【正文】 追蹤與檢查及平常可對各種通訊協議的測試。31 / 58? 效率管理：效率管理在于評估網絡系統(tǒng)的運作，統(tǒng)計網絡資源的運用及各種通訊協議的傳輸量等，更可提供未來網絡提升或更新規(guī)劃的依據。? 用戶記帳管理: 建立統(tǒng)一的記帳系統(tǒng),對網絡資源的使用采取收費記帳的方法,對不同的資源訪問制定不同的收費標準和算法。? 網絡安全管理: 用戶身份確認,訪問控制,對用戶權限以及用戶帳戶進行維護和管理,系統(tǒng)的行為。? 運行管理: 制定網絡運行的技術標準,可靠性, 安全性方案和運行制度。? 計費管理：了解網絡使用時間，能針對各個局部網絡做使用量統(tǒng)計。一則可作為使用網絡計費的依據，更可作為日后網絡升級或更新規(guī)劃的參考。網絡管理員能夠借助網管軟件，對網絡上的任何資源和進程調用。 網絡管理平臺和網管工作站 通過前面的分析，網絡系統(tǒng)設備采用了 cisco 的交換機、路由器和遠程訪問服務器，針對系統(tǒng)的這個特點，推薦 cisco 公司的最新推出的網管系統(tǒng)CiscoWorks2022。網管平臺設計將原有網管軟件 CWSI 進行升級，采用 Cisco 公司提供的最新CiscoWorks2022 的廣域網套件，用于對網點網絡設備進行管理，局域網套件，用于對三峽建行局域網進行管理。 網管工作站設計由于網管工作站將實時處理網絡設備上傳的運行參數，因此必須具備大內存、高性能 CPU 和良好圖形顯示功能。擬保留原有網管工作站。cisco 網管軟件和其基本管理模式CiscoWorks2022網管系統(tǒng) works2022 包括局域網和廣域網網組件，還包括語音管理套件。自主網絡監(jiān)控軟件的開發(fā)由于 cisco 網管軟件的專用性，無法有效監(jiān)控到非 Cisco 設備，更不能監(jiān)控到大部分采用串口協議的網點，為了能夠監(jiān)控到所有網點，需要對相關軟件做大量的客戶化開發(fā)工作。32 / 58第 6 章 網絡系統(tǒng)安全設計由于網絡的開放性和網絡技術的發(fā)展，網絡安全本身已經成為一個與時間和技術相關動態(tài)的概念。針對傳統(tǒng)安全模型的缺陷和不足，有關公司提出了一個極具創(chuàng)意的，能夠自我不斷完善、不斷發(fā)展、自我適應能力極強的嶄新的網絡安全模型P2DR 安全模型，我行這次網絡系統(tǒng)安全的實施就準備基于這個模型。 安全模型（ P2DR 模型）P2DR 方案是一個超前的安全模型，它是在對國際上安全方面可靠的權威著作進行多年研究的基礎上獨自發(fā)展出來的。它的指導思想比傳統(tǒng)安全方案有突破性提高。P 2DR 模型如圖所示：Policy 策略、Protection 防護、Detection 檢測和 Response 響應組成的完整模型體系，可以描述和解釋任何信息安全問題。P2DR 安全模型的特點就是動態(tài)性和基于時間的特性，可以說對信息安全的“相對性”給予了更好地描述：雖然沒有 100%的安全，但是模型為進一步解決信息安全技術問題提供了有益的方法和方向。Policy(安全策略)安全策略是 P2DR 安全模型的核心，要想實施動態(tài)網絡安全模型，必須首先制定企業(yè)的安全策略，所有的防護、檢測、響應都是依據安全策略實施的，企業(yè)安全策略為安全管理提供管理方向和支持手段。Protection（保護） 保護通常是通過采用一些傳統(tǒng)的靜態(tài)安全技術及方法33 / 58來實現的， 主要有防火墻、加密、認證等方法 。通過防火墻監(jiān)視限制進出網絡的數據包，可以防范外對內及內對外的非法訪問，提高了網絡的防護能力，當然需要根據安全策略制定合理的防火墻策略；也可以利用 SecureID 這種一次性口令的方法來增加系統(tǒng)的安全性等等。Detection（檢測） 在 P2DR 模型，檢測是非常重要的一個環(huán)節(jié)，檢測是動態(tài)響應的依據，它也是強制落實安全策略的有力工具，通過不斷地檢測和監(jiān)控網絡和系統(tǒng)，來發(fā)現新的威脅和弱點，通過循環(huán)反饋來及時作出有效的響應。檢測主要包括 “漏洞檢測 ”和 “入侵檢測 ”兩個部分 。Response（響應）緊急響應在安全系統(tǒng)中占有最重要得地位，是解決安全潛在性最有效的辦法。在檢測到安全漏洞和安全事件之后必須及時做出正確的響應，從而把系統(tǒng)調整到安全狀態(tài)。從某種意義上講，安全問題就是要解決緊急響應和異常處理問題。要解決好緊急響應問題，就要制訂好緊急響應的方案，做好緊急響應方案中的一切準備工作。總之，一個信息安全方案必須對安全策略、安全防護、安全檢測和安全響應有準確和完整的描述。值得強調的是， P2DR 安全模型已被正式收錄進人民銀行的安全藍皮書： 《 國家金融信息系統(tǒng)安全 》 總體綱要 三峽建行網絡系統(tǒng)總體安全體系 安全策略設計 安全策略描述原則 由于數據傳輸的安全性關系到我行的服務質量和信譽保證，關系到客戶的切身利益，因此在制定安全策略時，要加強對數據傳輸的限制，即只有表示為允許的才可以進行傳輸這一原則來加強對網絡安全的限制。 具體安全策略 三峽建行安全策略應該包括：用戶管理、職責劃分、安全管理、安全評估、安全監(jiān)控、緊急響應、異常處理、授權操作、恢復策略以及跟蹤審計等 總體安全體系的規(guī)定網絡系統(tǒng)的安全從體系結構上來看應該是一個多層次、多方面的結構。通過對我行網絡所面臨的安全狀況的分析，可將整個三峽建行網絡的安全性在總34 / 58體結構上劃分為四個級別：網絡級安全、應用級安全、系統(tǒng)級安全和企業(yè)級安全。網絡級安全是指在網絡的下三層(物理層、鏈路層、網絡層)采取各種安全三峽建行網絡系統(tǒng)安全體系架構網絡級安全系統(tǒng)級安全應用級安全企業(yè)級安全安全管理制度 審計病毒防范 加密數字簽名身份認證安全漏洞檢測 安全監(jiān)控訪問控制VLAN 劃分VPN數據包過濾安全級別安全手段35 / 58措施來保障整個三峽建行網絡的安全，包括數據包過濾、VPN 虛擬私有網、VLAN 的劃分、訪問控制、身份認證、數據包加密傳輸、安全審計、安全監(jiān)控和安全漏洞檢測等應用級安全是指通過利用三峽建行網絡中各大應用系統(tǒng)（如綜合業(yè)務系統(tǒng)、清算系統(tǒng)、企業(yè)網系統(tǒng)等等）和大型關系型數據庫自身的安全機制，在應用層保證對三峽建行網絡中各種應用系統(tǒng)的信息訪問合法性；系統(tǒng)級安全主要是通過對操作系統(tǒng)(UNIX、NT)的安全設置，防止利用操作系統(tǒng)的安全漏洞對整個三峽建行網絡構成安全威脅；企業(yè)級安全主要是從三峽建行范圍內的安全管理和計算機病毒防范兩方面來保障整個我行網絡的安全。此次網絡改造我們主要對網絡級安全加以設計。 三峽建行網絡級安全設計可適應性網絡安全由四個集成的方案組成。第一，端對端的網絡安全要求持續(xù)的、綜合的安全評估，通過自動的基于網絡的和基于主機的掃描技術實現；第二，對安全弱點的響應通過已建立的安全策略中相關的安全漏洞來衡量。更正動作很容易獲得并迅速實現。另外，基于網絡和主機的實時入侵檢測提供對內部攻擊、外部攻擊和誤操作的實時保護。最后，對安全威脅的網絡自動更正包括主動中斷連接和網絡設備的重新配置。網絡安全的程度必然是動態(tài)變化的，所以網絡安全不可能是一個靜態(tài)的結果，需隨著網絡環(huán)境的變化，并綜合各種可能的影響安全的因素來制訂整個網絡的安全策略對于系統(tǒng)安全設計，一定要充分考慮整個三峽建行網絡系統(tǒng)的實際需求和網絡現狀，以我行網絡與外部的連接作為安全設計的重點，可通過以下措施來從網絡物理層一直到應用層保證整個網絡系統(tǒng)的安全使用。 局域網安全設計由于局域網中采用廣播方式，因此，若在某個廣播域中可以偵聽到所有的信息包，黑客就可以對信息包進行分析，那么本廣播域的信息傳遞都會暴露在36 / 58黑客面前。三峽建行局域網在空間分布上是城域范圍的，局域網的安全必須認真考慮，局域網安全主要有采取 VLAN 劃分以及利用安全軟件對局域網進行掃描。劃分 VLAN虛擬網（VLAN）技術主要基于近年發(fā)展的局域網交換技術（ATM 和以太網交換） 。交換技術將傳統(tǒng)的基于廣播的局域網技術發(fā)展為面向連接的技術。因此，網管系統(tǒng)有能力限制局域網通訊的范圍而無需通過開銷很大的路由器。以太網從本質上基于廣播機制，但應用了交換機和 VLAN 技術后，實際上轉變?yōu)辄c到點通訊，除非設置了監(jiān)聽口，信息交換也不會存在監(jiān)聽和插入（改變）問題。由以上運行機制帶來的網絡安全的好處是顯而易見的：信息只到達應該到達的地點。因此，防止了大部分基于網絡監(jiān)聽的入侵手段。通過虛擬網設置的訪問控制，使在虛擬網外的網絡節(jié)點不能直接訪問虛擬網內節(jié)點。但是，虛擬網技術也帶來了新的問題：執(zhí)行虛擬網交換的設備越來越復雜，從而成為被攻擊的對象?；诰W絡廣播原理的入 MAC 的 VLAN 不能防止 MAC 欺騙攻擊。采用基于 MAC 的 VLAN 劃分將面臨假冒 MAC 地址的攻擊。因此，VLAN 的劃分最好基于交換機。但這要求整個網絡桌面使用交換端口或每個交換機所在的網段機器均屬于相同的 VLAN。VLAN 的劃分方式的目的是保證系統(tǒng)的安全性。因此，可以按照系統(tǒng)的安全性來劃分 VLAN：可以將總部中的服務器系統(tǒng)單獨劃作一個 VLAN，如數據庫服務器、電子郵件服務器等。也可以按照機構的設置來劃分 VLAN， VLAN 之內的連接采用交換技術實現，VLAN 與 VLAN 之間采用策略路由來控制數據傳輸。在三峽建行局域網在安全設計時將采取上述兩種劃分 VLAN 的策略來保證系統(tǒng)的安全性。安全漏洞掃描在三峽建行整個網絡系統(tǒng)中（包括三峽分行、各支行、局域網、廣域網）配置 ISS Inter Scanner（網絡安全掃描器） 、在分行中心企業(yè)網和營業(yè)網中重要的主機中安裝 ISS SYSTEM scanner、在分行中心企業(yè)網和營業(yè)網中的數據庫服務器中安裝 ISS DATABASE scanner，可在通訊和服務層、系統(tǒng)層、應用37 / 58數據層掃描出網絡/系統(tǒng)/數據應用存在的安全漏洞，并提交漏洞報告和修補漏洞的建議，使網絡安全風險降到最小。安全入侵檢測和響應在三峽建設銀行整個網絡系統(tǒng)中，主要應用業(yè)務數據（企業(yè)網和營業(yè)網）均是存放在分行中心，中間通過 VLAN 劃分進行各個業(yè)務系統(tǒng)隔離，具備一定的信息安全功能，但缺乏對各個業(yè)務系統(tǒng)數據通信的安全檢測和監(jiān)控，不能夠做到對各個系統(tǒng)安全狀況心中有數，不能夠對安全事件進行統(tǒng)計和預測，不能夠對外來入侵和內部誤用進行自動的實時響應，在系統(tǒng)遭受破壞之前將入侵者驅除出外。故在各個業(yè)務系統(tǒng)核心數據服務器網絡入口處，配置 ISS 的 realsecure work sensor 對外來與本業(yè)務系統(tǒng)核心數據服務器連接的所有通信流量進行安全監(jiān)控，同時在核心業(yè)務主機中配置 realsecure OS sensor 從系統(tǒng)層面中對系統(tǒng)攻擊事件進行安全監(jiān)控。通過兩者的配合，對一些危害網絡安全和信息安全的行為進行阻擊，也可以作為對犯罪分子的犯罪證據，從法律角度對犯罪分子提出指控。 廣域網安全設計由于廣域網采用公網傳輸資料，因而在廣域網上進行傳輸時信息也可能會被不法分子截取。如從分支機構發(fā)一個信息到三峽建行時，這個信息包就可能被人截取和利用。因此在廣域網上發(fā)送和接收信息時要保證：除了發(fā)送方和接收方外，其它人是不可知悉的（隱私性） ；傳送過程中不被篡改（真實性） ；發(fā)送方能確信接收方不是假冒的（非偽裝性） ；發(fā)送方不能否認自己的發(fā)送行為（非否認） 。能夠對所有網絡訪問活動和攻擊行為進行過程監(jiān)控、威脅統(tǒng)計和預測。內部廣域網安全設計在應用程序普遍采用 IC 卡的基礎上，在廣域網連接設備之間的網絡通信對數據包進行加密。對于從外部撥號訪問三峽建行內部局域網的用戶，由于使用公用電話網38 / 58進行數據傳輸所帶來的風險，必須嚴格控制其安全性。對于內部廣域網采用撥號備份時可以使用回撥確認等方式來防止非法訪問。加強對撥號用戶的身份認證，使用 RADIUS 等專用身份驗證服務器（AAA服務器） 。一方面，實現對撥號用戶帳號的統(tǒng)一管理；另一方面，在身份驗證過程中采用加密的手段，避免用戶口令泄露的可能性。在數據傳輸過程中采用加密技術，防止資料被非法竊取。因為內部廣域網中安全弱點主要來自于網絡互聯設備和網絡傳輸設備的安全漏洞，故采用 ISS inter scanner 漏洞掃描工具從網絡層對整個內部廣域網絡系統(tǒng)進行安全漏洞掃描和評估，從而采取措施修復安全漏洞，加強安全管理、設備管理、軟件管理等安全工作。外連網的安全設計在連接外部網時，使用路由器與外網進行隔離，在路由器上設置訪問控制列表（ACL） ，屏蔽未經允許的訪問。連接外部網時，在三峽建行內部網與路由器之間安裝 PIX 防火墻，利用防火墻的數據包過濾、地址隱藏以及 VPN 功能保證外部的非法訪問無法進入建行內部網。使用 DMZ 非軍事化區(qū)，將業(yè)務前置機放置于非軍事化區(qū)，這樣既保證外連網正常業(yè)務，又保證內網安全。在 DMZ 區(qū)、連接外連網的網段，配置了 ISS 入侵監(jiān)測系統(tǒng)實時監(jiān)視網絡的非法入侵行為。該系統(tǒng)包括 RealScure console、RealScure ageng(包括 work sensor 和 os sensor) 兩部分，其中 RealSecure ageng 可以從網絡和系統(tǒng)兩個層次實時檢測政策違規(guī)，不影響網絡性能，它分析各個數據包的內容和上下文，決定流量是否未經授權。如果一個網絡的數據流遇到未經授權的活動，例如SATAN 攻擊、PING 攻擊或秘密的研究項目代碼字，RealScure ageng 會給RealSecure console 管理控制臺轉發(fā)告警，并從網絡刪除入侵者。在網絡入口處配置 realsecur