用户环境
省行和多个地市分行,分别通过DDN、FR、X.25及其它通讯手段连接,互联方式主要采用TCP/IP。
与一级网连接,同样采用TCP/IP实现互联。全辖通过总行的Internet出口访问Internet,进行Web浏览、收发Email、 Ftp 等应用。
由于业务需要,省行(及下辖各地市行)与同城的其它机构(如人民银行、证券等)采用TCP/IP进行互联。
省分行有基于TCP/IP的业务系统。
省市行计算机系统设备多。
全辖范围内的WAN互联速率从19.2K到256K bps。
在广域网上传输的数据部分使用了应用层的加密技术。
2. 用户需求
随着网络互联的迅速扩大,网络应用的增加,用户越来越关心整个系统的安全生产问题。
2.1 现状
在现有的网络和应用系统中,基本未采取任何安全措施,主机仅仅靠PASSWD来维持自身安全,并且主机操作系统和应用系统的安全漏洞也未作任何处理,系统管理上也成在着诸如ROOT用户无口令或长期不改口令等许多问题,在广域网上,随着业务的扩展,也越来越多的同人行、外管、税务等单位
互连,这一切都形成了严重的安全问题,严重的威胁着省行的应用系统。
在近来的网络监控中,也常发现有系统和主机被试图入侵的情况,对辖内的系统和主机的检查的扫描中,发现了大量的安全漏洞,并且有许多安全漏洞是很难避免和根除的。
另外,通过网络进行传播的计算机及网络病毒严重影响了银行的正常业务开展,给安全生产构成威胁。
2.2 安全威胁
总结描述的问题,结合目前所知道的安全威胁,我们发现,以下安全问题均可能对银行的安全生产造成严重威胁:
业务系统与其它系统未进行充分隔离。
辖内网络与外单位的互联未进行充分隔离。
对计算机和网络病毒未采用充分手段进行防御。
对存在的已知安全漏洞缺乏评估,因此也无法采用技术和行政手段进行修补。
对是否受到入侵缺乏监控审计和监控措施。
对内部人员操作的技术监控。
缺乏强有力的认证系统,基于用户名/口令模式的系统极易被突破。
2.3 安全需求
一个安全生产的银行信息系统,以下的基本安全要求是必须要满足的:
业务系统与辖内其它信息系统使用防火墙隔离。
辖内网络与互联的其它网络使用防火墙隔离。
网络管理员必须对辖内信息系统的安全状况进行周期性评估,并根据评估结果采用相应措施。
网络系统能够监视、记录黑客可能发起的攻击。
全面的病毒防御体系,阻止病毒的传播,恢复已被病毒感染的设备及数据。
完善的备份系统。
敏感系统在公网上的传输必须加密。
可预见的管理和拥有费用。
对整个信息系统安全审计。
3. 安全技术
网络安全技术发展到今天,已经有成熟的方案来对付来自各方面的安全威胁。
信息技术的安全体系必须集成多种安全技术实现。如虚拟网技术、防火墙技术、入侵监控技术、安全漏洞扫描技术、加密技术、认证和数字签名技术等。
3.1 虚拟网技术
虚拟网技术主要基于近年发展的局域网交换技术(ATM和以太网交换)。交换技术将传统的基于广播的局域网技术发展为面向连接的技术。因此,网管系统有能力限制局域网通讯的范围而无需通过开销很大的路由器。
由以上运行机制带来的网络安全的好处是显而易见的:
信息只到达应该到达的地点。因此,防止了大部分基于网络监听的入侵手段。
通过虚拟网设置的访问控制,使在虚拟网外的网络节点不能直接访问虚拟网内节点。
但是,虚拟网技术也带来了新的安全问题:
执行虚拟网交换的设备越来越复杂,从而成为被攻击的对象。
基于网络广播原理的入侵监控技术在高速交换网络内需要特殊的设置。
基于MAC的VLAN不能防止MAC欺骗攻击。
3.管理省行桌面、服务器的病毒服务软件的病毒特征分发,以及自动通过HTTP从NAI的病毒特征库实时升级。
3.2 防火墙技术
网络层通讯可以跨越路由器,因此攻击可以从远方发起。IP协议族各厂家实现的不完善,因此,在网络层发现的安全漏洞相对更多,如IP sweep, Sequence Insert, teardrop,sync-flood, IP spoofing攻击等。
防火墙是近年发展起来的重要安全技术,其主要作用是在网络入口点检查网络通讯,根据客户设定的安全规则,在保护内部网络安全的前提下,提供内外网络通讯。
选择防火墙的要点在于:
安全性
即是否通过了严格的入侵测试。
抗攻击能力
对典型攻击的防御能力
性能
是否能够提供足够的网络吞吐能力
自我完备能力
自身的安全性,Fail-close
可管理能力
是否支持SNMP网管
VPN支持
认证和加密特性
服务的类型和原理
网络地址转换能力
与网络内其它安全系统的动态适应。
3.3 入侵检测技术
利用防火墙技术,经过仔细的配置,通常能够在内外网之间提供安全的网络保护,降低了网络安全风险。但是,仅仅使用防火墙,网络安全还远远不够:
入侵者可寻找防火墙背后可能敞开的后门。
入侵者可能就在防火墙内。
由于性能的限制,防火墙通常不能提供实时的入侵检测能力。
保护措施太单一。
入侵检测系统是近年出现的新型网络安全技术,目的是提供实时的入侵检测及采取相应的防护手段,如记录证据用于跟踪和恢复、断开网络连接等。
实时入侵检测能力之所以重要首先它能够对付来自内部网络的攻击,其次它能够缩短hacker入侵的时间。
入侵检测系统可分为两类:
基于主机
基于网络
基于主机的入侵检测系统用于保护关键应用的服务器,实时监视可疑的连接、系统日志检查、非法访问的闯入等,并且提供对典型应用的监视如Web服务器应用。
基于主机的安全监控系统具备如下特点:
精确,可以精确地判断入侵事件。
高级,可以判断应用层的入侵事件。
对入侵时间立即进行反应。
针对不同操作系统特点。
占用主机宝贵资源。
基于网络的安全监控系统具备如下特点:
能够监视经过本网段的任何活动。
实时网络监视。
监视粒度更细致。
精确度较差。
防入侵欺骗的能力较差。
交换网络环境难于配置。
基于主机及网络的入侵监控系统通常均可配置为分布式模式:
在需要监视的服务器上安装监视模块(agent),分别向管理服务器报告及上传证据,提供跨平台的入侵监视解决方案。
在需要监视的网络路径上,放置监视模块(sensor),分别向管理服务器报告及上传证据,提供跨网络的入侵监视解决方案。
选择入侵监视系统的要点是:
协议分析及检测能力。
解码效率(速度)
自身安全的完备性。
精确度及完整度,防欺骗能力。
模式更新速度。
3.4 安全扫描技术
网络安全技术中,另一类重要技术为安全扫描技术。安全扫描技术与防火墙、安全监控系统互相配合能够提供很高安全性的网络。
安全扫描工具源于Hacker在入侵网络系统时采用的工具。商品化的安全扫描工具为网络安全漏洞的发现提供了强大的支持。
安全扫描工具通常也分为基于服务器和基于网络的扫描器。
基于服务器的扫描器主要扫描服务器相关的安全漏洞,如passwd文件,目录和文件权限,共享文件系统,敏感服务,软件,系统漏洞等,并给出相应的解决办法建议。通常与相应的服务器操作系统紧密相关。
基于网络的安全扫描器主要扫描设定网络内的服务器、路由器、网桥、交换机、访问服务器、防火墙等设备的安全漏洞,并可设定模拟攻击,以测试系统的防御能力。通常该类扫描器限制使用范围(IP地址或路由器跳数)。网络安全扫描器的主要性能应该考虑以下方面:
速度。在网络内进行安全扫描非常耗时。
网络拓扑。通过GUI的图形界面,可选择一组或某些区域的设备。
能够发现的漏洞数量。
是否支持可定制的攻击方法。通常提供强大的工具构造特定的攻击方法。因为网络内服务器及其它设备对相同协议的实现存在差别,所以预制的扫描方法肯定不能满足客户的需求。
报告,扫描器应该能够给出清楚的安全漏洞报告。
更新周期。提供该项产品的厂商应尽快给出新发现的安全漏洞扫描特性升级,并给出相应的改进建议。
安全扫描器不能实时监视网络上的入侵,但是能够测试和评价系统的安全性,并及时发现安全漏洞。
3.5 伪装技术
伪装技术是近年新发展出来的技术。使用伪装技术,网络管理员能够以极低的成本构造出一套虚拟的网络和服务,并且,故意留出漏洞,并实时观察、记录入侵者的来源、操作手法。
伪装技术可以帮助管理员查询入侵者,并保留入侵证据。其次,通过了解入侵者的入侵方法,完善真正的系统的保护手段。
3.6 病毒防护
病毒历来是信息系统安全的主要问题之一。由于网络的广泛互联,病毒的传播途径和速度大大加快。
我们将病毒的传播途径分为:
通过ftp, 电子邮件传播。
通过软盘、光盘、磁带传播。
通过Web浏览传播,主要制恶意的Java控件及ActiveX控件网站。
通过群件系统传播。
病毒防护的主要技术如下:
阻止病毒的传播。
在防火墙、代理服务器、SMTP服务器、网络服务器、群件服务器上安装病毒过滤软件。在桌面PC安装病毒监控软件。
检查和清除病毒
使用防病毒软件检查和清除病毒。
病毒数据库的升级。
病毒数据库应不断更新,并下发到桌面系统。
在防火墙、代理服务器及PC上安装Java及ActiveX控件扫描软件
禁止未许可的控件下载和安装。
3.7 电子邮件系统安全
电子邮件系统也是信息网与外部必须开放的服务系统。由于电子邮件系统的复杂性,其被发现的安全漏洞非常多,并且危害很大。如刚刚发现的电子邮件附件超长文件名导致的安全漏洞能够非法获取客户的本地数据或破坏本地的数据系统。
加强电子邮件系统的安全性,通常有如下办法:
设置一台位于停火区的电子邮件服务器作为内外电子邮件通讯的中转站(或利用防火墙的电子邮件中转功能)。所有出入的电子邮件均通过该中转站中转。
同样为该服务器安装实施监控和过滤系统。
该邮件服务器作为专门的应用服务器,不运行任何其它业务(切断与内部网的通讯)
升级到最新的安全版本。
3.8 操作系统安全
企业信息网内通常会运行许多种操作系统,联网功能也许是目前最重要的功能之一。联网的计算机就有可能受到攻击。
市场上几乎所有的操作系统均已发现有安全漏洞,并且越流行的操作系统发现的问题越多。对操作系统的安全,除了不断地增加安全补丁外,还需要:
周期检查系统设置(敏感数据的存放方式,访问控制,口令选择/更新)
基于系统的安全监控系统。
使用增强的认证手段如使用数字证书或IC卡对用户进行认证。
4 安全产品
4.1 防火墙
NetScreen Firewall
来自Netscreen Corp. 的Netscreen-100防火墙是目前业届最快的防火墙产品,除了以线速率提供受保护的Internet访问外,还支持:
所有的TCP及UDP服务。
VPN的IPSEC规范。
连接流量控制,流量管理可保证关键网络服务在网络拥挤时不受影响。
虚拟IP支持服务器负载平衡。
基于Web的管理。
完全基于硬件,易管理,避免操作系统的安全漏洞。
可工作在隐藏模式及NAT模式,隐藏模式使外来攻击者不能访问到该防火墙,从而消除了对防火墙的直接攻击。
无用户限制。
通过ICSA Firewall 认证。
4.2 网络安全审计
来自ISS的SafeSuite是一套用于网络安全扫描的软件工具,由富有实际经验的安全专家开发和维护。它包括Internet Scanner、System Scanner、Database Scanner等。
互联网扫描器Internet Scanner对网络设备进行自动的安全漏洞检测和分析,并且在执行过程中支持基于策略的安全风险管理过程。另外,Internet Scanner执行预定的或事件驱动的网络探测,包括对网络通信服务、操作系统、路由器、电子邮件、Web服务器、防火墙和应用程序的检测,从而识别能被入侵者利用来非法进入网络的漏洞。Internet Scanner将给出检测到的漏洞信息,包括位置、详细描述和建议的改进方案。这种策略允许管理员侦测和管理安全风险信息,并跟随开放的网络应用和迅速增长的网络规模而相应地改变
系统扫描器(System Scanner)是一个基于主机的安全评估系统。它与网络扫描器的区别在于它提供了基于主机的安全评估策略来分析系统漏洞。网络扫描器是在网络层扫描各种设备来发现安全漏洞,系统扫描器是在系统层上通过依附于主机上的扫描器代理侦测主机内部的漏洞。这些扫描器代理的安全策略可以通过系统扫描器控制台进行集中管理和配置。系统扫描器在相当严格的基础上对安全风险级别进行划分。在UNIX系统上,它对大量的安全问题能自动产生修补程序脚本。一旦系统被确认处于安全的状态后,系统扫描器会用一种数字指纹锁定系统配置,以便更容易发现非法访问。
数据库扫描器(Database Scanner)是世界上第一个针对数据库管理系统风险评估的检测工具。任何人都能够利用它来建立数据库的安全规则,通过运行审核程序来提供有关安全风险和位置的简明报告。
4.3 实时网络安全监控系统
ISS的实时入侵监控器RealSecure 是业界第一个集成了基于网络和基于主机的入侵检测和响应系统。它可以最大限度地、全天候地监控企业级的安全问题。安全管理人员可以自动地监控网络的数据流、主机的日志等,对可疑的事件给予检测和响应,在内联网和外联网的主机和网络遭受破坏之前阻止非法的入侵行为。
实时入侵监控器RealSecure 包含三个部件:
◆RealSecure Network Engine 网络引擎(基于网络的监控器)
◆RealSecure System Agent 系统代理(基于主机的监控器)
RealSecure Manager Console 管理控制台
一个典型的内联网、外联网、互联网环境下,RealSecure Engine布置在不同的网段中,包括防火墙内外、内部的子网网段、拨号连接服务器之后,以及外联网等位置。RealSecure对外部入侵者和内部入侵者都可以进行有效的防范。
RealSecure Agent是基于主机的防范系统,是对RealSecure Engine的补充。 RealSecure Agent 分析主机的日志等内容来识别入侵和攻击,判断入侵是否成功,并且提供适合成为法律证据而实时条件又无法提供的信息。
每一个RealSecure安装在工作站或主机上,彻底地检查系统日志,对非法入侵和网络误用进行匹配。RealSecure Agent可以通过中断用户进程和禁止用户账户的方式防范入侵行为。它还可以发出警告,记录事件,发出SNMP Trap,发电子邮件,或者运行用户定义的其它动作。
在一个典型的内联网、外联网、互联网环境下,RealSecure Agent布置在不同的主机和工作站上,可以在防火墙内外、内部的子网网段等位置上。RealSecure Agent对外部入侵者和内部入侵者对主机的攻击都可以进行有效的防范。系统中央控制由RealSecure Manager Console承担。
RealSecure Manager Console是RealSecure系统的控制台。可以对多台RealSecure 网络引擎和系统代理进行管理。对被管理监控器进行远程的配置和控制,各个监控器发现的安全事件都实时地报告控制台。
病毒防护系统
病毒防护系统由Total Virus Defense套件组成,提供了病毒的检测和清除、诊断、安全、恢复和管理技术。
Virus Scan – 全球领先的桌面反病毒产品。
WebScanX - 保护系统免受恶意的java和ActiveX小程序的破坏。
PC Medic - 保护系统和程序免于崩溃。
PGP File - 增强信息的安全
Enterprise SecureCast- 自动发布病毒更新信息。
netTools Console - 具备集中的管理、分发和警告功能。
Virus Security Scan套件提供了全球最多的病毒类型检测(48000种以上),并且占领了全球60%以上的市场。
NAI的McaFee Labs小组分别在六大洲进行病毒研究,提供全天候的全球病毒研究。每发现一种新病毒,该病毒特征文件按小时在Web上发布。
NAI提供专用邮件病毒过滤和扫描器,采用专用硬件实现方案,提供实时的Internet病毒扫描。
5 系统集成方案
在企业网内部署网络和系统安全是一个非常复杂的任务,需要精心规划和部署。当前阶段,我们提供的网络安全集成方案能够满足基本的银行安全生产要求。
本系统集成方案具体目标如下:
全辖范围内使用防火墙进行网络隔离。
在省行部署安全评估系统。
在省行部署入侵监视系统。
在省行部署全面的病毒防护系统。
防火墙
防火墙目前主要考虑与广域网的互联隔离。因此,只需在各地市分行的局域网入口安装一台NS-10即可。
安全策略为仅允许所需服务对应的客户端及服务器访问特定服务。
安全评估系统
安全评估系统采用ISS公司的Scanner,可安装网管部门。所有防火墙策略均在特定时间对该评估系统的IP开放。
省行网管员可设定在非业务时间对全辖范围内的所有提供服务的网络设备及服务器进行安全审计扫描。
入侵监视系统
入侵监视系统采用ISS的RealSecure,支持NT 和Unix。因此,在省行运行上述操作系统的服务器上均可安装。
病毒防护系统
部署在省行的病毒防护系统分为:
电子邮件病毒防护。
Notes 病毒防护。
服务器病毒防护。
桌面机病毒防护。
集中病毒特征升级、软件分发和报警管理。
电子邮件病毒防护可安装一台Windows NT 服务器(内存128M, PII300,3G以上),运行NAI Virus sheild for SMTP,将其设为邮件接收器(修改本域的DNS),进入本行的邮件首先经过该病毒防护过滤器扫描,然后进入邮件服务器。
Notes 平台的病毒防护需要首先升级Notes的运行平台至Windows NT 4.0,然后安装NAI Virus groupsheild for Notes。
服务器病毒防护可安装在任何运行Windows NT, OS/2的服务器上。
用户桌面可安装最新推出的Virus Scan 4.0中文版,全面支持web浏览、Ftp、电子邮件及在线文件读写扫描。
使用一台普通PC,安装Windows NT 4.0及NAI的Virus Scan Console,自动
返回