【文章內(nèi)容簡介】 結(jié) ............................................................................................................................1041 北大方正集團、方正數(shù)碼公司簡介北京北大方正集團公司是北京大學創(chuàng)建的高新技術(shù)企業(yè)?！　》秸瘓F擁有３個控股的上市公司，方正（控股）有限公司、方正數(shù)碼有限公司、上海方正延中科技集團股份有限公司，17 家獨資、合資企業(yè)。員工總數(shù)約 6000 人，總資產(chǎn) 50 億元，2022 年銷售規(guī)模達 101 億元?！　?997 年，方正集團已成為國家 120 家大型試點企業(yè)集團之一，國家首批６家技術(shù)創(chuàng)新試點企業(yè)之一，國家重點支持的５家 PC 生產(chǎn)廠家之一?！　?chuàng)造科技與文明，是北大方正的一貫宗旨，集團堅持以人為本的宗旨，以創(chuàng)新為先導，產(chǎn)、學、研結(jié)合，不斷以優(yōu)質(zhì)產(chǎn)品和技術(shù)服務于社會。方正數(shù)碼有限公司（ECFounder Co., Ltd.）是從事發(fā)展互聯(lián)網(wǎng)應用技術(shù)及電子商務的軟件技術(shù)公司。其業(yè)務專注于互聯(lián)網(wǎng)安全產(chǎn)品及網(wǎng)絡安全服務等領域，是互聯(lián)網(wǎng)時代的軟件技術(shù)公司。 方正數(shù)碼借助技術(shù)、研發(fā)方面的優(yōu)勢，借鑒世界上最先進的管理運作經(jīng)驗，定位于電子商務賦能者 （ emerce enabler） ，用不斷創(chuàng)新的技術(shù)與優(yōu)質(zhì)的服務賦予客戶新經(jīng)濟時代可持續(xù)發(fā)展的能力，幫助政府、行業(yè)、企業(yè)、網(wǎng)站、電子商務的運營者運用先進技術(shù)和高效管理手段在互聯(lián)網(wǎng)時代健康發(fā)展，取得9 / 105成功。 方正數(shù)碼有限公司的業(yè)務圍繞在互聯(lián)網(wǎng)安全技術(shù)應用、網(wǎng)絡安全服務及網(wǎng)絡安全知識管理等主要領域，在技術(shù)開發(fā)、應用解決方案和運營服務方面為用戶提供先進的網(wǎng)絡安全產(chǎn)品和技術(shù)。為此方正數(shù)碼推出 SHARKS 互聯(lián)網(wǎng)安全解決方案。SHARKS 解決方案是在深入的研究后，提出的一套基于中國國情、全部自主開發(fā)、具有領先優(yōu)勢的解決方案。它是一套整體的集群平臺，可以解決企業(yè)最為關切的安全性、高可靠性、可擴展性和易于遠程管理的問題。目前這套方案已經(jīng)得到國家有關部門的大力支持，被國家經(jīng)貿(mào)委列為國家創(chuàng)新計劃項目之一，還得到了國家“863”計劃的肯定與支持。方正方御防火墻是 SHARKS 安全解決方案中的主要安全產(chǎn)品之一。方正方御防火墻憑借其獨特的技術(shù)優(yōu)勢，在保證系統(tǒng)自身的安全性的同時又保證了其運行效率。方正方御防火墻中還融入了入侵檢測技術(shù)，可以有效地防范攻擊企圖的試探；另外利用先進的 III 技術(shù)，方正方御防火墻可以有效濾除著名的DDoS 攻擊，正是這種攻擊曾迫使包括美國雅虎在內(nèi)的若干世界最大的網(wǎng)站停止服務。除防火墻之外，方正數(shù)碼有限公司還向用戶提供 VPN、安全掃描系統(tǒng)、入侵檢測系統(tǒng)（IDS）等安全產(chǎn)品及方案，從多層次、多角度、全方位保護用戶的網(wǎng)絡。在立足于自主開發(fā)外，方正數(shù)碼公司還與眾多國際、國內(nèi)知名的安全公司保持著良好的合作關系，集成國內(nèi)外最優(yōu)秀的安全產(chǎn)品，為用戶的安全建設保駕護航。11 / 1052 人民銀行內(nèi)聯(lián)網(wǎng)結(jié)構(gòu)分析 人民銀行內(nèi)聯(lián)網(wǎng)整體情況某人民銀行內(nèi)聯(lián)網(wǎng)是以總行為中心、各個分支區(qū)域為基礎，覆蓋某人民銀行全國各部門、各層次分支機構(gòu)，基于 TCP/IP 協(xié)議體系的計算機信息服務網(wǎng)絡；是某人民銀行應用系統(tǒng)的基礎網(wǎng)絡平臺。目前整個系統(tǒng)已網(wǎng)絡實現(xiàn)到地市，系統(tǒng)運行著某人民銀行多種應用系統(tǒng)。其中，這些系統(tǒng)通過與全國各商業(yè)銀行以及其他金融機構(gòu)的互聯(lián)網(wǎng)絡，實現(xiàn)信息交換和共享。 人民銀行內(nèi)聯(lián)網(wǎng)網(wǎng)絡結(jié)構(gòu)某人民銀行內(nèi)聯(lián)網(wǎng)由廣域網(wǎng)和各級機構(gòu)局域網(wǎng)組成。某人民銀行內(nèi)聯(lián)網(wǎng)主要連接由兩個部分組成：一是某人民銀行自己的縱向連網(wǎng)，連接某人民銀行各級機構(gòu)；一是某人民銀行和其他商業(yè)銀行的橫向連網(wǎng)，實現(xiàn)金融系統(tǒng)之間數(shù)據(jù)通信。某人民銀行內(nèi)聯(lián)網(wǎng)建立在 CNFN 的 Frame relay 網(wǎng)絡之上，使用獨立的地址空間和域名系統(tǒng)。廣域網(wǎng)采用 Frame relay 技術(shù)。全國網(wǎng)絡以總行為根節(jié)點，形成樹形結(jié)構(gòu)，各葉節(jié)點是某人民銀行各級機構(gòu)內(nèi)部的局域網(wǎng)絡，是廣域網(wǎng)的信息源和終點，同時也是連接各商業(yè)銀行的起點。人民銀行內(nèi)聯(lián)網(wǎng)整體結(jié)構(gòu)遵循網(wǎng)絡設計三級原則，分成骨干網(wǎng)（核心層） 、省域網(wǎng)（交換層） 、區(qū)域網(wǎng)（訪問層） 。? 骨干網(wǎng) 由總行、分行營業(yè)管理部、省會城市中心支行等節(jié)點構(gòu)成；? 省域網(wǎng) 由省會城市中心支行以及省域內(nèi)各地市中心支行等節(jié)點組成；? 區(qū)域網(wǎng) 由地市中心支行以及所轄的縣支行等節(jié)點組成。同時，某人民銀行在總行、?。ㄊ校?、地（市）三個層次上與各個商業(yè)銀行以及其他金融機構(gòu)進行互連 （系統(tǒng)總體機構(gòu)如下）同時，網(wǎng)絡系統(tǒng)中的網(wǎng)絡設備以路由器、交換機為主。骨干網(wǎng)上運行 OSPF 路由協(xié)議。 人民銀行內(nèi)聯(lián)網(wǎng)支撐的應用系統(tǒng)某人民銀行內(nèi)聯(lián)網(wǎng)上已經(jīng)或即將運行的主要應用服務系統(tǒng)包括：? 政務與辦公自動化系統(tǒng)；? 業(yè)務處理系統(tǒng)；? 管理信息系統(tǒng)；? 決策支持系統(tǒng)；? 多媒體應用與會議電視系統(tǒng)；? 信息咨詢服務系統(tǒng)；? 外匯應用系統(tǒng)；省 域 網(wǎng) 省 域 網(wǎng)區(qū) 域 網(wǎng) 區(qū) 域 網(wǎng) 區(qū) 域 網(wǎng) 區(qū) 域 網(wǎng)區(qū) 域 網(wǎng)區(qū) 域 網(wǎng)骨 干 網(wǎng)某人民銀行縱向連網(wǎng)某人民銀行同商業(yè)銀行及其他金融機構(gòu)互連 商 業(yè) 銀 行 內(nèi) 聯(lián) 網(wǎng) 商 業(yè) 銀 行 內(nèi) 聯(lián) 網(wǎng) 商 業(yè) 銀 行 內(nèi) 聯(lián) 網(wǎng) 商業(yè)銀行內(nèi)聯(lián)網(wǎng)商業(yè)銀行內(nèi)聯(lián)網(wǎng)商業(yè)銀行內(nèi)聯(lián)網(wǎng)13 / 105 人民銀行系統(tǒng)平臺某人民銀行目前系統(tǒng)平臺主要采用? Window NT 系統(tǒng)；? Unix 系統(tǒng)；? 數(shù)據(jù)庫系統(tǒng)；3 人民銀行內(nèi)聯(lián)網(wǎng)安全分析 人民銀行內(nèi)聯(lián)網(wǎng)安全現(xiàn)狀分析? 某人民銀行內(nèi)聯(lián)網(wǎng)骨干網(wǎng)有獨立的 PVC,IP 地址以及域名系統(tǒng)。廣域網(wǎng)基本滿足涉密網(wǎng)保密條件。? 某人民銀行和其他商業(yè)銀行以及金融機構(gòu)連接目前沒有采取網(wǎng)絡安全措施，為了防范來自外部網(wǎng)絡（其他商業(yè)銀行和金融機構(gòu)）安全威脅，迫切需要進行人民銀行內(nèi)聯(lián)網(wǎng)防火墻系統(tǒng)基礎建設，保障內(nèi)部網(wǎng)絡安全。 人民銀行內(nèi)聯(lián)網(wǎng)安全風險分析 當前，人民銀行的系統(tǒng)與外部非信任網(wǎng)絡系統(tǒng)之間缺乏完善的安全保護體系。某人民銀行內(nèi)聯(lián)網(wǎng)各個葉節(jié)點網(wǎng)絡結(jié)構(gòu)如下： 15 / 105 同 城 網(wǎng) 下 級 人 民 銀 行 機 構(gòu) 上 級 人 民 銀 行 機 構(gòu) 有 關 政 府 機 構(gòu) 服 務 器 1 復 制 服 務 器 文 件 服 務 器 信 貸 數(shù) 據(jù) 庫 服 務 器 內(nèi) 部 Web 服 務 器 外 聯(lián) 服 務 器 1 外 聯(lián) 服 務 器 2 工 作 站 1 工 作 站 2 同 城 商 業(yè) 銀 行 1 人 民 銀 行 機 關 局 域 網(wǎng) 人 民 銀 行 內(nèi) 聯(lián)網(wǎng) (廣 域 網(wǎng) ) ( 同 城 商 業(yè) 銀 行 n 主要應用服務的安全風險應用服務系統(tǒng)中各個葉節(jié)點有各種應用服務，這些應用服務提供給人民銀行各級分行或商業(yè)銀行使用。不能防止未經(jīng)驗證的操作人員利用應用系統(tǒng)的脆弱性來攻擊應用系統(tǒng)，使得系統(tǒng)數(shù)據(jù)丟失、數(shù)據(jù)更改、獲得非法數(shù)據(jù)等。而某人民銀行的這些應用系統(tǒng)是某人民銀行內(nèi)聯(lián)網(wǎng)中最重要的組成部分。DNS 服務DNS 是網(wǎng)絡正常運作的基本元素，它們是由運行專門的或操作系統(tǒng)提供的服務的 Unix 或 NT 主機構(gòu)成。這些系統(tǒng)很容易成為外部網(wǎng)絡攻擊的目標或跳板。對 DNS 的攻擊通常是對其他遠程主機進行攻擊做準備，如篡改域名解析記錄以欺騙被攻擊的系統(tǒng)，或通過獲取 DNS 的區(qū)域文件而得到進一步入侵的重要信息。著名的域名服務系統(tǒng) BIND 就存在眾多的可以被入侵者利用的漏洞。某人民銀行對外各種應用，特別是基于URL 的應用依賴于 DNS 系統(tǒng)，DNS 的安全性也是網(wǎng)絡安全關注的焦點。EMail由于郵件服務器軟件的眾多廣為人知的安全漏洞，郵件服務器成為進行遠程攻擊的首選目標之一。如利用公共的郵件服務器進行的郵件欺騙或郵件炸彈的中轉(zhuǎn)站或引擎；利用 sendmail 的漏洞直接入侵到郵件服務器的主機等。而某人民銀行的內(nèi)部 Email 系統(tǒng)覆蓋面廣，所以迫切需要使用防火墻來保護人民銀行的內(nèi)部 Email 系統(tǒng)。WWW利用 HTTP 服務器的一些漏洞，特別是在大量使用服務器腳本的系統(tǒng)上，利用這些可執(zhí)行的腳本程序，未經(jīng)授權(quán)的操作者可以很容易地獲得系統(tǒng)的控制權(quán)。在某人民銀行存在各種 WWW 服務，這些服務協(xié)議或多或少存在安全隱患。FTP一些 FTP 服務器的缺陷會使服務器很容易被錯誤的配置，從而導致安全問題，如被匿名用戶上載的木馬程序，下載系統(tǒng)中的重要信息（如口令文件）并導致最終的入侵。有些服務器版本帶有嚴重的錯誤，比如可以使任何人獲得對包括 root 在內(nèi)的任何帳號的訪問。 網(wǎng)絡中主要系統(tǒng)的安全風險整個系統(tǒng)中網(wǎng)絡設備主要采用路由器設備，有必要分析這些設備的風險。路由器是某人民銀行內(nèi)聯(lián)網(wǎng)的核心部件，路由器的安全將直接影響整個網(wǎng)絡的安全。下面列舉了一些路由器所存在的主要安全風險：■ 路由器缺省情況下只使用簡單的口令驗證用戶身份，并且遠程TELNET 登錄時以明文傳輸口令。一旦口令泄密路由器將失去所有的保護能力。17 / 105■ 路由器口令的弱點是沒有計數(shù)器功能，所以每個人都可以不限次數(shù)的嘗試登錄口令，在口令字典等工具的幫助下很容易破解登錄口令?！?每個管理員都可能使用相同的口令，因此，路由器對于誰曾經(jīng)作過什么修改，系統(tǒng)沒有跟蹤審計的能力。■ 路由器實現(xiàn)的某些動態(tài)路由協(xié)議存在一定的安全漏洞，有可能被惡意的攻擊者利用來破壞網(wǎng)絡的路由設置，達到破壞網(wǎng)絡或為攻擊做準備的目的。針對這種情況，必須采取措施，有效防止非法對網(wǎng)絡設備訪問?！?TCP/IP 風險：系統(tǒng)采用 TCP/IP 協(xié)議進行通信，而因為 TCP/IP 協(xié)議中存在固有的漏洞，比如：針對 TCP 序號的攻擊，TCP 會話劫持，TCP SYN 攻擊等。同時系統(tǒng)的 DNS 采用 UDP 協(xié)議，因為 UDP 協(xié)議是非面向連接的協(xié)議，對系統(tǒng)中的 DNS 等相關應用帶來安全風險。 數(shù)據(jù)庫系統(tǒng)安全分析數(shù)據(jù)庫系統(tǒng)是存儲重要信息的場所并擔負著管理這些數(shù)據(jù)信息的任務。數(shù)據(jù)庫的安全問題，在數(shù)據(jù)庫技術(shù)誕生之后就一直存在，并隨著數(shù)據(jù)庫技術(shù)的發(fā)展而不斷深化。不法份子利用已有的或者更加先進的技術(shù)手段通常對數(shù)據(jù)庫進行偽造數(shù)據(jù)庫中的數(shù)據(jù)、損壞數(shù)據(jù)庫、竊取數(shù)據(jù)庫中的數(shù)據(jù)。如何保證和加強數(shù)據(jù)庫系統(tǒng)的安全性和保密性對于網(wǎng)絡的正常、安全運行至關重要。 Unix 系統(tǒng)的安全分析UNIX 系統(tǒng)安全具有如下特征：? 操作系統(tǒng)可靠性：它用于保證系統(tǒng)的完整性，系統(tǒng)處于保護模式下，通過硬件和軟件保證系統(tǒng)操作可靠性。? 訪問控制：允許通過改變用戶安全級別、訪問權(quán)限，具有統(tǒng)一的訪問控制表。? 對象可用：當對象不需要時應該立即清除。? 個人身份標識與認證：它主要為了確定身份，如用戶登陸時采用擴展的 DES 算法對口令進行加密。? 審計：它要求對使用身份標識和認證的機制，文件的創(chuàng)建，修改，系統(tǒng)管理的所有操作以及其他有關安全事件進行記錄，以便系統(tǒng)管理員進行安全跟蹤。? 往來文件系統(tǒng)：UNIX 系統(tǒng)提供了分布式文件系統(tǒng)（DFS）的網(wǎng)絡安全。將網(wǎng)絡與外部網(wǎng)絡相連接，會使您的網(wǎng)絡遭受潛在的服務中斷、未經(jīng)授權(quán)的入侵以及相當大的破壞。比如下面的一些安全隱患：■“拒絕服務”攻擊 (Denial of Service Attacks): 這些攻擊禁止系統(tǒng)向顧客提供服務，使顧客不能得到某種服務。例如，攻擊可能使用大而無用的流量充斥網(wǎng)絡，導致無法向顧客提供服務。最通常的情況是這種攻擊可能毀壞系統(tǒng)或者只是讓系統(tǒng)在向顧客提供服務時慢的出奇。 ■緩沖區(qū)溢出攻擊 (Buffer Overrun Exploits): 其中包括利用軟件的弱點將任意數(shù)據(jù)添加進某個程序中，從而在它以根的身份運行時，有可能賦予剝削者對您的系統(tǒng)的根訪問權(quán)。這也可能導致某種“拒絕服務”攻擊。■竊聽和重放攻擊 (Snooping and Replay Attacks): 竊聽攻擊涉及某個對網(wǎng)絡上的兩臺機器之間的通訊流進行偵聽的入侵者。通訊流可能包含使用 tel、rlogin 或 ftp 時來回傳遞的未加密的口令。這有可能造成某個未經(jīng)授權(quán)的個人非法進入您的網(wǎng)絡或看到機密數(shù)據(jù)?！鯥P 欺騙 (IP Spoofing): 基于 IP 欺騙的攻擊涉及對計算機未經(jīng)授權(quán)的訪問。通過偵聽網(wǎng)絡通訊流，入侵者找到受信任主機的一個 IP 地址，然后發(fā)送消息時指示該消息來自受信任主機。 ■內(nèi)部泄密 (Internal Exposure): 絕大多數(shù)網(wǎng)絡非法進入皆起因19 / 105于某個心懷惡意或?qū)ΜF(xiàn)狀不滿的現(xiàn)任或前任雇員濫用對信息的訪問權(quán)或非法闖入您的網(wǎng)絡。針對 Unix 系統(tǒng)存在的諸多風險，應該采取相應的安全措施。必須對這些風險加以控制。針對這個部分的安全控制可以采取特殊的安全策略，同時利用相關的軟件對系統(tǒng)進行配置、監(jiān)控。制定詳細的訪問控制計劃、策略。 Windows NT 系統(tǒng)的安全分析　　Windows NT 的安全機制的基礎是所有的資源和操作都受到選擇訪問控制的保護，可以為同一目錄的不同文件設置不同的權(quán)限。這是 NT 的文件系統(tǒng)的最大特點。NT 的安全機制不是外加的，而是建立在操作系統(tǒng)內(nèi)部的，可以通過一定的設置使文件和其他資源免受在存放的計算機上工作的用戶和通過網(wǎng)絡接觸資源的用戶的威脅（破壞、非法的編輯等） 。安全機制甚至包含基本的系統(tǒng)功能，例如設置系統(tǒng)時鐘。對用戶帳號、用戶權(quán)限及資源權(quán)限的合理組合，可以有效地保證安全性。通過一系列的管理工具，以及對用戶帳號、口令