一、概述
1 X X 局网络安全项目的背景
X X 局是国家外汇管理的中央机构,对国家的宏观经济调控、经济政策制定、对外经济贸易政策制定提供依据,对与中央银行的宏观调控、预测、决策,更好地实现中央银行的监管职能起着积极、重要的作用。
X X 局一直非常重视本单位的计算机建设,经过多年的发展,根据外汇管理局的业务需求,采用国际上先进的网络技术,已建立起自己的总局管理信息网,形成自己 的Intranet。另外,总局与全国31个省级分局、在京的商业银行总行,以及Internet进行了广域网连接。
随着外汇体制改革的不断深入,X X 局系统的电子化应用不断增强,关键业务不断增长,内部网络上的应用系统越来越多。另外,由于与国际互联网 - Internet的连接,信息安全问题愈来愈显得突出。X X 局已敏锐地认识到网络安全的重要性。为提高X X 局信息的安全性,总局决定大力推动网络安全的建设,并提出[X X 局网络安全方案初步设想]。
我信息技术有限公司与美国网络联盟公司紧密合作,并以极大的信心和饱满的热情,在[X X 局网络安全方案初步设想] 的基础上,根据X X 局网络安全的特点和需求,本着切合实际、保护投资、着眼未来的原则,提出了针对X X 局安全需求的解决方案、实施计划、支持与服务、投资预算方案建议书。
我们相信本建议书中的设计能较好地满足X X 局网络安全系统的需求,并希望与X X 局有关领导进一步进行深入的讨论。
我们有决心积极参与X X 局为此组织的各项活动,有信心圆满完成X X 局的网络安全建设工程。
2 X X 局网络安全项目的建设意义
一方面,随着计算机技术、信息技术的发展,计算机网络系统必将成为X X 局各项业务的关键平台。另一方面,随着计算机网络系统的发展,计算机网络安全系统必将发挥越来越重要的作用。
X X 局网络安全系统的建立,必将为X X 局的业务信息系统、行政管理、信息交流提供一个安全的环境和完整平台。通过先进技术建立起的网络安全系统,可以从根本上解决来自网络外部及内部对网络安全造成的各种威胁,以最优秀的网络安全整体解决方案为基础形成一个更加完善的业务系统和办公自动化系统。利用高性能的网络安全环境,提供整体防病毒、防火墙、防黑客、数据加密、身份验证等于一身的功能,有效地保证秘密、机密文件的安全传输,严格地制止经济情报失、泄密现象发生,避免重大经济案件的发生。
另外,X X 局在当前总局的网络安全和今后的信息安全上取得的技术成果,将装备到全国范围外汇管理局系统的各级机构。因此,本项目的实施可以达到预期的经济及社会效益。
二、需求分析
1. X X 局的网络现状
X X 局管理信息网是X X 局信息中心根据外汇管理需求,采用国际上先进的、成熟的、开放的网络技术建立起来的管理网络。外汇管理信息网的建成,对于中央银行宏观调控、预测、决策,更好地实现中央银行的监管职能起到了积极的作用。
管理信息网整体结构是-个通过WAN连接的多级网络,在网络每一级的节点上具有一个局域网,在网络上运行着业务系统、办公自动化等不同的应用系统,另外还具有对外服务、Internet等应用,管理信息网采用TCP/IP平台,整个网络由四个部分组成,如下图所示:
1). 内部网络:总局办公楼内局域网。主干是ATM(FORE交换机),边缘是以太网的星形网络,该网络与外汇管理信息广域网构成外汇局系统内部网络,采用A类地址,C类掩码。
功能:为办公自动化系统、各应用系统的客户机提供信息传输通道。
2). 连接省级分局的广域网:连接全国31个省级分局的广域网。,采用Cisco 7000路由器与总局Fore ATM交换机相连,广域网是利用X.25和PSTN为基础的星树形网,今后将升级为帧中继网。
功能:为国家外汇管理总局、省级分局信息传输渠道,并提供公共信息平台。
3). 连接银行的广域网:连接在京的商业银行总行的广域网。利用X.25和PSTN网,采用Cisco AS 5100访问服务器与总局Fore ATM交换机相连。
功能:利用X.25和PSTN为商业银行总行提供信息传输渠道。
4). 连接Internet的局域网:由Web Server、DNS Server、Proxy Server和若干客户终端组成。它通过PH7000交换机进入国家外汇管理总局局域网,通过该网络为总局内部人员提供Web和Email服务,并提供Internet上的Web主页。
功能:为总局内部网络用户提供进入Internet的WWW服务及电子邮件服务,并对外提供WWW服务。
2. X X 局的网络安全现状
目前,X X 局对网络安全采取的主要措施有:
(1) 利用操作系统、数据库、电子邮件、应用系统本身的安全性,对用户进行权限控制。
(2) 在连接省级分局的广域网接口处,通过Cisco 7000路由器的IP包过滤及访问控制列表(ACL)功能,做了一定的安全控制。
(3) 在连接银行的广域网接口处,通过Cisco AS 5100访问服务器的IP包过滤及访问控制列表(ACL)功能,做了一定的安全控制。
(4) 在连接Internet的广域网接口处,通过Cisco 2509路由器的IP包过滤及访问控制列表(ACL)功能,进行安全控制。
(5) 在连接Internet的广域网接口处,设置了Internet接入网,并利用代理服务器Proxy进行安全控制。 实际上,仅靠以上几项安全措施,不能达到X X 局网络安全的要求。
3. X X 局的主要网络安全威胁
由于X X 局的管理信息网上的网络体系越来越复杂,应用系统越来越多,网络规模不断扩大,逐渐由Intranet发展到Extranet,现在已经扩展到Internet,网络用户也已经不单单X X 局的内部用户。而网络安全主要是由处于中心节点的、外汇管理局楼内的ATM交换机和相关连接广域网的路由器直接承担对外部用户的访问控制工作,且内部网络直接与外部网络相连,对整个网络安全形成了巨大的威胁。
具体分析,对X X 局网络安全构成威胁的主要因素有:
1) 内部网络和外部网络之间的连接为直接连接,外部用户不但可以访问对外服务的服务器,同时也容易地访问内部的网络服务器,这样,由于内部和外部没有隔离措施,内部系统较容易遭到攻击。
2) 来自内部网的病毒的破坏;
3) 内部用户的恶意攻击、误操作,但由于目前发生的概率较小,本部分暂不作考虑。
4) 来自外部网络的攻击,具体有三条途径: ? Internet连接的部分; ? 与各分局连接的部分; ? 与商业银行连接的部分;
5) 外部网的破坏主要的方式为: ? 黑客用户的恶意攻击、窃取信息, ? 通过网络传送的病毒和Internet的电子邮件夹带的病毒。 ? 来自Internet 的Web浏览可能存在的恶意Java/ActiveX控件。
6) 缺乏有效的手段监视、评估网络系统和操作系统的安全性。目前流行的许多操作系统均存在网络安全漏洞,如UNIX服务器,NT服务器及Windows桌面PC。
7) 缺乏一套完整的安全策略、政策。
其中,目前最主要的安全威胁是来自网络外部用户(主要是分局用户、银行用户和Internet用户)的攻击。
4. X X 局的网络安全需求分析
① 总体需求分析 在外汇管理信息网中,目前我们视X X 局各分局和各商业银行及Internet为外部网络,X X 局楼内的局域网为内部网。
1). 来自于外部网络的访问,除有特定的身份认证外,只能到达指定的访问目的地,不能访问内部资源。
2). 网络内部用户对外的访问必须经过授权才能访问外部的Server。授权和代理由防火墙来完成。
3). 对于外部网络来说,内部网络的核心---交换机是不可见的,交换机作为楼内网络的一部分。
4). 外部网络不能直接对内部网络进行访问,外部网络客户访问内部Server时通过外部服务提供设备进行,该外部服务提供设备起到访问的中介作用,保证了内部关键信息资源的安全。
5). 外部服务提供设备与内部的dB Server之间数据交换应安全审慎,可选取方式 :? 禁止两者之间链路通讯,数据交换采用文件拷贝方式; ? 两者之间采用加密通讯; ? 两者之间授权访问,通过外部服务提供设备进行代理。
②
具体各子系统的安全需求 外汇管理局网络部署了众多的网络设备、服务器,保护这些设备的正常运行,维护主要业务系统的安全,是外汇管理局网络的基本安全需求。外汇管理局网络为多级应用网络系统,对于各级子系统均在不同程度上要求充分考虑网络安全。
1). 外汇管理业务系统的安全需求: 与普通网络应用不同的是,业务系统是外汇管理局应用的核心。外汇管理局的业务系统包括总局对分局和各商业银行的各类系统。对于业务系统应该具有最高的网络安全措施。
外汇管理局网络应保障: ? 访问控调,确保业务系统不被非法访问。即禁止银行分局之间的非法访问。 ? 数据安全,保证各类服务器系统的整体安全性和可靠性。 ? 入侵检测,对于试图破坏业务系统的恶意行为能够及时发现、记录和跟踪,提供非法攻击的犯罪证据。
? 来自网络内部其他系统的破坏,或误操作造成的安全隐患。
2). Internet服务平台的安全需求: Internet服务平台分为两个部分:提供外汇管理局总局的网络用户对Internet的访问;提供Internet对总局网内服务的访问。
总局内网络客户对Internet的访问,有可能带来某些类型的网络安全。如通过电子邮件、FTP引入病毒、危险的Java或ActiveX应用等。因此,需要在网络内对上述情况提供集成的网络病毒检测、消除等操作。
提供给Internet的网络服务按照应用类型可分为: ? 普通服务: 该种服务通常需要保障系统抵抗和检测攻击的能力。即一般的WWW应用如:HTTP、FTP、MAIL等服务。 ? 商业应用: 商业应用更要考虑严格的安全要求,而且还希望提供不停顿的服务。
5. X X 局网络安全的系统目标
