银行网络安全规划建议书资格考试银行从业资格_通信电子-数据通信与网络.pdf

《银行网络安全规划建议书资格考试银行从业资格_通信电子-数据通信与网络.pdf》由会员分享，可在线阅读，更多相关《银行网络安全规划建议书资格考试银行从业资格_通信电子-数据通信与网络.pdf（35页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、 【金融保险】银行网络 安全规划建议书 XXXX年XX月XX日 优选家文库，精品 Word 实用文档，值得您拥用!文档可自由编辑 XXX银行生产网络安 全规划建议书 2006 年 6 月 目录 1 项目情况概述3 2 网络结构调整与安全域划分 5 3XXX 银行网络需求分析7 3.1 网上银行安全风险和安全需求 8 3.2 生产业务网络安全风险和安全需求 9 4 总体安全技术框架建议11 4.1 网络层安全建议11 4.2 系统层安全建议13 4.3 管理层安全建议14 5 详细网络架构及产品部署建议 15 5.1 网上银行安全建议15 5.2 省联社生产网安全建议仃 规划建议书年月目录项目情

2、况概述网络结构调整与安全域划分银行网络需求分析网上银行安全风险和安全需求生产业务网络安全风险和安全需求总体安全技术框架建议网络层安全建议系统层安全建议管理层安全建议详细网络架构及网络防病毒系统建议网络安全管理平台建议部署网络安全管理平台的必要性网络安全管理平台部署建议建立专业的安全服务体系建议现状调查和风险评估安全策略制定及方案设计安全应急响应方案安全规戈总结产品配置清单项目情横纵联系错综复杂的网络从纵向来看目前银行网络分为四层第一层为省联社网络第二层为地市联社网络第三层为县区联社网络第四层为分理处网络从横向来看省及各地市的银行网络都按照应用划分为办公子网生产子网和外联网络三5.3 地市联社生

3、产网安全建议 19 5.4 区县联社生产网安全建议 19 5.5 全行网络防病毒系统建议 20 5.6 网络安全管理平台建议21 561部署网络安全管理平台的必要性 21 562网络安全管理平台部署建议22 5.7 建立专业的安全服务体系建议 23 5.7.1 现状调查和风险评估24 5.7.2 安全策略制定及方案设计 24 5.7.3 安全应急响应方案25 6 安全规戈 U总结 28 7 产品配置清单29规划建议书年月目录项目情况概述网络结构调整与安全域划分银行网络需求分析网上银行安全风险和安全需求生产业务网络安全风险和安全需求总体安全技术框架建议网络层安全建议系统层安全建议管理层安全建议详

4、细网络架构及网络防病毒系统建议网络安全管理平台建议部署网络安全管理平台的必要性网络安全管理平台部署建议建立专业的安全服务体系建议现状调查和风险评估安全策略制定及方案设计安全应急响应方案安全规戈总结产品配置清单项目情横纵联系错综复杂的网络从纵向来看目前银行网络分为四层第一层为省联社网络第二层为地市联社网络第三层为县区联社网络第四层为分理处网络从横向来看省及各地市的银行网络都按照应用划分为办公子网生产子网和外联网络三1项目情况概述 Xxx银行网络是一个正在进行改造的省级银行网络。整个网络随着业务的不断扩展和应 用的增加，已经形成了一个横纵联系，错综复杂的网络。从纵向来看，目前 XXX银行网络 分为

5、四层，第一层为省联社网络，第二层为地市联社网络，第三层为县（区）联社网络，第 四层为分理处网络。从横向来看，省及各地市的银行网络都按照应用划分为办公子网、生产子网和外联网络 三个大子网。而在省中心网上，还包括网上银行、测试子网和 MIS子网三个单独的子网。其整个网络的结构示意图如下：图1.1XXX银行网络结构示意图 XXX银行网络是一个正在新建的网络，目前业务系统刚刚上线运行，还没有进行信息 安全方面的建设。而对于 XXX银行网络来说，生产网是网络中最重要的部分，所有的应用 也业务系统都部署在生产网上。一旦生产网出现问题，造成的损失和影响将是不可估量的。因此现在急需解决生产网的安全问题。本次对

6、XXX银行网络的安全规划仅限于生产网以及与生产网安全相关的网络部分，因 此下面我们着重对XXX银行的生产网构架做一个详细描述。（一）省联社生产网络 省联社网络生产网络是全行信息系统的核心，业务系统、网上银行系统及管理系统都 集中在信息中心。省联社网络生产网络负责与人行及其他单位中间业务的连接。省联社网络生产网络负责建立和维护网上银行。操作系统主要有：OS/400、AIX、Linux、Win dows，以及其它设备的专用系统。规划建议书年月目录项目情况概述网络结构调整与安全域划分银行网络需求分析网上银行安全风险和安全需求生产业务网络安全风险和安全需求总体安全技术框架建议网络层安全建议系统层安全建

7、议管理层安全建议详细网络架构及网络防病毒系统建议网络安全管理平台建议部署网络安全管理平台的必要性网络安全管理平台部署建议建立专业的安全服务体系建议现状调查和风险评估安全策略制定及方案设计安全应急响应方案安全规戈总结产品配置清单项目情横纵联系错综复杂的网络从纵向来看目前银行网络分为四层第一层为省联社网络第二层为地市联社网络第三层为县区联社网络第四层为分理处网络从横向来看省及各地市的银行网络都按照应用划分为办公子网生产子网和外联网络三数据库系统包括：DB2、INFORMIX、SYBASE、ORACLE 等。业务应用包括：生产业务：一线业务：与客户直接关联的业务，如 ATM、POS、柜员终端等 二线

8、业务：不直接与客户相关的业务，如管理流程、公文轮流转、监督、决策等，为 一线业务的支撑。（二）地市联社生产网络 地市联社生产网络是二级网络，通过两条互为备份的专线与省联社中心网络互连。操作系统主要有：UNIX、WINDOWS。（三）区（县）联社生产网络 区（县）联社生产网络是三级网络，通过 2MSDH/或者10M光纤以太网（ISDN备 份）等方式与管辖支行的网络连接。操作系统主要有：UNIX、WINDOWS。（四）分理处生产网 分理处是四级网络，各个分理处通过 2MSDH或者ISDN等方式与管辖区（县）联 社的网络连接。由于区县联社及分理处的网络目前还处在组网的初级阶段，网络构造简单且还没有能

9、力 进行完善的网络安全建设和管理，因此本次规划主要是对省及地市联社的网络安全部分。当 把省及地市部分的网络建成一个比较完善的安全防护体系之后，再逐步的将安全措施和手段 应用于下层的区县联社及分理处。从而实现整个网络的重点防护、分步实施策略。规划建议书年月目录项目情况概述网络结构调整与安全域划分银行网络需求分析网上银行安全风险和安全需求生产业务网络安全风险和安全需求总体安全技术框架建议网络层安全建议系统层安全建议管理层安全建议详细网络架构及网络防病毒系统建议网络安全管理平台建议部署网络安全管理平台的必要性网络安全管理平台部署建议建立专业的安全服务体系建议现状调查和风险评估安全策略制定及方案设计安

10、全应急响应方案安全规戈总结产品配置清单项目情横纵联系错综复杂的网络从纵向来看目前银行网络分为四层第一层为省联社网络第二层为地市联社网络第三层为县区联社网络第四层为分理处网络从横向来看省及各地市的银行网络都按照应用划分为办公子网生产子网和外联网络三2网络结构调整与安全域划分 对于XXX银行生产网络来说，首要的一点就是应该根据国家有关部门对相关规定，将 整个生产网络进行网络结构的优化和安全域的划分，从结构上实现对安全等级化保护。根据中国人民银行计算机安全管理暂行规定（试行）的相关要求：“第六十一条内联网上的所有计算机设备，不得直接或间接地与国际互联网相联接，必 须实现与国际互联网的物理隔离。”“第

11、七十五条计算机信息系统的开发环境和现场应当与生产环境和现场隔离。”因此我们有必要对现有网络环境进行改造，以将生产业务网络（包括一线业务和二线业 务）与具有互联网连接的办公网络之间区分开来，通过强有力的安全控制机制最大化实现生 产系统与其他业务系统之间的隔离。同时，对 XXX银行所有信息资源进行安全分级，根据 不同业务和应用类型划分不同安全等级的安全域，并分别进行不同等级的隔离和保护。初步规划将省联社生产网络划分成多个具备不同安全等级的区域，参考公安部发布的 信息系统安全保护等级定级指南，我们对安全区域划分和定级的建议如下：安全区域 说明 定级建议 生产区域 包含一线业务服务器主机 3级 MIS

12、区域 包含二线业务服务器主机 2级 网上银行区域 包含网上银行业务服务器主机 2级 运行管理区域 包含维护网络信息系统有效运行的管理服务器主机和管理 终端 2级 测试区域 包含新开发的生产应用的测试环境，可视为准生产环境 1级 规划建议书年月目录项目情况概述网络结构调整与安全域划分银行网络需求分析网上银行安全风险和安全需求生产业务网络安全风险和安全需求总体安全技术框架建议网络层安全建议系统层安全建议管理层安全建议详细网络架构及网络防病毒系统建议网络安全管理平台建议部署网络安全管理平台的必要性网络安全管理平台部署建议建立专业的安全服务体系建议现状调查和风险评估安全策略制定及方案设计安全应急响应方

13、案安全规戈总结产品配置清单项目情横纵联系错综复杂的网络从纵向来看目前银行网络分为四层第一层为省联社网络第二层为地市联社网络第三层为县区联社网络第四层为分理处网络从横向来看省及各地市的银行网络都按照应用划分为办公子网生产子网和外联网络三办公服务器区 包含办公业务系统服务器主机 2级 安全区域 说明 定级建议 域 对于各地市、区县联社和各营业网点也需要将生产业务和办公业务严格区分开，并进行 逻辑隔离，确保生产区域具有较高安全级别。由于部分办公业务用户需要访问生产业务中的特定数据，而部分生产应用也需要访问办 公网中的特定数据，因此无法做到生产、办公之间彻底的物理隔离，建议在各级联社信息中 心提供生产

14、网与办公网之间的连接，并采用逻辑隔离手段进行控制，对于营业网点，由于作 隔离投入太大，可暂时不考虑隔离。改造后的总体逻辑结构如图所示：图2.1XXX银行网络安全结构示意图 网络改造后，全行办公系统将统一互联网出口，所有办公终端只允许在通信行为可控的 情况下才能通过信息中心办公网络的互联网出口访问外界网络，生产业务服务器和终端不允 许采取任何手段直接访问互联网或通过办公网间接访问互联网。网上银行因业务需要必须连接互联网，但只允许互联网用户对网银门户网站的访问以及 认证用户对网银WEB服务器的访问，生产业务服务器和终端不允许采取任何手段直接访问 互联网或通过网银网络间接访问互联网。规划建议书年月目

15、录项目情况概述网络结构调整与安全域划分银行网络需求分析网上银行安全风险和安全需求生产业务网络安全风险和安全需求总体安全技术框架建议网络层安全建议系统层安全建议管理层安全建议详细网络架构及网络防病毒系统建议网络安全管理平台建议部署网络安全管理平台的必要性网络安全管理平台部署建议建立专业的安全服务体系建议现状调查和风险评估安全策略制定及方案设计安全应急响应方案安全规戈总结产品配置清单项目情横纵联系错综复杂的网络从纵向来看目前银行网络分为四层第一层为省联社网络第二层为地市联社网络第三层为县区联社网络第四层为分理处网络从横向来看省及各地市的银行网络都按照应用划分为办公子网生产子网和外联网络三3 XXX

16、 银行网络需求分析 随着 XXX 银行金融信息化的发展，信息系统已经成为银行赖以生存和发展的基本条件。相应地，银行信息系统的安全问题也越来越突出，银行信息系统的安全问题主要包括两个方 面：一是来自外界对银行系统的非法侵入，对信息系统的蓄意破坏和盗窃、篡改信息行为；二是来自银行内部员工故意或无意的对信息系统管理的违反。银行信息系统正在面临着严峻 的挑战。银行进行安全建设、加强安全管理已经成为当务之急，其必要性正在随着银行业务和信 息系统如下的发展趋势而更加凸出：银行的关键业务系统层次丰富，操作环节多，风险也相对比较明显；随着电子银行和中间业务的广泛开展，银行的网络与 Internet 和其他组织

17、机构的网络 互联程度越来越高，使原本相对封闭的网络越来越开放，从而将外部网络的风险引入到银行 内部网络；随着银行业务集中化的趋势，银行业务系统对可靠性和无间断运行的要求也越来越高；随着 WTO 的到来和外资银行的进入，银行业竞争日益激烈，新的金融产品不断推出，从而使银行的应用系统处于快速的变化过程中，对银行的安全管理提出了更高的要求。中国国内各家银行也已经开始进行信息安体系建设，其中最主要的措施就是采购了大量 安全产品，包括防火墙、入侵检测系统、防病毒和身份认证系统等。这些安全产品在很大程 度上提高了银行信息系统的安全水平，对保护银行信息安全起到了一定作用。但是它们并没 有从根本上降低安全风险

18、，缓解安全问题，这主要是因为：信息安全问题从来就不是单纯的技术问题，把防范黑客入侵和病毒感染理解为信息 安全问题的全部是片面的。安全产品的功能相对比较狭窄，往往用于解决一类安全 问题，因此仅仅通过部署安全产品很难完全覆盖银行信息安全问题;信息安全问题不是静态的，它总是随着银行策略、组织架构、信息系统和操作流程 的改变而改变。规划建议书年月目录项目情况概述网络结构调整与安全域划分银行网络需求分析网上银行安全风险和安全需求生产业务网络安全风险和安全需求总体安全技术框架建议网络层安全建议系统层安全建议管理层安全建议详细网络架构及网络防病毒系统建议网络安全管理平台建议部署网络安全管理平台的必要性网络安

19、全管理平台部署建议建立专业的安全服务体系建议现状调查和风险评估安全策略制定及方案设计安全应急响应方案安全规戈总结产品配置清单项目情横纵联系错综复杂的网络从纵向来看目前银行网络分为四层第一层为省联社网络第二层为地市联社网络第三层为县区联社网络第四层为分理处网络从横向来看省及各地市的银行网络都按照应用划分为办公子网生产子网和外联网络三部署安全产品是一种静态的解决办法。一般来说，在产品安装和配 置后较长一段时间内，它们都无法动态调整以适应安全问题的变化。所以，银行界的有识之士都意识到应从根本上改变应对信息安全问题的思路，建立更加 全面的安全保障体系，在安全产品的辅助下，通过管理手段体系化地保障信息系

20、统安全。下面我们将通过分析 XXX银行改造后的网络结构下可能面临的安全问题，对XXX银行（主要是生产网）目前的安全需求进行总体分析。根据实际项目进度安排，我们将分别对网 上银行系统、生产业务系统进行分析。3.1 网上银行安全风险和安全需求 针对目前最常见的互联网攻击类型以及国内外网上银行系统通常面临的安全威胁，结合 XXX银行的实际情况，我们认为在 XXX银行网上银行网络可能面临的安全风险和对应的安 全需求如下：序号 风险名称 受影响对象 安全需求 1 漏洞 操作系统，数据库系 统，应用软件 评估、加固（打补丁，安装加固软件）2 网页篡改 网银WEB和门户 WEB服务器 打补丁，安装防篡改软件

21、，内容过滤 3 网络仿冒 网银客户 培训客户的安全防护意识（安装IE反钓鱼插 件；认清银行网站，不在虚假站点中填写 ID 和密码；采用 CA认证和SSL加密）规划建议书年月目录项目情况概述网络结构调整与安全域划分银行网络需求分析网上银行安全风险和安全需求生产业务网络安全风险和安全需求总体安全技术框架建议网络层安全建议系统层安全建议管理层安全建议详细网络架构及网络防病毒系统建议网络安全管理平台建议部署网络安全管理平台的必要性网络安全管理平台部署建议建立专业的安全服务体系建议现状调查和风险评估安全策略制定及方案设计安全应急响应方案安全规戈总结产品配置清单项目情横纵联系错综复杂的网络从纵向来看目前银

22、行网络分为四层第一层为省联社网络第二层为地市联社网络第三层为县区联社网络第四层为分理处网络从横向来看省及各地市的银行网络都按照应用划分为办公子网生产子网和外联网络三4 蠕虫和病毒 所有 windows 禾口 linux平台 客户端：建议或强制安装防病毒软件/插件 服务器：安装相应平台防病毒软件 网银WEB区域与互联网之间：防病毒网关 网银与核心层之间：防病毒网关 非法入侵和 防火墙、IDS（需检测应用级攻击及 SSL加 5 攻击（网络 所有网段 密攻击）级、应用级）拒绝服务攻 6 击 网银WEB区域 抗DOS攻击产品 网页恶意代 培训客户的安全防护意识（在计算机上安装 码（木马、间 防病毒工具

23、并及时更新；采用相对安全的浏 谍软件、广告 览器或在IE中安装各类安全控件；对不明邮 软件、拨号器 网 银 客 户 件不要打开，并及时删除；提高对个人资料、7（dialers）、windows，ie 浏览 账户、密码的保护意识；及时修改银行帐户 keylogger、器（linux不受影响）的原始密码；不要采用身份证号码、生日、密码破解工 手机号码及过分简单的数字作为密码；不要 具和远程控 在网吧等公共场所操作网上银行业务。）制程序等）僵尸网络 互联网上大里不安 （DDOS、垃 全的主机可能成为 8 圾邮件、网页 僵尸，被利用来向网 通过上述手段加强自身防护 仿冒、网页攻 银进行攻击 规划建议书

24、年月目录项目情况概述网络结构调整与安全域划分银行网络需求分析网上银行安全风险和安全需求生产业务网络安全风险和安全需求总体安全技术框架建议网络层安全建议系统层安全建议管理层安全建议详细网络架构及网络防病毒系统建议网络安全管理平台建议部署网络安全管理平台的必要性网络安全管理平台部署建议建立专业的安全服务体系建议现状调查和风险评估安全策略制定及方案设计安全应急响应方案安全规戈总结产品配置清单项目情横纵联系错综复杂的网络从纵向来看目前银行网络分为四层第一层为省联社网络第二层为地市联社网络第三层为县区联社网络第四层为分理处网络从横向来看省及各地市的银行网络都按照应用划分为办公子网生产子网和外联网络三 击

25、的被动发 起者）3.2 生产业务网络安全风险和安全需求 对于生产业务网络而言，可能存在的安全风险和对应的安全需求如下:序号 风险名称 风险来源 受影响对象 安全需求 1 漏洞 自身 操作系统，数据 库系统，应用软 件 评估、加固（打补丁，安装加固软 件）2 蠕虫和病 毒 移动存储介 质、网络通讯 所有 windows 和linux平台 客户端/服务器：安装相应平台防病 毒软件 网银与生产业务网络之间：防病毒 网关 3 非法入侵 和攻击（网 络级、应用 级）所有需要访问 或可能访问到 一线业务的用 户 一线业务生产主 机 防火墙、入侵检测 网上银行区域 生产业务网络 防火墙、入侵防御 网上银行区

26、 域、相关外部 单位网络、办 公业务网络 生产业务网络 防火墙、入侵检测 规划建议书年月目录项目情况概述网络结构调整与安全域划分银行网络需求分析网上银行安全风险和安全需求生产业务网络安全风险和安全需求总体安全技术框架建议网络层安全建议系统层安全建议管理层安全建议详细网络架构及网络防病毒系统建议网络安全管理平台建议部署网络安全管理平台的必要性网络安全管理平台部署建议建立专业的安全服务体系建议现状调查和风险评估安全策略制定及方案设计安全应急响应方案安全规戈总结产品配置清单项目情横纵联系错综复杂的网络从纵向来看目前银行网络分为四层第一层为省联社网络第二层为地市联社网络第三层为县区联社网络第四层为分理

27、处网络从横向来看省及各地市的银行网络都按照应用划分为办公子网生产子网和外联网络三4 数据窃密、篡改 非法闯入者 在局域网或广域 网上传输的业务 数据，存放在客 户端本地的业务 数据 网络准入控制、桌面安全控制 5 非法访问、非生产人员 生产应用系统和 业务数据 身份认证、访问授权 越权访问 非管理人员 操作系统、数据 库系统 身份认证、访问授权 规划建议书年月目录项目情况概述网络结构调整与安全域划分银行网络需求分析网上银行安全风险和安全需求生产业务网络安全风险和安全需求总体安全技术框架建议网络层安全建议系统层安全建议管理层安全建议详细网络架构及网络防病毒系统建议网络安全管理平台建议部署网络安全

28、管理平台的必要性网络安全管理平台部署建议建立专业的安全服务体系建议现状调查和风险评估安全策略制定及方案设计安全应急响应方案安全规戈总结产品配置清单项目情横纵联系错综复杂的网络从纵向来看目前银行网络分为四层第一层为省联社网络第二层为地市联社网络第三层为县区联社网络第四层为分理处网络从横向来看省及各地市的银行网络都按照应用划分为办公子网生产子网和外联网络三4 总体安全技术框架建议 根据对 XXX 银行网络系统安全需求分析，我们提出了由多种安全技术和多层防护措施 构成的一整套安全技术方案，具体包括：在网络层划分安全域，部署防火墙系统、防拒绝服 务攻击系统、入侵检测系统、入侵防御系统和漏洞扫描系统；在

29、系统层部署病毒防范系统，提供系统安全评估和加固建议；在管理层制订安全管理策略，部署安全信息管理和分析系统，建立安全管理中心。具体建议如下：4.1 网络层安全建议 1网络访问控制 划分安全域 为了提高银行网络的安全性和可靠性，在省联社总部、各地市联社、各区县联社、分理处对不同系统划分不同安全域。访问控制措施 对安全等级较高的安全域，在其边界部署防火墙，对安全等级较低的安全域的边界 则可以使用 VLAN 或访问控制列表来代替。根据对 XXX 银行整体网络的区域划分，我们将在不同安全域边界采用不同的访问 控制措施：在生产网与办公网之间采用防火墙提供访问控制，只允许业务相关的访问，拒 绝其他所有访问；

30、规划建议书年月目录项目情况概述网络结构调整与安全域划分银行网络需求分析网上银行安全风险和安全需求生产业务网络安全风险和安全需求总体安全技术框架建议网络层安全建议系统层安全建议管理层安全建议详细网络架构及网络防病毒系统建议网络安全管理平台建议部署网络安全管理平台的必要性网络安全管理平台部署建议建立专业的安全服务体系建议现状调查和风险评估安全策略制定及方案设计安全应急响应方案安全规戈总结产品配置清单项目情横纵联系错综复杂的网络从纵向来看目前银行网络分为四层第一层为省联社网络第二层为地市联社网络第三层为县区联社网络第四层为分理处网络从横向来看省及各地市的银行网络都按照应用划分为办公子网生产子网和外联

31、网络三问，拒绝其他所有访问；在生产网与相关单位网络之间采用防火墙提供访问控制，只允许业务相关的访 问，拒绝其他所有访问；在网上银行网络与互联网之间采用防火墙提供访问控制，除允许互联网用户访 问网银门户网站、允许互联网认证用户访问网银 WEB 及允许网银 WEB 服务 器/SSL 加速器访问互联网上的 CFCA 之外，拒绝其他所有访问；在生产网的生产区域（一线业务）与其他区域之间采用防火墙提供访问控制，只允许业务相关的访问，拒绝其他所有访问；在生产网的其他各区域之间利用三层交换机划分虚拟子网及进行简单包过滤，做到较简单的访问控制；2防拒绝服务攻击 在网上银行系统与 Internet 出口边界处，

32、配备抗 DoS 攻击网关系统，以抵御来自互联 网的各种拒绝服务攻击和分布式拒绝服务攻击。3网络入侵检测 在网上银行系统和总行业务网络系统中部署入侵检测系统，实时检测、分析网络上的通 讯数据流，尤其是对进出安全域边界或进出存放有涉密信息的关键网段、服务器主机的通讯 数据流进行监控，及时发现违规行为和异常行为并进行处理。网络入侵检测系统可实现如下 功能：网络信息包嗅探。以旁路监听方式秘密运行，使攻击者无法感知到。黑客常常在没 有觉察的情况下被抓获，因为他们不知道他们一直受到密切监视。网络访问监控。根据实际业务需要定制相关规则，可以定义哪些主机或网段可以或 不可以访问网络上的特定资源，可以定义访问时

33、间段，对特定的非法访问行为或除规划建议书年月目录项目情况概述网络结构调整与安全域划分银行网络需求分析网上银行安全风险和安全需求生产业务网络安全风险和安全需求总体安全技术框架建议网络层安全建议系统层安全建议管理层安全建议详细网络架构及网络防病毒系统建议网络安全管理平台建议部署网络安全管理平台的必要性网络安全管理平台部署建议建立专业的安全服务体系建议现状调查和风险评估安全策略制定及方案设计安全应急响应方案安全规戈总结产品配置清单项目情横纵联系错综复杂的网络从纵向来看目前银行网络分为四层第一层为省联社网络第二层为地市联社网络第三层为县区联社网络第四层为分理处网络从横向来看省及各地市的银行网络都按照应

34、用划分为办公子网生产子网和外联网络三管理控制台对探测器上传的信息进行统一查看，通过管理器进行综合分析，并生成 特定合法访问行为之外的所有访问行为进行监控，一旦发现违规行为则根据事先定 义的响应策略进行报警、阻断或联动的相应，以保证只有授权用户才可以访问特定 网络资源。应用层攻击特征检测。提供详尽、细粒度的应用协议分析技术，实现应用层攻击检 测，可自动检测网络实时数据流中符合特征的攻击行为，系统维护一个强大的攻击 特征库，用户可以定期更新，确保能够检测到最新的攻击事件。蠕虫检测。实时跟踪当前最新的蠕虫事件，针对已经发现的蠕虫攻击及时提供相关 事件规则。系统维护一个强大的蠕虫特征库，用户可以定期更

35、新，确保能够检测到 最新的蠕虫事件。对于存在系统漏洞但尚未发现相关蠕虫事件的情况，通过分析漏 洞来提供相关的入侵事件规则，最大限度地解决蠕虫发现滞后的问题。可疑网络活动检测。即异常检测，包括通过对在特定时间间隔内超流量、超连接的 数据包进行检测等方式，实现对 DoS、扫描等攻击事件的检测。检测隐藏在 SSL 加密通讯中的攻击。通过解码基于 SSL 加密的通讯数据，分析、检测基于 SSL 加密通讯的攻击行为，从而可以保护提供 SSL 加密访问的网银 WEB 服务器的安全性。日志审计。提供入侵日志和网络流量日志记录和综合分析功能，并提供详细的分析 报告，使网络管理员可以跟踪用户、应用程序等对网络的

36、使用情况，帮助管理员改 进网络安全策略的规划，并提供更精确的网络安全控制。通过详尽的审计记录，可 以在系统遭到恶意攻击后，提供证据以提起法律诉讼。多网段同时监控。入侵探测器支持多个网络监听口，可以连接到多个网段中进行实 时监控，我们也可以在不同的网段分别部署多个探测引擎，管理员可以通过集中的 报表。4 入侵防御系统 规划建议书年月目录项目情况概述网络结构调整与安全域划分银行网络需求分析网上银行安全风险和安全需求生产业务网络安全风险和安全需求总体安全技术框架建议网络层安全建议系统层安全建议管理层安全建议详细网络架构及网络防病毒系统建议网络安全管理平台建议部署网络安全管理平台的必要性网络安全管理平

37、台部署建议建立专业的安全服务体系建议现状调查和风险评估安全策略制定及方案设计安全应急响应方案安全规戈总结产品配置清单项目情横纵联系错综复杂的网络从纵向来看目前银行网络分为四层第一层为省联社网络第二层为地市联社网络第三层为县区联社网络第四层为分理处网络从横向来看省及各地市的银行网络都按照应用划分为办公子网生产子网和外联网络三在生产网与网上银行网络之间、办公网与互联网之间分别部署入侵防御系统，对外界网 络黑客利用防火墙为合法的用户访问而开放的端口穿透防火墙对内网发起的各种高级、复杂 的攻击行为进行检测和阻断。IPS 系统工作在第二层到第七层，通常使用特征匹配和异常分 析的方法来识别各种网络攻击行为

38、，因其是以在线串联方式部署的，对检测到的各种攻击行 为均可直接阻断并生成日志报告和报警信息。5漏洞扫描系统 在生产网上部署一套漏洞扫描系统，定期对整个网络，特别是关键主机及网络设备进行 漏洞扫描。这样才能及时发现网络中存在的漏洞和弱点，及时根据漏洞扫描系统提出的解决 方案进行系统加固或安全策略调整。以实现防患于未然的目的。同时得到的扫描日志还可以 提供给安全管理中心，作为对整个网络健康状况评估的一部分，使得管理员能够机制准确的 把握网络的运行状况。4.2 系统层安全建议 6 病毒防范系统 在 XXX 银行网络系统可能的病毒攻击点或通道中部署全方位的病毒防范系统，包括在 网上银行互联网出口、网上

39、银行区域与业务区域之间、办公区域的互联网出口处部署网关级 防病毒设备，在整个网络中的所有 WINDOWS 服务器和客户端计算机上部署相应平台的网 络版防病毒软件并配置防病毒系统管理中心对所有主机上的防病毒软件进行集中管理、监 控、统一升级、集中查杀毒。4.3 管理层安全建议 7综合安全管理平台和安全运营中心 部署一套有效的网络安全管理体系，采用集中的安全管理平台，来对全网进行统一的安 全管理和网络管理，同时借助专业的第三方服务，在安全管理平台的基础上建立 XXX 银行 安全运营中心，对 XXX 银行安全保障体系的建设起到推动作用，确保 XXX 银行信息网络信 息系统内部不发生安全事件、少发生安

40、全规划建议书年月目录项目情况概述网络结构调整与安全域划分银行网络需求分析网上银行安全风险和安全需求生产业务网络安全风险和安全需求总体安全技术框架建议网络层安全建议系统层安全建议管理层安全建议详细网络架构及网络防病毒系统建议网络安全管理平台建议部署网络安全管理平台的必要性网络安全管理平台部署建议建立专业的安全服务体系建议现状调查和风险评估安全策略制定及方案设计安全应急响应方案安全规戈总结产品配置清单项目情横纵联系错综复杂的网络从纵向来看目前银行网络分为四层第一层为省联社网络第二层为地市联社网络第三层为县区联社网络第四层为分理处网络从横向来看省及各地市的银行网络都按照应用划分为办公子网生产子网和外

41、联网络三事件或者发生安全事件时能够及时处理减少由于安 全事件带来的损失。根据 XXX 银行的网络结构和区域划分，我们将分别针对网上银行、省和地市生产业务 网络进行安全体系设计。规划建议书年月目录项目情况概述网络结构调整与安全域划分银行网络需求分析网上银行安全风险和安全需求生产业务网络安全风险和安全需求总体安全技术框架建议网络层安全建议系统层安全建议管理层安全建议详细网络架构及网络防病毒系统建议网络安全管理平台建议部署网络安全管理平台的必要性网络安全管理平台部署建议建立专业的安全服务体系建议现状调查和风险评估安全策略制定及方案设计安全应急响应方案安全规戈总结产品配置清单项目情横纵联系错综复杂的网

42、络从纵向来看目前银行网络分为四层第一层为省联社网络第二层为地市联社网络第三层为县区联社网络第四层为分理处网络从横向来看省及各地市的银行网络都按照应用划分为办公子网生产子网和外联网络三5 详细网络架构及产品部署建议 5.1 网上银行安全建议 网上银行的安全防护方案具体设计如下：1、在网银区域与 Internet 之间插入一套抗 DoS 攻击系统，对来自互联网的 DDoS 攻 击流量进行清除，同时保证正常访问流量的通过。2、网银区域与 Internet 之间设置一套防火墙系统（外层防火墙），采用双机热备结构，通过二层交换机连接抗 DoS 攻击设备，将网银 WEB 服务器保护在防火墙的一个单独的安

43、全区域中，并通过两台三层交换机连接内部网络。外层防火墙的主要作用是控制来自外网的 访问，只允许授权用户访问网银服务的特定 IP 和端口，并通过 NAT 屏蔽服务器真实地址。防火墙采用透明工作模式。三层交换机提供缺省网关和局域网路由功能。3、使用一台网络入侵检测设备，提供双引擎，分别连接到网银 WEB 区域和网银 DB 区域的两台交换机上进行监控，对网络上传输的敏感数据包（包括 SSL 加密数据）进行深 层分析，可有效地发现防火墙无法识别的特殊的应用层攻击行为。4、网银 WEB 区域与后台数据库/应用服务器区域及信息中心网络之间设置一套防火墙 系统（内层防火墙），一方面控制网银 WEB 服务区与

44、后台 APP 服务区之间的访问，只允许 来自网银 WEB 区服务器发起的特定访问，禁止其他一切数据通讯；另一方面控制网银 DB/APP 服务区与内部生产区域之间的访问，只允许应用相关的特定访问，禁止其他一切数 据通讯；采用与外部防火墙异构的防火墙产品，即使攻击者成功获得外墙的控制权，也不能 轻易攻入业务网络。5、在内层防火墙与内网核心交换机之间串联一组 UTM 设备，启用 IPS 功能和防病毒 功能，抵御来自互联网及网银区域的病毒、蠕虫、恶意代码及其他攻击，双机热备。部署方式如下图所示：规划建议书年月目录项目情况概述网络结构调整与安全域划分银行网络需求分析网上银行安全风险和安全需求生产业务网络

45、安全风险和安全需求总体安全技术框架建议网络层安全建议系统层安全建议管理层安全建议详细网络架构及网络防病毒系统建议网络安全管理平台建议部署网络安全管理平台的必要性网络安全管理平台部署建议建立专业的安全服务体系建议现状调查和风险评估安全策略制定及方案设计安全应急响应方案安全规戈总结产品配置清单项目情横纵联系错综复杂的网络从纵向来看目前银行网络分为四层第一层为省联社网络第二层为地市联社网络第三层为县区联社网络第四层为分理处网络从横向来看省及各地市的银行网络都按照应用划分为办公子网生产子网和外联网络三图 5.1 网上银行安全解决方案部署图规划建议书年月目录项目情况概述网络结构调整与安全域划分银行网络需

46、求分析网上银行安全风险和安全需求生产业务网络安全风险和安全需求总体安全技术框架建议网络层安全建议系统层安全建议管理层安全建议详细网络架构及网络防病毒系统建议网络安全管理平台建议部署网络安全管理平台的必要性网络安全管理平台部署建议建立专业的安全服务体系建议现状调查和风险评估安全策略制定及方案设计安全应急响应方案安全规戈总结产品配置清单项目情横纵联系错综复杂的网络从纵向来看目前银行网络分为四层第一层为省联社网络第二层为地市联社网络第三层为县区联社网络第四层为分理处网络从横向来看省及各地市的银行网络都按照应用划分为办公子网生产子网和外联网络三5.2 省联社生产网安全建议 1、将信息中心按不同业务划分

47、多个网络区域。2、总行管理中心网络与核心交换机之间不署一套防火墙系统，提供安全控制。对管理 区域的访问进行行为控制。3、总行生产业务网络与企业客户、协作单位网络的互联出口采用一套双机防火墙系统 提供安全控制，对来自外单位网络的访问行为进行控制。4、在总行生产业务网络与办公业务网络核心交换机之间设置一套双机防火墙系统，对 从办公网络特定用户到生产网络特定区域上特定主机的访问行为进行控制，同时除必须开放 的连接外，禁止任何从生产网主动向办公网发起的访问请求。5、采用千兆 IDS 设备，分别连接到总行生产网两台核心交换机上，监视和防范内网上 的违规访问行为，主要监听进出生产区域及来自办公网、下级单位

48、和协作单位的流量。6、各地市生产网到总行生产网之间采用一套双机防火墙系统提供安全控制。对来自各 分支机构网络的访问行为进行控制。7、区县生产网、分理处等营业网点分别通过上级联社生产网的转发实现对总部数据中 心系统的访问。8、网上银行网络与生产网络之间的访问通过两台互备的 UTM 设备进行监控。网络结构及安全设备部署方式如下图：图 5.2 省联社生产网安全解决方案部署图规划建议书年月目录项目情况概述网络结构调整与安全域划分银行网络需求分析网上银行安全风险和安全需求生产业务网络安全风险和安全需求总体安全技术框架建议网络层安全建议系统层安全建议管理层安全建议详细网络架构及网络防病毒系统建议网络安全管

49、理平台建议部署网络安全管理平台的必要性网络安全管理平台部署建议建立专业的安全服务体系建议现状调查和风险评估安全策略制定及方案设计安全应急响应方案安全规戈总结产品配置清单项目情横纵联系错综复杂的网络从纵向来看目前银行网络分为四层第一层为省联社网络第二层为地市联社网络第三层为县区联社网络第四层为分理处网络从横向来看省及各地市的银行网络都按照应用划分为办公子网生产子网和外联网络三5.3 地市联社生产网安全建议 1、地市联社生产业务网络与企业客户、协作单位网络的互联出口采用一套双机防火墙 系统提供安全控制，对来自外单位网络的访问行为进行控制。2、在地市生产业务网络与办公业务网络核心交换机之间设置一套双

50、机防火墙系统，对 从办公网络特定用户到生产网络特定区域上特定主机的访问行为进行控制，同时除必须开放 的连接外，禁止任何从生产网主动向办公网发起的访问请求。3、采用 IDS 设备，分别连接到地市生产网两台核心交换机上，监视和防范内网上的违 规访问行为，主要监听进出生产区域及来自办公网、下级单位和协作单位的流量。4、各地市生产网到总行生产网以及区县生产网、分理处等营业网点之间采用一套双机 防火墙系统提供安全控制。对来自总行和各分支机构网络的访问行为进行控制。网络结构及安全设备部署方式如下图：图 5.3 地市联社生产网安全解决方案部署图 5.4 区县联社生产网安全建议 1、区县联社生产业务网络与办公