◇系统背景
随着计算机网络的普及和发展,使得现有企业的网络体系结构越来越复杂。在网络结构复杂的同时,亦暴露了不少安全隐患。如何使得业务的高速推进与网络安全并驾齐驱,成为越来越热门的话题。
对于现代化的企业来讲,安全的网络系统是企业日常办公和业务应用的支撑体系。很多企业曾饱尝网络系统遭受攻击的痛苦,意识到网络安全的重要性,实施了简单的基于防火墙技术的安全解决策略,但绝大多数企业还处于观望态度,或者处于一种调研阶段。
为了避免各种各样利用计算机网络进行犯罪的刑事案件的发生,为了使系统遭受攻击时能够及时作出响应或者系统遭到破坏后尽可能的减少损失,设计出一整套企业网络安全体系成为迫切的需求。紫金企业网络安全体系应运而生。
◇系统特点
• 安全性和数据完整性:能够防止对网络的非法访问,保护关键的数据不被非法窃取、篡改或泄漏,使数据具有极高的可信性;提供了网络数据安全传输功能,消除了通信时的明码传输漏洞;通过对物理地址或有效授权用户的控制确保了主机接入的唯一性。
• 抗攻击性:所采用的防火墙技术提高了网络抗攻击能力。
• 实时性:通过网络监控,能及时对受到的攻击作出反应,产生报警信息,并能够对出现的网络安全问题提供调查的依据和手段。
• 易管理性:使用AAA的认证、授权和记帐方式,对用户进行统一授权、认证,便于网络管理员对各种网络设备进行集中管理。
• 稳定性:具有良好的备份功能,网络设备在出现故障时能及时得以恢复,确保企业业务可靠稳定的运行。
◇系统结构功能
1、金融网络安全
◎外部网络
• 在外部网络中,包括Internet、外单位等和本企业业务网络的互连以及移动用户与办公自动化网络的连接。业务网和办公自动化网分别通过路由器提供外部用户的接入,利用防火墙(如Cisco PIX Firewall、 CheckPoint Firewall等)保证内部网络不被外界探测的同时又不影响业务数据的传输。
• 利用CiscoSecure ACS for NT进行AAA的认证、授权和记帐功能,中心对用户进行统一的授权、认证。
• 在用户认证方面,则采用RSA公司的ACE进行一次性密码认证,确保用户密码的安全性。
◎内部网络
• 在内部网络中,分业务网和办公自动化网。业务网和办公自动化网均采用两台三层中心交换机,他们互为备份;网内所有核心服务器直接接入中心交换机中。采用虚拟网络(VLAN)和三层交换技术,保证了物理端口、IP地址与MAC地址的一一对应。
• 在业务网络中所有的业务服务器都使用ACE进行动态密码保护。对于登录网络设备(包括路由器、交换机和PIX)都需要经过ACS进行授权与记帐,并且在ACS中限制只有授权的主机可以登录到中心网络设备。
• 使用入侵检测系统(如Cisco IDS、CA Intrusion Detection和iS-One RealSecure等)对业务网中的数据进行实时监控,一旦发现有非法入侵,立即切断该TCP连接并记录。
• 定期使用安全扫描软件(如Cisco Secure Scanner、iS-One System Scanner、iS-One Internet Scanner、NAI CyberCop Scanner等)对整个网络、主机进行扫描,一旦发现网络安全漏洞,立即进行补救。
• 利用网络级防病毒软件(如Symentic、熊猫卫士等)定期更新病毒库、定期扫描企业网的病毒。
• 业务网和办公自动化网之间通过PIX防火墙进行隔离,进一步保护了业务网络的安全性。
◎广域网通信
企业广域网一般是由租用中国电信、广电公司的光纤、DDN线路组建的DDN或帧中继专网。考虑到广域网通信有可能被窃听、数据被篡改和非法设备的接入等安全隐患,我们采用VPN(如Cisco VPN、川大能士SVPN等)提供网络数据安全传输功能,消除了通信时的明码传输漏洞,同时保证了网络设备之间的互为认证,保证了网络设备接入的唯一性。
•
2、Internet 接入网络安全
