金融業(yè)網(wǎng)絡(luò)管理層面安全管控手段

文/楊帥

金融業(yè)承載著諸多面向公眾的重要服務(wù)，如存取款、征信查詢、資金結(jié)算等，一旦出現(xiàn)安全問題，輕則使人民群眾的財產(chǎn)安全面臨威脅，重則引起連鎖反應(yīng)，影響社會正常運轉(zhuǎn)。所以，其安全管控重要性不言而喻。面對該挑戰(zhàn)，企業(yè)科技條線網(wǎng)絡(luò)管理崗位則是安全管控的第一道防線。

1 邊界防護

邊界防護的核心是部署防火墻。

（1）內(nèi)部機構(gòu)互聯(lián)邊界部署縱向防火墻。防火墻一般部署在核心路由器與核心交換機之間，使用路由模式或透明模式，無需進行地址轉(zhuǎn)換，為企業(yè)數(shù)據(jù)中心、同城轉(zhuǎn)接中心內(nèi)部數(shù)據(jù)的訪問、流轉(zhuǎn)提供數(shù)據(jù)訪問安全控制。

（2）對外提供服務(wù)的邊界部署區(qū)域（如DMZ區(qū)）防火墻。防火墻工作模式應(yīng)設(shè)置為路由模式，對通過防火墻的數(shù)據(jù)包進行內(nèi)外網(wǎng)地址轉(zhuǎn)換，對國際互聯(lián)網(wǎng)用戶、外機構(gòu)訪問企業(yè)內(nèi)部服務(wù)、資源進行控制。

（3）內(nèi)部專網(wǎng)邊界（如安防專網(wǎng)）部署專網(wǎng)防火墻。所有防火墻都應(yīng)雙機熱備并按照端口級最小授權(quán)原則配置訪問控制安全策略。三是內(nèi)部專網(wǎng)邊界（如安防專網(wǎng)）部署專網(wǎng)防火墻。

所有防火墻應(yīng)應(yīng)用最小授權(quán)原則，對接入網(wǎng)絡(luò)的設(shè)備、終端進行控制，控制級別一辦應(yīng)精確到端口級。

2 區(qū)域防護

整個網(wǎng)絡(luò)拓撲可按照功能劃分為核心區(qū)、工作區(qū)、生產(chǎn)區(qū)、安全區(qū)、管理區(qū)、DMZ區(qū)等，通過功能分區(qū)，實現(xiàn)不同類型主體的物理隔離：核心區(qū)布放核心網(wǎng)絡(luò)設(shè)備，如核心路由器、核心交換機；工作區(qū)規(guī)劃個人辦公電腦；生產(chǎn)區(qū)布放面向企業(yè)內(nèi)部的應(yīng)用；安全區(qū)布放安全設(shè)備，如入侵檢測；管理區(qū)布放網(wǎng)管等管理應(yīng)用；DMZ區(qū)布放面向企業(yè)外部、公眾的應(yīng)用。各區(qū)一般是物理分區(qū)，個別功能可以重疊的可以是邏輯分區(qū)（例如管理區(qū)和安全區(qū)）。各區(qū)域之間應(yīng)通過安全控制策略對傳輸服務(wù)進行管理。各區(qū)域及vlan間訪問控制策略由各區(qū)匯聚交換機進行配置管理，或是部署區(qū)域間防火墻進行配置管理。

大型金融機構(gòu)，一般都有很多分支機構(gòu)，在總體層面，應(yīng)規(guī)劃每個分支機構(gòu)的地址段，為便于精細化管理及安全朔原，各分支機構(gòu)的地址段還應(yīng)劃分為節(jié)點內(nèi)地址空間及與中間節(jié)點的互連端口地址空間。對于機構(gòu)內(nèi)部，還涉及很多部門，同時，個人辦公電腦及服務(wù)器的功能也不一樣。應(yīng)通過vlan劃分，結(jié)合區(qū)域劃分，實現(xiàn)網(wǎng)絡(luò)地址段的劃分，從而實現(xiàn)部門間的安全訪問控制。

3 網(wǎng)絡(luò)設(shè)備安全-以H3C設(shè)備為例

3.1 防地址欺詐

（1）在路由器上通過ACL訪問控制，并結(jié)合packet-fileter，運用到目標端口。

（2）在交換機上（各層級交換機均可）通過ARP STATIC語句實現(xiàn)IP-MAC地址綁定。

3.2 過濾攻擊端口

常見的攻擊包括蠕蟲、震蕩波等，端口 涉 及：4444、69、135、139、445、593、1434、5554、9995、9996、3389、netbios-ns、netbios-dgm。用ACL抓取以上UDP及TCP端口后，匹配deny關(guān)鍵字，并通過packetfilter應(yīng)用到設(shè)備上聯(lián)端口。

3.3 日志記錄

配置單獨的日志服務(wù)器，并在網(wǎng)絡(luò)設(shè)備上通過info-center語句指向該服務(wù)器。金融業(yè)日志級別一般要達到notification級別。應(yīng)記錄接入網(wǎng)絡(luò)相關(guān)設(shè)備的日志信息，信息應(yīng)包括時間、事件、設(shè)備IP等要素，并定期對日志信息進行分析；根據(jù)不同信息的重要程度，日志信息至少保存3-6個月。日志應(yīng)存有接入網(wǎng)絡(luò)相關(guān)設(shè)備的登錄、配置變更等行為記錄。

3.4 口令

（1）通過password cipher語句實現(xiàn)口令加密存儲。

（2）通過password-control語句實現(xiàn)口令強度、老化時間、密碼最大條數(shù)及登陸失敗處置等控制。

應(yīng)設(shè)置足夠強度的口令并定期更換；建議至少每三個月變更一次賬戶口令，口令復(fù)雜度滿足八位（含）以上數(shù)字、字母、符號的組合要求。

3.5 角色

建立用戶后，通過aaa下user-role語句實現(xiàn)管理員、操作員等劃分：

3.6 設(shè)備登陸

（1）遠程登錄限制只能使用SSHv2(用public-key local create rsa產(chǎn)生秘鑰后，通過enable ssh server語句打開ssh功能)，要關(guān)閉Telnet服務(wù)（通過undo telnet server語句關(guān)閉）。

（2）要限制遠程登錄的源地址，只允許合法的地址登陸該設(shè)備，具體做法是寫一個ACL抓取合法的登陸地址，然后在line vty下面應(yīng)用該ACL。

（3）要設(shè)置登陸超時時間（在line vty下應(yīng)用idle timeout語句來設(shè)定）。四是只允許合法的主機（如網(wǎng)管）與設(shè)備進行SNMP交互（通過ACL抓取合法的網(wǎng)管服務(wù)器ip地址，然后在snmp-agent語句末應(yīng)用該ACL）。

3.7 服務(wù)及物理端口

要關(guān)閉有安全隱患及不必要的服務(wù)：http、ftp、DHCP、NDP、NTDP、LLDP（如使用undo http server關(guān)閉http服務(wù)）。要關(guān)閉沒有使用的物理端口(進入端口，使用shutdown語句)。還應(yīng)部署NTP服務(wù)器，并開啟NTP服務(wù)（通過ntp-service unicast-server語句設(shè)置NTP服務(wù)器的地址）。

3.8 路由認證

使用OSPF等動態(tài)路由協(xié)議的設(shè)備要開啟認證，防止路由竊聽與非法路由注入。

4 終端管控

較為成熟的終端管控手段是使用dot1x協(xié)議實現(xiàn)終端準入。一是部署dot1x服務(wù)器軟件。目前市面上已有比較成熟可靠的產(chǎn)品，如聯(lián)軟、360公司相關(guān)產(chǎn)品。如果條件允許，應(yīng)部署在企業(yè)虛擬化平臺上（如vmware ESXi），便于備份、恢復(fù)。為了穩(wěn)定性需求，服務(wù)器軟件應(yīng)主、備部署，實現(xiàn)熱備份。二是終端要安裝dot1x客戶端，以便服務(wù)器收集終端信息。三是接入層網(wǎng)絡(luò)設(shè)備（通常為接入層二層交換機）要進行相關(guān)的dot1x認證配置，配置核心語句如下（以H3C為例）：

（1）全局配置：使用dot1x語句打開全局認證功能；使用dot1x authentication method eap語句將認證模式規(guī)定為單個MAC地址。

（2）端口下配置：使用dot1x語句打開單個端口的認證功能。

（3）例外：打印機、外設(shè)等無需認證的設(shè)備，可在端口下使用靜態(tài)MAC地址綁定語句實現(xiàn)例外---mac-address static xxxx-xxxxxxxx vlan xx。

（4）與服務(wù)器通信(服務(wù)器使用radius服務(wù))：通過radius scheme dot1x聲明需通過radius交互；通過primary authentication x.x.x.x、secondary authentication x.x.x.x指明主、備服務(wù)器地址；通過key authentication cipher xxxx確定交換機與服務(wù)器之間交換信息使用的秘鑰。

5 故障定位與追朔

部署網(wǎng)絡(luò)態(tài)勢感知平臺，將關(guān)鍵設(shè)備進行全流量鏡像，利用海量存儲設(shè)備存儲數(shù)據(jù)，供平臺進行數(shù)據(jù)包級分析、回朔，進而對企業(yè)全網(wǎng)進行監(jiān)控、報警、分析、預(yù)測、以及展示。

態(tài)勢感知平臺能夠?qū)崿F(xiàn)業(yè)務(wù)集中配置定義，能夠?qū)⒓信渲玫臉I(yè)務(wù)的各個應(yīng)用與前端設(shè)備采集鏈路關(guān)聯(lián)，并將相關(guān)應(yīng)用、報警設(shè)置自動下發(fā)到前端設(shè)備上能夠為組成業(yè)務(wù)的每個應(yīng)用配置性能監(jiān)控報警，達到面向整體、區(qū)域、單點全面監(jiān)控預(yù)警的效果，在提高企業(yè)安全預(yù)警、追朔能力的同時，也提高了自身的工作效率及提供免責(zé)依據(jù)。