1、安全架構設計安全架構設計目標整體平臺的信息安全體系，必須為金融業(yè)務工作的有效開展提供 有力支撐，信息系統(tǒng)的安全可靠對于金融業(yè)務工作十分重要。建設終 端、應用、系統(tǒng)、網(wǎng)絡、物理以及業(yè)務增強安全能力，圍繞身份鑒權、 訪問控制、內(nèi)容審計、監(jiān)控審計、合規(guī)和業(yè)務連續(xù)性設計。整個平臺 安全體系建設滿足等級保護2.0 III級標準。安全作為金融平臺的重要組成部分，是銜接金融平臺應用安全與 底層資源安全保障的紐帶，也是金融平臺各子系統(tǒng)之間實現(xiàn)軟硬件資 源的安全共享的保障。同時，為了落實和貫徹公安部、國家保密局、 國家密碼管理局、全市高法系統(tǒng)等國家有關部門信息安全等級保護工 作要求，全面完善金融平臺信息安全防護

2、體系，落實“雙網(wǎng)雙機、分 區(qū)分域、等級防護、多層防御”的安全防護策略，確保等級保護工作 在各相關環(huán)節(jié)的順利實施，提高整體信息安全防護水平。本次規(guī)劃初步設計與金融業(yè)務相適應的、可靠的安全防護體系， 實現(xiàn)金融平臺硬件及網(wǎng)絡環(huán)境、金融平臺應用、金融平臺數(shù)據(jù)等安全 防護與管理，實現(xiàn)應用服務及數(shù)據(jù)調用的安全認證和安全審計，主動 的異常數(shù)據(jù)操作行為的監(jiān)控分析、預警機制，并提供異常問題的倒查 追溯能力；訪問軌跡記錄跟蹤與查詢；金融平臺及系統(tǒng)安全審計；安 全日志記錄存儲及查詢；金融平臺安全預警機制；數(shù)據(jù)級、應用級容 災備份及恢復機制，建立金融平臺的異地容災備份能力，以確保金融 平臺的高可用性和數(shù)據(jù)安全性。安全

3、架構設計原則 金融平臺安全設計一般考慮以下幾個方面： 合理規(guī)劃網(wǎng)絡的安全區(qū)域以及不同區(qū)域之間的訪問權限，保證接 入用戶和終端的合法授權許可，防止非法的訪問以及惡性的攻擊入侵 和破壞；建立高可靠的網(wǎng)絡平臺，為數(shù)據(jù)在網(wǎng)絡中傳輸提供高可用的 傳輸通道，避免數(shù)據(jù)的丟失，并且提供相關的安全技術防止數(shù)據(jù)在傳 輸過程中被篡改和竊??；提供對網(wǎng)絡平臺自身的安全保護支撐，保證 網(wǎng)絡平臺能持續(xù)穩(wěn)定運行。需求、風險、代價平衡分析的原則：對任一網(wǎng)絡，絕對安全難以 達到，也不一定是必要的。對一個網(wǎng)絡要進行實際的研究（包括任務、 性能、結構、可靠性、可維護性等），并對網(wǎng)絡面臨的威脅及可能承 擔的風險進行定性與定量相結合的分

4、析，然后制定規(guī)范和措施，確定 系統(tǒng)的安全策略。綜合性、整體性原則：應運用系統(tǒng)工程的觀點、方法，分析網(wǎng)絡 的安全及具體措施。安全措施主要包括：行政法律手段、各種管理制 度（人員審查、工作流程、維護保障制度等）以及專業(yè)技術措施（訪 問控制、加密技術、認證技術、攻出檢測技術、容錯、防病毒等）。一 個較好的安全措施往往是多種方法適當綜合的應用結果。一致性原則：一致性原則主要是指網(wǎng)絡安全問題應與整個網(wǎng)絡的 工作周期（或生命周期）同時存在，制定的安全體系結構必須與網(wǎng)絡 的安全需求相一致。安全的網(wǎng)絡系統(tǒng)設計（包括初步或詳細設計）及 實施計劃、網(wǎng)絡驗證、驗收、運行等，都要有安全的內(nèi)容及措施。實 際上，在網(wǎng)絡建

5、設的開始就考慮網(wǎng)絡安全對策，比在網(wǎng)絡建設好后再 考慮安全措施，不但容易，且花費也少得多。易操作性原則：安全措施需要人去完成，如果措施過于復雜，對 人的要求過高，本身就降低了安全性；其次，措施的采用不能影響系 統(tǒng)的正常運行。適應性及靈活性原則：安全措施必須能隨著網(wǎng)絡性能及安全需求 的變化而變化，要容易適應、容易修改和升級。多重保護原則：任何安全措施都不是絕對安全的，都可能被攻破。 但是建立一個多重保護系統(tǒng)，各層保護相互補充，當一層保護被攻破 時，其它層保護仍可保護信息的安全?？稍u價性原則：如何預先評價一個安全設計并驗證其網(wǎng)絡的安全 性，這需要通過國家有關網(wǎng)絡信息安全測評認證機構的評估來實現(xiàn)。技術

6、與管理并重原則：“三分技術，七分管理”，從技術角度出發(fā) 的安全方案設計必須有與之相適應的管理制度同步制定，并管理的角 度評估安全設計方案的可操作性。對于金融行業(yè)網(wǎng)絡安全體系的建立，我們建議采取以上的原則， 先對整個網(wǎng)絡進行整體的安全規(guī)劃，然后，根據(jù)實際狀況建立一個從 防護檢測響應的基礎的安全防護體系，提高整個網(wǎng)絡基礎的 安全性，保證應用系統(tǒng)的安全性。按照以上原則，分別做好物理層安全、網(wǎng)絡層安全、操作系統(tǒng)安 全、內(nèi)容安全、應用層安全、PKI體系、安全審計、安全集中管理的 建設，并此基礎上，做好信息安全管理、技術、運維、知識體系的建 設。網(wǎng)絡安全總體設計安全域劃分 根據(jù)安全域劃分方法，可以劃分為核

7、心計算域、內(nèi)部接入域、外 聯(lián)域以及管理支撐域等安全區(qū)域。有了安全區(qū)域的劃分，網(wǎng)絡就有了 明確的邊界，可以進行有效防護和縱深防御。（1）核心計算域 核心計算域主要承載金融平臺局的所有應用，是金融平臺網(wǎng)絡的 核心。該區(qū)域防護重點為邊界防護、入侵檢測、安全審計、鑒別認證。（2）內(nèi)部接入域 內(nèi)部接入域主要是分中心和各外部系統(tǒng)與總部的接入?yún)^(qū)域。該區(qū) 域主要防護重點為終端保護、邊界防護、數(shù)據(jù)防護等。（3）外聯(lián)接入域 外聯(lián)區(qū)域為金融平臺與非本平臺機構相連的接口，包括第三方機 構等。該區(qū)域主要防護重點為邊界隔離和入侵檢測，通過這兩種手段 便于隔離外部威脅，同時也便于區(qū)分不同區(qū)域的安全責任。（4）運維管理域 管

8、理支撐域部署的管理整個金融平臺的網(wǎng)絡管理、安全管理、內(nèi) 部辦公的核心區(qū)域，該區(qū)域防護采用邊界隔離、安全審計、入侵檢測、 行為控制等手段。以上為金融平臺的主要安全區(qū)域劃分，各個安全域內(nèi)部還可以進 一步根據(jù)業(yè)務系統(tǒng)重要性等級進一步細化分成不同安全子域。這些域和其中的子域劃分，都需要通過網(wǎng)絡層實現(xiàn)，并通過網(wǎng)絡 層進行邊界防護和權限控制。結構安全（1）安全要求要求域（邊界）間通過核心交換機進行子網(wǎng)、網(wǎng)段劃分和IP地址規(guī)劃；要求子域間通過3層交換機進行子網(wǎng)、網(wǎng)段劃分和IP地址規(guī)劃；域間和重要子域間配置防火墻進行邊界劃分，普通子域間可以通 過虛擬方式進行劃分和防護；對重要業(yè)務的網(wǎng)絡質量和帶寬采用QoS方式

9、進行保證。（2）建設要點和內(nèi)容結構安全將通過增加網(wǎng)絡交換機、防火墻，以及對網(wǎng)絡環(huán)境的規(guī) 劃和設計來實現(xiàn)。在計算核心域邊界部署防火墻、管理支撐域邊界部 署防火墻、外聯(lián)接入域邊界部署防火墻。各個域內(nèi)部可以采用 VLAN 劃分及三層交換設備的 ACL 控制來實現(xiàn)子域的劃分。11321 邊界抗DDoS設備在主用金融平臺互聯(lián)網(wǎng)出口部署抗拒絕服務攻擊系統(tǒng)，針對分布 式拒絕服務攻擊（DDoS）、P2P下載、蠕蟲等異常流量進行探針式檢 測和異常流量清洗。11322 邊界防火墻防火墻技術是目前網(wǎng)絡邊界保護最有效也是最常見的技術。采用 防火墻技術，對重要節(jié)點和網(wǎng)段進行邊界保護，可以對所有流經(jīng)防火 墻的數(shù)據(jù)包按照嚴

10、格的安全規(guī)則進行過濾，將所有不安全的或不符合 安全規(guī)則的數(shù)據(jù)包屏蔽，杜絕越權訪問，防止各類非法攻擊行為。由于互聯(lián)網(wǎng)服務器區(qū)安全邊界面臨的安全風險較多，需要通過嚴 格執(zhí)行安全策略發(fā)揮防火墻最佳功效：集中放置面向Internet服務的主機，在一個集中、受控的 環(huán)境下監(jiān)控網(wǎng)絡流量；關閉不必要的服務；嚴格限制進、出網(wǎng)絡的 ICMP 流量和 UDP 流量；允許網(wǎng)絡管理流量進局域網(wǎng)系統(tǒng)；嚴格制定防火墻策略，限制所有無關訪問。由于面對的是外部復雜的網(wǎng)絡環(huán)境，因此這些邊界防火墻需要具 備更多的深度過濾功能：能夠阻止常見的蠕蟲擴散，能夠對P2P帶寬 進行流量管理等。同時能夠精細的進行設備管理，減輕管理員管理負

11、擔。邊界防病毒一體化網(wǎng)關遠程專線各接入單位的外部邊界上部署UTM統(tǒng)一威脅管理設備，可以通過制定嚴格的訪問策略、保證接入單位訪問行為的合法性以及 金融平臺與接入單位進行數(shù)據(jù)交互行為的合法性。同時對個單位進行 全方位的安全防護。采用 UTM 設備來構成本方案的核心產(chǎn)品既有效節(jié)約了建設資金， 又達到了更好的防護效果?？筛鶕?jù)實際需要開啟相應的功能模塊，采 用UTM部署在互聯(lián)網(wǎng)邊界是一個一舉兩得的解決方案。各功能模塊配置說明：（1）防火墻首先需要配置防火墻功能。對重要節(jié)點和網(wǎng)段進行邊界保護，可 以對所有流經(jīng)防火墻的數(shù)據(jù)包按照嚴格的安全規(guī)則進行過濾，將所有 不安全的或不符合安全規(guī)則的數(shù)據(jù)包屏蔽，杜絕越權訪

12、問，防止非法 攻擊；可以對網(wǎng)絡流量進行精確的控制，可以對用戶進行多種認證等。（2）防病毒據(jù)ICSA（國際計算機安全協(xié)會）的統(tǒng)計表明，超過90%的病毒是 通過Internet傳播的。而利用ASIC硬件技術進行數(shù)據(jù)包內(nèi)容病毒掃 描，在性能上有了質的飛躍，可以提供近乎實時的病毒過濾性能。網(wǎng) 關病毒過濾特性還可以有效地防止病毒進入內(nèi)網(wǎng)之后利用計算機系 統(tǒng)漏洞肆意傳播，大量消耗系統(tǒng)資源和網(wǎng)絡帶寬所造成的DoS/ DDoS （拒絕服務/分布式拒絕服務）攻擊。（3）入侵檢測/防護網(wǎng)絡入侵檢測/防護系統(tǒng)（IDS/IPS）是一種實時網(wǎng)絡入侵檢測傳 感器，它能對外界各種可疑的網(wǎng)絡活動進行識別及采取行動。為通知 系

13、統(tǒng)管理員有攻擊行為發(fā)生，IDS將此攻擊及一切可疑流量記錄到攻 擊日志中，并根據(jù)設置發(fā)送報警郵件UTM可以檢測并阻斷多種類型 攻擊，例如DoS/DDoS （拒絕服務/分布式拒絕服務）攻擊（包括TCP SYN flood, UDP flood 和 ICMP flood， Ping of Dea th. Tear drop 等）。通過配置網(wǎng)絡中UTM的IDS/IPS模塊，可以防止各類網(wǎng)絡攻擊 和入侵行為的發(fā)生。直接對網(wǎng)絡入侵行為進行阻斷，不給黑客以任何 可乘之機UTM可以進行手動、自動的更新攻擊特征庫，擴充攻擊特 征數(shù)量，防范最新攻擊。入侵防范（1）安全要求 要求在網(wǎng)絡中部署入侵防范檢測設備。（2）

14、建設要點和內(nèi)容通過在核心計算域、管理支撐域、外聯(lián)接入域邊界部署入侵檢測 系統(tǒng)解決。其中在核心計算域部署高端入侵檢測系統(tǒng)、管理支撐域部 署普通入侵檢測系統(tǒng)、外聯(lián)接入域邊界部署普通入侵防御系統(tǒng)。 11331 入侵檢測系統(tǒng)（IPS）入侵防護系統(tǒng)（IPS）就是安全防護體系中重要的一環(huán)，它能夠 及時識別網(wǎng)絡中發(fā)生的入侵行為并實時報警并且進行有效攔截防護。IPS 是繼“防火墻”、“信息加密”等傳統(tǒng)安全保護方法之后的新 一代安全保障技術。它監(jiān)視計算機系統(tǒng)或網(wǎng)絡中發(fā)生的事件，并對它 們進行分析，以尋找危及信息的機密性、完整性、可用性或試圖繞過 安全機制的入侵行為并進行有效攔截。IPS就是自動執(zhí)行這種監(jiān)視和 分

15、析過程，并且執(zhí)行阻斷的硬件產(chǎn)品。將 IPS 串接在防火墻后面，在防火墻進行訪問控制，保證了訪問 的合法性之后，IPS動態(tài)的進行入侵行為的保護，對訪問狀態(tài)進行檢 測、對通信協(xié)議和應用協(xié)議進行檢測、對內(nèi)容進行深度的檢測。阻斷 來自內(nèi)部的數(shù)據(jù)攻擊以及垃圾數(shù)據(jù)流的泛濫。由于 IPS 對訪問進行深 度的檢測，因此，IPS產(chǎn)品需要通過先進的硬件架構、軟件架構和處 理引擎對處理能力進行充分保證。11332 入侵防御系統(tǒng)（IDS）IDS 作為旁路的檢測設備，可以在旁路檢測網(wǎng)絡中的威脅行為， 用以滿足在網(wǎng)絡在面臨海量攻擊事件情況下的威脅檢測與呈現(xiàn)需求。 通過對事件的智能分析，幫助管理員找到真正具有威脅能力的事件

16、， 這大大降低了運維工作量，使威脅處理成為可能。11333 訪問控制（1）安全要求域和子域間通過路由策略、訪問控制、安全訪問路徑設計等進行訪問防護進行端口級別的協(xié)議種類和端口控制和過濾核心區(qū)域必須部署內(nèi)容過濾產(chǎn)品建立用戶級的帳戶控制（2）建設要點和內(nèi)容結構安全將主要通過對現(xiàn)有網(wǎng)絡環(huán)境的規(guī)劃和設計來實現(xiàn)，通過 在邊界控制設備的訪問控制策略進行網(wǎng)絡訪問控制。用戶級的帳戶控 制通過集中身份認證系統(tǒng)及CA數(shù)字證書實現(xiàn)，確保各類網(wǎng)絡設備管 理帳戶的安全。11334 集中身份認證系統(tǒng)通過內(nèi)部的 AD 或者 Radius 認證服務器來完成集中身份認證。CA數(shù)字證書通過部署CA數(shù)字認證證書來完實現(xiàn)網(wǎng)絡訪問控制

17、安全審計（1）安全要求要求網(wǎng)絡要有審計；要求能夠進行網(wǎng)絡分析和故障底層定位、排錯。（2）建設要點和內(nèi)容網(wǎng)絡審計由信息安全審計解決方案統(tǒng)一解決；對網(wǎng)絡進行底層的 協(xié)議分析，對網(wǎng)絡協(xié)議和通訊內(nèi)容進行直接監(jiān)控，這部分主要由部署 在管理支撐域的安全審計設備及安全管理平臺實現(xiàn)，其中管理支撐域 的安全審計設備起到網(wǎng)絡設備操作行為審計，安全管理平臺實現(xiàn)各類 設備的操作日志審計。網(wǎng)絡綜合審計系統(tǒng)網(wǎng)絡安全審計系統(tǒng)是針對業(yè)務網(wǎng)絡資源進行策略化審計與管理 的新一代安全系統(tǒng)，它集內(nèi)容審計、訪問控制及身份認證于一體，通 過對具體業(yè)務的命令級審計與認證、對越權用戶與非法操作的告警與 阻斷，實現(xiàn)對主機、服務器、數(shù)據(jù)庫等資源

18、的重點保護，從而為客戶 業(yè)務網(wǎng)絡系統(tǒng)提供強大的集中審計管理平臺。功能如下：（1）對網(wǎng)絡操作進行實時監(jiān)控、過程回放網(wǎng)絡審計系統(tǒng)對數(shù)據(jù)庫、FTP、Telnet、應用（業(yè)務）系統(tǒng)等登錄的操作進行詳細的審計，包括登錄者輸入的各種命令、操作結果等。 實時監(jiān)控、過程回放，就像網(wǎng)絡世界的攝像機，真實地展現(xiàn)用戶的操 作，系統(tǒng)管理員通過本系統(tǒng)看到的就是當時的實際操作界面和過程。 利用這項功能，系統(tǒng)管理員可以直觀、方便地了解系統(tǒng)被使用的情況， 尤其是在出現(xiàn)安全問題后，可以迅速地查找出責任人。（2）進行命令級的審計和訪問控制網(wǎng)絡審計系統(tǒng)可以對數(shù)據(jù)庫操作、FTP、Telnet、應用（業(yè)務）系 統(tǒng)等進行命令級的審計和訪

19、問控制。審計系統(tǒng)在各主機系統(tǒng)原有的用 戶權限基礎上，進一步細分了主機、服務器、數(shù)據(jù)庫系統(tǒng)的權限設置， 使得每個用戶僅能夠從事與自己身份相符合的操作。即使是多個人使 用同一個賬號進行登錄，審計系統(tǒng)也能區(qū)分出不同的用戶，并且根據(jù) 不同的身份采取不同的審計和訪問控制措施。（3）強大的審計報表網(wǎng)絡審計系統(tǒng)提供了強大的審計報表功能，系統(tǒng)管理員可以根據(jù) 自己關心的內(nèi)容設置審計報表的輸出。通過設置合理的審計報表，管 理員可以迅速、直觀地了解到系統(tǒng)的運行情況、使用情況；如果發(fā)現(xiàn) 異常，可以利用審計系統(tǒng)的查詢、分析、跟蹤功能，定位出現(xiàn)問題的 人員、時間、操作內(nèi)容等。日志審計系統(tǒng)日志審計系統(tǒng)能通過主被動結合的手段

20、，實時不間斷地采集用戶 網(wǎng)絡中各種不同廠商的安全設備、網(wǎng)絡設備、主機、操作系統(tǒng)、以及 各種應用系統(tǒng)產(chǎn)生的海量日志信息，并將這些信息匯集到審計中心， 進行集中化存儲、備份、查詢、審計、告警、響應，并出具豐富的報 表報告，獲悉全網(wǎng)的整體安全運行態(tài)勢，實現(xiàn)全生命周期的日志管理。面向系統(tǒng)的使用者，提供一個圖形化的顯示界面，展現(xiàn)安全審計 系統(tǒng)的各功能模塊，提供綜合展示、資產(chǎn)管理、日志審計、規(guī)則管理、告警管理、報表管理、權限管理、系統(tǒng)管理、知識維護等功能。邊界完整性（1）安全要求邊界完整性強調內(nèi)部用戶不能私自通過撥號、無線網(wǎng)絡等連接公 司外部的網(wǎng)絡，外部用戶不能私自接入到公司內(nèi)網(wǎng)。（2）建設要點和內(nèi)容這部

21、分功能通可過部署準入控制及終端管理控制解決方案解決?？刂萍敖K端管理產(chǎn)品需要緊密圍繞“合規(guī)”，以內(nèi)網(wǎng)終端計算機 為管理對象，通過“終端準入控制、終端安全控制、桌面合規(guī)管理、 終端泄密控制和終端審計”五維化管理，全面提升內(nèi)網(wǎng)安全防護能力 和合規(guī)管理水平，幫助用戶構建起安全可信的合規(guī)內(nèi)網(wǎng)。應該包括：終端準入控制終端安全控制 桌面合規(guī)管理終端泄密控制終端審計惡意代碼防范（1）安全要求要求部署網(wǎng)絡殺毒網(wǎng)關等。（2）建設要點和內(nèi)容在外聯(lián)接入?yún)^(qū)域、管理區(qū)域部署網(wǎng)絡防毒墻實現(xiàn)。通過對網(wǎng)絡流量的還原，分析，分析網(wǎng)絡中的數(shù)據(jù)流的行為，檢 測出隱藏的威脅。網(wǎng)絡設備防護（1）安全要求主要指網(wǎng)絡設備的口令強度、登陸權限

22、配置等。（2）建設要點和內(nèi)容該部分的建設包含在“權限控制”章節(jié)中。權限控制安全要求安全標準對訪問權限的控制提出了很高的要求，尤其是核心計算 域內(nèi)。等保及 PCI-DSS 在權限控制方面主要提出了以下要求：（1）管理上要求制定詳細的權限控制文檔，規(guī)范權限配置；（2）管理上要求制定明確的授權體系和授權方法；（3）技術上要求細致到帳戶、用戶級別的權限分配、控制和檢 查；（4）技術和管理上同時要求權限使用行為可以追溯、審計。可以看出，權限控制需要一個管理和技術相結合的解決方案。根 據(jù)安全建設實踐的經(jīng)驗，權限控制是一個長期動態(tài)的過程性任務，一 般通過自身管理制度整改 +專家咨詢服務+成品解決方案的聯(lián)合部

23、署 才能完成。建設要點及內(nèi)容（1）采用特權帳號管理系統(tǒng)著重解決登錄密碼的管理問題。實現(xiàn):主機、網(wǎng)絡設備的系統(tǒng)權限帳號集中管理，對密碼的復雜度進行設定，確保密碼強度；定期自動修改系統(tǒng)權限帳號的密碼。（2）采用堡壘機解決方案著重解決登錄的行為控制、審計問題。實現(xiàn)：集中管理（堡壘機模式）：解決操作分散，無序的問題身份管理：解決操作者身份唯一的問題訪問控制：解決操作者合法訪問操作資源的問題權限控制：解決操作者操作權限的問題操作審計：解決操作事故責任認定的問題業(yè)務堡壘機系統(tǒng)業(yè)務堡壘機是針對企業(yè)內(nèi)網(wǎng)的運維操作和業(yè)務訪問行為進行細 粒度控制和審計的合規(guī)性管理系統(tǒng)。它通過對運維人員和業(yè)務用戶的 身份進行認證，

24、對各類運維操作和業(yè)務訪問行為進行分析、記錄、匯 報，以幫助用戶事前認證授權、事中實時監(jiān)控、事后精確溯源，加強 內(nèi)外部網(wǎng)絡行為監(jiān)管、促進核心資產(chǎn)（數(shù)據(jù)庫、服務器、網(wǎng)絡設備等） 的正常運行。數(shù)據(jù)安全總體設計需求分析數(shù)據(jù)安全是降低敏感數(shù)據(jù)向內(nèi)、外部泄露風險的最有效層面之一 在該層面，防護的焦點在于數(shù)據(jù)本身，不論其傳播途徑如何，其目的 在于確保數(shù)據(jù)安然無恙。數(shù)據(jù)的移動性正日益加強，因此數(shù)據(jù)安全防 護至關重要。在市金融平臺總體規(guī)劃設計中，對于數(shù)據(jù)安全方面我們提出以下 要求或原則，以保證數(shù)據(jù)的安全、可靠：（1）根據(jù)數(shù)據(jù)安全程度要求不同，數(shù)據(jù)不同程度的加密原則 數(shù)據(jù)加密特性為數(shù)據(jù)提供了一個額外的保護層?？梢?/p>

25、保護至關重 要的數(shù)據(jù)，甚至是介質被盜了，數(shù)據(jù)仍然是安全的。（2）為了實現(xiàn)數(shù)據(jù)安全、可靠的目的，數(shù)據(jù)需要細分或者分類 市金融平臺總體設計和規(guī)劃中，對數(shù)據(jù)要提供最細的數(shù)據(jù)分類支 持。數(shù)據(jù)分類利用多級安全性概念解決了市金融平臺在實際中遇到的 數(shù)據(jù)安全和隱私問題。利用數(shù)據(jù)敏感度標簽（例如“敏感”和“機密”）與用戶標簽授 權，提供完善的行級安全性控制。使用政策概念來存儲標簽定義和授權。該政策可直接在數(shù)據(jù)庫中 進行管理，或在身份管理中進行集中管理。提供完善的API，可用于在數(shù)據(jù)庫或身份管理中管理政策。（3）對數(shù)據(jù)限制性訪問的要求在不影響應用程序功能的前提下快速而高效地保護現(xiàn)有程序：限制DBA和其他授權用戶

26、訪問應用程序數(shù)據(jù)；防止應用程序DBA操縱數(shù)據(jù)庫和訪問其他應用程； 更好的控制何人、何時、何地可以訪問應用程序?？捎糜趪栏竦乜刂茟贸绦虻陌踩?，限制何人、何時、何地、 如何訪問應用程序。可以在不更改現(xiàn)有應用程序下靈活機變地使用這 些特性來實施授權。如日期時間、數(shù)據(jù)庫客戶端在網(wǎng)絡上的位置之類 的因素，或特定于企業(yè)的客戶因素可用于控制訪問應用程序的能力。（4）數(shù)據(jù)審計要求 數(shù)據(jù)庫針對數(shù)據(jù)的各種操作提供標準的審計功能。既可以對用戶 進行的數(shù)據(jù)庫管理操作（登錄、管理等）進行審計，也可以對用戶的 各種 DDL 操作 DML 操作進行完整的審計。同時，如果某些敏感數(shù)據(jù)需要進行更細粒度的審計工作，數(shù)據(jù)庫 提

27、供了細粒度審計細粒度審計（FGA）,可以理解為“基于政策的審 計”與標準的審計功能相反，F(xiàn)GA可用于指定生成審計記錄必需的 條件：收集并整合審計數(shù)據(jù)。審計數(shù)據(jù)可以來自一個或多個數(shù)據(jù)庫， 可集中各個設計數(shù)據(jù)。簡化合規(guī)性報告。內(nèi)建的報告；定制的報告。檢測及預防內(nèi)部威脅。提早檢測及警報嫌疑活動；監(jiān)控及檢測 數(shù)據(jù)變化?？缮炜s性和安全性。采用審計策略導致更低的 IT 成本。集中管 理和供應使審計過程中操作和執(zhí)行的復雜度降低，并減少整個系統(tǒng)中 軟硬件的投入。集中的審計使各個數(shù)據(jù)源頭的操作有了一個方便的對 比審查的功能，最終消除了審計孤島現(xiàn)象。數(shù)據(jù)庫審計可用來進行早期的檢測和報警功能，可以定義警報來 檢測以

28、下情形：非應用程序用戶嘗試查看敏感列敏感系統(tǒng)中的新用戶敏感系統(tǒng)中的角色授權所有系統(tǒng)中的DBA授權應用程序用戶登錄失敗通過審計設置，數(shù)據(jù)庫審計評估接受到的審計數(shù)據(jù)后發(fā)出警報。并且能夠向電子郵件或PDA發(fā)送警報。最后，針對可疑操作生成警告 報表。針對以上數(shù)據(jù)安全要求，市金融平臺總體規(guī)劃設計中，對于數(shù)據(jù)安全框架設計如下：用戶背理/遶擇娶全口專iV5弦證安全框架設計如下：用戶背理/遶擇娶全口專iV5弦證F5常也茁 竅覇蘇圖 1 數(shù)據(jù)安全框架圖技術方案傳輸信息加密傳輸信息加密將傳輸?shù)臄?shù)據(jù)變?yōu)榭瓷先o用的亂碼，數(shù)據(jù)到達傳輸?shù)哪康牡卦龠M行解密。在此期間攻擊者無法讀懂信息的內(nèi)容從而保 護數(shù)據(jù)信息。傳輸數(shù)據(jù)信息

29、加密是保障信息安全的最基本、最核心的 技術措施和理論基礎，也是現(xiàn)代密碼學的主要組成部分。數(shù)據(jù)完整性 數(shù)據(jù)完整性保護用于防止非法篡改，利用密碼理論的完整性保護 能夠很好地對付非法篡改。完整性的另一用途是提供不可抵賴服務， 當信息源的完整性可以被驗證卻無法模仿時，收到信息的一方可以認 定信息的發(fā)送者。數(shù)據(jù)分類 市金融平臺總體設計和規(guī)劃中，對數(shù)據(jù)要提供最細的數(shù)據(jù)分類支 持。數(shù)據(jù)分類利用多級安全性概念解決了市金融平臺在實際中遇到的 數(shù)據(jù)安全和隱私問題。利用數(shù)據(jù)敏感度標簽(例如“敏感”和“機密”)與用戶標簽授 權，提供完善的行級安全性控制。使用政策概念來存儲標簽定義和授權。該政策可直接在數(shù)據(jù)庫中 進行管

30、理，或在身份管理中進行集中管理。提供完善的API，可用于在數(shù)據(jù)庫或身份管理中管理政策。數(shù)據(jù)權限 在不影響應用程序功能的前提下快速而高效地保護現(xiàn)有程序：限制DBA和其他授權用戶訪問應用程序數(shù)據(jù)；防止應用程序DBA操縱數(shù)據(jù)庫和訪問其他應用程；更好的控制何人、何時、何地可以訪問應用程序。 可用于嚴格地控制應用程序的安全性，限制何人、何時、何地、 如何訪問應用程序。可以在不更改現(xiàn)有應用程序下靈活機變地使用這些特性來實施授權。如日期時間、數(shù)據(jù)庫客戶端在網(wǎng)絡上的位置之類 的因素，或特定于企業(yè)的客戶因素可用于控制訪問應用程序的能力。 . 核心域數(shù)據(jù)安全安全要求在安全規(guī)范中，對不同級別的域有不同的數(shù)據(jù)安全要求

31、。而在實 際實施中，同樣為了簡化設計和降低運維難度，將采取就高原則，對 不同的域部署相同的數(shù)據(jù)安全策略，再對一些重點子域進行加強處理 數(shù)據(jù)安全在類別上必須包括數(shù)據(jù)庫、文件等數(shù)據(jù)類別，而在技術 實現(xiàn)上將涉及到 5 個方面：（1）數(shù)據(jù)載體比如數(shù)據(jù)庫、文件共享目錄、主機、終端等沒有安 全漏洞，具有有效的安全訪問權限控制，沒有偷竊數(shù)據(jù)的惡意代碼等； 這方面已經(jīng)在安全域劃分、安全漏洞和權限控制等其他章節(jié)進行表達（2）數(shù)據(jù)完整性保障和恢復，和存儲方式、數(shù)據(jù)校驗和數(shù)據(jù)備份有關，其中要求對備份下來的數(shù)據(jù)進行加密處理；（3）數(shù)據(jù)傳輸安全，要求在數(shù)據(jù)傳輸過程中對敏感數(shù)據(jù)加密，實 踐中可通過現(xiàn)有網(wǎng)絡進行 VLAN，

32、VPN 配置以及使用協(xié)議加密方式來實 現(xiàn)；（4）防止數(shù)據(jù)泄露，需要對機密數(shù)據(jù)進行標識，即對數(shù)據(jù)進行分 類，可在使用過程中進行機密數(shù)據(jù)的鑒別，根據(jù)企業(yè)的安全策略針對 數(shù)據(jù)泄露情況進行審計和報警；（5）為保證數(shù)據(jù)安全需要牽涉很多解決方案，大部分會在其他的 安全領域解決方案中被覆蓋，比如網(wǎng)絡層安全覆蓋傳輸加密、備份系 統(tǒng)覆蓋數(shù)據(jù)恢復，郵件審計覆蓋郵件安全等。數(shù)據(jù)防止泄露是專門針 對數(shù)據(jù)安全領域的解決方案，該領域的解決方案有多種實現(xiàn)方法，其 中以數(shù)據(jù)內(nèi)容檢查為引擎的防泄露解決方案同時覆蓋機密數(shù)據(jù)標識 和數(shù)據(jù)防泄露功能。建設要點及內(nèi)容針對以上的幾點安全要求，需要不同的解決方案聯(lián)合解決。其中 第一條和第三

33、條在網(wǎng)絡安全域劃分、權限控制、安全漏洞等領域已經(jīng) 得到解決。第二條數(shù)據(jù)的完整性和恢復。而針對剩余二點針對機密數(shù) 據(jù)的標識和監(jiān)控需求，可以選擇防數(shù)據(jù)泄露解決方案解決。11433 數(shù)據(jù)防泄漏DLP系統(tǒng)需要部署數(shù)據(jù)防泄漏系統(tǒng)，通過網(wǎng)關及服務器的防護來保護核心 數(shù)據(jù)的安全。1144 核心域應用安全11441 安全要求對核心域有明確的應用級安全要求，主要領域為： （1）使用者身份鑒別和訪問控制，權限控制章節(jié)已經(jīng)覆蓋這個領 域；（2）應用級別的安全審計，由信息安全審計章節(jié)進行覆蓋；（3）通信完整性和通信加密，由網(wǎng)絡安全建設進行覆蓋；（4）軟件容錯，由主機集群軟件進行覆蓋；（5）重要應用的應用級防護，比如針

34、對網(wǎng)站通過web協(xié)議漏洞進 行攻擊，普通防火墻無法防護。應用安全領域第一到第四條基本上都有其他領域的安全建設進 行覆蓋，而第五條必須獨立建設。由于應用的復雜性，應用安全在實 踐過程中非常難以實現(xiàn)，所以通常選擇最可能受到應用級攻擊的應用 進行防護，即對外提供服務的網(wǎng)站應用。建設要點及內(nèi)容在應用級安全上，主要依賴應用軟件安全架構設計及開發(fā)過程控 制來實現(xiàn)。因此，應用軟件開發(fā)立項需要有安全評審，軟件開發(fā)過程 需要有較好的過程控制手段，并在上線前進行安全測評工作。Web 應用防護系統(tǒng)針對不斷進化的 7層應用層攻擊，需要部署 Web 應用防護系統(tǒng)來 解決XSS, SQL注入，中間人偽造等攻擊。主要通過W

35、eb應用安全網(wǎng) 關完成。安全漏洞安全要求安全漏洞是一個傳統(tǒng)的企業(yè)安全防護領域，根據(jù)安全規(guī)范的要求 以及業(yè)務的需求，安全漏洞主要關注的領域：（1）能夠根據(jù)金融平臺的安全策略進行漏洞掃描和檢查；（2）為不同的安全域、應用或模塊設置單獨的漏洞掃描策略；（3）掃描出漏洞后要給出對應的解決方案，比如漏洞修補、訪問 權限修正；（4）有定期的安全漏洞掃描報告進行企業(yè)安全漏洞狀況解釋；（5）全面覆蓋數(shù)據(jù)庫、主機、網(wǎng)絡應用和防火墻等，除了傳統(tǒng)的 網(wǎng)絡漏洞掃描，還需要具體細致到詳細配置、授權帳戶安全、目錄文 件系統(tǒng)、網(wǎng)絡訪問安全等。建設要點及內(nèi)容安全漏洞防護主要依賴于策略性的掃描，以及根據(jù)掃描結果給出 的整改方案

36、。由于漏洞檢查的全面性，以及需要依據(jù)不用的安全級別、 設備類型和應用制定不同的掃描策略，所以安全漏洞掃描方案必須要 有一個后臺知識庫支撐，該后臺知識庫必須是全球視野、及時更新、 覆蓋全面。安全漏洞的檢查和修補往往涉及到一大片主機和終端桌面，所以 在考慮安全漏洞防護的解決方案時，必須考慮通過服務器和終端標準 化管理解決方案進行配合，比如統(tǒng)一分發(fā)補丁、統(tǒng)一部署安全軟件等。具體實現(xiàn)通過在管理支撐域部署漏洞掃描、補丁管理系統(tǒng)、終端 管理控制系統(tǒng)綜合解決。漏洞掃描系統(tǒng)漏洞掃描系統(tǒng)也稱脆弱性掃描與管理系統(tǒng)，是基于網(wǎng)絡的安全性 能評估與分析系統(tǒng),它采用實踐性的方法掃描分析網(wǎng)絡系統(tǒng)，綜合檢 測網(wǎng)絡系統(tǒng)中存在的

37、弱點和漏洞，并以報表的方式提供給用戶，實時 提出修補方法和安全實施策略。采用國際最新的漏洞掃描與檢測技術 包括快速主機存活掃描技術、操作系統(tǒng)識別技術、智能化端口服務識 別技術、黑客模擬攻擊技術、入侵風險評估技術等多種掃描技術的綜 合應用，幫助用戶快速、高效、準確地發(fā)現(xiàn)系統(tǒng)安全隱患并在短時間 內(nèi)修復漏洞，最大限度地降低系統(tǒng)安全風險，消除安全隱患。行為防抵賴安全要求 達到核心域安全要求的所有領域，除了必須進行安全行為審計， 還需要有技術手段防止違規(guī)者進行抵賴。防止抵賴從 2 個方面進行： （1）管理制度上要有防抵賴措施，比如角色和權限分離，關鍵行 為的簽字備案等；（2）技術上的防抵賴措施，包括：在

38、重要系統(tǒng)前部署堡壘機，所有管理行為必須先登陸堡壘機再實施，在堡壘機上進行錄像、日志記錄等信息。對重要管理員的登陸行為、重要應用的訪問通過CA證書進 行電子簽名。 在網(wǎng)絡層部署安全審記系統(tǒng)、入侵檢測系統(tǒng)進行協(xié)議實時分析，掌握網(wǎng)絡實際運行狀況，配合進行防抵賴和安全審計。主機安全總體設計終端安全管理安全要求 終端是安全規(guī)范實踐中總結出來的重要領域，牽涉到安全域、邊界安全、數(shù)據(jù)安全、資產(chǎn)管理、安全審計、安全漏洞等幾乎所有的等 保范圍。終端安全控制在理論和實踐上都遠比主機安全更加復雜。必 須遵循以下 4點的原則進行終端域的劃分：（1）所有的終端都采用一個統(tǒng)一終端管理平臺進行管理；（2）有明顯的相同安全需

39、求特征的計算機劃入一個子域處理，進 行加強的安全防護；（3）大部分的終端作為一個單獨子域處理，按照子域內(nèi)最高的安 全需求進行防護；（4）對特殊的用戶進行例外處理，所有的安全防護以不影響業(yè)務 為準。建設要點及內(nèi)容 依據(jù)等保等安全規(guī)范的具體細則，我們對終端域的安全防護主要 涉及建設的要點闡述如下：（1）身份鑒別 要求：身份鑒別要求用戶和帳戶一一匹配，對密碼強度、登陸行 為等有明確的規(guī)范。建設要點及內(nèi)容：通過集中用戶管理、CA數(shù)字證書系統(tǒng)確保終端 用戶接入的實現(xiàn)。每個終端登錄應用可以采用USB Key數(shù)字證書實現(xiàn) 身份鑒別。（2）邊界完整性 要求：安全域內(nèi)的網(wǎng)絡邊界完整性必須在終端域內(nèi)進行防護，要

40、防止私自通過撥號、無線等方式進行接入和外聯(lián)等活動。建設要點及內(nèi)容：這部分通過終端管理控制系統(tǒng)解決，終端管理 控制系統(tǒng)可以控制各個終端軟件安裝、系統(tǒng)進程、硬件設備等。（3）安全審計要求：和主機安全的安全審計一樣，對終端域內(nèi)的安全狀況進行 審計，并對重要的管理員和用戶行為進行審計。建設要點及內(nèi)容：這部分由信息安全審計章節(jié)覆蓋。（4）剩余信息保護 要求：終端的剩余信息主要指重要角色的個人計算機硬盤、優(yōu)盤 等，比如重要領導計算機的硬盤如果需要更換或者廢棄不用必須進行 數(shù)據(jù)銷毀處理。建設要點及內(nèi)容：報廢是通過專門部門實施銷毀的，嚴格遵循管 理規(guī)范執(zhí)行。（5）數(shù)據(jù)安全 要求：要求對個人計算機上的數(shù)據(jù)進行保

41、護，這種保護體現(xiàn)在2 個方面，一個是防止數(shù)據(jù)丟失，要求對重要數(shù)據(jù)進行備份；另外是數(shù) 據(jù)防泄露，防止數(shù)據(jù)通過終端的行為而丟失。建設要點及內(nèi)容：這部分內(nèi)容由數(shù)據(jù)安全章節(jié)覆蓋。（6）惡意代碼防范 要求：要求在終端上安裝網(wǎng)絡版的防惡意代碼軟件，比如殺毒軟 件等。建設要點及內(nèi)容：建設網(wǎng)絡防病毒系統(tǒng)。（7）安全漏洞防護 要求：要求對終端操作系統(tǒng)的補丁、服務和權限配置、軟件安裝 等有統(tǒng)一的標準和強制規(guī)范措施。建設要點及內(nèi)容：通過部署漏洞掃描系統(tǒng)，定期檢測終端安全狀況。身份鑒別（1）安全要求身份鑒別要求用戶和賬戶一一匹配，對密碼強度、登陸行為等有 明確的規(guī)范。對于核心域，要求采用兩種或兩種以上組合的鑒別技術

42、對管理用戶進行身份鑒別，即我們通常說的雙因子認證。通常有令牌 方案、證書方案等。（2）建設要點和內(nèi)容可以通過部署集中身份認證系統(tǒng)和數(shù)字證書系統(tǒng)，對管理員登陸 主機的行為進行強認證。訪問控制訪問控制在安全規(guī)范中是指不同管理員角色的權限分離，比如數(shù) 據(jù)庫管理員和操作系統(tǒng)管理員權限分開。這部分內(nèi)容已經(jīng)在權限訪問 章節(jié)中覆蓋。安全審計安全要求主機安全的安全審計采用“大平臺”集中管理方式，并 對重要的管理員和用戶行為進行審計。這部分由信息安全審計章節(jié)覆 蓋。剩余信息保護剩余信息保護是指，主機內(nèi)存或者硬盤上的數(shù)據(jù)，必須在分配給 另外一個應用之前進行清除。如果硬盤損壞需要進行更換，硬盤離開 場地之前必須把數(shù)

43、據(jù)進行清楚。這部分內(nèi)容由應用軟件本身的內(nèi)存使 用機制進行保證，并建立主機維修制度保證在硬盤維修之前清除數(shù)據(jù)。入侵防范主機的入侵防范可以由主機IDS或者網(wǎng)絡IDS來實現(xiàn)，主機IDS 可能造成主機運行不穩(wěn)定，因此實踐中一般選用網(wǎng)絡IDS。網(wǎng)絡IDS 已經(jīng)在網(wǎng)絡安全中進行了部署和配置。惡意代碼防范要求在主機上安裝網(wǎng)絡版的防惡意代碼軟件，比如殺毒軟件等。 建議通過部署網(wǎng)絡防毒系統(tǒng)進行解決。資源控制要求對單個用戶可使用的系統(tǒng)資源進行限制，可以通過OS配置 用戶資源配額實現(xiàn)。要求對主機CPU、內(nèi)存、硬盤等資源進行監(jiān)控，根據(jù)預設閥值進 行報警。可以通過部署網(wǎng)絡管理系統(tǒng)進行管理，對核心服務器、網(wǎng)絡 設備的資源

44、狀況進行監(jiān)控。統(tǒng)一安全運維管理平臺需求分析在安全運維上實現(xiàn)平臺化，即統(tǒng)一安全運維管理平臺。統(tǒng)一安全 運維管理平臺的核心是對企業(yè)范圍內(nèi)的安全日志進行全面收集，然后 對日志進行分析，根據(jù)等保所要求的安全策略進行安全審計；在此基 礎上，可以進一步挑選安全運維所關心的標志性事件，達到安全事件 管理的目的；再進一步，可以在這個運維平臺上進行各種安全法則和 各類安全策略輸入，實現(xiàn)統(tǒng)一的安全運維管理平臺（框架見下圖）。實時分析分橋 弱性購D 沁現(xiàn) 瓷爾卜析赳據(jù)合井數(shù)據(jù)過池匸則化/標準化.處班協(xié)調分析HI識庫f實時分析分橋 弱性購D 沁現(xiàn) 瓷爾卜析赳據(jù)合井數(shù)據(jù)過池匸則化/標準化.處班協(xié)調分析HI識庫fK?webfr.-也呈現(xiàn)實全里件鳳P盒那澗 評侑系統(tǒng)脅監(jiān)揑捷幀 腎系統(tǒng)圖 2 安全運維管理平臺框架圖建設要點及內(nèi)容采用安全管理平臺（SOC）解決方案進行統(tǒng)一安全運維管理平臺 的建設，實現(xiàn)安全審計、安全事件管理，兩者融合，成為最終的統(tǒng)一 的安全運維管理平臺。安全事件管理安全事件管理通過建立金融平臺信息安全事件應急預案，建設應 急響應保障體系，通過采購應急響應安全服務實現(xiàn)全面、快速的安全 事件響應能力。安全審計安全要求安全審計是