金融业网络管理层面安全管控手段

文/杨帅

金融业承载着诸多面向公众的重要服务，如存取款、征信查询、资金结算等，一旦出现安全问题，轻则使人民群众的财产安全面临威胁，重则引起连锁反应，影响社会正常运转。所以，其安全管控重要性不言而喻。面对该挑战，企业科技条线网络管理岗位则是安全管控的第一道防线。

1 边界防护

边界防护的核心是部署防火墙。

（1）内部机构互联边界部署纵向防火墙。防火墙一般部署在核心路由器与核心交换机之间，使用路由模式或透明模式，无需进行地址转换，为企业数据中心、同城转接中心内部数据的访问、流转提供数据访问安全控制。

（2）对外提供服务的边界部署区域（如DMZ区）防火墙。防火墙工作模式应设置为路由模式，对通过防火墙的数据包进行内外网地址转换，对国际互联网用户、外机构访问企业内部服务、资源进行控制。

（3）内部专网边界（如安防专网）部署专网防火墙。所有防火墙都应双机热备并按照端口级最小授权原则配置访问控制安全策略。三是内部专网边界（如安防专网）部署专网防火墙。

所有防火墙应应用最小授权原则，对接入网络的设备、终端进行控制，控制级别一办应精确到端口级。

2 区域防护

整个网络拓扑可按照功能划分为核心区、工作区、生产区、安全区、管理区、DMZ区等，通过功能分区，实现不同类型主体的物理隔离：核心区布放核心网络设备，如核心路由器、核心交换机；工作区规划个人办公电脑；生产区布放面向企业内部的应用；安全区布放安全设备，如入侵检测；管理区布放网管等管理应用；DMZ区布放面向企业外部、公众的应用。各区一般是物理分区，个别功能可以重叠的可以是逻辑分区（例如管理区和安全区）。各区域之间应通过安全控制策略对传输服务进行管理。各区域及vlan间访问控制策略由各区汇聚交换机进行配置管理，或是部署区域间防火墙进行配置管理。

大型金融机构，一般都有很多分支机构，在总体层面，应规划每个分支机构的地址段，为便于精细化管理及安全朔原，各分支机构的地址段还应划分为节点内地址空间及与中间节点的互连端口地址空间。对于机构内部，还涉及很多部门，同时，个人办公电脑及服务器的功能也不一样。应通过vlan划分，结合区域划分，实现网络地址段的划分，从而实现部门间的安全访问控制。

3 网络设备安全-以H3C设备为例

3.1 防地址欺诈

（1）在路由器上通过ACL访问控制，并结合packet-fileter，运用到目标端口。

（2）在交换机上（各层级交换机均可）通过ARP STATIC语句实现IP-MAC地址绑定。

3.2 过滤攻击端口

常见的攻击包括蠕虫、震荡波等，端口 涉 及：4444、69、135、139、445、593、1434、5554、9995、9996、3389、netbios-ns、netbios-dgm。用ACL抓取以上UDP及TCP端口后，匹配deny关键字，并通过packetfilter应用到设备上联端口。

3.3 日志记录

配置单独的日志服务器，并在网络设备上通过info-center语句指向该服务器。金融业日志级别一般要达到notification级别。应记录接入网络相关设备的日志信息，信息应包括时间、事件、设备IP等要素，并定期对日志信息进行分析；根据不同信息的重要程度，日志信息至少保存3-6个月。日志应存有接入网络相关设备的登录、配置变更等行为记录。

3.4 口令

（1）通过password cipher语句实现口令加密存储。

（2）通过password-control语句实现口令强度、老化时间、密码最大条数及登陆失败处置等控制。

应设置足够强度的口令并定期更换；建议至少每三个月变更一次账户口令，口令复杂度满足八位（含）以上数字、字母、符号的组合要求。

3.5 角色

建立用户后，通过aaa下user-role语句实现管理员、操作员等划分：

3.6 设备登陆

（1）远程登录限制只能使用SSHv2(用public-key local create rsa产生秘钥后，通过enable ssh server语句打开ssh功能)，要关闭Telnet服务（通过undo telnet server语句关闭）。

（2）要限制远程登录的源地址，只允许合法的地址登陆该设备，具体做法是写一个ACL抓取合法的登陆地址，然后在line vty下面应用该ACL。

（3）要设置登陆超时时间（在line vty下应用idle timeout语句来设定）。四是只允许合法的主机（如网管）与设备进行SNMP交互（通过ACL抓取合法的网管服务器ip地址，然后在snmp-agent语句末应用该ACL）。

3.7 服务及物理端口

要关闭有安全隐患及不必要的服务：http、ftp、DHCP、NDP、NTDP、LLDP（如使用undo http server关闭http服务）。要关闭没有使用的物理端口(进入端口，使用shutdown语句)。还应部署NTP服务器，并开启NTP服务（通过ntp-service unicast-server语句设置NTP服务器的地址）。

3.8 路由认证

使用OSPF等动态路由协议的设备要开启认证，防止路由窃听与非法路由注入。

4 终端管控

较为成熟的终端管控手段是使用dot1x协议实现终端准入。一是部署dot1x服务器软件。目前市面上已有比较成熟可靠的产品，如联软、360公司相关产品。如果条件允许，应部署在企业虚拟化平台上（如vmware ESXi），便于备份、恢复。为了稳定性需求，服务器软件应主、备部署，实现热备份。二是终端要安装dot1x客户端，以便服务器收集终端信息。三是接入层网络设备（通常为接入层二层交换机）要进行相关的dot1x认证配置，配置核心语句如下（以H3C为例）：

（1）全局配置：使用dot1x语句打开全局认证功能；使用dot1x authentication method eap语句将认证模式规定为单个MAC地址。

（2）端口下配置：使用dot1x语句打开单个端口的认证功能。

（3）例外：打印机、外设等无需认证的设备，可在端口下使用静态MAC地址绑定语句实现例外---mac-address static xxxx-xxxxxxxx vlan xx。

（4）与服务器通信(服务器使用radius服务)：通过radius scheme dot1x声明需通过radius交互；通过primary authentication x.x.x.x、secondary authentication x.x.x.x指明主、备服务器地址；通过key authentication cipher xxxx确定交换机与服务器之间交换信息使用的秘钥。

5 故障定位与追朔

部署网络态势感知平台，将关键设备进行全流量镜像，利用海量存储设备存储数据，供平台进行数据包级分析、回朔，进而对企业全网进行监控、报警、分析、预测、以及展示。

态势感知平台能够实现业务集中配置定义，能够将集中配置的业务的各个应用与前端设备采集链路关联，并将相关应用、报警设置自动下发到前端设备上能够为组成业务的每个应用配置性能监控报警，达到面向整体、区域、单点全面监控预警的效果，在提高企业安全预警、追朔能力的同时，也提高了自身的工作效率及提供免责依据。