一、概述

1 X X 局网络安全项目的背景

    X X 局是国家外汇管理的中央机构，对国家的宏观经济调控、经济政策制定、对外经济贸易政策制定提供依据，对与中央银行的宏观调控、预测、决策，更好地实现中央银行的监管职能起着积极、重要的作用。

    X X 局一直非常重视本单位的计算机建设，经过多年的发展，根据外汇管理局的业务需求，采用国际上先进的网络技术，已建立起自己的总局管理信息网，形成自己 的Intranet。另外，总局与全国31个省级分局、在京的商业银行总行，以及Internet进行了广域网连接。

    随着外汇体制改革的不断深入，X X 局系统的电子化应用不断增强，关键业务不断增长，内部网络上的应用系统越来越多。另外，由于与国际互联网 - Internet的连接，信息安全问题愈来愈显得突出。X X 局已敏锐地认识到网络安全的重要性。为提高X X 局信息的安全性，总局决定大力推动网络安全的建设，并提出[X X 局网络安全方案初步设想]。

    我信息技术有限公司与美国网络联盟公司紧密合作，并以极大的信心和饱满的热情，在[X X 局网络安全方案初步设想] 的基础上，根据X X 局网络安全的特点和需求，本着切合实际、保护投资、着眼未来的原则，提出了针对X X 局安全需求的解决方案、实施计划、支持与服务、投资预算方案建议书。

    我们相信本建议书中的设计能较好地满足X X 局网络安全系统的需求，并希望与X X 局有关领导进一步进行深入的讨论。

    我们有决心积极参与X X 局为此组织的各项活动，有信心圆满完成X X 局的网络安全建设工程。

2 X X 局网络安全项目的建设意义

    一方面，随着计算机技术、信息技术的发展，计算机网络系统必将成为X X 局各项业务的关键平台。另一方面，随着计算机网络系统的发展，计算机网络安全系统必将发挥越来越重要的作用。

    X X 局网络安全系统的建立，必将为X X 局的业务信息系统、行政管理、信息交流提供一个安全的环境和完整平台。通过先进技术建立起的网络安全系统，可以从根本上解决来自网络外部及内部对网络安全造成的各种威胁，以最优秀的网络安全整体解决方案为基础形成一个更加完善的业务系统和办公自动化系统。利用高性能的网络安全环境，提供整体防病毒、防火墙、防黑客、数据加密、身份验证等于一身的功能，有效地保证秘密、机密文件的安全传输，严格地制止经济情报失、泄密现象发生，避免重大经济案件的发生。

　　另外，X X 局在当前总局的网络安全和今后的信息安全上取得的技术成果，将装备到全国范围外汇管理局系统的各级机构。因此，本项目的实施可以达到预期的经济及社会效益。

二、需求分析

1. X X 局的网络现状

    X X 局管理信息网是X X 局信息中心根据外汇管理需求，采用国际上先进的、成熟的、开放的网络技术建立起来的管理网络。外汇管理信息网的建成，对于中央银行宏观调控、预测、决策，更好地实现中央银行的监管职能起到了积极的作用。

　　管理信息网整体结构是-个通过WAN连接的多级网络，在网络每一级的节点上具有一个局域网，在网络上运行着业务系统、办公自动化等不同的应用系统，另外还具有对外服务、Internet等应用，管理信息网采用TCP/IP平台，整个网络由四个部分组成，如下图所示：
 
1). 内部网络：总局办公楼内局域网。主干是ATM（FORE交换机），边缘是以太网的星形网络，该网络与外汇管理信息广域网构成外汇局系统内部网络，采用A类地址，C类掩码。
　　功能：为办公自动化系统、各应用系统的客户机提供信息传输通道。
2). 连接省级分局的广域网：连接全国31个省级分局的广域网。，采用Cisco 7000路由器与总局Fore ATM交换机相连，广域网是利用X.25和PSTN为基础的星树形网，今后将升级为帧中继网。
　　功能：为国家外汇管理总局、省级分局信息传输渠道，并提供公共信息平台。
3). 连接银行的广域网：连接在京的商业银行总行的广域网。利用X.25和PSTN网，采用Cisco AS 5100访问服务器与总局Fore ATM交换机相连。
　　功能：利用X.25和PSTN为商业银行总行提供信息传输渠道。
4). 连接Internet的局域网：由Web Server、DNS Server、Proxy Server和若干客户终端组成。它通过PH7000交换机进入国家外汇管理总局局域网，通过该网络为总局内部人员提供Web和Email服务，并提供Internet上的Web主页。
　　功能：为总局内部网络用户提供进入Internet的WWW服务及电子邮件服务，并对外提供WWW服务。

2. X X 局的网络安全现状

目前，X X 局对网络安全采取的主要措施有：

(1) 利用操作系统、数据库、电子邮件、应用系统本身的安全性，对用户进行权限控制。
(2) 在连接省级分局的广域网接口处，通过Cisco 7000路由器的IP包过滤及访问控制列表（ACL）功能，做了一定的安全控制。
(3) 在连接银行的广域网接口处，通过Cisco AS 5100访问服务器的IP包过滤及访问控制列表（ACL）功能，做了一定的安全控制。
(4) 在连接Internet的广域网接口处，通过Cisco 2509路由器的IP包过滤及访问控制列表（ACL）功能，进行安全控制。
(5) 在连接Internet的广域网接口处，设置了Internet接入网，并利用代理服务器Proxy进行安全控制。 实际上，仅靠以上几项安全措施，不能达到X X 局网络安全的要求。

3. X X 局的主要网络安全威胁

    由于XX局的管理信息网上的网络体系越来越复杂，应用系统越来越多，网络规模不断扩大，逐渐由Intranet发展到Extranet，现在已经扩展到Internet，网络用户也已经不单单X X 局的内部用户。而网络安全主要是由处于中心节点的、外汇管理局楼内的ATM交换机和相关连接广域网的路由器直接承担对外部用户的访问控制工作，且内部网络直接与外部网络相连，对整个网络安全形成了巨大的威胁。
 
具体分析，对X X 局网络安全构成威胁的主要因素有：

1) 内部网络和外部网络之间的连接为直接连接，外部用户不但可以访问对外服务的服务器，同时也容易地访问内部的网络服务器，这样，由于内部和外部没有隔离措施，内部系统较容易遭到攻击。
2) 来自内部网的病毒的破坏；
3) 内部用户的恶意攻击、误操作，但由于目前发生的概率较小，本部分暂不作考虑。
4) 来自外部网络的攻击，具体有三条途径： · Internet连接的部分； · 与各分局连接的部分； · 与商业银行连接的部分；
5) 外部网的破坏主要的方式为： · 黑客用户的恶意攻击、窃取信息， · 通过网络传送的病毒和Internet的电子邮件夹带的病毒。 · 来自Internet 的Web浏览可能存在的恶意Java/ActiveX控件。
6) 缺乏有效的手段监视、评估网络系统和操作系统的安全性。目前流行的许多操作系统均存在网络安全漏洞，如UNIX服务器，NT服务器及Windows桌面PC。
7) 缺乏一套完整的安全策略、政策。

　　其中，目前最主要的安全威胁是来自网络外部用户（主要是分局用户、银行用户和Internet用户）的攻击。

4. X X 局的网络安全需求分析

①总体需求分析 在外汇管理信息网中，目前我们视X X 局各分局和各商业银行及Internet为外部网络，X X 局楼内的局域网为内部网。

1). 来自于外部网络的访问，除有特定的身份认证外，只能到达指定的访问目的地，不能访问内部资源。
2). 网络内部用户对外的访问必须经过授权才能访问外部的Server。授权和代理由防火墙来完成。
3). 对于外部网络来说，内部网络的核心---交换机是不可见的，交换机作为楼内网络的一部分。
4). 外部网络不能直接对内部网络进行访问，外部网络客户访问内部Server时通过外部服务提供设备进行，该外部服务提供设备起到访问的中介作用，保证了内部关键信息资源的安全。
5). 外部服务提供设备与内部的dB Server之间数据交换应安全审慎，可选取方式 ：· 禁止两者之间链路通讯，数据交换采用文件拷贝方式； · 两者之间采用加密通讯； · 两者之间授权访问，通过外部服务提供设备进行代理。

②具体各子系统的安全需求 外汇管理局网络部署了众多的网络设备、服务器，保护这些设备的正常运行，维护主要业务系统的安全，是外汇管理局网络的基本安全需求。外汇管理局网络为多级应用网络系统，对于各级子系统均在不同程度上要求充分考虑网络安全。

1). 外汇管理业务系统的安全需求： 与普通网络应用不同的是，业务系统是外汇管理局应用的核心。外汇管理局的业务系统包括总局对分局和各商业银行的各类系统。对于业务系统应该具有最高的网络安全措施。

外汇管理局网络应保障：

· 访问控调，确保业务系统不被非法访问。
·即禁止银行分局之间的非法访问。
· 数据安全，保证各类服务器系统的整体安全性和可靠性。
· 入侵检测，对于试图破坏业务系统的恶意行为能够及时发现、记录和跟踪，提供非法攻击的犯罪证据。
· 来自网络内部其他系统的破坏，或误操作造成的安全隐患。

2). Internet服务平台的安全需求： Internet服务平台分为两个部分：提供外汇管理局总局的网络用户对Internet的访问；提供Internet对总局网内服务的访问。

    总局内网络客户对Internet的访问，有可能带来某些类型的网络安全。如通过电子邮件、FTP引入病毒、危险的Java或ActiveX应用等。因此，需要在网络内对上述情况提供集成的网络病毒检测、消除等操作。

提供给Internet的网络服务按照应用类型可分为：

· 普通服务： 该种服务通常需要保障系统抵抗和检测攻击的能力。即一般的WWW应用如：HTTP、FTP、MAIL等服务。
· 商业应用： 商业应用更要考虑严格的安全要求，而且还希望提供不停顿的服务。

5. X X 局网络安全的系统目标

    伴随着外汇体制改革的不断深入，外汇局系统电子化应用的不断增强，内部网络上应用系统越来越多，更好的、更有效的、更方便的保护和管理系统资源、网络资源，是实现外汇局系统网络安全的目标。

实施网络安全系统项目，整体规划网络安全系统，作好以下几个方面的规划和实施：

· 应用程序加密
· 应用完整性
· 用户完整性
· 系统完整性
· 网络完整性

①　近期目标
　　目前迫在眉睫的工作是保护整个系统的网络完整性和系统的完整性，建立安全的网络逻辑结构，为今后的实施应用完整性和用户完整性奠定基础。网络完整性主要是对网络系统的保护，通过设置防火墙系统等保证通讯安全；系统的完整性是信息系统的保护主要有防病毒、风险评估、入侵检测、审计分析等方面。

②　远期目标
　　全面部署X X 局全局的整体安全防御系统，巩固和完善网络安全及管理系统，使国家外汇管理信息网在安全的前提下更好、更方便、更有效的实现中央银行的监管职能。

三、总体规划

1. 安全体系结构

    网络安全体系结构主要考虑安全对象和安全机制，安全对象主要有网络安全、系统安全、数据库安全、信息安全、设备安全、信息介质安全和计算机病毒防治等，其安全体系结构如下图所示：

2. 安全体系层次模型

　　按照网络OSI的7层模型，网络安全贯穿于整个7层。针对网络系统实际运行的TCP/IP协议，网络安全贯穿于信息系统的4个层次。 下图表示了对应网络系统网络的安全体系层次模型：

物理层 物理层信息安全，主要防止物理通路的损坏、物理通路的窃听、对物理通路的攻击（干扰等）
 
链路层 链路层的网络安全需要保证通过网络链路传送的数据不被窃听。主要采用划分VLAN（局域网）、加密通讯（远程网）等手段。

网络层 网络层的安全需要保证网络只给授权的客户使用授权的服务，保证网络路由正确，避免被拦截或监听。

操作系统 操作系统安全要求保证客户资料、操作系统访问控制的安全，同时能够对该操作系统上的应用进行审计。

应用平台 应用平台指建立在网络系统之上的应用软件服务，如数据库服务器、电子邮件服务器、Web服务器等。由于应用平台的系统非常复杂，通常采用多种技术（如SSL等）来增强应用平台的安全性。
 
应用系统 应用系统完成网络系统的最终目的-为用户服务。应用系统的安全与系统设计和实现关系密切。应用系统使用应用平台提供的安全服务来保证基本安全，如通讯内容安全，通讯双方的认证，审计等手段。

3. 安全体系设计

① 安全体系设计原则

　　在进行计算机网络安全设计、规划时，应遵循以下原则：

　　1). 需求、风险、代价平衡分析的原则 ： 对任一网络来说，绝对安全难以达到，也不一定必要。对一个网络要进行实际分析，对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析，然后制定规范和措施，确定本系统的安全策略。保护成本、被保护信息的价值必须平衡，价值仅1万元的信息如果用5万元的技术和设备去保护是一种不适当的保护。
　　2). 综合性、整体性原则 ： 运用系统工程的观点、方法，分析网络的安全问题，并制定具体措施。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络包括个人、设备、软件、数据等环节。它们在网络安全中的地位和影响作用，只有从系统综合的整体角度去看待和分析，才可能获得有效、可行的措施。
　　3). 一致性原则 ： 这主要是指网络安全问题应与整个网络的工作周期（或生命周期）同时存在，制定的安全体系结构必须与网络的安全需求相一致。实际上，在网络建设之初就考虑网络安全对策，比等网络建设好后再考虑，不但容易，而且花费也少得多。
　　4). 易操作性原则 ： 安全措施要由人来完成，如果措施过于复杂，对人的要求过高，本身就降低了安全性。其次，采用的措施不能影响系统正常运行。
　　5). 适应性、灵活性原则 安全措施必须能随着网络性能及安全需求的变化而变化，要容易适应、容易修改。
　　6). 多重保护原则 任何安全保护措施都不是绝对安全的，都可能被攻破。但是建立一个多重保护系统，各层保护相互补充，当一层保护被攻破时，其它层保护仍可保护信息的安全。

②　网络安全风险分析

　　网络系统的可靠运转是基于通讯子网、计算机硬件和操作系统及各种应用软件等各方面、各层次的良好运行。因此，它的风险将来自对企业的各个关键点可能造成的威胁，这些威胁可能造成总体功能的失效。由于在这种广域网分布式计算环境中，相对于过去的局域网、主机环境、单机环境，安全问题变得越来越复杂和突出，所以网安全风险分析成为制定有效的安全管理策略和选择有作用的安全技术实施措施的基础依据。

　　安全保障不能完全基于思想教育或信任。而应基于"最低权限"和"相互监督"的法则，减少保密信息的介入范围，尽力消除使用者为使用资源不得不信任他人或被他人信任的问题，建立起完整的安全控制体系和保证体系。

③　网络安全策略

　　安全策略分安全管理策略和安全技术实施策略两个方面：

　　1). 管理策略 安全系统需要人来执行，即使是最好的、最值得信赖的系统安全措施，也不能完全由计算机系统来完全承担安全保证任务，因此必须建立完备的安全组织和管理制度。
　　2). 技术策略 技术策略要针对网络、操作系统、数据库、信息共享授权提出具体的措施。

④　安全管理原则

　　计算机信息系统的安全管理主要基于三个原则。

　　1)多人负责原则 每项与安全有关的活动都必须有两人或多人在场。这些人应是系统主管领导指派的，应忠诚可靠，能胜任此项工作。
　　2)任期有限原则 一般地讲，任何人最好不要长期担任与安全有关的职务，以免误认为这个职务是专有的或永久性的。
　　3)职责分离原则 除非系统主管领导批准，在信息处理系统工作的人员不要打听、了解或参与职责以外、与安全有关的任何事情。

⑤　安全管理的实现

　　信息系统的安全管理部门应根据管理原则和该系统处理数据的保密性，制订相应的管理制度或采用相应规范，其具体工作是：

· 确定该系统的安全等级。
· 根据确定的安全等级，确定安全管理的范围。
· 制订相应的机房出入管理制度。对安全等级要求较高的系统，要实行分区控制，限制工作人员出入与己无关的区域。
· 制订严格的操作规程。操作规程要根据职责分离和多人负责的原则，各负其责，不能超越自己的管辖范围。
· 制订完备的系统维护制度。维护时，要首先经主管部门批准，并有安全管理人员在场，故障原因、维护内容和维护前后的情况要详细记录。
· 制订应急措施。要制订在紧急情况下，系统如何尽快恢复的应急措施，使损失减至最小。
· 建立人员雇用和解聘制度，对工作调动和离职人员要及时调整相应的授权。

　　安全系统需要由人来计划和管理，任何系统安全设施也不能完全由计算机系统独立承担系统安全保障的任务。一方面，各级领导一定要高度重视并积极支持有关系统安全方面的各项措施。其次，对各级用户的培训也十分重要，只有当用户对网络安全性有了深入了解后，才能降低网络信息系统的安全风险。

　　总之，制定系统安全策略、安装网络安全系统只是网络系统安全性实施的第一步，只有当各级组织机构均严格执行网络安全的各项规定，认真维护各自负责的分系统的网络安全性，才能保证整个系统网络的整体安全性。

⑥　网络安全设计

　　由于网络的互连是在链路层、网络层、传输层、应用层不同协议层来实现，各个层的功能特性和安全特性也不同，因而其网络安全措施也不相同。

　　物理层安全涉及传输介质的安全特性，抗干扰、防窃听将是物理层安全措施制定的重点。

　　在链路层，通过"桥"这一互连设备的监视和控制作用，使我们可以建立一定程度的虚拟局域网，对物理和逻辑网段进行有效的分割和隔离，消除不同安全级别逻辑网段间的窃听可能。

　　在网络层，可通过对不同子网的定义和对路由器的路由表控制来限制子网间的接点通信，通过对主机路由表的控制来控制与之直接通信的节点。同时，利用网关的安全控制能力，可以限制节点的通信、应用服务，并加强外部用户识别和验证能力。对网络进行级别划分与控制，网络级别的划分大致包括Internet/企业网、骨干网/区域网、区域网/部门网、部门网/工作组网等，其中Internet/企业网的接口要采用专用防火墙，骨干网/区域网、区域网/部门网的接口利用路由器的可控路由表、安全邮件服务器、安全拨号验证服务器和安全级别较高的操作系统。增强网络互连的分割和过滤控制，也可以大大提高安全保密性。

　　随着企业个人与个人之间、各部门之间、企业和企业之间、国际间信息交流的日益频繁，信息传输的安全性成为一个重要的问题。尽管个人、部门和整个企业都已认识到信息的宝贵价值和私有性，但商场上的无情竞争已迫使机构打破原有的界限，在企业内部或企业之间共享更多的信息，只有这样才能缩短处理问题的时间，并在相互协作的环境中孕育出更多的革新和创造。然而，在群件系统中共享的信息却必须保证其安全性，以防止有意无意的破坏。

　　物理实体的安全管理现已有大量标准和规范，如GB9361-88《计算机场地安全要求》、GFB2887-88《计算机场地技术条件》等。

4. 安全产品选型原则

　　在进行X X 局网络安全方案的产品选型时，要求安全产品至少应包含以下功能：

· 访问控制：通过对特定网段、服务建立的访问控制体系，将绝大多数攻击阻止在到达攻击目标之前。
· 检查安全漏洞：通过对安全漏洞的周期检查，即使攻击可到达攻击目标，也可使绝大多数攻击无效。
· 攻击监控：通过对特定网段、服务建立的攻击监控体系，可实时检测出绝大多数攻击，并采取相应的行动（如断开网络连接、记录攻击过程、跟踪攻击源等）。
· 加密通讯：主动的加密通讯，可使攻击者不能了解、修改敏感信息。
· 认证：良好的认证体系可防止攻击者假冒合法用户。
· 备份和恢复：良好的备份和恢复机制，可在攻击造成损失时，尽快地恢复数据和系统服务。
· 多层防御：攻击者在突破第一道防线后，延缓或阻断其到达攻击目标。
· 隐藏内部信息：使攻击者不能了解系统内的基本情况。
· 设立安全监控中心：为信息系统提供安全体系管理、监控，保护及紧急情况服务。

四、络安全方案设计

　　根据第二章对X X 局的安全需求分析，结合安全设计的策略，我们提出网络安全设计方案。
 
　　本章首先描述安全网络的整体结构，然后就各网段采用的防火墙、防病毒、防黑客，以及安全评估等技术措施作详细的描述。各种安全措施之间的相互协作，构成主动的网络安全防御体系。

　　为确保系统的安全性保持稳定，我们介绍了各种安全产品的平台要求，以及升级的保证方式和途径。

 　 根据X X 局的网络安全需求，目前网络安全方案集中考虑外部网络的安全性；对于整体网络的安全性，我们还分析了网络安全方案的可扩充性。

    在本章结尾，我们总结了本方案的特点。

1. 整体结构描述

    由于外汇管理信息网的安全体系包括内外两部分，而目前着重于外部的安全建设，所以目前的安全假设为：将管理局内部网络看作信任网络，暂不考虑安全问题；将外部网视为不信任网络，需要采取安全措施。其总体结构如下：

1)　内部网络系统：

包括：

· LAN1，LAN2…..LAN8等内部网段；
· 内部服务子网 - 即[初步设想]的VPN4的部分。