料下载15安全性的实时监控。3.6 完善的服务体制券商不是专业的安全公司。不可能随时全面的跟踪安全动态。安全是动态的过程,今天安全的系统明天就可能不安全,这就要求提供安全方案的公司有优秀的服务体制进行跟踪服务。再严密的系统也可能出现漏洞,当紧急事件发生时,能不能在最短时间内获得紧急响应服务经常决定了损失的大小,而且这种
22、时候,需要的是极其专业的服务,没有强大开发实力的公司是无法满足这种需求的,而在国内没有开发部门的国外著名公司则往往鞭长莫及。4 安全系统结构为了满足上述需求,从安全方面就需以下模块:防火墙、入侵检测、防病毒、CA 和加密。在系统设计一级,就要考虑到各模块的位置。同时,整个系统需要按照业务流程来进行设计。4.1 多级用户身份验证登录保护:网上证券的用户与服务器之间需要建立一种信任关系。必须要防止入侵者通过种种手段进行冒充和欺骗。为此,在登录环节就要开始实施防护。首先使用 CA 技术,利用数字证书来确保双方是可以互相信任的。其次,在登录时进行用户名、密码验证。整个登录过程使用 SSL 加密传输,防
23、止登录信息被窃取。密码保护:对于前面提到的用户信息、交易数据、管理信息等涉密信息,提供全程的密码保护。在系统访问层,通过授权和认证机制,保证涉密信息只提供给证券内联网防火墙安全系统建设方案 东莞台商信息网,大量的管理资料下载16有访问权限的人员。访问密码和交易密码分开,加强高敏感的涉密信息的安全级别。4.2 密钥密码体系在网上证券应用中,使用基于公开密钥密码体系(PKI)的加密安全体系。其目的是保证以下四点:可信任的服务器可信任的用户可信任的传输不容抵赖的审计使用密钥密码的主要目的是防止信息的非授权泄露。加密用于传输信息和存储信息,把计算机数据变成一堆无规律的、杂乱无章的字符。攻击者即使得到经
24、过加密的信息即密文、也无法辨认原文。因此,加密可以有效地对抗截收、非法访问数据库窃取信息等威胁。为保证安全,组合应用对称密码算法和非对称密码算法,对称密码算法用于信息加密、非对称密码算法用于密钥分发、数字签名、完整性及身份鉴别等。如果一个加密系统的加密密钥和解密密钥相同,或者虽然不相同,但是由其中任意一个可以很容易地推导出另一个,所采用的就是对称密码算法。如果一个加密系统的加密密钥和解密密钥不相同、并且由加密密钥推导出解密密钥(或者由解密密钥推导出加密密钥)是计算上不可行的、所采用的就是非对称密码算法。信息加密传输的实际过程包括四步:第一步,信息发送方产生一个对称密钥,并将此密钥用信息接收方的
25、公钥加密后,通过网络传送给接收方。第二步,信息发送方用对称密钥将需要传输的文件加密后,通过网络传送给接收方。第三步,接收方用自己的私钥将收到的经过加密的对称密钥进行解密,得到发送方的对称密钥。第四步,接收方用得到的对称密钥将接收到的经过加密的信息进行解密,从而得到信息的原文。证券内联网防火墙安全系统建设方案 东莞台商信息网,大量的管理资料下载174.3 结构框架说明系统结构框架如下:用户使用 PC 或手机接入互联网,在穿过防火墙以后,连接上券商的Internet Server。在用户端和 Internet Server 端,均使用 CA 证书,以保证用户和服务器的可相互信任。传输过程中,对涉密
26、信息均使用 SSL 加密。在服务器与Internet 之间,使用防火墙隔离,使用 IDS 系统进行预警。同时 IDS 与防火墙联动,在遭遇高风险性攻击时,实施自动阻断。根据国家要求,券商的 Internet Server 和 Intranet Server 再利用一道防火墙PC 手机Interner防火墙/IDS券商 Internet Server防火墙券商 Intranet Server 日志数据库控制中心券商柜台交易系统IDS 模块 防病毒模块SSL加密传输CACA证券内联网防火墙安全系统建设方案 东莞台商信息网,大量的管理资料下载18物理隔离。在 Intranet 内部,使用 IDS 对
27、系统内异常事件进行监控。为了保护数据的完整性和安全性,在整个系统中,还要布署完整的防病毒体系。在控制中心。可以对整个安全系统进行实时监控和集中管理。对所有的安全事件,保留详细的日志记录,以备定期的安全审计使用。最后,券商的 Intranet Server 接入券商柜台交易系统,最终实现网上证券交易。整个安全系统结构可以总结为:多层隔离、实时监控、立体防护、集中管理。5 安全系统实施通过上面对需求的分析,我们提出了解决需求所要使用到的安全模块,主要由防火墙来对网络上的入侵、攻击以及异常的行为进行阻挡。使用方正数码的 FireBridge 防火墙作为系统安全的第一道屏障,FireBridge 防火
28、墙的优异性能及双机热备的方式可以满足网络安全性及可靠性的要求。对于 IDS 使用 ISS 公司的产品,这样不但可以检测来自外部的威胁,还可以检测来自系统内部的侵害。防病毒模块使用业内著名的冠群金辰公司的 KILL 产品保障系统免受病毒侵扰。还有 CA 系统保证用户的身份鉴定。具体实施如下图所示:证券内联网防火墙安全系统建设方案 东莞台商信息网,大量的管理资料下载19说明:如图所示安全系统的实施主要在两个部分,网上证券交易平台和证券公司总部。证券内联网防火墙安全系统建设方案 东莞台商信息网,大量的管理资料下载20在网上证券交易平台中,Router 与第一层 Switch 或 Hub 相连接,Sw
29、itch或 Hub 与两台 FireBridge 防火墙相连接,然后两台 FireBridge 防火墙再与第二层 Switch 或 Hub 相连接。这样就构成了一个防火墙的双机热备方式,保证了网络的安全性,同时提供了安全机制的可靠性。第二层 Switch 或 Hub 与交易服务器、WEB 服务器、Router 连接,并在服务器上安装 IDS、防病毒模块、CA 模块,这样在网上证券交易平台上实现了整体的多层次的安全防护措施。在证券公司总部里,在 Router 后安装一道 FireBridge 防火墙,其后部是证券公司总部的证券交易网络,在这个网络里需要安装一台控制主机,通过它对网上证券交易平台里
30、的服务器、防火墙进行集中管理,同时对系统及其安全性、可靠性进行集中管理。除了上面所说的两个部分外,我们需要在用户端,安装 CA 的客户模块,认证的流程见下图:按照上面的方法来实施网络证券的安全解决方案,就可以完整的实现立体的安全防护体系,从多层次、多角度来保护用户和券商的交易安全。我们的方案里使用的产品将在下面有进一步的介绍。证券内联网防火墙安全系统建设方案 东莞台商信息网,大量的管理资料下载215.1.1 主要应用服务的安全风险应用服务系统中各个叶节点有各种应用服务,这些应用服务提供给证券各级营业点或合作的商业银行使用。不能防止未经验证的操作人员利用应用系统的脆弱性来攻击应用系统,使得系统数
31、据丢失、数据更改、获得非法数据等。而证券机房的这些应用系统是证券内联网中最重要的组成部分。DNS 服务DNS 是网络正常运作的基本元素,它们是由运行专门的或操作系统提供的服务的 Unix 或 NT 主机构成。这些系统很容易成为外部网络攻击的目标或跳板。对 DNS 的攻击通常是对其他远程主机进行攻击做准备,如篡改域名解析记录以欺骗被攻击的系统,或通过获取 DNS 的区域文件而得到进一步入侵的重要信息。著名的域名服务系统 BIND 就存在众多的可以被入侵者利用的漏洞。证券商对外各种应用,特别是基于 URL 的应用依赖于 DNS 系统,DNS 的安全性也是网络安全关注的焦点。E-Mail由于邮件服务
32、器软件的众多广为人知的安全漏洞,邮件服务器成为进行远程攻击的首选目标之一。如利用公共的邮件服务器进行的邮件欺骗或邮件炸弹的中转站或引擎;利用 sendmail 的漏洞直接入侵到邮件服务器的主机等。而证券营业的内部 E-mail 系统覆盖面广,所以迫切需要使用防火墙来保护证券业的内部 E-mail 系统。WWW利用 HTTP 服务器的一些漏洞,特别是在大量使用服务器脚本的系统上,利用这些可执行的脚本程序,未经授权的操作者可以很容易地获得系统的控制权。在证券存在各种 WWW 服务,这些服务协议或多或少存在安全隐患。FTP一些 FTP 服务器的缺陷会使服务器很容易被错误的配置,从而导致证券内联网防火
33、墙安全系统建设方案 东莞台商信息网,大量的管理资料下载22安全问题,如被匿名用户上载的木马程序,下载系统中的重要信息(如口令文件)并导致最终的入侵。有些服务器版本带有严重的错误,比如可以使任何人获得对包括 root 在内的任何帐号的访问。5.1.2 网络中主要系统的安全风险整个系统中网络设备主要采用路由器设备,有必要分析这些设备的风险。路由器是证券内联网的核心部件,路由器的安全将直接影响整个网络的安全。下面列举了一些路由器所存在的主要安全风险:路由器缺省情况下只使用简单的口令验证用户身份,并且远程TELNET 登录时以明文传输口令。一旦口令泄密路由器将失去所有的保护能力。路由器口令的弱点是没有
34、计数器功能,所以每个人都可以不限次数的尝试登录口令,在口令字典等工具的帮助下很容易破解登录口令。每个管理员都可能使用相同的口令,因此,路由器对于谁曾经作过什么修改,系统没有跟踪审计的能力。路由器实现的某些动态路由协议存在一定的安全漏洞,有可能被恶意的攻击者利用来破坏网络的路由设置,达到破坏网络或为攻击做准备的目的。针对这种情况,必须采取措施,有效防止非法对网络设备访问。TCP/IP 风险:系统采用 TCP/IP 协议进行通信,而因为 TCP/IP 协议中存在固有的漏洞,比如:针对 TCP 序号的攻击,TCP 会话劫持,TCPSYN 攻击等。同时系统的 DNS 采用 UDP 协议,因为 UDP
35、协议是非面向连接的协议,对系统中的 DNS 等相关应用带来安全风险。5.1.3 数据库系统安全分析数据库系统是存储重要信息的场所并担负着管理这些数据信息的任务。数据库的安全问题,在数据库技术诞生之后就一直存在,并随着数据库技术的发证券内联网防火墙安全系统建设方案 东莞台商信息网,大量的管理资料下载23展而不断深化。不法份子利用已有的或者更加先进的技术手段通常对数据库进行伪造数据库中的数据、损坏数据库、窃取数据库中的数据。如何保证和加强数据库系统的安全性和保密性对于网络的正常、安全运行至关重要。5.1.4 管理系统的安全风险管理系统的安全风险除了上面提到的系统风险之外,系统之间,特别是其他商业银
36、行和证券之间存在很大的安全隐患。系统结构复杂、管理难度大,存在各种服务,哪些服务对哪些人是开放的、哪些是拒绝的都没有一定的安全划分。必须防止内部不相关人员非法访问安全程度要求高的数据,而且整个系统的正常运行也是保证证券系统日常工作正常进行的一个十分重要的方面。必须限制管理系统内各个部门之间访问权限,维护各个系统的安全访问。而由于整个系统是一个体系,任何一个点出现安全问题,都可能给相关人员带来损失。6 方正数码防火墙解决方案6.1 本方案设计的原则和目标 原则:从网络安全整个体系考虑,本次防火墙选择原则是: 安全性:防火墙提供一整套访问控制/防护的安全策略,保证系统的安全性; 开放性:防火墙采用
37、国家防火墙相关标准和网络安全领域相关技术标准; 高可靠性:防火墙采用软件、硬件结合的形式,保证系统长期稳定、安全运行; 可扩充性:防火墙采用模块化设计方式,方便产品升级、功能增强、调整系统结构; 可管理性:防火墙采用基于 windows 平台 GUI 模式进行管理,方便各种安全策略设置;证券内联网防火墙安全系统建设方案 东莞台商信息网,大量的管理资料下载24 可维护性:防火墙软件维护方便,便于操作管理; 目标:网络安全包括很多方面,如:访问控制、身份认证、数据加密、入侵检测、防止病毒、数据备份等。本次证券内联网防火墙系统建设的目标是通过在证券同外部远程交易以及其他商业银行、金融机构连接处采用防
38、火墙技术,防止外部网络和用户对证券内联网数据的非法使用和访问,监控整个网络数据过程。有效防止来自外部的攻击行为。限制对内部资源和系统的访问范围。通过在证券内联网系统中设置防火墙的安全措施将达到以下目标: 保护基于证券内联网的业务不间断的正常运作。包括构成证券系统网络的所有设施、系统、以及系统所处理的数据(信息) 。 证券的重要信息在可控的范围内传播,即有效的控制信息传播的范围,防止重要信息泄露给证券外部的组织或人员。 解决网络的边界安全问题 保证网络内部的安全 实现系统安全及数据安全 在用户和资源之间进行严格的访问控制(通过身份认证,访问控制) 建立一套数据审计、记录的安全管理机制(网络数据采
39、集,审计) 融合技术手段和行政手段,形成全局的安全管理。为了解决证券内联网面临的安全问题,有必要建立一整套安全机制,包括:访问控制、入侵检测等多个方面。信息系统的安全是一个复杂的系统工程,涉及到技术和管理等多个层面。为达成以上目标,方正数码在充分调研和分析比较的基础上采用合理的技术手段和产品以构建一个完整的安全技术体系,同时通过与证券的共同工作,协助证券建立完善的安全管理体系。6.2 防火墙选型防火墙是网络安全领域首要的、基础的设施,它对维护内部网络的安全起证券内联网防火墙安全系统建设方案 东莞台商信息网,大量的管理资料下载25着重要的作用。利用防火墙可以有效地划分网络不同安全级别区域间的边界
40、,并在边界上对不同区域间的访问实施访问控制、身份鉴别、和安全审计等功能。防火墙按实现的方式不同,其基本类型有:包过滤型、代理(应用网关)型和复合型。复合型防火墙是在综合动态包过滤技术和代理技术的优点的情况下采取的一种更加完善和安全的防火墙技术。其功能强大,是未来防火墙技术发展的一个主要趋势。综合考虑证券网络安全实际情况,在本方案中采用方正数码的方正方御(FG-P)复合型防火墙,放置在证券与远程交易和各个商业银行以及其它金融机构连接的各个叶节点。6.3 防火墙设置及工作模式防火墙提供三个接口:内网、外网、DMZ;防火墙工作在路由模式,对外采用 NAT 技术,隐藏内部真实地址;将对外服务的各种服务
41、设备放置在 DMZ 区域,和内部网络严格区分开,保证内部系统安全。考虑到安全问题,系统中的结构需要调整,将原来各商业银行对证券内部网络的访问调整到对 DMZ 的访问。不轻易允许各商业银行对证券内部网络进行访问。6.4 防火墙功能设置及安全策略6.4.1 完善的访问控制规则控制:通过方正方御防火墙提供的基于 TCP/IP 协议中各个环节进行安全控制,生成完整安全的访问控制表,这个表包括:外网(商业银行和其他金融机构)对 DMZ 内服务访问控制。将外部对内部、DMZ 内服务访问明确限制,防止非法对内部重要系统,特别是证券内联网防火墙安全系统建设方案 东莞台商信息网,大量的管理资料下载26业务系统的
42、访问。利用 DMZ 的隔离效果,尽量将对外服务的部分服务器放置在 DMZ 区域,通过 NAT 方式,保护内部网络免受攻击。关闭操作系统提供的除需要以外的所有服务和应用,防止因为这些服务和应用自身的漏洞给系统带来的风险。对内部 E-mail、 FTP、 WWW、数据库的访问做严格的规划和限制,防止恶意攻击行为发生。内部网络:内部网络对外部网络(商业银行和其他金融机构)的访问也要进行严格的限制。防止内部员工对外网资源的非法访问。对内部员工对外访问采用 NAT 方式访问。同时内部员工对 DMZ 区域服务器访问也必须做限制。内部员工对外网 WWW 访问采用代理方式。DMZ 访问:通常情况下 DMZ 对
43、外部和内部都不能主动进行访问,除非特殊的应用需要到内部网络采集数据,可以有限地开放部分服务。借助方正方御防火墙提供的基于状态包过滤技术对数据的各个方向采用全面安全的技术策略,制定严格完善的访问控制策略保证从 IP 到传输层的数据安全。针对证券系统中的网络风险可以通过严格的访问控制表来进行限制。6.4.2 内置入侵检测(IDS) 方正数码公司和国际网络安全组织合作,能够实时获得最新系统入侵库代码,动态地将这些攻击技术的解决方案加入到方正方御防火墙中,同时在方正方御防火墙内部采用 3I 技术,加速应用层安全防护查询过程。方正方御防火墙目前能够支持 1500 种以上的入侵检测并能够成功阻断这样的攻击
44、行为,比如最近的红色代码。针对各种攻击行为,比如 TCP 序列号攻击、劫持、碎片攻击、端口扫描能够识别阻断。而这个数据库可以实时更新、升级。升级在方正方御防火墙界面即可完成。IDS 和访问策略形成互动。通过防火墙嵌入的 IDS 功能能够有效防范对内部 Windows/NT,Unix、Novell 系统的攻击行为。 电子欺骗:防火墙能够自动识别各种电子欺骗行为并进行阻断。同时防火证券内联网防火墙安全系统建设方案 东莞台商信息网,大量的管理资料下载27墙能够对伪装 IP 地址进行识别。6.4.3 代理服务方正方御防火墙对外提供代理服务功能,证券内部网络对外访问可以通过防火墙提供的代理服务功能,同时
45、代理服务可以针对 URL,SSL,FTP 进行应用拦截,防止内部人员对外网的非法访问。6.4.4 NAT 地址转换将证券内部网络和 DMZ 区域网络地址通过 NAT 方式转换,隐藏真实 IP 地址,防止内部网络受到攻击。具体转换方式就是将内部网络和 DMZ 区域机器的地址全部转换成防火墙外网卡地址,对外证券只有一个地址。而借助防火墙的多映射功能,可以将对外的同一地址映射为内部网络和 DMZ 区域不同服务的不同端口。6.4.5 日志系统及系统报警方正方御防火墙提供强大的日志系统,将通过防火墙的数据、防火墙管理数据、流量、各种攻击行为统计集成到一起。同时系统提供针对各种统计结果按照用户要求进行报表
46、打印。 针对通过防火墙数据,可以按照数据类型、地址进行统计分析。 针对各种管理数据,防火墙进行详细记录,网管人员可以方便的查看对防火墙管理情况。如果有内部人员对防火墙访问,可以通过管理数据进行查询。 流量统计:防火墙提供流量统计功能,可以按照用户名称、地址等多种方式进行统计。 系统报警:当有人非法对内部网络或者外部网络进行访问的时候,系统的实时报警会通过 E-mail 和声音进行报警。同时对各种非法的访问和攻击行为进行记录。通过强大的日志系统和实时报警、日志报警等多种方式保证证券内部网络证券内联网防火墙安全系统建设方案 东莞台商信息网,大量的管理资料下载28出现安全问题时可以有资料分析;同时也
47、可以通过对日志系统的分析完善系统安全策略。6.4.6 带宽分配,流量管理在证券内联网上运行着部分重要的业务数据,这些业务数据实时性要求高,必须保证这样的数据具有优先权限,防止因为带宽问题影响证券的应用。方正方御防火墙可以针对证券实际情况,对部分特殊应用提供带宽管理。给特殊应用分配相对高的带宽。同时方正方御防火墙提供流量管理功能,对内部网络用户对外网的访问可以提供流量限制。6.4.7 集中管理针对证券网络覆盖面广、区域跨度大的特点,防火墙需要集中管理和控制。方正方御防火墙提供集中管理机制,支持远程管理。利用 NT 域的概念和技术,方正方御防火墙可以对同一个域内的不同防火墙进行同时管理。我们考虑在
48、证券的总行以及各个大区行采取集中管理机制。按照防火墙的分权原则,将策略管理放置在各个防火墙节点。策略整体由证券总行策划,各个节点自己进行策略管理。而系统管理和日志查询放置在各个大区行,统一管理、分析。防火墙提供管理接口,同时支持远程管理,管理数据采用 RC4/MD5 方式加密,可以有效保证管理的安全性,同时管理数据只在证券内联网流动。而防火墙自身可以对管理员地址进行严格限制。6.4.8 预制模板证券网络复杂,但是结构清晰,为了更好的维护整个系统安全和适应证券统一管理、安全强度一致的原则,方正方御防火墙提供预制模板功能。可以通过证券统一制订一个策略模板,各个节点网络在这个模板基础上进行规划,简化管理过程,使得系统管理难度降低。证券内联网防火墙安全系统建设方案 东莞台商信息网,大量的管理资料下载296.4.9 系统升级网络安全技术随着网络技术发展不断变化,而网络安全策略和软件也不能一成不变,需要不断升级。方正方御防火墙管理界面提供方便的系统升级和IDS 升级功能。保证证券防火墙产品实时和网络安全领域技术同步,防止因为新的安全问题给系统带来的安全风险。其中,特别是 IDS 功能,几乎每天都有新的安全风险和攻击软件出现。方正防火墙内嵌 IDS 功能模块可以动态升级,保障 IDS
