【正文】 系統(tǒng)升級網(wǎng)絡(luò)安全技術(shù)隨著網(wǎng)絡(luò)技術(shù)發(fā)展不斷變化，而網(wǎng)絡(luò)安全策略和軟件也不能一成不變，需要不斷升級。方正方御防火墻管理界面提供方便的系統(tǒng)升級和IDS 升級功能。保證某人民銀行防火墻產(chǎn)品實時和網(wǎng)絡(luò)安全領(lǐng)域技術(shù)同步，防止因為新的安全問題給系統(tǒng)帶來的安全風(fēng)險。其中，特別是 IDS 功能，幾乎每天都有新的安全風(fēng)險和攻擊軟件出現(xiàn)。方正防火墻內(nèi)嵌 IDS 功能模塊可以動態(tài)升級，保障 IDS 數(shù)據(jù)庫和最新動態(tài)同步。29 / 104 雙機(jī)備份網(wǎng)絡(luò)安全、穩(wěn)定長期運(yùn)行是某人民銀行最終目標(biāo)，而網(wǎng)絡(luò)硬件可能因為一些特殊原因發(fā)生故障。方正方御防火墻提供雙機(jī)備份功能，采用兩種方式進(jìn)行備份檢測，軟件方式借用 HSRP 技術(shù)動態(tài)跟蹤各個區(qū)域運(yùn)行狀態(tài)，發(fā)現(xiàn)任何一個區(qū)域出現(xiàn)問題即刻進(jìn)行切換。硬件方式采用心跳線方式，當(dāng)系統(tǒng)檢測到故障，也將進(jìn)行切換。而系統(tǒng)的切換不影響某人民銀行的業(yè)務(wù)。兩臺防火墻工作在互備模式中。 防火墻方案特點(diǎn)本次某人民銀行內(nèi)聯(lián)網(wǎng)防火墻主要設(shè)置在和其他商業(yè)銀行連接的節(jié)點(diǎn)上。本方案中，我們主要根據(jù)某人民銀行網(wǎng)絡(luò)實際情況，針對防火墻的特殊性，從如下幾個方面考慮保障系統(tǒng)安全性防火墻放置在內(nèi)外網(wǎng)之間用來隔離內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)，對內(nèi)外網(wǎng)絡(luò)的通信進(jìn)行嚴(yán)格的管理和監(jiān)控，防火墻必須提供全面的安全策略保證內(nèi)部系統(tǒng)安全。因此方正方御防火墻提供全面的訪問控制策略、IPMAC 地址捆綁、IDS 入侵檢測、反電子欺騙等手段。這些功能能夠有效的保障內(nèi)部網(wǎng)絡(luò)安全。同時方正方御防火墻也提供帶寬管理、分配，系統(tǒng)報警等措施從側(cè)面協(xié)助。自身安全性防火墻作為網(wǎng)絡(luò)系統(tǒng)中的一個部件，其自身的安全性也是十分重要的，考慮到實際情況，方正方御防火墻提供單獨(dú)的管理接口，管理接口服務(wù)全部關(guān)閉，同時管理接口的特殊管理數(shù)據(jù)采用標(biāo)準(zhǔn)加密算法和措施。某人民銀行遠(yuǎn)程管理過程中數(shù)據(jù)通過某人民銀行內(nèi)聯(lián)網(wǎng)進(jìn)行管理能夠有效的保證管理的安全性。同時，利用 Windows NT 中域技術(shù)，對防火墻管理時必須登錄到相應(yīng)的域才能對域內(nèi)的用戶進(jìn)行管理，保障管理域安全性。而防火墻操作系統(tǒng)采用經(jīng)過嚴(yán)格測試專有操作系統(tǒng)。維護(hù)方便性管理的方便性直接關(guān)系到系統(tǒng)能否起到安全保護(hù)作用，方正方御防火墻提30 / 104供的專有 GUI 平臺，方便制訂各種安全策略。系統(tǒng)事件管理系統(tǒng)事件和日志的統(tǒng)計直接關(guān)系到整個安全平臺的完善和后續(xù)責(zé)任追查等多個方面，方正方御防火墻為用戶提供完整、準(zhǔn)確的數(shù)據(jù)統(tǒng)計結(jié)果，供查詢、打印等。31 / 1045 人民銀行內(nèi)聯(lián)網(wǎng)防火墻安全需求及方案對照說明 人民銀行內(nèi)聯(lián)網(wǎng)防火墻基本要求人民銀行內(nèi)聯(lián)網(wǎng)設(shè)置防火墻的目的是隔離內(nèi)部網(wǎng)、外部網(wǎng)和 DMZ 區(qū)（非軍事區(qū)） ，抵御多種模式的網(wǎng)絡(luò)攻擊，保護(hù)內(nèi)部網(wǎng)絡(luò)不受攻擊。? 方 正 方 御 防 火 墻 是 基 于 狀 態(tài) 檢 測 技 術(shù) 的 包 過 濾 防 火 墻 ， 擁 有 完 整 的 客體 訪 問 控 制 能 力 。 能 夠 對 控 制 范 圍 內(nèi) 任 何 主 體 和 客 體 執(zhí) 行 端 到 端 策 略 。通 過 對 主 、 客 體 的 規(guī) 則 策 略 的 配 置 可 以 控 制 主 、 客 體 的 訪 問 。? 方 正 方 御 防 火 墻 通 過 設(shè) 置 允 許 、 禁 止 以 及 對 已 建 、 新 建 、 相 關(guān) 、 非 法四 種 狀 態(tài) 的 檢 測 訪 問 ， 擁 有 授 權(quán) 與 拒 絕 能 力 。 為 主 體 和 客 體 的 安 全 屬性 提 供 明 確 的 訪 問 保 障 和 拒 絕 。? 方 正 方 御 防 火 墻 擁 有 多 種 安 全 屬 性 訪 問 控 制 。 防 火 墻 的 策 略 控 制 范 圍包 括 ： 源 地 址 、 目 的 地 址 、 源 端 口 號 、 目 的 端 口 號 、 傳 輸 協(xié) 議 ， 連 接32 / 104狀 態(tài) ， 以 及 碎 片 檢 測 等 所 有 要 素 。? 方 正 方 御 防 火 墻 具 備 安 全 審 計 功 能 模 塊 。 能 夠 對 入 侵 檢 測 、 流 量 控 制 、防 火 墻 自 身 操 作 、 代 理 服 務(wù) 器 等 進(jìn) 行 安 全 審 計 ， 并 且 將 其 審 計 結(jié) 果 詳細(xì) 的 記 錄 在 日 志 中 ， 通 過 自 帶 的 統(tǒng) 計 模 塊 ， 管 理 人 員 可 以 自 動 或 者 手動 地 將 其 統(tǒng) 計 成 為 報 表 。? 方 正 方 御 防 火 墻 安 全 策 略 采 用 了 非 旁 路 性 的 設(shè) 計 ， 即 所 有 流 過 防 火 墻的 信 息 包 都 要 經(jīng) 過 防 火 墻 的 配 置 規(guī) 則 的 檢 測 ， 不 會 出 現(xiàn) 信 息 包 繞 過 防火 墻 的 配 置 策 略 進(jìn) 入 受 保 護(hù) 網(wǎng) 絡(luò) 的 情 況 。 防 火 墻 能 夠 充 分 保 證 任 何 與安 全 有 關(guān) 的 操 作 被 執(zhí) 行 前 ， 均 通 過 安 全 策 略 的 檢 查 。? 方 正 方 御 防 火 墻 自 身 擁 有 非 常 高 的 安 全 性 。 方 正 方 御 防 火 墻 采 用 專 用的 操 作 系 統(tǒng) ， 用 戶 或 者 黑 客 不 會 了 解 其 操 作 系 統(tǒng) 的 任 何 信 息 ， 無 從 對防 火 墻 的 操 作 系 統(tǒng) 進(jìn) 行 攻 擊 。 同 時 在 管 理 上 使 用 專 有 的 控 制 接 口 ， 將管 理 信 息 與 其 他 信 息 隔 離 開 的 同 時 還 采 用 了 基 于 PKI 的 方 式 確 保 管 理信 息 的 安 全 性 。? 方 正 方 御 防 火 墻 擁 有 完 善 的 管 理 功 能 ， 能 夠 支 持 安 全 的 集 中 管 理 ， 能區(qū) 分 安 全 管 理 角 色 ， 采 用 了 三 級 管 理 體 系 ， 將 管 理 人 員 分 為 管 理 員 、審 計 員 、 策 略 員 三 種 。 結(jié) 合 人 民 銀 行 內(nèi) 聯(lián) 網(wǎng) 樹 型 結(jié) 構(gòu) 的 特 點(diǎn) ， 使 管 理33 / 104員 可 以 對 防 火 墻 實 施 安 全 的 遠(yuǎn) 程 管 理 及 維 護(hù) ， 并 能 夠 通 過 加 密 保 護(hù) 遠(yuǎn)程 管 理 會 話 。? 基 本 的 配 置 管 理 功 能 ， 用 戶 數(shù) 據(jù) 保 護(hù) 中 的 管 理 員 屬 性 的 修 改 和 查 詢 功能 ， 標(biāo) 識 與 鑒 別 功 能 。 人民銀行內(nèi)聯(lián)網(wǎng)防火墻功能要求 必備功能? 包過濾方正方御防火墻是基于包過濾的防火墻，通過對所有流經(jīng)防火墻的信息包內(nèi)的包頭信息進(jìn)行檢查，允許或阻止數(shù)據(jù)包的傳輸，以實現(xiàn)對網(wǎng)絡(luò)的安全控制。它可以阻止畸型報文和拒絕服務(wù)，防止外部 IP Spoofing，并可限制內(nèi)部職工對外網(wǎng)的訪問請求。同時防火墻內(nèi)置的強(qiáng)大的 IDS 系統(tǒng)可以實時的封禁可疑的 IP 及黑客的各種攻擊行為并報警。? 應(yīng)用代理方正方御防火墻提供應(yīng)用代理的功能，是針對應(yīng)用層的服務(wù)，對用戶應(yīng)用提供代理服務(wù)，即接收用戶的訪問請求、分析用戶數(shù)據(jù)，然后以自己的身份向內(nèi)容服務(wù)器提出請求，并把內(nèi)容服務(wù)器的響應(yīng)傳回給用戶。34 / 104? DMZ 的 劃 分方 正 方 御 防 火 墻 提 供 DMZ 的 劃 分 ， 能 夠 實 現(xiàn) 安 全 功 能 區(qū) 域 分 割 ， 把 控 制范 圍 內(nèi) 各 主 體 的 安 全 區(qū) 域 分 開 。 防 火 墻 除 了 提 供 內(nèi) 部 接 口 和 外 部 接 口 外 ， 還 提供 一 個 DMZ 區(qū) （ 非 軍 事 區(qū) ） 的 網(wǎng) 絡(luò) 接 口 。 在 DMZ 區(qū) 中 ， 可 以 設(shè) 置 公 共 應(yīng) 用 的服 務(wù) 設(shè) 備 ， 供 外 部 網(wǎng) 絡(luò) 有 條 件 地 訪 問 其 中 的 資 源 。? 地 址 轉(zhuǎn) 換方 正 方 御 防 火 墻 擁 有 雙 向 地 址 轉(zhuǎn) 換 功 能 （ NAT） ， 它 是 基 于 網(wǎng) 絡(luò) 層 的 應(yīng) 用 ，通 過 把 內(nèi) 部 網(wǎng) 絡(luò) （ 或 DMZ 區(qū) ） 的 信 息 包 內(nèi) 的 源 地 址 修 改 為 防 火 墻 的 外 部 端 口地 址 傳 向 外 部 網(wǎng) 絡(luò) ， 同 時 隱 藏 了 內(nèi) 部 網(wǎng) 絡(luò) （ 或 DMZ 區(qū) ） 的 IP 地 址 。 具 體 做 法為 ， 當(dāng) 用 戶 需 要 對 外 訪 問 時 ， 防 火 墻 會 將 用 戶 的 IP 地 址 轉(zhuǎn) 換 為 防 火 墻 的 外 部端 口 IP 地 址 ， 并 將 得 到 的 響 應(yīng) 再 轉(zhuǎn) 換 回 用 戶 的 IP 地 址 發(fā) 回 給 用 戶 ， 從 而 達(dá)到 內(nèi) 部 網(wǎng) 絡(luò) （ 或 DMZ 區(qū) ） 用 戶 訪 問 外 部 網(wǎng) 絡(luò) 資 源 的 目 的 。 這 種 做 法 既 可 以 使外 部 網(wǎng) 絡(luò) 無 法 了 解 內(nèi) 部 網(wǎng) 絡(luò) （ 或 DMZ 區(qū) ） 的 網(wǎng) 絡(luò) 結(jié) 構(gòu) ， 又 可 以 節(jié) 約 外 部 合 法的 IP 地 址 空 間 。 此 外 ， 方 正 方 御 防 火 墻 提 供 反 向 的 地 址 轉(zhuǎn) 換 功 能 ， 支 持 DMZ區(qū) 中 的 某 個 服 務(wù) 端 口 到 內(nèi) 部 地 址 的 一 對 一 映 射 ， 即 DMZ 區(qū) 中 的 地 址 向 內(nèi) 部 網(wǎng)絡(luò) 地 址 訪 問 時 ， 被 訪 問 的 IP 地 址 被 轉(zhuǎn) 換 為 指 定 的 DMZ 區(qū) 中 的 IP 地 址 。35 / 104? 完整的日志功能方正方御防火墻提供了完整的日志功能，由于防火墻的安全特性，使防火墻的日志成為及時發(fā)現(xiàn)系統(tǒng)的漏洞、分析系統(tǒng)可能受到的攻擊、判斷系統(tǒng)運(yùn)行的狀態(tài)及系統(tǒng)配置錯誤等問題的重要手段，因此方正方御防火墻能夠提供完整的日志功能。防火墻的運(yùn)行日志可以根據(jù)管理員的管理要求進(jìn)行針對性的設(shè)置，實時記錄到目標(biāo)文件或目標(biāo)數(shù)據(jù)庫中，并提供必要的手段使管理員可以查閱當(dāng)前及歷史的日志文件。? 高安全性的防火墻操作系統(tǒng)和軟件內(nèi)核由于防火墻軟件是基于特定操作系統(tǒng)之上的，因此必須對防火墻所使用操作系統(tǒng)的安全提出要求，以免因操作系統(tǒng)自身的漏洞導(dǎo)致防火墻的安全受到影響。方正方御防火墻采用的是專用的操作系統(tǒng)，安全性高，在操作系統(tǒng)上不會給黑客任何可趁之機(jī)。36 / 104 增強(qiáng)功能按照“三級互聯(lián)處強(qiáng)度一致，功能要求有所區(qū)別”的建設(shè)方針，在總行、分行營業(yè)管理部/省會城市中心支行二級網(wǎng)絡(luò)互聯(lián)區(qū)與商業(yè)銀行等其他金融機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)對接處的防火墻配置要求具備或?qū)硇枰獣r可擴(kuò)充至此增強(qiáng)功能。? 雙機(jī)熱備方正方御防火墻提供雙機(jī)熱備功能，在網(wǎng)絡(luò)中設(shè)置兩臺同等地位的防火墻產(chǎn)品，一主一從，從用防火墻中存有主用防火墻的設(shè)置鏡像，當(dāng)主用防火墻因故無法正常運(yùn)行時，從用防火墻可以自動取代主用防火墻運(yùn)作，提供應(yīng)急措施，從而保證整個網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定運(yùn)行。 防火墻性能防火墻系統(tǒng)不但要有完善的功能，還要有最佳的性能保證,確保安全與效率的平衡，人民銀行內(nèi)聯(lián)網(wǎng)中使用的防火墻必須符合國家相關(guān)標(biāo)準(zhǔn)和規(guī)范。? 方正方御防火墻提供標(biāo)準(zhǔn)的以太網(wǎng)接口，適合某人民銀行內(nèi)聯(lián)網(wǎng)的網(wǎng)絡(luò)接入模式、接口規(guī)范、網(wǎng)絡(luò)帶寬，方正方御防火墻擁有高吞吐量、高性能；時延小、時延抖動小等特點(diǎn)；包轉(zhuǎn)發(fā)率達(dá)到網(wǎng)絡(luò)要求；30 萬并發(fā)連接數(shù)不會限制現(xiàn)有應(yīng)用系統(tǒng)的正常使用。不會成為網(wǎng)絡(luò)瓶頸，或明顯影響網(wǎng)絡(luò)工作效率。37 / 104? 方正方御防火墻具有較高可靠性，不會降低某人民銀行信息系統(tǒng)現(xiàn)有的可靠性。? 方正方御防火墻采用的是專用的操作系統(tǒng)，具有很高的安全性，不存在可能被他人非法利用的安全漏洞。? 方正方御防火墻將內(nèi)網(wǎng)、外網(wǎng)、DMZ 和防火墻配置端分別連接于不同的網(wǎng)卡，實現(xiàn)最底層的網(wǎng)絡(luò)驅(qū)動隔離。提供三個 10M/100M 自適應(yīng)以太網(wǎng)口，及一個CONSOLE 口。38 / 104? 方正方御防火墻在管理上易管理、易維護(hù)。提供圖形化管理界面，易于理解的配置規(guī)則，簡捷的配置方法，最大限度地簡化管理員對防火墻產(chǎn)品的管理與維護(hù)工作。 防火墻管理防火墻能否充分發(fā)揮作用，不僅與產(chǎn)品功能性能緊密相關(guān)，日常的運(yùn)行管理也是至關(guān)重要的。相當(dāng)多的網(wǎng)絡(luò)入侵事件的發(fā)生，并非是防火墻不起作用，而是由于防火墻管理不善、操作和配置不當(dāng)，才使防火墻失去了應(yīng)有的防范作用。因此，網(wǎng)絡(luò)管理中心要進(jìn)行一定程度下的防火墻系統(tǒng)集中管理。對于方正方御防火墻，管理員可以通過一臺控制機(jī)對全網(wǎng)范圍內(nèi)的任何一臺防火墻設(shè)備進(jìn)行遠(yuǎn)程管理，實現(xiàn)對防火墻的配置、啟動、關(guān)閉、備份和恢復(fù)。通過提供多層登錄權(quán)限設(shè)置功能，靈活設(shè)置防火墻的訪問權(quán)限。此外，為保證集中管理（即通過遠(yuǎn)程方式對防火墻產(chǎn)品進(jìn)行管理與維護(hù)）的安全性要求，方正方御防火墻能夠限制進(jìn)行遠(yuǎn)程管理的 IP 地址；能夠加密保護(hù)遠(yuǎn)程管理會話，且方正方御防火墻的加密是符合國家密碼委的有關(guān)規(guī)定的。39 / 1046 人民銀行內(nèi)聯(lián)網(wǎng)安全管理建議 整體思路根據(jù)某人民銀行內(nèi)聯(lián)網(wǎng)網(wǎng)絡(luò)的情況提出對應(yīng)的管理建議。本建議僅包含了基本的原則和思路，需要某人民銀行系統(tǒng)相關(guān)人員通過協(xié)同工作，使安全管理與銀行本身的管理體系相融合，最終得到具體化的貫徹和實施。某人民銀行內(nèi)聯(lián)網(wǎng)網(wǎng)絡(luò)是一個比較完善的綜合網(wǎng)絡(luò)，整體結(jié)構(gòu)是—個通過WAN 連接的多級網(wǎng)絡(luò)，在網(wǎng)絡(luò)每一級的節(jié)點(diǎn)上具有一個局域網(wǎng)，在多級網(wǎng)絡(luò)上運(yùn)行著各個業(yè)務(wù)系統(tǒng)、服務(wù)系統(tǒng)、辦公自動化系統(tǒng)等，由于應(yīng)用系統(tǒng)的復(fù)雜性、管理人員的復(fù)雜性，制定一個合適的全網(wǎng)安全管理制度和安全策略是十分必要的。良好的管理平臺有助于增強(qiáng)系統(tǒng)的安全性，可以作到：■ 及時發(fā)現(xiàn)系統(tǒng)安全的漏洞■ 適時審查系統(tǒng)安全體系■ 加強(qiáng)對使用人員的安全知識教育■ 建立完善的系統(tǒng)管理制度 集中管理，統(tǒng)一規(guī)劃? 防火墻能不能正確發(fā)揮它應(yīng)有的作用，關(guān)鍵在于管理，某人民銀行內(nèi)聯(lián)網(wǎng)機(jī)構(gòu)復(fù)雜、覆蓋面廣，如何管理將是對全網(wǎng)安全的有一大難題和考驗，我們建議以人民銀行總行及大區(qū)行為中心，集中管理，某人民銀行統(tǒng)一規(guī)劃。總行及大區(qū)