银行清算网络清算网络安全方案.doc-得力文库

资源描述

《银行清算网络清算网络安全方案.doc》由会员分享，可在线阅读，更多相关《银行清算网络清算网络安全方案.doc（22页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、中国建设银行总行清算网络中国建设银行总行清算网络安全方案安全方案清算网络安全方案建议书第 2 页共 22 页北京北大青鸟商用信息系统公司引言引言.3 一、一、需求分析需求分析.4 11 清算网络拓扑结构.4 12 清算业务系统.4 13 安全目标.5 二、总体方案设计二、总体方案设计.6 21 设计原则.6 22 设计思路.6 三、加解密、加解押、身份认证、数字签名机制实现方案三、加解密、加解押、身份认证、数字签名机制实现方案.7 31 方案论述 .8 32 安全性分析 .10 四、产品配置方案四、产品配置方案.11 41 加密设备选型.11 411 功能和特点 .11 412

2、加密校验卡的性能 .13 413 加密校验卡在安全方案中的应用 .14 42 配置方案.17 421 总清算中心配置分析 .17 422 一级清算中心配置分析 .17 423 二级清算中心配置分析 .18 424 清算组配置分析 .18 425 与“友邻”系统联接配置分析.18 426 各级清算中心网络拓扑图.19 五、设备清单五、设备清单.20 六、方案实施六、方案实施.20 七、运行管理七、运行管理.21 清算网络安全方案建议书第 3 页共 22 页北京北大青鸟商用信息系统公司引言引言随着计算机网络的普及和推广，网络的应用范围的逐渐扩大，计算机网络及信息安全面临的形势越来越严峻

3、，特别是网络上传输数据的保密性、完整性、抗否认性、身份认证等安全问题尤为突出。中国建设银行清算网络是一个覆盖总行、省行、地市分行、县支行等机构的内部公用业务网络，传送着关系建行和客户的敏感金融信息，解决好清算业务数据的保密性、完整性、抗否认性、身份认证和可追踪性对建行有着极其重要的意义。基于上述两点原因，北大青鸟商用信息系统有限责任公司，向中国建设银行总行提交中国建设银行总行清算网络安全方案(草案)并为此感到十分荣幸，衷心感谢贵行对我们的信任和支持。在本方案中，我们将首先分析建行清算网络的拓扑结构、清算业务系统特点、已有安全机制，找出其中存在的安全漏洞，确定达到的安全目标。然

4、后遵循设计原则，为实现建行清算数据的安全提出基于 JB-56 通用数据加密校验卡的一体化的安全解决方案，并对方案进行安全性分析。接下来介绍方案使用设备的选型，分析 JB-56 通用数据加密校验卡的功能、特点和性能。最后根据对主机类型、业务流量等因素的综合考虑，进行配置分析，给出所需的设备清单。应当指出的是，本方案尚属于提纲性质本方案尚属于提纲性质，对许多设计和实施细节未加具体说明。这些方面我们将在后续工作中进行深入的阐述。清算网络安全方案建议书第 4 页共 22 页北京北大青鸟商用信息系统公司一、一、需求分析需求分析 11 清算网络拓扑结构清算网络拓扑结构建行网络拓扑

5、是树型结构，总行作为根结点，40 个省级分行作为一级内部结点，400500 个地市级支行作为二级内部结点，2000 个左右的县级支行作为三级内部结点。各个内部结点还可以带有分散的网点，作为子结点。具体网络拓扑结构如图 1 所示： 12 清算业务系统清算业务系统建行的清算业务系统包括四个部分：总清算中心（总行）、一级清算中心（省级分行）、二级清算中心（地市级支行）和清算组（县级支行）。各级清算中心均有独立的主机进行清算业务处理。清算网络安全方案建议书第 5 页共 22 页北京北大青鸟商用信息系统公司业务处理模式由清算网络的树型拓扑结构而决定，即总清算中心与一级清算中

6、心之间进行业务处理，一级清算中心与二级清算中心之间进行业务处理，二级清算中心与清算组之间进行业务处理，同级清算中心没有横向联系，不在同一分支下的业务请求则需通过分支节点清算中心进行业务处理。业务运行模式分为加急业务（实时）和普通业务（定时、定量）。 13 安全目标安全目标目前建行使用的清算业务应用系统已经初步考虑了安全问题。实现了业务数据的软加密和数据完整性校验（MAC），有一定的保密性和防篡改性。但是现有安全措施还很不完善，主要是因为：（1）所用的加密算法是通过软加密实现的 DES 算法，强度不足以抵抗外部的进攻，容易被破解。（2）没有提供强有力的身份认证手段，操作员身

7、份容易被伪冒。（3）没有提供数字签名的机制，不能保证业务及相关操作的有效性以及抗否认性。上述原因的存在使得有必要设计新的安全方案，提供更高强度的安全保护，增加身份认证机制和数字签名机制，保障清算业务系统安全。要为清算业务系统提供安全保障，需要满足以下安全目标：（1）网络传输安全性：各级清算中心、清算组以及网点之间的业务数据传输需要经过 X.25，DDN，PSTN 等多种公共网络，网络本身存在的安全漏洞会对业务数据的安全性造成威胁。如恶意攻击者通过网络窃听技术造成信息泄露，通过地址欺骗技术造成正常的业务数据被冒用和劫持等。（2）报文数据完整性：即在清算系统的各级清算中心、

8、清算组以及网点之间的业务报文数据生成及传输过程中，不能未经授权而被修改。（3）权限控制及制约性：与清算系统运行过程相关的每个业务人员的操作权限都应有明确的划分和严格的控制，并能相互制约。（4）业务行为抗否认性：任何清算业务活动应留有充足的记录，指明该业务活动的授权、结果和所涉及人员。并能用技术手段保证清算系统业务活清算网络安全方案建议书第 6 页共 22 页北京北大青鸟商用信息系统公司动操作人员无法否认自己所进行过的活动。（5）运行环境安全可靠性：与清算系统相关的硬件资源(主机、服务器、网络设备)、软件资源(操作系统、应用系统)、操作人员的安全可靠性问题。（6

9、）业务系统间连接安全性：与外行及行内其它业务系统联接时的安全问题。二、总体方案设计二、总体方案设计 21 设计原则设计原则在分析了清算网络拓扑结构和清算业务系统的特点，看到现有安全机制不足以及提出针对现状的一些安全考虑之后，我们为清算网络安全解决方案的设计制定了以下原则：（1）提供一体化的安全解决方案；（2）基本不对现有系统性能产生负面影响；（3）大幅度地提高业务系统的安全性和保密性；（4）尽量减少业务系统因采用新的安全方案带来的开发工作量；（5）加/解密、加/合押、数字签名全部由硬件实现；（6）安全产品应具有合法性和自主性； 22 设计思路设计思路在设计具体的安全方案

10、之前，我们需要分别考虑各级清算中心之间进行清算数据传输的特点和要求，这里既有相同点，又有不同点。相同点体现在：（1）各级清算中心之间进行严格的身份认证；（2）每一笔业务都要有据可查，日志信息要真实准确；（3）清算数据需要加密/加押/加签后传输，整个过程全部由硬件实现，算法强度遵从国家密码委员会办公室的要求；清算网络安全方案建议书第 7 页共 22 页北京北大青鸟商用信息系统公司（4）处理过程不会对整个业务系统的性能造成较大的负面影响；因为有这些相同点的存在，方案中我们为各级清算中心设计了相同的加/解密、加/合押、身份认证、数字签名的机制。不同点主要体现在两个方面：

11、（1）业务流量不同。总清算中心与一清算级中心之间、一级清算中心与二级清算中心之间的数据流量远远大于二级清算中心与清算组之间的数据流量。例如总清算中心的业务流量平均为 5 万笔/天、清算组的业务流量平均为 560 笔/天。（2）不同的清算点的清算主机类型及型号不同。例如总清算中心和一级清算中心的主机采用 HP9000 系列小型机，二级清算中心和清算组的主机大多采用 PC 服务器或 PC 机。在方案设计上，我们将根据各级清算中心的业务流量和处理能力进行不同的配置，以适应各级清算中心的实际需求。所以我们整个方案的设计分为两部分：（1）加/解密、加/合押、身份认证、数字签名机制实

12、现方案设计；（2）各级清算中心安全产品配置方案设计三、加解密、加合押、身份认证、数字签三、加解密、加合押、身份认证、数字签名机制实现方案名机制实现方案遵循提供一体化安全解决方案和大幅度地提高业务系统的安全性和保密性原则，我们对加/解密、加/合押、身份认证、数字签名机制的具体实现进行详细设计。本方案中提到的各种机制适合总行与各级分行、支行。提供业务安全主要使用到的技术有：（1）加/解密技术对数据加密后传输，可以防止数据泄露，提供数据保密性。清算网络安全方案建议书第 8 页共 22 页北京北大青鸟商用信息系统公司（2）加/合押技术对数据加押后，可以防止数据被篡改，保证

13、数据完整性。（3）身份认证技术身份认证是实现存取控制和审计的基础，好的身份认证机制可以保证用户身份的真实性，抵制身份伪冒攻击。（4）数字签名技术数据传输过程中需要增加数字签名，验证发送者的身份。这四种技术的使用配合使用。在下面方案的设计中我们将这四种技术融会贯通，结合使用，提供了很强的安全保障。 31 方案论述方案论述该方案将密钥分为三种：主密钥 K_M、身份认证密钥 K_C、工作密钥 K_W。其中只有主密钥 K_M 是固定的，身份认证密钥 K_C 和工作密钥 K_W 均是在实际业务处理时生成的，每次身份认证和数据传输使用的密钥都是不相同的，每日的工作密钥在签到后加密下发

14、，从而实现了 Challenge/Response 方式的身份认证和一次一密的机制。本方案的特点是：使用主密钥进行身份认证；公钥不参与认证；在线更改主密钥；公钥以最小使用概率出现；认证速度大大加快。具体业务流程设计如下：场景：场景：下级行业务主机向上级行业务主机签到，之后进行业务数据的传输。要求：要求：签到时上级行需要认证下级行的身份，认证通过后业务数据加密传输，传输内容需要带有数字签名。前提：前提：下级行在硬件加密卡中保存自己的主密钥 K_M，上级行可以根据下级行的 ID 得到保存在本地硬件加密卡中的下级行的主密钥 K_M。流程：流程：（见下图）清算网络安全方案建议书第

15、 9 页共 22 页北京北大青鸟商用信息系统公司 32 安全性分析上面的安全方案有以下四个优点：（1）Challenge/Response 身份认证机制下级行每次向上级行签到时，上级行生成的认证密钥 K_C 是 Challenge，下级行发回的使用 K_C 加密的认证信息是 Response。每次签到进行的身份认证不同，可以防止恶意攻击者在合法操作员完成正常的身份认证之后，截取该次身份认证的内容，伪造该合法操作员的身份，即抵制重复攻击。（2）一次一密的加密机制 ENC(K_C+ENC(K_W/K_C)/K_M) 上级清算中心上级清算中心根据下级行 ID 查找本地主密钥表，得

16、到该下级行主密钥 K_M；产生身份认证密钥 K_C 和工作密钥 K_W；用 K_C 加密 K_W，得到 ENC(K_W/K_C)；用 K_M 加密 ENC(K_W/K_C)和认证密钥 K_C,得到 ENC(K_C+ENC(K_W/K_C)/K_M)，向下级行发出认证请求；验证下级行发送的认证信息 ENC(K_W/K_C)的合法性。合法，进行业务数据的传输。否则，记录下级行 ID，拒绝该次认证请求；使用工作密钥 K_W 实现业务数据的加解密和签名。业务请求+ID ENC(K_W/K_C) 加密业务数据+ 数字签名下级行清算中心下级行清算中心提出业务请求，发送自己的身份

17、ID 用 K_M 解开认证请求，得到认证密钥 K_C 和 ENC(K_W/K_C)，然后使用 K_C 解密得到工作密钥 K_W；发送身份认证信息 ENC(K_W/K_C)到上级行；使用工作密钥 K_W 实现业务数据的加解密和签名。清算网络安全方案建议书第 10 页共 22 页北京北大青鸟商用信息系统公司每次签到后会使用不同的工作密钥进行传输，这样可以防止恶意攻击者在破解了前一个工作密钥之后对以后的业务数据造成威胁。（3）数字签名密钥一次一密数据传输过程中需要增加数据签名，保证数据传输的完整性和识别、证实发送者身份。方案将工作密钥作为签名密钥使用，所以签名密钥可以作到

18、一次一密，可以防止恶意攻击者在破解了前一个签名密钥之后对以后的业务数据造成威胁。（4）密钥管理简单建行业务是两级业务，上级行只需要保存其下属下级行的主密钥。身份认证密钥和工作密钥（数据加/解密和数字签名）是在实际需要认证和传输数据的时候生成的，不需要预先保存。 3 32 2 安全性分析安全性分析为了提高安全性，还需要注意三个问题：（1）密钥的安全分发与存放密钥（主密钥、公钥/私钥）的安全性非常重要，因为它是保证身份认证密钥和工作密钥安全的基础。对于建行二级业务结构而言，密钥分发分为以下几步：上级行产生下级行的公钥/私钥，存放在 IC 卡中，使用 IC 卡口令的 HAS

19、H 值保护加密后，下放到各个下级行中；下级行主机所带加密校验卡通过外带 IC 读写器将卡中公钥/私钥读到加密校验卡中存放。该过程需要下级行操作员知道 IC 卡的口令才能进行。主密钥由利用下级行公钥保护传输、在线更换。只能有和所用公钥相对的私钥才能解密。（2）身份认证密钥和工作密钥的随机性身份认证密钥和工作密钥实际上是随机数，保证产生随机数的随机性非常重要，否则攻击者按照随机数产生的规律性伪造合法的密钥。加密校验卡中的噪声源用来产生随机数，随机数的产生会用到加密校验卡当前状态，时间，系清算网络安全方案建议书第 11 页共 22 页北京北大青鸟商用信息系统公司统状态等信

20、息，这种产生随机数的方式因为有硬件加入带来了良好的随机性。（3）加密算法的安全性问题加密算法的安全性主要依赖于算法的选择和加密密钥长度，必须选择安全的加密算法，并保证密钥的有一定的长度。加密校验卡中的算法本身是保密的，在一定程度上可以增强抵制抗破解的功能，并且算法是自主设计，自主开发的，不存在密钥长度的限制。四、产品配置方案四、产品配置方案 41 加密设备选型加密设备选型遵循选用的安全产品具有合法性和自主性原则，方案中使用的硬件加密卡采用由北大青鸟自主研制的 JB-56 通用数据加密校验卡通用数据加密校验卡。 411 功能和特点功能和特点 JB-56 通用数据加密校验卡通用数据

21、加密校验卡的研制是在 Internet 日渐普及，网络信息安全需求越来越突出、金融电子化程度越来越高的背景下进行的，最初研制时从主客观方面都考虑到目前的金融网络及信息安全的需求，用于解决应用层安全性问题的基于 PCI 扩展槽的加密校验卡。能够实现数据加/解密、数据加/解押、身份认证和数字签字。支持备份、恢复，动态密钥管理（密钥生成、分发、储存等）、签到管理（身份认证、密钥分发、注销）、营业点管理（增、查、改、删）等。它采用中心存储式是密钥体系结构，挑战应答式的身份认证方式，以 C/S 体系为核心，支持 D-H 公钥体系结构的软件扩展。加密校验卡的硬件特点： 1硬件实现加解密、

22、身份认证和数字签名机制。提供加解密子模块、身份认证子模块、密钥管理子模块等。 2对于需要在该卡上进行相应软件开发和系统开发的高级用户，该卡提供了丰富的软件接口，以驱动程序和接口库以及应用程序的形式清算网络安全方案建议书第 12 页共 22 页北京北大青鸟商用信息系统公司提供给用户。 3加密校验卡的提供成熟的 API 接口，这意味着以后即使卡进行升级，其上开发的应用程序不需要重新编译。 4工作在具有 PCI 扩展槽的 PC 机上，以扩展卡的形式作为外部设备进行工作。 5 开放性 API 软件接口，与操作系统平台无关。同时考虑到未来版本的升级、扩展、功能完善、性能改进、可移植性

23、等一系列相关问题。 6 支持计算机 PCI 主频 33MHZ（5V 标准， PCI 接口数据吞吐量 132MB/S）和 66MHZ（3.3V 标准，PCI 接口数据吞吐量 264MB/S）两种接口档次。 7 PCI 加密卡支持 PCI 规范 2.2 版，并对 PCI 规范 2.1 版保持兼容。 8 兼容 PnP Bios 1.0A 以上版本。 9 支持无跳线方式和 PnP 方式。 10兼容大端系统和小端系统。 11支持 8 位、16 位、32 位和 64 位 I/O 工作方式。 12支持 I/O 对内存的映射和重定位。 13硬件的配置由软件进行配置。 14设置有配置寄存器，可以进行在线编程。

24、 15每张加密卡有自己唯一的只读 ID 号，长度为 8 个字节。前 4 个字节为类型标识，后 4 个字节为流水号。 16支持双卡的联机热备份，能够动态切换。 17可以单独使用，也可以多卡配合使用。支持多卡的负载均衡和抢先多任务调度，采用加权 FIFO 的方式进行任务管理。 18支持多机的任务调度和负载均衡，支持内存写拷贝、总线锁定、寄存器同步、磁盘阵列备份。 19支持加密卡内部信息的其它介质备份和恢复。 20加密卡以嵌入式系统的方式工作。 21支持本地和远程状态监控，客户化 API 显示，可以动态了解卡清算网络安全方案建议书第 13 页共 22 页北京北大青鸟商用信息系统公司工

25、作状态，便于故障排除。提供自检的 API 和测试软件，以时钟触发与任务空闲调度的后台监控相结合的方式对卡状态进行实时检查。最小任务片断分割采用自适应系统与自校正调节器相结合的方式。 22支持不同客户特殊代码设计，可以为各个客户提供不同产品。加密校验卡的算法特点： 1. 加密算法使用硬件逻辑实现，最大限度避免了软件故障问题。 2. 密钥加密、带押存储在卡内。 3. 关键信息不落地，不在计算机内存中出现。 4. 数据加密：在加密卡内实现对称算法和公钥算法。对称算法用国家密码委员会办公室批准的 128 位密钥高速算法芯片实现，公钥算法用国家密码委员会办公室批准的 1024 位高速算法芯片实

26、现。 5. 数据加押：用国家密码委员会办公室批准的 128 位密钥高速算法芯片。 6. 操作员身份认证：用国家密码委员会办公室批准的 128 位密钥高速算法芯片。 7. 加密校验卡上带有噪声源，生成的随机数随机性好。 412 加密校验卡的性能加密校验卡的性能（1）与江南计算所合作，采用国家级工业水平。（2）经过严格的冷、热和老化实验。（3）对每块卡出厂前进行严格的检验。（4）严格遵循 ISO9001 标准，控制设计、生产、过程检验、最终检验、售后服务等每一个环节。（5）对称数据加解密速度大于 40Mbps，低速卡的数字签字速度大于 5 次 /秒，高速卡数字签字速度大于 25 次/

27、秒。如果需要提高速度，可以在卡上集成多个加密芯片，峰值加解密速度可以达到每秒约 1Gbit。（6）满足现有业务处理速度需求，并留有相应扩展能力。（7）适合于建行现有机型和现有系统。清算网络安全方案建议书第 14 页共 22 页北京北大青鸟商用信息系统公司（8）支持多用户管理。（9）支持两级权限控制仿 UNIX 技术制：Root 级和 User 级。（10）支持 DTE 在线配置和管理。提供完善的专用配置软件，用于配置加密卡的初始状态、用户信息、接口方式、工作模式、大端系统与小端系统切换、密钥管理方式等硬件信息。（11）支持传统 ID/口令字体制和现代 IC 卡管理

28、体制。可以外带 IC 卡读写器，支持使用 IC 卡的认证方式。 413 加密校验卡在安全方案中的应用加密校验卡在安全方案中的应用 JB-56 通用数据加密校验卡通用数据加密校验卡应用在加密前置机和 PC 服务器上。业务系统的开发人员可以调用该卡提供的接口函数，按照方案中设计的业务流程，实现加解密、数据加押、身份认证和数字签名的功能。下面简单描述 JB-56 通用数据通用数据加密校验卡加密校验卡使用中的几个问题。 (一)操作员管理 1. 一块加密卡支持最多 16 个用户。 2. 采用二级用户权限控制，一个 Root 和最多 15 个 User。Root 对 User 进行管理，如增、查

29、、改、删等数据库操作以及密钥管理操作等。 3. 操作员以操作员 ID 和口令字进行标识。 4. 操作员身份认证支持传统的 ID/口令字方式和 IC 卡身份认证。 5. 身份认证的方式通过软件进行配置。 6. 用户口令字单向加密后存储在加密卡上的存储器中。 7. 加密卡在进行正常业务工作前必须进行操作员身份认证。 (二)密钥管理 1.加密卡内部采用三级密钥管理。公钥/私钥、主密钥和工作密钥。 2.公钥/私钥由操作员口令加密，主密钥由公钥加密，工作密钥由主密钥加密。 3.密文的公钥/私钥和密文的主密钥保存在加密卡内部。清算网络安全方案建议书第 15 页共 22 页北京北大青鸟商用信息系统

30、公司 4.工作密钥由加密卡上的噪声源产生。 5.主密钥由公钥保护传输、在线更换。 6.上级节点发送到本级节点的公钥/私钥由 IC 卡作为传递媒介。 7.加密卡具备生成公钥/私钥的能力，并通过 IC 卡向下级节点发送。 8.更换主密钥或者公钥/私钥的操作，必须由 Root 进行。 9.加密卡内部信息的备份和恢复由 Root 进行。 10. 支持密钥的分段管理方式。 (三)逻辑关系 1.加密卡遵从网状模型设计，设置有明确的上下级逻辑关系。 2.下节点的公钥/私钥和主密钥由上级进行分发。 3.下级节点与上级节点会话时使用的工作密钥在下级向上级签到时由上级节点产生，并使用主密钥保护后下发。 4.每张

31、卡支持最多 64 个上级节点和 64 个下级节点。 (四)关键流程 1.初始化流程每张卡缺省工作方式为 PnP 工作方式；缺省身份认证方式为操作员 ID 和口令字方式；缺省用户 ID 为 Root，口令字为 Root；没有上级节点和下级节点。用户使用 Root 身份进行身份认证。接着配置下次身份认证的方式：如操作员 ID 和口令字方式，则可以变更下次登录的口令；如为 IC 卡方式，则必须生成操作员的 IC 卡，并将操作员的身份设置为 Root 身份。然后配置上级节点和下级节点的有关内容。上级节点的配发信息由 IC 卡配发，然后向上级节点进行身份认证。然后生成下级节点的信息，并写入

32、 IC 卡，由下级节点领用。 2.启动流程首先必须使用 IC 卡或者 ID 和口令字方式进行身份认证。然后，接收下级的签到和下载工作密钥，并同时向上级节点进行网点身份认证，并从清算网络安全方案建议书第 16 页共 22 页北京北大青鸟商用信息系统公司上级领用本次签到的工作密钥。 3.工作流程在工作过程中，采用交互方式进行。 (五)口令字管理 1.用户 ID 的长度为 8 个字节。不足部分用 NULL 字符填充。 2.每块卡至少有一个操作员，ID 为 Root，口令字缺省为 Root。 3.其余操作员由 Root 负责管理。Root 有权随时指定用户和口令字。 4.操作员可以在核

33、对口令字正确后修改自己的口令。Root 有权修改自己和其他操作员的口令。 5.使用专用配置软件可以将用户情况恢复到初始状态。 (六)IC 卡 1. IC 卡包括传输介质型（用于传输公钥/私钥）和身份认证型（用于表明操作员身份）两种。 2. 用于传输密钥的 IC 卡设置口令，并利用口令表明操作员的身份。IC 卡中存储的密钥被口令字加密，在没有正确口令字的情况下不可读取和复制。IC 卡中记录有加密卡的 ID 号，和加密卡一一对应。 3. 用于表明身份的 IC 卡由加密卡本身产生，上面记录有用户的 ID、口令字和登录信息指纹。在每次登录后，该指纹发生变化。 (七)国别转换 1. 内核采用宽

34、字符格式。 2. 支持 HZ、GB2312 和 BIG 5 等多表码自动识别。 3. 支持宽字符和 ANSI 字符的自动识别。 (八)版本 1.在加密卡硬件内部记录有可以设置的版本号，当前版本为 1.0 版。清算网络安全方案建议书第 17 页共 22 页北京北大青鸟商用信息系统公司 2.高版本的软件兼容版本的软件。 3.软件在初始化过程中检测加密卡的版本号，只有必须大于或者等于加密卡版本号时才能正常工作。 4.加密卡内部程序升级过程中也升级版本号。 5.版本检查可以屏蔽。 42 配置方案配置方案 421 总清算中心配置分析总清算中心配置分析由于总清算中心主机使用的是 HP9000

35、系列小型机，其硬件接口与标准的 ISA、PCI 总线接口不兼容。我们采用在主机之前设置加密前置机，将加密校验卡安装在加密前置机中的方法解决这个问题。根据业务量的需要，可设置多台加密前置机，在每台加密前置机上安装多块加密校验卡，以提高总吞吐量。并通过合理分配每台前置机、每块加密卡的负载，实现负载平衡。目前总清算中心的日平均流量为 5 万笔，高峰可达 67 万笔。一笔业务大约需要传输 700800 个字节。一般业务集中在下午。我们假设下午两点到三点业务量达到峰值，总清算中心和下属 40 个一级清算中心通信的 x.25 网络流量达到饱和，x.25 网络实际吞吐率为 256Kbps，总清

36、算中心峰值流量为 256Kbps*4010Mbps。根据数据加密校验卡加密速度的理论值估算，支持 PCI 接口的校验卡完全可以满足现有要求。综合考虑到未来业务量的增长、负载分配的效率、理论计算值的误差和其它不可预见因素，建议总清算中心的配置为两台加密前置机，每台前置机上使用三块 PCI 总线的加密卡。此外，由于银行业务的不间断性的要求，硬件设备使用过程可能出现意外情况，应有充分的冗余备份措施。如采用一备一的方案，总清算中心应配置四台加密前置机，每台前置机上使用三块 PCI 总线的加密卡。清算网络安全方案建议书第 18 页共 22 页北京北大青鸟商用信息系统公司 422 一级

37、清算中心配置分析一级清算中心配置分析各一级清算中心主机大多为 HP9000 系列小型机，业务流量一般在 5000 笔/ 天，高峰可达 60007000 笔/天。假设某个一级清算中心带有 20 个二级清算中心，DDN 网络流量为 128Kbps。按照总清算中心的配置分析方法，流量峰值为 128Kbps*202.5M。综合考虑各种因素，各一级清算中心的配置应达到两台加密前置机，每台前置机上使用两块 PCI 总线加密卡。对于业务量较大的中心，可考虑增加一台加密前置机。 423 二级清算中心配置分析二级清算中心配置分析由于二级清算中心大量采用 HP PC 服务器，考虑其硬件接口的兼容性，可

38、选用 PCI 总线的加密卡，直接插在服务器上使用。假设某个二级清算中心带有 5 个清算组，DDN 网络流量为 128Kbps，流量峰值为 128Kbps*40.5M。根据业务流量的需要，综合考虑未来业务增长、冗余备份等因素，各二级清算中心应达到两块 PCI 总线加密卡的配置。部分使用 PC 机做主机以及服务器 PCI 插槽数不够的二级中心，可通过使用 ISA 总线加密卡或增加加密前置机的方式解决。 424 清算组配置分析清算组配置分析清算组机构数量较大，业务比较零散，大多数以 PC 机做主机，可选用 PCI 总线加密卡直接插在机器上使用，这样也比较好的控制了成本。如考虑冗余备份等因

39、素则至少应有两块加密卡。 425 与与“友邻友邻”系统联接系统联接情况分析情况分析 “友邻”系统指建行计算机网络内但在清算系统之外的各计算机系统，及其他银行的计算机系统。这些系统之间经常有业务往来和数据交换。注意到， “友邻”系统并不处于本系统的直接控制之下，清算网络安全方案建议书第 19 页共 22 页北京北大青鸟商用信息系统公司故是不可信任的。这些网络连接也将对清算系统构成一定的威胁。此部分待进一步明确需求后，在第二版方案中作详细分析。 426 各级清算中心网络拓扑图各级清算中心网络拓扑图总清算中心与一级清算中心网络拓扑如下图：清算网络安全方案建议书第 20 页共

40、22 页北京北大青鸟商用信息系统公司二级清算中心与清算组网络拓扑如下图：五、设备清单五、设备清单机机构构名名称称机机构构数数量量配配置置方方式式加密前置加密前置机台数机台数加密卡加密卡类型类型单台加密前置单台加密前置机配置加密卡机配置加密卡块数块数加密卡块加密卡块数合计数合计总清算中心总清算中心1前置机4PCI312 一级清算中心一级清算中心40前置机2PCI2160 二级清算中心二级清算中心500插卡/前置机数量不详PCI2（插卡）1000 清算组清算组2000插卡无PCI2（插卡）4000 注：以上数量为估算值，仅供参考。清算网络安全方案

41、建议书第 21 页共 22 页北京北大青鸟商用信息系统公司六、方案实施六、方案实施我公司在建行清算网络安全方案实施过程中拟采用“质量测试模拟实验个别试点全面推广”的稳妥、有效模式来进行。在方案实施中参与的人员在不同阶段不同，其中研发人员、方案设计人员、银行内相应业务人员、银行网络管理人员等均应在不同阶段有一定的参与。方案实施模式如下图：质量测试：立足于建行的安全需求和安全目标来进行功能测试、性能测试，并根据测试结果及时更正相应不足或者错误。模拟实验：搭建模拟测试环境进行仿真运行测试。个别试点：在个别城市进行试点，在试点中将建立有效的安全机制过渡策略，确保业务的正常运行。全面推广：在建行全面实施本方案，建立安全保障机制。整个实施过程是一个往返反复的过程，错误和不足将在最短时间和最大可能被发现并加以解决。七、运行管理七、运行管理（1）技术支持服务：质量测试模拟实验个别试点全面推广清算网络安全方案建议书第 22 页共 22 页北京北大青鸟商用信息系统公司培训是保证清算系统安全的一个重要环节。所有的管理和操作人员都必须经过与其业务职能相适应的

展开阅读全文