【導(dǎo)讀】北京啟明星辰信息技術(shù)股份有限公司©2021版權(quán)所有，保留一切權(quán)力。復(fù)寫本文檔的全部或部分內(nèi)容。并受中國知識產(chǎn)權(quán)法和國際公約的保護。本文檔及其相關(guān)計算機軟件程序僅用于為最終用戶提供信息，并且隨時可由北京啟明星辰信息技術(shù)股份有限公司更改或撤回。括任何隱含的適銷性、特殊目的適用性或無侵害性。本文檔中所有引用產(chǎn)品的使用及本文檔均受最終用戶可適用的特許協(xié)議約束。本文檔由北京啟明星辰信息技術(shù)股份有限公司2021年3月制作出版。

　　

【正文】 環(huán)境 域 支行的柜面業(yè)務(wù)（包括 遠端前置機 及 ATM）歸屬計算環(huán)境域一般 服務(wù)區(qū)。計算環(huán)境域在圖中用綠色標出。 ? 支撐設(shè)施 域 監(jiān)控設(shè)備歸屬支撐設(shè)施域操作監(jiān)控區(qū)。支撐設(shè)施域在圖中用紫色標出。 安全域規(guī)劃 如下圖所示： 圖 16. 支行安全域網(wǎng)絡(luò)劃分圖 安全域歸屬 對應(yīng)以上安全域 規(guī)劃 ，結(jié)合 XXXXX當前 實際情況，對總行數(shù)據(jù)中心的業(yè)務(wù)主機進行對應(yīng)域歸屬，詳細清單可參看《安全域主機清單》。 安全源自未雨綢繆，誠信貴在風雨同舟 北京啟明星辰信息技術(shù) 股份 有限公司 28 網(wǎng)絡(luò)等級和層次 每個大安全域內(nèi)的網(wǎng)絡(luò)根據(jù)提供的業(yè)務(wù)和應(yīng)用的不同，對安全重要性和等級的要求也不一樣，因此我們把 XXXXX 網(wǎng)絡(luò)先劃分 為 3 個等級的網(wǎng)絡(luò) ： 級別 安全域 3 級 核心業(yè)務(wù)系統(tǒng)區(qū)、 核心業(yè)務(wù)前置區(qū) 、 網(wǎng)絡(luò)管理區(qū) 、安全管理區(qū)、監(jiān)控管理區(qū) 2 級 測試 網(wǎng)區(qū) 、 MIS 系統(tǒng)區(qū)、 OA 服務(wù)器區(qū) 、 對外門戶網(wǎng)站區(qū) 、 總行生產(chǎn)網(wǎng)區(qū) 、支 行生產(chǎn)網(wǎng)區(qū) 、離 行生產(chǎn)網(wǎng)區(qū) 1 級 外聯(lián)應(yīng)用系統(tǒng)區(qū) 、遠程接入?yún)^(qū)、 生產(chǎn)辦公網(wǎng) 區(qū)、總行 生產(chǎn)辦公網(wǎng) 、支行 生產(chǎn)辦公網(wǎng) 、 OA 網(wǎng)區(qū)、總行 OA 網(wǎng)、支行 OA 網(wǎng)、開發(fā)網(wǎng)區(qū)、總行測試網(wǎng)、 金融通機具區(qū) 3 個等級的網(wǎng)絡(luò)區(qū)域分別用不同顏色、不同深淺程度在安全域網(wǎng)絡(luò)劃分圖中表示，顏色越深代表安全域的級別越高，反之越低。 安全源自未雨綢繆，誠信貴在風雨同舟 北京啟明星辰信息技術(shù) 股份 有限公司 29 第 5章 安全域防護詳細設(shè)計方案 安全域邊界識別 識別安全域邊界是為信息系統(tǒng)提供安全保護、設(shè)計安全策略、控制風險的重要前提。信息系統(tǒng)劃分安全域后，各域業(yè)務(wù)系統(tǒng) 之間訪問是通過邊界進行，安全域的邊界 是 其它域或 外界進入 信息 網(wǎng)絡(luò) 系統(tǒng) 的主要通道 ，因此域邊界就是信息系統(tǒng)的風險控制點。 經(jīng)過對 XXXXX 綜合業(yè)務(wù)系統(tǒng)、辦公管理系統(tǒng)、公共信息發(fā)布系統(tǒng)以及開發(fā)測試系統(tǒng)等數(shù)據(jù)流分析和業(yè)務(wù)邏輯分析，由上圖可以識別出 XXXXX 安全域邊界如下： ? 生產(chǎn)網(wǎng) 邊界 邊界一 ：核心業(yè)務(wù)前置區(qū)訪問核心業(yè)務(wù)系統(tǒng)區(qū) 邊界二 ：總行生產(chǎn)網(wǎng)區(qū)訪問核心業(yè)務(wù)前置區(qū) 邊界三 ：支行生產(chǎn)網(wǎng)區(qū)訪問核心業(yè)務(wù)前置區(qū) 邊界四 ：離行生產(chǎn)網(wǎng)區(qū)訪問核心業(yè)務(wù)前置區(qū) 邊界五 ： MIS 系統(tǒng)區(qū)訪問核心業(yè)務(wù)前置區(qū) 邊界六 ：外聯(lián)應(yīng)用系統(tǒng)區(qū)訪問核心業(yè)務(wù)前置區(qū) 邊界七 ：外聯(lián)單位網(wǎng)絡(luò)訪問核心業(yè)務(wù)前 置區(qū) 邊界八 ：外聯(lián)單位網(wǎng)絡(luò)訪問外聯(lián)應(yīng)用系統(tǒng)區(qū) 邊界九 ： 金融通機具網(wǎng) 區(qū)訪問外聯(lián)應(yīng)用系統(tǒng)區(qū) 邊界十 ：離行生產(chǎn)網(wǎng)區(qū)訪問外聯(lián)應(yīng)用服務(wù)區(qū) 邊界十一 ： 生產(chǎn)辦公網(wǎng) 區(qū)訪問生產(chǎn)應(yīng)用服務(wù)區(qū) 邊界十二 ：生產(chǎn)辦公網(wǎng)訪問外單位業(yè)務(wù)網(wǎng)絡(luò) 邊界十三 ：核心業(yè)務(wù)前置區(qū)訪問測試網(wǎng)區(qū) 邊界十四 ：總行測試網(wǎng)區(qū)訪問測試網(wǎng)區(qū) 邊界十五 ：生產(chǎn)辦公網(wǎng)訪問 MIS 系統(tǒng)區(qū) 邊界十六 ：辦公網(wǎng) OA 系統(tǒng)區(qū)跟生產(chǎn)網(wǎng)數(shù)據(jù)同步區(qū) ? 辦公網(wǎng) 邊界 安全源自未雨綢繆，誠信貴在風雨同舟 北京啟明星辰信息技術(shù) 股份 有限公司 30 邊界一 ：辦公客戶端網(wǎng)訪問 OA 系統(tǒng)區(qū) 邊界二 ：總行辦公客戶端網(wǎng)訪問 OA 系統(tǒng)區(qū) 邊界三 ：開發(fā)網(wǎng)區(qū)訪問測試網(wǎng)區(qū) 邊界四 ： Inter（遠程辦公及維護）訪問遠程接入?yún)^(qū) ? 互聯(lián)網(wǎng) 邊界 邊界一 ：開發(fā)網(wǎng)區(qū)訪問 Inter 邊界二 ：辦公客戶端網(wǎng) 區(qū)訪問 Inter 邊界三 ： Inter 訪問互聯(lián)網(wǎng)網(wǎng)站區(qū) 域邊界防護策略 根據(jù)安全域等級劃分和邊界保護原則，不同等級間必須采取相應(yīng)的安全防護策略。對于可控子域之間的互訪，安全設(shè)施的部署盡量在高安全等級側(cè)。對于與不可控子域間的互訪，不同等級側(cè)均需部署安全防護措施。在進行等級保護的同時，要定期對各子域進行風險評估并及時更新安全防護措施。 總行數(shù)據(jù)中心網(wǎng)絡(luò) ? 總體策略 總行數(shù)據(jù)中心網(wǎng)絡(luò)總體分為三個網(wǎng)絡(luò)大區(qū)：生產(chǎn)網(wǎng)、辦公網(wǎng)、互聯(lián)網(wǎng)。其中生產(chǎn)網(wǎng)跟辦公網(wǎng)之間通過硬件防火墻進行邏輯隔離，兩網(wǎng)之間的數(shù)據(jù)傳輸通過數(shù)據(jù)交換區(qū)進 行數(shù)據(jù)交互，并且為單向傳輸；辦公網(wǎng)跟互聯(lián)網(wǎng)區(qū)之間通過硬件防火墻進行邏輯隔離，并且與跟生產(chǎn)網(wǎng)隔離的防火墻為異構(gòu)防火墻。 ? 生產(chǎn)網(wǎng) 生產(chǎn)網(wǎng)中的各子域分為三個等級。 核心業(yè)務(wù)系統(tǒng)區(qū)、 核心業(yè)務(wù)前置區(qū) 屬于最高級第三級，其中核心業(yè)務(wù)系統(tǒng)區(qū)是綜合業(yè)務(wù)系統(tǒng)的后臺數(shù)據(jù)處理系統(tǒng)，其訪問來源將嚴格控制，應(yīng)只被核心業(yè)務(wù)前置區(qū)訪問；核心業(yè)務(wù)前置區(qū)是綜合業(yè)務(wù)系統(tǒng)的大前置，應(yīng)只能被二級網(wǎng)絡(luò)訪問，包括總行、支行生產(chǎn)網(wǎng)以及離行 ATM 直接訪問。三級網(wǎng)絡(luò)通過業(yè)務(wù)邊界硬件防火墻設(shè)置訪問控制策略實現(xiàn)保護，同時通過網(wǎng)絡(luò)入侵檢測系統(tǒng) IDS 及網(wǎng)絡(luò)審計系統(tǒng)進行 實時威脅監(jiān)控和業(yè)務(wù)操作記錄。但目前核心業(yè)務(wù)前置可以被外聯(lián)單位直接訪問，造成巨大的安全隱患，我們建議對其 安全源自未雨綢繆，誠信貴在風雨同舟 北京啟明星辰信息技術(shù) 股份 有限公司 31 架構(gòu)進行進一步深入的業(yè)務(wù)應(yīng)用架構(gòu)評估。二級網(wǎng)絡(luò)包括 測試網(wǎng)區(qū) 、 MIS 系統(tǒng)區(qū)。另外，還有一級網(wǎng)絡(luò)包括： 外聯(lián)應(yīng)用系統(tǒng)區(qū) 、 生產(chǎn)辦公網(wǎng) 區(qū)。對于生產(chǎn)網(wǎng)的核心骨干以及外聯(lián)應(yīng)用系統(tǒng)區(qū)通過 IDS 進行實時威脅監(jiān)控和檢測。 對這些安全域的等級保護從業(yè)務(wù)數(shù)據(jù)流角度來看，要求高等級安全域允許向低等級安全域發(fā)起業(yè)務(wù)訪問的請求，保證發(fā)送數(shù)據(jù)的機密性，鑒別低等級安全域的合法性，對接受的數(shù)據(jù)進行完整性校驗，對業(yè)務(wù)操作進行日志記錄與審計；低等 級安全域向高等級安全域只允許受限訪問，保證發(fā)送數(shù)據(jù)的完整性，對業(yè)務(wù)操作進行日志記錄與審計。在基于等級保護原則同時遵循策略最大化原則。 另外， 將網(wǎng)絡(luò)管理、安全管理和業(yè)務(wù)運維（業(yè)務(wù)操作監(jiān)控）放置在獨立的安全域中， 并且 處于獨立的管理 VLAN中。 ? 辦公網(wǎng) 辦公網(wǎng)中各子域分為兩個等級。 OA 服務(wù)器區(qū)為二級，辦公客戶端及開發(fā)網(wǎng)以及遠程辦公接入網(wǎng)區(qū)為一級。二級網(wǎng)絡(luò)通過硬件防火墻進行保護，允許一級網(wǎng)絡(luò)訪問二級網(wǎng)絡(luò)的有限服務(wù)資源，如只開放 OA 辦公需要的端口和服務(wù)。 終端部署防病毒及桌面終端管理軟件。 ? 互聯(lián)網(wǎng) 互聯(lián)網(wǎng)策略包括三個部 分。第一部分是辦公客戶端及開發(fā)網(wǎng)對互聯(lián)網(wǎng)的訪問進行通過邊界硬件防火墻進行策略控制；第二部分是遠程辦公用戶，通過動態(tài)口令雙因素認證撥號及 VPN 撥號接入到辦公網(wǎng)的遠程接入?yún)^(qū)，對于遠程接入?yún)^(qū)的策略通過網(wǎng)絡(luò)入侵監(jiān)測系統(tǒng) IDS 及審計進行監(jiān)控和記錄；第三部分是 Inter 訪問網(wǎng)站及郵件服務(wù)器的防護策略通過邊界硬件防火墻實現(xiàn)，并通過 IDS 進行實時監(jiān)控。 總行營業(yè)部網(wǎng)絡(luò) ? 總體策略 總行營業(yè)部的生產(chǎn)網(wǎng)跟辦公網(wǎng)之間是物理隔離。 ? 生產(chǎn)網(wǎng) 總行營業(yè)部生產(chǎn)網(wǎng)通過兩條專線鏈路跟總行數(shù)據(jù)中心生產(chǎn)網(wǎng)進行連接，一條作為主線路，一條作為備 份線路。生產(chǎn)網(wǎng)區(qū)域之間通過劃分不同 VLAN，及交換 安全源自未雨綢繆，誠信貴在風雨同舟 北京啟明星辰信息技術(shù) 股份 有限公司 32 機 ACL 配置進行訪問控制。 ? 辦公網(wǎng) 總行營業(yè)部辦公網(wǎng)通過一條專線鏈路連接至總行數(shù)據(jù)中心辦公網(wǎng)。終端部署防病毒及桌面終端管理軟件。 支行網(wǎng)絡(luò) ? 總體策略 支行的生產(chǎn)網(wǎng)跟辦公網(wǎng)之間是物理隔離。 ? 生產(chǎn)網(wǎng) 支行生產(chǎn)網(wǎng)通過兩條專線鏈路跟總行數(shù)據(jù)中心生產(chǎn)網(wǎng)進行連接，一條作為主線路，一條作為備份線路。生產(chǎn)網(wǎng)區(qū)域之間通過劃分不同 VLAN，及交換機 ACL配置進行訪問控制。 ? 辦公網(wǎng) 支行辦公網(wǎng)通過一條專線鏈路連接至總行數(shù)據(jù)中心辦公網(wǎng)。終端部署防病毒及桌面終端管理軟件。 安全產(chǎn)品部 署 邏輯操作 通過在交換機上劃分 VLAN/PVLAN 實現(xiàn)域結(jié)構(gòu)的邏輯邊界分離；不同級別安全域之間通信數(shù)據(jù)流向控制和邏輯邊界分離采用防火墻實現(xiàn)；對于可進行網(wǎng)絡(luò)遠程操作的核心業(yè)務(wù)，需要部署網(wǎng)絡(luò)入侵檢測系統(tǒng)結(jié)合業(yè)務(wù)網(wǎng)審計系統(tǒng)進行網(wǎng)絡(luò)行為和業(yè)務(wù)操作行為的監(jiān)控；提供對外業(yè)務(wù)和中間業(yè)務(wù)的系統(tǒng)，需要通過防火墻實現(xiàn)邏輯邊界分離，并結(jié)合網(wǎng)絡(luò)入侵檢測系統(tǒng)實現(xiàn)業(yè)務(wù)系統(tǒng)安全風險監(jiān)控；在各個重要業(yè)務(wù)區(qū)域內(nèi)按需定期進行網(wǎng)絡(luò)脆弱性掃描，對業(yè)務(wù)系統(tǒng)進行實時風險采集和評估；不同級別業(yè)務(wù)系統(tǒng)之間邏輯劃分原則上不能相互嵌套， 兩個高等級業(yè)務(wù)系統(tǒng)之 間訪問的數(shù)據(jù)不能流經(jīng)低等級業(yè)務(wù)系統(tǒng)或者無關(guān)業(yè)務(wù)系統(tǒng) 。 以下部分按照安全域劃分的結(jié)果，分別就邊界接入域、計算環(huán)境域、網(wǎng)絡(luò)基礎(chǔ)設(shè)施域和支撐性設(shè)施域的安全策略設(shè)計，結(jié)合安全基線及防護手段進行詳細描 安全源自未雨綢繆，誠信貴在風雨同舟 北京啟明星辰信息技術(shù) 股份 有限公司 33 述。 邊界接入域部署 考慮到對邊界接入域的主要威脅來自于外部入侵、病毒蠕蟲和越權(quán)訪問，邊界接入域的防護手段主要采取訪問控制、安全遠程接入和入侵檢測。 在外聯(lián)、互連和內(nèi)聯(lián)邊界通過防火墻、接入交換機針對訪問內(nèi)部業(yè)務(wù)需要的不同業(yè)務(wù)端口，采用訪問控制列表進行訪問控制，以實現(xiàn)邏輯邊界隔離； 原通過撥號進行設(shè)備維護的遠程用戶改為通過 點對端 VPN+動態(tài)口令的接入方式，從 Inter 接入的遠程辦公用戶鏈路采用 IPSec 加密，結(jié)合動態(tài)口令認證， VPN 網(wǎng)關(guān)的 RADIUS 服務(wù)器可使用原網(wǎng)絡(luò)管理區(qū)的 ACS Server，不推薦遠程用戶直接對內(nèi)部網(wǎng)絡(luò)主機進行操作，但設(shè)計預(yù)留將來對主機進行操作的邏輯網(wǎng)絡(luò)通道，保證網(wǎng)絡(luò)的可擴展性； 由于邊界接入點較多且呈分散狀態(tài)，在邊界接入域內(nèi)不直接部署 IDS，而在網(wǎng)絡(luò)骨干交換上部署 IDS 監(jiān)控所有從邊界到內(nèi)部的入侵和攻擊行為，在對外和對公服務(wù)器區(qū)部署 IDS 監(jiān)控對服務(wù)器群的入侵和攻擊行為，將在以下的章節(jié)中具體描述。 計算環(huán)境域部署 考慮到對計算環(huán)境域的主要威脅主要來自于內(nèi)部人員的越權(quán)、濫用、操作失誤和抵賴等，計算環(huán)境域的防護手段主要采取基于應(yīng)用并結(jié)合身份認證的行為審計，輔助以訪問控制和入侵檢測等手段。 在核心計算區(qū)的業(yè)務(wù)核心系統(tǒng)和核心應(yīng)用系統(tǒng)分別部署一套啟明星辰天闐網(wǎng)絡(luò)入侵檢測與管理系統(tǒng)，用以監(jiān)控外部對核心計算區(qū)可能存在的入侵和攻擊行為，實時監(jiān)控并采集當前核心計算區(qū)發(fā)生的安全事件和安全趨勢，并上報至安全管理中心進行區(qū)域風險分析； 在 2 個核心計算區(qū)中分別部署一套啟明星辰天玥網(wǎng)絡(luò)安全審計系統(tǒng)， 根據(jù)制定的安全審計策略進行審計 響應(yīng) ，對業(yè)務(wù)系統(tǒng)核心系統(tǒng)和核心應(yīng)用系統(tǒng)實現(xiàn)命令級別、訪問邏輯級別的的認證和審計；天玥網(wǎng)絡(luò)安全審計系統(tǒng)可以精確地記錄對核心計算區(qū)內(nèi)服務(wù)器的任何訪問，并對可疑的訪問實時告警。 安全源自未雨綢繆，誠信貴在風雨同舟 北京啟明星辰信息技術(shù) 股份 有限公司 34 另外在 2 個核心計算區(qū)中定時進行網(wǎng)絡(luò) 脆弱性掃描 和檢測，將當前業(yè)務(wù)系統(tǒng)的風險漏洞趨勢以及分類統(tǒng)計信息上報至安全管理中心進行區(qū)域脆弱性分析； OA 服務(wù)器所在核心計算區(qū)的入侵檢測和脆弱性掃描，由部署在核心交換上的啟明星辰天闐網(wǎng)絡(luò)入侵檢測和掃描系統(tǒng)以及啟明星辰天鏡網(wǎng)絡(luò)脆弱性掃描系統(tǒng)完成； 在對公提供業(yè)務(wù)的 DMZ 服務(wù)器區(qū)和對外提供業(yè)務(wù)的對外服務(wù)器區(qū)這 2 個重要服務(wù)器區(qū)分別部署一套啟明星辰天闐網(wǎng)絡(luò)入侵檢測與管理系統(tǒng)，實現(xiàn)與核心計算區(qū)相同的功能監(jiān)控功能； 位于總行和分行營業(yè)部前置機作為重要服務(wù)區(qū)的“飛地”，同樣要采取與其他位于總行網(wǎng)絡(luò)數(shù)據(jù)中心的重要服務(wù)器區(qū)相同的安全策略，前置機的入侵檢測和網(wǎng)絡(luò)脆弱性分析，采用部署在核心交換上的一套啟明星辰天闐網(wǎng)絡(luò)入侵檢測與管理系統(tǒng)和啟明星辰天鏡分布式網(wǎng)絡(luò)脆弱性掃描與管理系統(tǒng)實現(xiàn)，實現(xiàn)與總行網(wǎng)絡(luò)數(shù)據(jù)中心重要服務(wù)器區(qū)相同的功能。 網(wǎng)絡(luò)基礎(chǔ)設(shè)施域部署 考慮到對網(wǎng)絡(luò)基礎(chǔ)設(shè)施域的主要威脅來自于網(wǎng)絡(luò)設(shè)備故障、網(wǎng)絡(luò)泄密以及物理環(huán)境安全性的 威脅，網(wǎng)絡(luò)基礎(chǔ)設(shè)施域的防護手段主要采取基于保密性的網(wǎng)絡(luò)傳輸加密、基于完整性的網(wǎng)絡(luò)認證和基于可用性的備份及冗余等手段。 在 XXXXX 目前的網(wǎng)絡(luò)結(jié)構(gòu)中，重要設(shè)備均采用了雙機雙鏈路的部署方式，對于總行網(wǎng)絡(luò)數(shù)據(jù)中心內(nèi)部的網(wǎng)絡(luò)設(shè)備維護，可以采用帶外管理，通過串口連接進行操作；網(wǎng)絡(luò)內(nèi)有啟用路由協(xié)議的網(wǎng)絡(luò)設(shè)備，建議開啟兩端設(shè)備的路由協(xié)議認證功能，使用交換機連接的鏈路，開啟兩端設(shè)備的 MAC 地址綁定功能；位于總行營業(yè)部和分行的網(wǎng)絡(luò)設(shè)備維護，需要通過網(wǎng)絡(luò)登錄的，建議采用結(jié)合 AAA 或者動態(tài)口令的登錄認證方式。 支撐性設(shè)施域部署 考慮到對支撐性設(shè)施域的主要威脅來自于網(wǎng)絡(luò)傳輸泄密、非授權(quán)訪問和濫用以及內(nèi)部人員抵賴，支撐性設(shè)施域的防護手段主要采取帶外管理和網(wǎng)絡(luò)加密、身份認證和訪問控制以及審計和檢測等手段。 安全源自未雨綢繆，誠信貴在風雨同舟 北京啟明星辰信息技術(shù) 股份 有限公司 35 在操作監(jiān)控區(qū)部分，將原來使用撥號登錄維護服務(wù)器的方式重新設(shè)計為通過撥入 VPN 網(wǎng)關(guān)連接到維護服務(wù)器再通過串口連接 Terminal Server 進行帶外管理的方式：利舊原 A/S 路由器作為 Terminal Server，實現(xiàn)帶外管理，移動辦公用戶的網(wǎng)絡(luò)連接終結(jié)于維護服務(wù)器，維護服務(wù)器至 Terminal Server 至管理目標設(shè)備的鏈路均為串 口，在帶外管理模式下，網(wǎng)絡(luò)的管理控制信息與生產(chǎn)網(wǎng)絡(luò)相脫離，通過不同的邏輯信道傳送，大幅提高了管理安全性； 由于 SOC 核心服務(wù)器、運維工作站和各安全設(shè)備的控制臺以及 CA、