【正文】 務器的應用類型被分為業(yè)務展現(xiàn)層（ Web 層），應用 /業(yè)務邏輯層（ AP 層）和數(shù)據(jù)庫層（ DB 層），對應的安全控制策略如下： ? 通過應用類型分層保護不同級別服務器的安全； ? 劃分 VLAN，各分層分別位于不同的 VLAN 中； ? 在三個應用類型分層中，安全級別的定義是接入層（ Web 層）安全級別最低，應用 /業(yè)務邏輯層（ AP 層）安全級別較高，數(shù)據(jù)庫層（ DB 層）安全級別最高； ? 應用類型分層之間，通 過單向的 ACL 允許較低級別的服務器訪問較高級別的服務器。 通過網(wǎng)絡(luò)分區(qū)，明確不同網(wǎng)絡(luò)區(qū)域之間的安全關(guān)系，也可以對每一個區(qū)域進行安全的評估和實施，不必考慮對其他區(qū)域的影響，保障了網(wǎng)絡(luò)的高擴展性、可管理性和彈性。安全風險存在于 : ? 低安全級別服務器對高安全級別服務器上不適當?shù)脑L問； ? 授權(quán)客戶端對服務 器的不適當訪問； ? 非授權(quán)客戶端對服務器的不適當訪問； ? 不同應用系統(tǒng)服務器之間非授權(quán)的不適當訪問； ? 惡意代碼對服務器的不良影響。 ? 專用的軟硬件，設(shè)備自身安全性很高； ? 提供網(wǎng)絡(luò)地址轉(zhuǎn) 換（ NAT 或 PAT）功能，把內(nèi)部地址轉(zhuǎn)換為外部地址，以保護內(nèi)部地址的私密性； ? 提供嚴格的安全管理策略，除了明確定義允許通過的數(shù)據(jù)，其他數(shù)據(jù)都是被拒絕的； ? 多層次的安全級別，為不同的安全區(qū)域提供差異化的安全級別，如 DMZ區(qū)域； ? 提供多樣的系統(tǒng)安全策略和日志功能。 在 上海支付中心 局域網(wǎng)內(nèi)客戶端區(qū)，存在著管理類客戶端和業(yè)務類客戶端，兩者之間的安全策略設(shè)計如下： ? 在客戶端區(qū)劃分 VLAN，管理類客戶端和業(yè)務類客戶端分屬不同的 VLAN； ? 在管理類客戶端和業(yè)務類客戶端的 VLAN 上部署 ACL，限制兩類客戶端之間的互訪。 控制客戶端對服務器的訪問 各區(qū)域?qū)Ψ掌鲄^(qū)訪問要受到嚴格控制，控制策略在防火墻上雙向?qū)嵤?，控制策略參照下面的表格。不限制目標?IP 地址、端口，限制源IP 地址 應用系統(tǒng)服務器之間的訪問控制 根據(jù) 人 行安全規(guī)范和應用系統(tǒng)訪問需求，應用系統(tǒng)間必須增加訪問控制，控制策略在服務器交換機上使用訪問控制列表實施，控制策略參照下。 網(wǎng)絡(luò)設(shè)備自身安全保護 為了防止對網(wǎng)絡(luò)設(shè)備的非法入侵，服務器區(qū)交換機和服務器區(qū)防火墻應做好自我保護。 AAA 部署 需求 AAA（認證 Authentication，授權(quán) Authorization，審計 Accounting） 認證 (Authentication)：驗證用戶的身份與可使用的網(wǎng)絡(luò)服務； 授權(quán) (Authorization)：依據(jù)認證結(jié)果開放網(wǎng)絡(luò)服務給用戶； 審計 (Accounting)：記錄用戶對各種網(wǎng)絡(luò)服務的用量，并提供給審計系統(tǒng)。 默 認 情 況 下 ， aaa 服 務 為 關(guān) 閉 狀 態(tài) ， 需 手 工 輸 入 命 令 開 啟 ；authentication、 authorization 及 accounting 必須指定所使用協(xié)議為tacacs+； aaa server 地址指向 ACS server。 測試 ? 使用動態(tài)口令測試登陸網(wǎng)絡(luò)設(shè)備是否成功 ? 使用不同權(quán)限用戶登陸網(wǎng)絡(luò)查看命令權(quán)限 ? ACS 服務器故障時，使用本地口令登陸網(wǎng)絡(luò)設(shè)備 數(shù)據(jù)庫備份與恢復 數(shù)據(jù)庫備份 對于 ACS 的數(shù)據(jù)庫（ server database）和日志數(shù)據(jù)庫（ log database）的備份，可以設(shè)置認證服務器定時按照所選方式將日志數(shù)據(jù)庫保存到歸檔的文件中。 否 設(shè)置用戶權(quán)限分離（管理用戶和查看用戶分離）（可以實施） 24 動態(tài)路由協(xié)議是否啟用認證功能 否 2 層交換機不能啟用動態(tài)路由認證 25 使用 SSH代理 TELNET 否 使用 SSH 代替TELNET（不支持SSH 登錄） 26 是否設(shè)置 Syslog 日 志 否 接受 SYSLOG 日志（網(wǎng)管平臺實施后，可以收集日志） 27 ACL 設(shè)置是否合理 否 控制訪問權(quán)限或使用防火墻代理部分 ACL功能（可以實施） 圖表 44 路由器加固建議 。 數(shù)據(jù)庫恢復 管理員可手工操作 ACS Server 從指定的目錄的備份文件恢復用戶配置、用戶組配置及系統(tǒng)相關(guān)配置，實現(xiàn) ACS 的數(shù)據(jù)庫恢復。 AAA Server 端 AAA server 端通過部署 Cisco Acs 來實現(xiàn)。本次建設(shè)將通過架設(shè) AAA Server 達到更高的安全性。 區(qū)安全策略的部署 生產(chǎn) 區(qū)劃分 VLAN，隔離業(yè)務類客戶端和管理類客戶端，在兩類客戶端的VLAN 上部署 ACL，限制兩類客戶端之間的互訪。限定訪問源應用系統(tǒng) 主機 IP 地址集，目的應用系統(tǒng)主機 IP 地址集，目的端口集。限定客戶 ip 地址段、應用系統(tǒng) ip 地址集、端口 號集。預防惡意代碼的安全控制策略如下： ? 根據(jù)已知的各類惡意代碼，識別其傳輸特征，編寫相應的 ACL； ? 把 ACL 部署在關(guān)鍵的控制點上，這些控制點包括： ? 各功能區(qū)的出口交換機上（防火墻默認情況下已經(jīng)可以拒絕這些惡意代碼）；在必要時，也可以部署在功能區(qū)內(nèi)各 VLAN 上，達到更進一步控制惡意代碼傳播的目的。通過網(wǎng)絡(luò)結(jié)構(gòu)的功能分區(qū)，在網(wǎng)絡(luò)安全上實現(xiàn)了以下目標： ? 實現(xiàn)不同功能的設(shè)備處在不同的分區(qū)內(nèi)，實現(xiàn)了數(shù)據(jù)鏈路層上物理隔離； ? 各分區(qū)有單一的出入口； ? 分區(qū)之 間互訪必須經(jīng)過網(wǎng)絡(luò)層路由； ? 為其他安全控制策略的部署奠定了基礎(chǔ)。 網(wǎng)絡(luò)設(shè)備自身的安全風險主要有： ? 網(wǎng)絡(luò)設(shè)備的物理安全； ? 網(wǎng)路設(shè)備操作系統(tǒng) Bug 和對外提供的網(wǎng)絡(luò)服務風險； ? 網(wǎng)絡(luò)管理協(xié)議 SNMP 非授權(quán)訪問的風險； ? 設(shè)備訪問密碼安全； ? 設(shè)備用戶安全風險； 安全技術(shù) 上海數(shù)據(jù)中心 局域網(wǎng)安全設(shè)計基于分行基礎(chǔ)設(shè)施總體架構(gòu)設(shè)計中使用的模塊化設(shè)計方案，是基于業(yè)界企業(yè)級網(wǎng)絡(luò)參考架構(gòu)和安全架構(gòu)進 行的，包括Cisco SAFE 和 IBM eBusiness reference model 模型，在設(shè)計中考慮了網(wǎng)絡(luò)的擴展性、可用性、管理性、高性能等因素，也重點覆蓋了安全性設(shè)計。 應用系統(tǒng)之間的互訪，安全風險主要存在于： ? 不同應用系統(tǒng)服務器之間非授權(quán)的不適當訪問； ? 應用系統(tǒng)不同安全等級服務器之間不適當?shù)幕ピL； 客戶端訪問服務器，主要的安全風險存在于： ? 非授權(quán)客戶端不適當?shù)脑L問服務器； ? 授權(quán)客戶端不適當?shù)脑L問高安全級別的服務器； 在業(yè)務類客戶端和管理類客戶端之間，安全風險存在于： ? 客戶端訪問 另一類客戶端上的非授權(quán)數(shù)據(jù)； ? 客戶端利用另一類客戶端達到對非授權(quán)服務器的非法訪問； 惡意代碼在網(wǎng)絡(luò)中的傳播，可能對所有的應用系統(tǒng)產(chǎn)生嚴重的影響。 安全策略設(shè)計 根據(jù) 人民銀行 網(wǎng)絡(luò)基礎(chǔ)架構(gòu)的設(shè)計結(jié)構(gòu)， 上海中心 局域網(wǎng)被劃分為 5 個功能區(qū)域。 網(wǎng)絡(luò)中的惡意代碼包括病毒、蠕蟲、木馬等，這類惡意代碼發(fā)作時，對網(wǎng)絡(luò)安 全有嚴重的影響。 業(yè)務 1 類 WEB 業(yè)務 2 類 WEB OA WEB 基礎(chǔ)設(shè)施類 網(wǎng)管安管類 Inter 業(yè)務客戶端 允許訪問 禁止訪問 禁止訪問 禁止訪問 允許訪問 禁止訪問 OA 客戶端 禁止訪問 允許訪問 允許訪問 禁止訪問 允許訪問 允許訪問 安全控制策略具體描述如下： ? 業(yè)務 1 類客戶端能訪問業(yè)務 1 類 WEB 服務器。 ? 業(yè)務 1 和業(yè)務 2 互訪，業(yè)務 1 和基礎(chǔ)設(shè)施互訪。 安全策略特例 當 應用系統(tǒng)安全策 略在部署中與上述原則有沖突 時 ，須提出申請需求，總行將根據(jù)應用需求修改安全策略方案。 為了保障網(wǎng)絡(luò)、應用系統(tǒng)的安全性，除了在網(wǎng)絡(luò)邊界進行防護 之外，還需要采用其他的安全服務的輔助手段，以實現(xiàn)全方位的安全防護。為防止 ACS server 異常后緊急登陸設(shè)備進行操作，需將 console 訪問方式改為 local，即本地認證。對 ACS 服務器中的用戶、用戶組及系統(tǒng)相關(guān)配置進行備份，備份的目錄更改為 D 盤下，這樣保證即使損傷系統(tǒng)崩潰，數(shù)據(jù)資料不受影