XXX银行网络安全规划建议书5555.docx

《XXX银行网络安全规划建议书5555.docx》由会员分享，可在线阅读，更多相关《XXX银行网络安全规划建议书5555.docx（44页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、XXX银银行生产产网络安安全规划划建议书书20066年6月月目录1项目情情况概述述32网络结结构调整整与安全全域划分分53XXXX银行网网络需求求分析773.1网网上银行行安全风风险和安安全需求求83.2生生产业务务网络安安全风险险和安全全需求994总体安安全技术术框架建建议1114.1网网络层安安全建议议114.2系系统层安安全建议议134.3管管理层安安全建议议145详细网网络架构构及产品品部署建建议1555.1网网上银行行安全建建议1555.2省省联社生生产网安安全建议议175.3地地市联社社生产网网安全建建议1995.4区区县联社社生产网网安全建建议1995.5全全行网络络防病毒毒系统

2、建建议2005.6网网络安全全管理平平台建议议215.6.1部署署网络安安全管理理平台的的必要性性215.6.2网络络安全管管理平台台部署建建议2225.7建建立专业业的安全全服务体体系建议议235.7.1现状状调查和和风险评评估2445.7.2安全全策略制制定及方方案设计计245.7.3安全全应急响响应方案案256安全规规划总结结287产品配配置清单单291 项目情况况概述Xxx银银行网络络是一个个正在进进行改造造的省级级银行网网络。整整个网络络随着业业务的不不断扩展展和应用用的增加加，已经经形成了了一个横横纵联系系，错综综复杂的的网络。从从纵向来来看，目目前XXXX银行行网络分分为四层层，

3、第一一层为省省联社网网络，第第二层为为地市联联社网络络，第三三层为县县（区）联联社网络络，第四四层为分分理处网网络。从横向来来看，省省及各地地市的银银行网络络都按照照应用划划分为办办公子网网、生产产子网和和外联网网络三个个大子网网。而在在省中心心网上，还还包括网网上银行行、测试试子网和和MISS子网三三个单独独的子网网。其整整个网络络的结构构示意图图如下：图1.11 XXXX银行行网络结结构示意意图XXX银银行网络络是一个个正在新新建的网网络，目目前业务务系统刚刚刚上线线运行，还还没有进进行信息息安全方方面的建建设。而而对于XXXX银银行网络络来说，生生产网是是网络中中最重要要的部分分，所有有

4、的应用用也业务务系统都都部署在在生产网网上。一一旦生产产网出现现问题，造造成的损损失和影影响将是是不可估估量的。因因此现在在急需解解决生产产网的安安全问题题。本次对XXXX银银行网络络的安全全规划仅仅限于生生产网以以及与生生产网安安全相关关的网络络部分，因因此下面面我们着着重对XXXX银银行的生生产网构构架做一一个详细细描述。（一）省省联社生生产网络络l省联社网网络生产产网络是是全行信信息系统统的核心心，业务务系统、网网上银行行系统及及管理系系统都集集中在信信息中心心。l省联社网网络生产产网络负负责与人人行及其其他单位位中间业业务的连连接。l省联社网网络生产产网络负负责建立立和维护护网上银银行

5、。l省联社网网络生产产网络中中包含MMIS系系统和测测试系统统。l操作系统统主要有有：OSS/4000、AIXX、Linnux、Winndowws，以以及其它它设备的的专用系系统。l数据库系系统包括括：DBB2、INFFORMMIX、SYBBASEE、ORAACLEE等。l业务应用用包括：u生产业务务：l一线业务务：与客客户直接接关联的的业务，如如ATMM、POSS、柜员员终端等等l二线业务务：不直直接与客客户相关关的业务务，如管管理流程程、公文文轮流转转、监督督、决策策等，为为一线业业务的支支撑。（二）地地市联社社生产网网络l地市联社社生产网网络是二二级网络络，通过过两条互互为备份份的专线线

6、与省联联社中心心网络互互连。l操作系统统主要有有：UNNIX、WINNDOWWS。（三）区区（县）联联社生产产网络l区（县）联联社生产产网络是是三级网网络，通通过2MM SDDH/或或者100M光纤纤以太网网（ISSDN备备份）等等方式与与管辖支支行的网网络连接接。l操作系统统主要有有：UNNIX、WINNDOWWS。（四）分分理处生生产网l分理处是是四级网网络，各各个分理理处通过过2M SSDH或或者ISSDN等等方式与与管辖区区（县）联联社的网网络连接接。由于区县县联社及及分理处处的网络络目前还还处在组组网的初初级阶段段，网络络构造简简单且还还没有能能力进行行完善的的网络安安全建设设和管理

7、理，因此此本次规规划主要要是对省及及地市联联社的网网络安全全部分。当把省及地市部分的网络建成一个比较完善的安全防护体系之后，再逐步的将安全措施和手段应用于下层的区县联社及分理处。从而实现整个网络的重点防护、分步实施策略。2 网络结构构调整与与安全域域划分对于XXXX银行行生产网网络来说说，首要要的一点点就是应应该根据据国家有有关部门门对相关关规定，将将整个生生产网络络进行网网络结构构的优化化和安全全域的划划分，从从结构上上实现对对安全等等级化保保护。根据中中国人民民银行计计算机安安全管理理暂行规规定（试试行）的的相关要要求：“第六十十一条内联网网上的所所有计算算机设备备，不得得直接或或间接地地

8、与国际际互联网网相联接接，必须须实现与与国际互互联网的的物理隔隔离。”“第七十十五条计算机机信息系系统的开开发环境境和现场场应当与与生产环环境和现现场隔离离。”因此我们们有必要要对现有有网络环环境进行行改造，以以将生产产业务网网络（包包括一线线业务和和二线业业务）与与具有互互联网连连接的办办公网络络之间区区分开来来，通过过强有力力的安全全控制机机制最大大化实现现生产系系统与其其他业务务系统之之间的隔隔离。同同时，对对XXXX银行所所有信息息资源进进行安全全分级，根根据不同同业务和和应用类类型划分分不同安安全等级级的安全全域，并并分别进进行不同同等级的的隔离和和保护。初步规划划将省联联社生产产网

9、络划划分成多多个具备备不同安安全等级级的区域域，参考考公安部部发布的的信息息系统安安全保护护等级定定级指南南，我我们对安安全区域域划分和和定级的的建议如如下：安全区域域说明定级建议议生产区域域包含一线线业务服服务器主主机3级MIS区区域包含二线线业务服服务器主主机2级网上银行行区域包含网上上银行业业务服务务器主机机2级运行管理理区域包含维护护网络信信息系统统有效运运行的管管理服务务器主机机和管理理终端2级测试区域域包含新开开发的生生产应用用的测试试环境，可可视为准准生产环环境1级办公服务务器区域域包含办公公业务系系统服务务器主机机2级对于各地地市、区区县联社社和各营营业网点点也需要要将生产产业

10、务和和办公业业务严格格区分开开，并进进行逻辑辑隔离，确确保生产产区域具具有较高高安全级级别。由于部分分办公业业务用户户需要访访问生产产业务中中的特定定数据，而而部分生生产应用用也需要要访问办办公网中中的特定定数据，因因此无法法做到生生产、办办公之间间彻底的的物理隔隔离，建建议在各各级联社社信息中中心提供供生产网网与办公公网之间间的连接接，并采采用逻辑辑隔离手手段进行行控制，对于营业网点，由于作隔离投入太大，可暂时不考虑隔离。改造后的的总体逻逻辑结构构如图所所示：图2.11 XXXX银行行网络安安全结构构示意图图网络改造造后，全全行办公公系统将将统一互互联网出出口，所所有办公公终端只只允许在在通

11、信行行为可控控的情况况下才能能通过信信息中心心办公网网络的互互联网出出口访问问外界网网络，生生产业务务服务器器和终端端不允许许采取任任何手段段直接访访问互联联网或通通过办公公网间接接访问互互联网。网上银行行因业务务需要必必须连接接互联网网，但只只允许互互联网用用户对网网银门户户网站的的访问以以及认证证用户对对网银WWEB服服务器的的访问，生生产业务务服务器器和终端端不允许许采取任任何手段段直接访访问互联联网或通通过网银银网络间间接访问问互联网网。3 XXX银银行网络络需求分分析随着XXXX银行行金融信信息化的的发展，信信息系统统已经成成为银行行赖以生生存和发发展的基基本条件件。相应应地，银银行

12、信息息系统的的安全问问题也越越来越突突出，银银行信息息系统的的安全问问题主要要包括两两个方面面：一是是来自外外界对银银行系统统的非法法侵入，对对信息系系统的蓄蓄意破坏坏和盗窃窃、篡改改信息行行为；二二是来自自银行内内部员工工故意或或无意的的对信息息系统管管理的违违反。银银行信息息系统正正在面临临着严峻峻的挑战战。银行进行行安全建建设、加加强安全全管理已已经成为为当务之之急，其其必要性性正在随随着银行行业务和和信息系系统如下下的发展展趋势而而更加凸凸出：银行的关关键业务务系统层层次丰富富，操作作环节多多，风险险也相对对比较明明显；随着电子子银行和和中间业业务的广广泛开展展，银行行的网络络与Inn

13、terrnett和其他他组织机机构的网网络互联联程度越越来越高高，使原原本相对对封闭的的网络越越来越开开放，从从而将外外部网络络的风险险引入到到银行内内部网络络；随着银行行业务集集中化的的趋势，银银行业务务系统对对可靠性性和无间间断运行行的要求求也越来来越高；随着WTTO的到到来和外外资银行行的进入入，银行行业竞争争日益激激烈，新新的金融融产品不不断推出出，从而而使银行行的应用用系统处处于快速速的变化化过程中中，对银银行的安安全管理理提出了了更高的的要求。中国国内内各家银银行也已已经开始始进行信信息安体体系建设设，其中中最主要要的措施施就是采采购了大大量安全全产品，包包括防火火墙、入入侵检测测

14、系统、防防病毒和和身份认认证系统统等。这这些安全全产品在在很大程程度上提提高了银银行信息息系统的的安全水水平，对对保护银银行信息息安全起起到了一一定作用用。但是是它们并并没有从从根本上上降低安安全风险险，缓解解安全问问题，这这主要是是因为：l 信息安全全问题从从来就不不是单纯纯的技术术问题，把把防范黑黑客入侵侵和病毒毒感染理理解为信信息安全全问题的的全部是是片面的的。安全全产品的的功能相相对比较较狭窄，往往往用于于解决一一类安全全问题，因因此仅仅仅通过部部署安全全产品很很难完全全覆盖银银行信息息安全问问题；l 信息安全全问题不不是静态态的，它它总是随随着银行行策略、组组织架构构、信息息系统和和

15、操作流流程的改改变而改改变。部部署安全全产品是是一种静静态的解解决办法法。一般般来说，在在产品安安装和配配置后较较长一段段时间内内，它们们都无法法动态调调整以适适应安全全问题的的变化。所以，银银行界的的有识之之士都意意识到应应从根本本上改变变应对信信息安全全问题的的思路，建建立更加加全面的的安全保保障体系系，在安安全产品品的辅助助下，通通过管理理手段体体系化地地保障信信息系统统安全。下面我们们将通过过分析XXXX银银行改造造后的网网络结构构下可能能面临的的安全问问题，对对XXXX银行（主主要是生生产网）目目前的安安全需求求进行总总体分析析。根据据实际项项目进度度安排，我我们将分分别对网网上银行

16、行系统、生生产业务务系统进进行分析析。3.1 网上银行行安全风风险和安安全需求求针对目前前最常见见的互联联网攻击击类型以以及国内内外网上上银行系系统通常常面临的的安全威威胁，结结合XXXX银行行的实际际情况，我我们认为为在XXXX银行行网上银银行网络络可能面面临的安安全风险险和对应应的安全全需求如如下：序号风险名称称受影响对对象安全需求求1漏洞操作系统统，数据据库系统统，应用用软件评估、加加固（打打补丁，安安装加固固软件）2网页篡改改网银WEEB和门门户WEEB服务务器打补丁，安安装防篡篡改软件件，内容容过滤3网络仿冒冒网银客户户培训客户户的安全全防护意意识（安安装IEE反钓鱼鱼插件；认清银银

17、行网站站，不在在虚假站站点中填填写IDD和密码码；采用用CA认认证和SSSL加加密）4蠕虫和病病毒所有wiindoows和和linnux平平台客户端：建议或或强制安安装防病病毒软件件/插件件服务器：安装相相应平台台防病毒毒软件网银WEEB区域域与互联联网之间间：防病病毒网关关网银与核核心层之之间：防防病毒网网关5非法入侵侵和攻击击（网络络级、应应用级）所有网段段防火墙、IIDS（需需检测应应用级攻攻击及SSSL加加密攻击击）6拒绝服务务攻击网银WEEB区域域抗DOSS攻击产产品7网页恶意意代码（木木马、间间谍软件件、广告告软件、拨拨号器（ddiallerss）、kkey logggerr、密码

18、码破解工工具和远远程控制制程序等等）网银客户户winndowws，iie浏览览器（llinuux不受受影响）培训客户户的安全全防护意意识（在在计算机机上安装装防病毒毒工具并并及时更更新；采采用相对对安全的的浏览器器或在IIE中安安装各类类安全控控件；对对不明邮邮件不要要打开，并并及时删删除；提提高对个个人资料料、账户户、密码码的保护护意识；及时修修改银行行帐户的的原始密密码；不不要采用用身份证证号码、生生日、手手机号码码及过分分简单的的数字作作为密码码；不要要在网吧吧等公共共场所操操作网上上银行业业务。）8僵尸网络络（DDDOS、垃垃圾邮件件、网页页仿冒、网网页攻击击的被动动发起者者）互联网上

19、上大量不不安全的的主机可可能成为为僵尸，被被利用来来向网银银进行攻攻击通过上述述手段加加强自身身防护3.2 生产业务务网络安安全风险险和安全全需求对于生产产业务网网络而言言，可能能存在的的安全风风险和对对应的安安全需求求如下：序号风险名称称风险来源源受影响对对象安全需求求1漏洞自身操作系统统，数据据库系统统，应用用软件评估、加加固（打打补丁，安安装加固固软件）2蠕虫和病病毒移动存储储介质、网网络通讯讯所有wiindoows和和linnux平平台客户端/服务器器：安装装相应平平台防病病毒软件件网银与生生产业务务网络之之间：防防病毒网网关3非法入侵侵和攻击击（网络络级、应应用级）所有需要要访问或或

20、可能访访问到一一线业务务的用户户一线业务务生产主主机防火墙、入入侵检测测网上银行行区域生产业务务网络防火墙、入入侵防御御网上银行行区域、相相关外部部单位网网络、办办公业务务网络生产业务务网络防火墙、入入侵检测测4数据窃密密、篡改改非法闯入入者在局域网网或广域域网上传传输的业业务数据据，存放放在客户户端本地地的业务务数据网络准入入控制、桌桌面安全全控制5非法访问问、越权权访问非生产人人员生产应用用系统和和业务数数据身份认证证、访问问授权非管理人人员操作系统统、数据据库系统统身份认证证、访问问授权4 总体安全全技术框框架建议议根据对XXXX银银行网络络系统安安全需求求分析，我我们提出出了由多多种安

21、全全技术和和多层防防护措施施构成的的一整套套安全技技术方案案，具体体包括：在网络络层划分分安全域域，部署署防火墙墙系统、防防拒绝服服务攻击击系统、入入侵检测测系统、入侵防防御系统统和漏洞洞扫描系系统；在在系统层层部署病病毒防范范系统，提提供系统统安全评评估和加加固建议议；在管管理层制制订安全全管理策策略，部部署安全全信息管管理和分分析系统统，建立立安全管管理中心心。具体建议议如下：4.1 网络层安安全建议议1网络络访问控控制 l 划分安全全域为了提高高银行网网络的安安全性和和可靠性性，在省省联社总总部、各各地市联联社、各区县县联社、分理处处对不同同系统划划分不同同安全域域。 l 访问控制制措施

22、对安全等等级较高高的安全全域，在在其边界界部署防防火墙，对对安全等等级较低低的安全全域的边边界则可可以使用用VLAAN或访访问控制制列表来来代替。根据对XXXX银银行整体体网络的的区域划划分，我我们将在在不同安安全域边边界采用用不同的的访问控控制措施施：u 在生产网网与办公公网之间间采用防防火墙提提供访问问控制，只只允许业业务相关关的访问问，拒绝绝其他所所有访问问；u 在生产网网与网上上银行网网络之间间采用防防火墙提提供访问问控制，只只允许业业务相关关的访问问，拒绝绝其他所所有访问问；u 在生产网网与相关关单位网网络之间间采用防防火墙提提供访问问控制，只只允许业业务相关关的访问问，拒绝绝其他所

23、所有访问问；u 在网上银银行网络络与互联联网之间间采用防防火墙提提供访问问控制，除除允许互互联网用用户访问问网银门门户网站站、允许许互联网网认证用用户访问问网银WWEB及及允许网网银WEEB服务务器/SSSL加加速器访访问互联联网上的的CFCCA之外外，拒绝绝其他所所有访问问；u 在生产网网的生产产区域（一一线业务务）与其其他区域域之间采采用防火火墙提供供访问控控制，只只允许业业务相关关的访问问，拒绝绝其他所所有访问问；u 在生产网网的其他他各区域域之间利利用三层层交换机机划分虚虚拟子网网及进行行简单包包过滤，做做到较简简单的访访问控制制；2防拒拒绝服务务攻击在网上银银行系统统与Innterr

24、nett出口边边界处，配配备抗DDoS攻攻击网关关系统，以以抵御来来自互联联网的各各种拒绝绝服务攻攻击和分分布式拒拒绝服务务攻击。 3网络络入侵检检测在网上银银行系统统和总行行业务网网络系统统中部署署入侵检检测系统统，实时时检测、分分析网络络上的通通讯数据据流，尤尤其是对对进出安安全域边边界或进进出存放放有涉密密信息的的关键网网段、服服务器主主机的通通讯数据据流进行行监控，及及时发现现违规行行为和异异常行为为并进行行处理。网网络入侵侵检测系系统可实实现如下下功能： n 网络信息息包嗅探探。以旁旁路监听听方式秘秘密运行行，使攻攻击者无无法感知知到。黑黑客常常常在没有有觉察的的情况下下被抓获获，因

25、为为他们不不知道他他们一直直受到密密切监视视。n 网络访问问监控。根根据实际际业务需需要定制制相关规规则，可可以定义义哪些主主机或网网段可以以或不可可以访问问网络上上的特定定资源，可可以定义义访问时时间段，对对特定的的非法访访问行为为或除特特定合法法访问行行为之外外的所有有访问行行为进行行监控，一一旦发现现违规行行为则根根据事先先定义的的响应策策略进行行报警、阻阻断或联联动的相相应，以以保证只只有授权权用户才才可以访访问特定定网络资资源。n 应用层攻攻击特征征检测。提提供详尽尽、细粒粒度的应应用协议议分析技技术，实实现应用用层攻击击检测，可可自动检检测网络络实时数数据流中中符合特特征的攻攻击行

26、为为，系统统维护一一个强大大的攻击击特征库库，用户户可以定定期更新新，确保保能够检检测到最最新的攻攻击事件件。n 蠕虫检测测。实时时跟踪当当前最新新的蠕虫虫事件，针针对已经经发现的的蠕虫攻攻击及时时提供相相关事件件规则。系系统维护护一个强强大的蠕蠕虫特征征库，用用户可以以定期更更新，确确保能够够检测到到最新的的蠕虫事事件。对对于存在在系统漏漏洞但尚尚未发现现相关蠕蠕虫事件件的情况况，通过过分析漏漏洞来提提供相关关的入侵侵事件规规则，最最大限度度地解决决蠕虫发发现滞后后的问题题。n 可疑网络络活动检检测。即即异常检检测，包包括通过过对在特特定时间间间隔内内超流量量、超连连接的数数据包进进行检测测

27、等方式式，实现现对DooS、扫扫描等攻攻击事件件的检测测。n 检测隐藏藏在SSSL加密密通讯中中的攻击击。通过过解码基基于SSSL加密密的通讯讯数据，分分析、检检测基于于SSLL加密通通讯的攻攻击行为为，从而而可以保保护提供供SSLL加密访访问的网网银WEEB服务务器的安安全性。n 日志审计计。提供供入侵日日志和网网络流量量日志记记录和综综合分析析功能，并并提供详详细的分分析报告告，使网网络管理理员可以以跟踪用用户、应应用程序序等对网网络的使使用情况况，帮助助管理员员改进网网络安全全策略的的规划，并并提供更更精确的的网络安安全控制制。通过过详尽的的审计记记录，可可以在系系统遭到到恶意攻攻击后，

28、提提供证据据以提起起法律诉诉讼。n 多网段同同时监控控。入侵侵探测器器支持多多个网络络监听口口，可以以连接到到多个网网段中进进行实时时监控，我我们也可可以在不不同的网网段分别别部署多多个探测测引擎，管管理员可可以通过过集中的的管理控控制台对对探测器器上传的的信息进进行统一一查看，通通过管理理器进行行综合分分析，并并生成报报表。4入侵侵防御系系统在生产网网与网上上银行网网络之间间、办公公网与互互联网之之间分别别部署入入侵防御御系统，对对外界网网络黑客客利用防防火墙为为合法的的用户访访问而开开放的端端口穿透透防火墙墙对内网网发起的的各种高高级、复复杂的攻攻击行为为进行检检测和阻阻断。IIPS系系统

29、工作作在第二二层到第第七层，通通常使用用特征匹匹配和异异常分析析的方法法来识别别各种网网络攻击击行为，因因其是以以在线串串联方式式部署的的，对检检测到的的各种攻攻击行为为均可直直接阻断断并生成成日志报报告和报报警信息息。5漏洞洞扫描系系统在生产网网上部署署一套漏漏洞扫描描系统，定定期对整整个网络络，特别别是关键键主机及及网络设设备进行行漏洞扫扫描。这这样才能能及时发发现网络络中存在在的漏洞洞和弱点点，及时时根据漏漏洞扫描描系统提提出的解解决方案案进行系系统加固固或安全全策略调调整。以以实现防防患于未未然的目目的。同同时得到到的扫描描日志还还可以提提供给安安全管理理中心，作作为对整整个网络络健康

30、状状况评估估的一部部分，使使得管理理员能够够机制准准确的把把握网络络的运行行状况。4.2 系统层安安全建议议6病毒毒防范系系统 在XXXX银行网网络系统统可能的的病毒攻攻击点或或通道中中部署全全方位的的病毒防防范系统统，包括括在网上上银行互互联网出出口、网网上银行行区域与与业务区区域之间间、办公公区域的的互联网网出口处处部署网网关级防防病毒设设备，在在整个网网络中的的所有WWINDDOWSS服务器器和客户户端计算算机上部部署相应应平台的的网络版版防病毒毒软件并并配置防防病毒系系统管理理中心对对所有主主机上的的防病毒毒软件进进行集中中管理、监监控、统统一升级级、集中中查杀毒毒。 4.3 管理层安

31、安全建议议7综合合安全管管理平台台和安全全运营中中心部署一套套有效的的网络安安全管理理体系，采采用集中中的安全全管理平平台，来来对全网网进行统统一的安安全管理理和网络络管理，同同时借助助专业的的第三方方服务，在在安全管管理平台台的基础础上建立立XXXX银行安安全运营营中心，对对XXXX银行安安全保障障体系的的建设起起到推动动作用，确确保XXXX银行行信息网网络信息息系统内内部不发发生安全全事件、少少发生安安全事件件或者发发生安全全事件时时能够及及时处理理减少由由于安全全事件带带来的损损失。根据XXXX银行行的网络络结构和和区域划划分，我我们将分分别针对对网上银银行、省和地市生产产业务网网络进行

32、行安全体体系设计计。5 详细网络络架构及及产品部部署建议议5.1 网上银行行安全建建议网上银行行的安全全防护方方案具体体设计如如下：1、在网网银区域域与Innterrnett之间插插入一套套抗DooS攻击击系统，对对来自互互联网的的DDooS攻击击流量进进行清除除，同时时保证正正常访问问流量的的通过。2、网银银区域与与Intternnet之之间设置置一套防防火墙系系统（外外层防火火墙），采采用双机机热备结结构，通通过二层层交换机机连接抗抗DoSS攻击设设备，将将网银WWEB服服务器保保护在防防火墙的的一个单单独的安安全区域域中，并并通过两两台三层层交换机机连接内内部网络络。外层层防火墙墙的主要

33、要作用是是控制来来自外网网的访问问，只允允许授权权用户访访问网银银服务的的特定IIP和端端口，并并通过NNAT屏屏蔽服务务器真实实地址。防防火墙采采用透明明工作模模式。三三层交换换机提供供缺省网网关和局局域网路路由功能能。3、使用用一台网网络入侵侵检测设设备，提提供双引引擎，分分别连接接到网银银WEBB区域和和网银DDB区域域的两台台交换机机上进行行监控，对对网络上上传输的的敏感数数据包（包包括SSSL加密密数据）进进行深层层分析，可可有效地地发现防防火墙无无法识别别的特殊殊的应用用层攻击击行为。4、网银银WEBB区域与与后台数数据库/应用服服务器区区域及信信息中心心网络之之间设置置一套防防火

34、墙系系统（内内层防火火墙），一一方面控控制网银银WEBB服务区区与后台台APPP服务区区之间的的访问，只只允许来来自网银银WEBB区服务务器发起起的特定定访问，禁禁止其他他一切数数据通讯讯；另一一方面控控制网银银DB/APPP服务区区与内部部生产区区域之间间的访问问，只允允许应用用相关的的特定访访问，禁禁止其他他一切数数据通讯讯；采用用与外部部防火墙墙异构的的防火墙墙产品，即即使攻击击者成功功获得外外墙的控控制权，也也不能轻轻易攻入入业务网网络。5、在内内层防火火墙与内内网核心心交换机机之间串串联一组组UTMM设备，启启用IPPS功能能和防病病毒功能能，抵御御来自互互联网及及网银区区域的病病毒

35、、蠕蠕虫、恶恶意代码码及其他他攻击，双双机热备备。部署方式式如下图图所示：图5.11 网上上银行安安全解决决方案部部署图5.2 省联社生生产网安安全建议议1、将信信息中心心按不同同业务划划分多个个网络区区域。2、总行行管理中中心网络络与核心心交换机机之间不不署一套套防火墙墙系统，提提供安全全控制。对管理理区域的的访问进进行行为为控制。3、总行行生产业业务网络络与企业业客户、协协作单位位网络的的互联出出口采用用一套双双机防火火墙系统统提供安安全控制制，对来来自外单单位网络络的访问问行为进进行控制制。4、在总总行生产产业务网网络与办办公业务务网络核核心交换换机之间间设置一一套双机机防火墙墙系统，对

36、对从办公公网络特特定用户户到生产产网络特特定区域域上特定定主机的的访问行行为进行行控制，同同时除必必须开放放的连接接外，禁禁止任何何从生产产网主动动向办公公网发起起的访问问请求。5、采用用千兆IIDS设设备，分分别连接接到总行行生产网网两台核核心交换换机上，监监视和防防范内网网上的违违规访问问行为，主主要监听听进出生生产区域域及来自自办公网网、下级级单位和和协作单单位的流流量。6、各地地市生产产网到总总行生产产网之间间采用一一套双机机防火墙墙系统提提供安全全控制。对对来自各各分支机机构网络络的访问问行为进进行控制制。7、区县县生产网网、分理理处等营营业网点点分别通通过上级级联社生产产网的转转发

37、实现现对总部部数据中中心系统统的访问问。8、网上上银行网网络与生生产网络络之间的的访问通通过两台台互备的的UTMM设备进进行监控控。网络结构构及安全全设备部部署方式式如下图图：图5.22省联社社生产网网安全解解决方案案部署图图5.3 地市联社社生产网网安全建建议1、地市市联社生生产业务务网络与与企业客客户、协协作单位位网络的的互联出出口采用用一套双双机防火火墙系统统提供安安全控制制，对来来自外单单位网络络的访问问行为进进行控制制。2、在地地市生产产业务网网络与办办公业务务网络核核心交换换机之间间设置一一套双机机防火墙墙系统，对对从办公公网络特特定用户户到生产产网络特特定区域域上特定定主机的的访

38、问行行为进行行控制，同同时除必必须开放放的连接接外，禁禁止任何何从生产产网主动动向办公公网发起起的访问问请求。3、采用用IDSS设备，分分别连接接到地市市生产网网两台核核心交换换机上，监监视和防防范内网网上的违违规访问问行为，主主要监听听进出生生产区域域及来自自办公网网、下级级单位和和协作单单位的流流量。4、各地地市生产产网到总总行生产产网以及及区县生生产网、分分理处等等营业网网点之间间采用一一套双机机防火墙墙系统提提供安全全控制。对对来自总总行和各各分支机机构网络络的访问问行为进进行控制制。网络结构构及安全全设备部部署方式式如下图图：图5.33地市联联社生产产网安全全解决方方案部署署图5.4

39、 区县联社社生产网网安全建建议1、区县县联社生产产业务网网络与办办公业务务网络核核心交换换机之间间设置一一套防火火墙系统统，对从从办公网网络特定定用户到到生产网网络特定定区域上上特定主主机的访访问行为为进行控控制，同同时除必必须开放放的连接接外，禁禁止任何何从生产产网主动动向办公公网发起起的访问问请求。2、各区区县联社社生产网网到上级级分行生生产网以以及分理理处等营营业网点点之间采采用一套套双机防防火墙系系统提供供安全控控制。对对来自上上级分行行和各分分支机构构网络的的访问行行为进行行控制。网络结构构及安全全设备部部署方式式如下图图：图5.44区县联联社生产产网安全全解决方方案部署署图5.5

40、全行网络络防病毒毒系统建建议具体的部部署建议议如下：1、在XXXX银银行各级级单位所所有Wiindoows服服务器上上部署服服务器防防毒系统统，确保保服务器器系统不不会成为为病毒驻驻留的平平台，提提高整个个服务器器系统的的高可靠靠性；2、在XXXX银银行各级级单位所所有Wiindoows客客户端上上部署客客户端防防毒系统统，一方方面增强强客户端端的防毒毒能力，另另一方面面保证客客户端不不为因为为病毒问问题而带带给管理理员极大大的工作作量；3、防病病毒系统统采用集集中和分分布相结结合的管管理模式式，总行行办公网网服务器器区域中中设置一一台防病病毒管理理中心服服务器，提提供集中中的策略略制定和和下

41、发，管管理总行行办公网网的所有有防病毒毒客户端端；生产产网运行行管理区区域中设设置一台台防病毒毒管理分分中心服服务器，管管理生产产网的所所有防病病毒客户户端（包包括总部部、支行行、网点点），以以及与上上级管理理中心进进行通信信；各管管辖支行行办公网网中分别别设置一一台防病病毒管理理分中心心服务器器，管理理本网的的所有防防病毒客客户端，以以及与上上级管理理中心进进行通信信；这样样做的好好处是防防止了因因软件或或策略下下发时带带来的带带宽消耗耗和减小小安全隐隐患；4、办公公网防病病毒管理理中心服服务器定定期从互互联网进进行升级级，生产产网防病病毒管理理分中心心服务器器、各支支行防病病毒管理理分中心

42、心服务器器均从管管理中心心服务器器获得升升级码；各防毒毒服务器器负责向向所管辖辖范围内内所有防防病毒客客户端分分发升级级码。5、在XXXX银银行各互互联网出出口处，生生产网络络与网银银网络之之间分别别部署病病毒过滤滤网关（通通过UTTM设备备实现），消消除来自自互联网网的病毒毒威胁。5.6 网络安全全管理平平台建议议5.6.1 部署网络络安全管管理平台台的必要要性传统安全全技术和和产品集集成的有有如下缺缺点：n 需要大量量人为参参与的判判断。比如一个个报警事事件是否否准确需需要人为为的判断断。n 存在信息息淹没的的可能性性大量安全全产品的的报警信信息导致致管理员员无法一一一察看看和分析析，从而

43、而导致信信息淹没没。同时大量量的垃圾圾报警信信息，也也加重了了管理员员的工作作负担，导导致管理理员容易易疏忽很很多真正正有用的的信息，这这也导致致信息淹淹没。n 需要专业业安全人人员的分分析大多数安安全产品品对报警警事件的的语言描描述都是是专业安安全技术术性的描描述，对对管理员员的专业业技能要要求很高高。 n 需要安全全维护人人员高度度的责任任心的协协助管理员需需要积极极主动的的去查看看各类安安全产品品的报警警信息，才才能及时时地发现现安全事事件，并并着手去去解决。n 止步于安安全事件件的报警警，而没没有完善善的事件件处理监监督考核核措施传统的安安全产品品集成在在向管理理员报告告安全事事件后，

44、安安全系统统的功用用便宣告告结束，后后续的所所有的工工作完全全依靠管管理员去去完成，管管理员是是否去解解决这些些安全问问题，无无从考据据和监控控。应该说，传传统的安安全产品品和技术术的集成成只能够够部分的的实现安安全的“可见性性”和“可控性性”。出于上述述原因，我我们认为为在未来来的信息息安全建建设中，综综合安全全监控和和管理平平台将倍倍受尊崇崇，真正正让安全全建设做做到完善善的“可见、可可控、可可管理”。而对于XXXX银银行来说说，我们们必须在在网络内内部署大大量的安安全产品品。因此此，我们们急需一一个真正正的综合合性安全全管理平平台来使使得整个个网络的的安全建建设实现现可见、可可控和可可管

45、理。集成安全全监控管管理技术术的优点点：n 延伸了传传统安全全产品集集成的功功能，充充分让每每一条有有效的安安全报警警信息得得到完善善的分析析和处理理；n 融合网络络管理、安安全管理理、运维维管理思思想于一一体，充充分发挥挥各类安安全技术术的功效效；n 实现安全全事件的的闭环管管理，最最强有力力的实现现安全管管理的技技术辅助助手段。5.6.2 网络安全全管理平平台部署署建议对于XXXX银行行网络来来说，我我们应该该本着重重点防护护，分步步实施的的策略来来进行我我们的安安全建设设。因此此我们应应该首先先将省联联社网络络建设成成为一个个高度安安全，高高度可管管理的安安全网络络。我们们建议在在第一阶

46、阶段只在在省中心心部署一一套网络络安全管管理平台台。当这这套安全全管理平平台成功功运行并并积累一一定经验验后，可可以很灵灵活的扩扩展到各各个地市市以及更更低一级级的网络络中去。我们所部部署的网网络安全全管理平平台应该该具备以以下一些些功能：u 管理对象象被监控管管理的目目标包括括：网络络系统、服服务器主主机、数数据库、安安全产品品、业务务应用。按按照不同同的KBBP关键键业务点点来划分分进行资资产管理理。u 运维管理理网络安全全的最重重要目标标就是保保障系统统的安全全、可靠靠的运行行，也就就是保障障业务的的连续运运行，这这也是我我们所熟熟知的安安全三性性中的可可用性。对对系统进进行基于于业务的

47、的监控管管理，包包括：资资产管理理、流程程管理、知知识管理理等。u 网络管理理网络系统统作为业业务应用用的载体体，对其其的监控控管理也也非常重重要，我我们采用用网管技技术对网网络系统统进行监监控管理理。内容容包括：拓扑展展示、设设备发现现、管理理工具u 安全管理理网络安全全运行管管理中心心的核心心内容，从从安全策策略管理理、事件件管理、脆脆弱性管管理、风风险管理理、配置置管理等等方面，实实现安全全管理。u 输出通过报表表、报警警、工单单的方式式，得出出相应的的输出。包包括：KKBDPP视图、资资产报表表、风险险报告、安安全状态态、趋势势分析、脆脆弱性报报告、知知识库、专专家建议议等。5.7 建立专业业的安全全服务体体系建议议在前面的的管理层层安全建建议中我我们已经经提出，应应该“借助专专业的第第三方服服务，在在安全管管理平台台的基础础上建立立XXXX银行安安全运营营中心，对对XXXX银行安安全保障障体系的的建设起起到推动动作用，确确保XXXX银行行信息网网络信息息系统内内部不发发生安全全事件、少少发生安安全事件件或者发发生安全全事件时时能