清算网络安全方案草案

中国建设银行总行清算网络安全方案(草案)清算网络安全方案建议书第2页共22页北京北大青鸟商用信息系统公司引言.............................................................................................................3一、需求分析...........................................................................................41．1清算网络拓扑结构....................................................................................................................41．2清算业务系统............................................................................................................................41．3安全目标....................................................................................................................................5二、总体方案设计....................................................................................62．1设计原则....................................................................................................................................62．2设计思路....................................................................................................................................6三、加解密、加解押、身份认证、数字签名机制实现方案................73．1方案论述........................................................83．2安全性分析.....................................................10四、产品配置方案..................................................................................114．1加密设备选型..........................................................................................................................114．1．1功能和特点..................................................114．1．2加密校验卡的性能.............................................134．1．3加密校验卡在安全方案中的应用.................................144．2配置方案..................................................................................................................................174．2．1总清算中心配置分析...........................................174．2．2一级清算中心配置分析.........................................174．2．3二级清算中心配置分析.........................................184．2．4清算组配置分析...............................................184．2．5与“友邻”系统联接配置分析...................................184．2．6各级清算中心网络拓扑图.......................................19五、设备清单...........................................................................................20六、方案实施...........................................................................................20七、运行管理...........................................................................................21清算网络安全方案建议书第3页共22页北京北大青鸟商用信息系统公司引言随着计算机网络的普及和推广，网络的应用范围的逐渐扩大，计算机网络及信息安全面临的形势越来越严峻，特别是网络上传输数据的保密性、完整性、抗否认性、身份认证等安全问题尤为突出。中国建设银行清算网络是一个覆盖总行、省行、地市分行、县支行等机构的内部公用业务网络，传送着关系建行和客户的敏感金融信息，解决好清算业务数据的保密性、完整性、抗否认性、身份认证和可追踪性对建行有着极其重要的意义。基于上述两点原因，北大青鸟商用信息系统有限责任公司，向中国建设银行总行提交《中国建设银行总行清算网络安全方案(草案)》并为此感到十分荣幸，衷心感谢贵行对我们的信任和支持。在本方案中，我们将首先分析建行清算网络的拓扑结构、清算业务系统特点、已有安全机制，找出其中存在的安全漏洞，确定达到的安全目标。然后遵循设计原则，为实现建行清算数据的安全提出基于JB--56通用数据加密校验卡的一体化的安全解决方案，并对方案进行安全性分析。接下来介绍方案使用设备的选型，分析JB-56通用数据加密校验卡的功能、特点和性能。最后根据对主机类型、业务流量等因素的综合考虑，进行配置分析，给出所需的设备清单。应当指出的是，本方案尚属于提纲性质，对许多设计和实施细节未加具体说明。这些方面我们将在后续工作中进行深入的阐述。清算网络安全方案建议书第4页共22页北京北大青鸟商用信息系统公司一、需求分析1．1清算网络拓扑结构建行网络拓扑是树型结构，总行作为根结点，40个省级分行作为一级内部结点，400~500个地市级支行作为二级内部结点，2000个左右的县级支行作为三级内部结点。各个内部结点还可以带有分散的网点，作为子结点。具体网络拓扑结构如图1所示：1．2清算业务系统建行的清算业务系统包括四个部分：总清算中心（总行）、一级清算中心（省级分行）、二级清算中心（地市级支行）和清算组（县级支行）。各级清算中心均有独立的主机进行清算业务处理。清算网络安全方案建议书第5页共22页北京北大青鸟商用信息系统公司业务处理模式由清算网络的树型拓扑结构而决定，即总清算中心与一级清算中心之间进行业务处理，一级清算中心与二级清算中心之间进行业务处理，二级清算中心与清算组之间进行业务处理，同级清算中心没有横向联系，不在同一分支下的业务请求则需通过分支节点清算中心进行业务处理。业务运行模式分为加急业务（实时）和普通业务（定时、定量）。1．3安全目标目前建行使用的清算业务应用系统已经初步考虑了安全问题。实现了业务数据的软加密和数据完整性校验（MAC），有一定的保密性和防篡改性。但是现有安全措施还很不完善，主要是因为：（1）所用的加密算法是通过软加密实现的DES算法，强度不足以抵抗外部的进攻，容易被破解。（2）没有提供强有力的身份认证手段，操作员身份容易被伪冒。（3）没有提供数字签名的机制，不能保证业务及相关操作的有效性以及抗否认性。上述原因的存在使得有必要设计新的安全方案，提供更高强度的安全保护，增加身份认证机制和数字签名机制，保障清算业务系统安全。要为清算业务系统提供安全保障，需要满足以下安全目标：（1）网络传输安全性：各级清算中心、清算组以及网点之间的业务数据传输需要经过X.25，DDN，PSTN等多种公共网络，网络本身存在的安全漏洞会对业务数据的安全性造成威胁。如恶意攻击者通过网络窃听技术造成信息泄露，通过地址欺骗技术造成正常的业务数据被冒用和劫持等。（2）报文数据完整性：即在清算系统的各级清算中心、清算组以及网点之间的业务报文数据生成及传输过程中，不能未经授权而被修改。（3）权限控制及制约性：与清算系统运行过程相关的每个业务人员的操作权限都应有明确的划分和严格的控制，并能相互制约。（4）业务行为抗否认性：任何清算业务活动应留有充足的记录，指明该业务活动的授权、结果和所涉及人员。并能用技术手段保证清算系统业务活动清算网络安全方案建议书第6页共22页北京北大青鸟商用信息系统公司操作人员无法否认自己所进行过的活动。（5）运行环境安全可靠性：与清算系统相关的硬件资源(主机、服务器、网络设备)、软件资源(操作系统、应用系统)、操作人员的安全可靠性问题。（6）业务系统间连接安全性：与外行及行内其它业务系统联接时的安全问题。二、总体方案设计2．1设计原则在分析了清算网络拓扑结构和清算业务系统的特点，看到现有安全机制不足以及提出针对现状的一些安全考虑之后，我们为清算网络安全解决方案的设计制定了以下原则：（1）提供一体化的安全解决方案；（2）基本不对现有系统性能产生负面影响；（3）大幅度地提高业务系统的安全性和保密性；（4）尽量减少业务系统因采用新的安全方案带来的开发工作量；（5）加/解密、加/合押、数字签名全部由硬件实现；（6）安全产品应具有合法性和自主性；2．2设计思路在设计具体的安全方案之前，我们需要分别考虑各级清算中心之间进行清算数据传输的特点和要求，这里既有相同点，又有不同点。相同点体现在：（1）各级清算中心之间进行严格的身份认证；（2）每一笔业务都要有据可查，日志信息要真实准确；（3）清算数据需要加密/加押/加签后传输，整个过程全部由硬件实现，算法强度遵从国家密码委员会办公室的要求；（4）处理过程不会对整个业务系统的性能造成较大的负面影响；清算网络安全方案建议书第7页共22页北京北大青鸟商用信息系统公司因为有这些相同点的存在，方案中我们为各级清算中心设计了相同的加/解密、加/合押、身份认证、数字签名的机制。不同点主要体现在两个方面：（1）业务流量不同。总清算中心与一清算级中心之间、一级清算中心与二级清算中心之间的数据流量远远大于二级清算中心与清算组之间的数据流量。例如总清算中心的业务流量平均为5万笔/天、清算组的业务流量平均为5~60笔/天。（2）不同的清算点的清算主机类型及型号不同。例如总清算中心和一级清算中心的主机采用HP9000系列小型机，二级清算中心和清算组的主机大多采用PC服务器或PC机。在方案设计上，我们将根据各级清算中心的业务流量和处理能力进行不同的配置，以适应各级清算中心的实际需求。所以我们整个方案的设计分为两部分：（1）加/解密、加/合押、身份认证、数字签名机制实现方案设计；（2）各级清算中心安全产品配置方案设计三、加解密、加