XXX银行网络安全规划建议书

《XXX银行网络安全规划建议书》由会员分享，可在线阅读，更多相关《XXX银行网络安全规划建议书（44页珍藏版）》请在装配图网上搜索。

1、XXX银银行生产产网络安安全规划划建议书书20066年6月月目录1项目情情况概述述32网络结结构调整整与安全全域划分分53XXXX银行网网络需求求分析773.1网网上银行行安全风风险和安安全需求求83.2生生产业务务网络安安全风险险和安全全需求994总体安安全技术术框架建建议1114.1网网络层安安全建议议114.2系系统层安安全建议议134.3管管理层安安全建议议145详细网网络架构构及产品品部署建建议1555.1网网上银行行安全建建议1555.2省省联社生生产网安安全建议议175.3地地市联社社生产网网安全建建议1995.4区区县联社社生产网网安全建建议1995.5全全行网络络防病毒毒系统

2、建建议2005.6网网络安全全管理平平台建议议215.6.1部署署网络安安全管理理平台的的必要性性215.6.2网络络安全管管理平台台部署建建议2225.7建建立专业业的安全全服务体体系建议议235.7.1现状状调查和和风险评评估2445.7.2安全全策略制制定及方方案设计计245.7.3安全全应急响响应方案案256安全规规划总结结287产品配配置清单单291 项目情况况概述Xxx银银行网络络是一个个正在进进行改造造的省级级银行网网络。整整个网络络随着业业务的不不断扩展展和应用用的增加加，已经经形成了了一个横横纵联系系，错综综复杂的的网络。从从纵向来来看，目目前XXXX银行行网络分分为四层层，

3、第一一层为省省联社网网络，第第二层为为地市联联社网络络，第三三层为县县（区）联联社网络络，第四四层为分分理处网网络。从横向来来看，省省及各地地市的银银行网络络都按照照应用划划分为办办公子网网、生产产子网和和外联网网络三个个大子网网。而在在省中心心网上，还还包括网网上银行行、测试试子网和和MISS子网三三个单独独的子网网。其整整个网络络的结构构示意图图如下：图1.11 XXXX银行行网络结结构示意意图XXX银银行网络络是一个个正在新新建的网网络，目目前业务务系统刚刚刚上线线运行，还还没有进进行信息息安全方方面的建建设。而而对于XXXX银银行网络络来说，生生产网是是网络中中最重要要的部分分，所有有

4、的应用用也业务务系统都都部署在在生产网网上。一一旦生产产网出现现问题，造造成的损损失和影影响将是是不可估估量的。因因此现在在急需解解决生产产网的安安全问题题。本次对XXXX银银行网络络的安全全规划仅仅限于生生产网以以及与生生产网安安全相关关的网络络部分，因因此下面面我们着着重对XXXX银银行的生生产网构构架做一一个详细细描述。（一）省省联社生生产网络络l省联社网网络生产产网络是是全行信信息系统统的核心心，业务务系统、网网上银行行系统及及管理系系统都集集中在信信息中心心。l省联社网网络生产产网络负负责与人人行及其其他单位位中间业业务的连连接。l省联社网网络生产产网络负负责建立立和维护护网上银银行

5、。l省联社网网络生产产网络中中包含MMIS系系统和测测试系统统。l操作系统统主要有有：OSS/4000、AIXX、Linnux、Winndowws，以以及其它它设备的的专用系系统。l数据库系系统包括括：DBB2、INFFORMMIX、SYBBASEE、ORAACLEE等。l业务应用用包括：u生产业务务：l一线业务务：与客客户直接接关联的的业务，如如ATMM、POSS、柜员员终端等等l二线业务务：不直直接与客客户相关关的业务务，如管管理流程程、公文文轮流转转、监督督、决策策等，为为一线业业务的支支撑。（二）地地市联社社生产网网络l地市联社社生产网网络是二二级网络络，通过过两条互互为备份份的专线线

6、与省联联社中心心网络互互连。l操作系统统主要有有：UNNIX、WINNDOWWS。（三）区区（县）联联社生产产网络l区（县）联联社生产产网络是是三级网网络，通通过2MM SDDH/或或者100M光纤纤以太网网（ISSDN备备份）等等方式与与管辖支支行的网网络连接接。l操作系统统主要有有：UNNIX、WINNDOWWS。（四）分分理处生生产网l分理处是是四级网网络，各各个分理理处通过过2M SSDH或或者ISSDN等等方式与与管辖区区（县）联联社的网网络连接接。由于区县县联社及及分理处处的网络络目前还还处在组组网的初初级阶段段，网络络构造简简单且还还没有能能力进行行完善的的网络安安全建设设和管理

7、理，因此此本次规规划主要要是对省及及地市联联社的网网络安全全部分。当把省及地市部分的网络建成一个比较完善的安全防护体系之后，再逐步的将安全措施和手段应用于下层的区县联社及分理处。从而实现整个网络的重点防护、分步实施策略。2 网络结构构调整与与安全域域划分对于XXXX银行行生产网网络来说说，首要要的一点点就是应应该根据据国家有有关部门门对相关关规定，将将整个生生产网络络进行网网络结构构的优化化和安全全域的划划分，从从结构上上实现对对安全等等级化保保护。根据中中国人民民银行计计算机安安全管理理暂行规规定（试试行）的的相关要要求：“第六十十一条内联网网上的所所有计算算机设备备，不得得直接或或间接地地

8、与国际际互联网网相联接接，必须须实现与与国际互互联网的的物理隔隔离。”“第七十十五条计算机机信息系系统的开开发环境境和现场场应当与与生产环环境和现现场隔离离。”因此我们们有必要要对现有有网络环环境进行行改造，以以将生产产业务网网络（包包括一线线业务和和二线业业务）与与具有互互联网连连接的办办公网络络之间区区分开来来，通过过强有力力的安全全控制机机制最大大化实现现生产系系统与其其他业务务系统之之间的隔隔离。同同时，对对XXXX银行所所有信息息资源进进行安全全分级，根根据不同同业务和和应用类类型划分分不同安安全等级级的安全全域，并并分别进进行不同同等级的的隔离和和保护。初步规划划将省联联社生产产网

9、络划划分成多多个具备备不同安安全等级级的区域域，参考考公安部部发布的的信息息系统安安全保护护等级定定级指南南，我我们对安安全区域域划分和和定级的的建议如如下：安全区域域说明定级建议议生产区域域包含一线线业务服服务器主主机3级MIS区区域包含二线线业务服服务器主主机2级网上银行行区域包含网上上银行业业务服务务器主机机2级运行管理理区域包含维护护网络信信息系统统有效运运行的管管理服务务器主机机和管理理终端2级测试区域域包含新开开发的生生产应用用的测试试环境，可可视为准准生产环环境1级办公服务务器区域域包含办公公业务系系统服务务器主机机2级对于各地地市、区区县联社社和各营营业网点点也需要要将生产产业

10、务和和办公业业务严格格区分开开，并进进行逻辑辑隔离，确确保生产产区域具具有较高高安全级级别。由于部分分办公业业务用户户需要访访问生产产业务中中的特定定数据，而而部分生生产应用用也需要要访问办办公网中中的特定定数据，因因此无法法做到生生产、办办公之间间彻底的的物理隔隔离，建建议在各各级联社社信息中中心提供供生产网网与办公公网之间间的连接接，并采采用逻辑辑隔离手手段进行行控制，对于营业网点，由于作隔离投入太大，可暂时不考虑隔离。改造后的的总体逻逻辑结构构如图所所示：图2.11 XXXX银行行网络安安全结构构示意图图网络改造造后，全全行办公公系统将将统一互互联网出出口，所所有办公公终端只只允许在在通

11、信行行为可控控的情况况下才能能通过信信息中心心办公网网络的互互联网出出口访问问外界网网络，生生产业务务服务器器和终端端不允许许采取任任何手段段直接访访问互联联网或通通过办公公网间接接访问互互联网。网上银行行因业务务需要必必须连接接互联网网，但只只允许互互联网用用户对网网银门户户网站的的访问以以及认证证用户对对网银WWEB服服务器的的访问，生生产业务务服务器器和终端端不允许许采取任任何手段段直接访访问互联联网或通通过网银银网络间间接访问问互联网网。3 XXX银银行网络络需求分分析随着XXXX银行行金融信信息化的的发展，信信息系统统已经成成为银行行赖以生生存和发发展的基基本条件件。相应应地，银银行

12、信息息系统的的安全问问题也越越来越突突出，银银行信息息系统的的安全问问题主要要包括两两个方面面：一是是来自外外界对银银行系统统的非法法侵入，对对信息系系统的蓄蓄意破坏坏和盗窃窃、篡改改信息行行为；二二是来自自银行内内部员工工故意或或无意的的对信息息系统管管理的违违反。银银行信息息系统正正在面临临着严峻峻的挑战战。银行进行行安全建建设、加加强安全全管理已已经成为为当务之之急，其其必要性性正在随随着银行行业务和和信息系系统如下下的发展展趋势而而更加凸凸出：银行的关关键业务务系统层层次丰富富，操作作环节多多，风险险也相对对比较明明显；随着电子子银行和和中间业业务的广广泛开展展，银行行的网络络与Inn

13、terrnett和其他他组织机机构的网网络互联联程度越越来越高高，使原原本相对对封闭的的网络越越来越开开放，从从而将外外部网络络的风险险引入到到银行内内部网络络；随着银行行业务集集中化的的趋势，银银行业务务系统对对可靠性性和无间间断运行行的要求求也越来来越高；随着WTTO的到到来和外外资银行行的进入入，银行行业竞争争日益激激烈，新新的金融融产品不不断推出出，从而而使银行行的应用用系统处处于快速速的变化化过程中中，对银银行的安安全管理理提出了了更高的的要求。中国国内内各家银银行也已已经开始始进行信信息安体体系建设设，其中中最主要要的措施施就是采采购了大大量安全全产品，包包括防火火墙、入入侵检测测

14、系统、防防病毒和和身份认认证系统统等。这这些安全全产品在在很大程程度上提提高了银银行信息息系统的的安全水水平，对对保护银银行信息息安全起起到了一一定作用用。但是是它们并并没有从从根本上上降低安安全风险险，缓解解安全问问题，这这主要是是因为：l 信息安全全问题从从来就不不是单纯纯的技术术问题，把把防范黑黑客入侵侵和病毒毒感染理理解为信信息安全全问题的的全部是是片面的的。安全全产品的的功能相相对比较较狭窄，往往往用于于解决一一类安全全问题，因因此仅仅仅通过部部署安全全产品很很难完全全覆盖银银行信息息安全问问题；l 信息安全全问题不不是静态态的，它它总是随随着银行行策略、组组织架构构、信息息系统和和

15、操作流流程的改改变而改改变。部部署安全全产品是是一种静静态的解解决办法法。一般般来说，在在产品安安装和配配置后较较长一段段时间内内，它们们都无法法动态调调整以适适应安全全问题的的变化。所以，银银行界的的有识之之士都意意识到应应从根本本上改变变应对信信息安全全问题的的思路，建建立更加加全面的的安全保保障体系系，在安安全产品品的辅助助下，通通过管理理手段体体系化地地保障信信息系统统安全。下面我们们将通过过分析XXXX银银行改造造后的网网络结构构下可能能面临的的安全问问题，对对XXXX银行（主主要是生生产网）目目前的安安全需求求进行总总体分析析。根据据实际项项目进度度安排，我我们将分分别对网网上银行

16、行系统、生生产业务务系统进进行分析析。3.1 网上银行行安全风风险和安安全需求求针对目前前最常见见的互联联网攻击击类型以以及国内内外网上上银行系系统通常常面临的的安全威威胁，结结合XXXX银行行的实际际情况，我我们认为为在XXXX银行行网上银银行网络络可能面面临的安安全风险险和对应应的安全全需求如如下：序号风险名称称受影响对对象安全需求求1漏洞操作系统统，数据据库系统统，应用用软件评估、加加固（打打补丁，安安装加固固软件）2网页篡改改网银WEEB和门门户WEEB服务务器打补丁，安安装防篡篡改软件件，内容容过滤3网络仿冒冒网银客户户培训客户户的安全全防护意意识（安安装IEE反钓鱼鱼插件；认清银银

17、行网站站，不在在虚假站站点中填填写IDD和密码码；采用用CA认认证和SSSL加加密）4蠕虫和病病毒所有wiindoows和和linnux平平台客户端：建议或或强制安安装防病病毒软件件/插件件服务器：安装相相应平台台防病毒毒软件网银WEEB区域域与互联联网之间间：防病病毒网关关网银与核核心层之之间：防防病毒网网关5非法入侵侵和攻击击（网络络级、应应用级）所有网段段防火墙、IIDS（需需检测应应用级攻攻击及SSSL加加密攻击击）6拒绝服务务攻击网银WEEB区域域抗DOSS攻击产产品7网页恶意意代码（木木马、间间谍软件件、广告告软件、拨拨号器（ddiallerss）、kkey logggerr、密码

18、码破解工工具和远远程控制制程序等等）网银客户户winndowws，iie浏览览器（llinuux不受受影响）培训客户户的安全全防护意意识（在在计算机机上安装装防病毒毒工具并并及时更更新；采采用相对对安全的的浏览器器或在IIE中安安装各类类安全控控件；对对不明邮邮件不要要打开，并并及时删删除；提提高对个个人资料料、账户户、密码码的保护护意识；及时修修改银行行帐户的的原始密密码；不不要采用用身份证证号码、生生日、手手机号码码及过分分简单的的数字作作为密码码；不要要在网吧吧等公共共场所操操作网上上银行业业务。）8僵尸网络络（DDDOS、垃垃圾邮件件、网页页仿冒、网网页攻击击的被动动发起者者）互联网上

19、上大量不不安全的的主机可可能成为为僵尸，被被利用来来向网银银进行攻攻击通过上述述手段加加强自身身防护3.2 生产业务务网络安安全风险险和安全全需求对于生产产业务网网络而言言，可能能存在的的安全风风险和对对应的安安全需求求如下：序号风险名称称风险来源源受影响对对象安全需求求1漏洞自身操作系统统，数据据库系统统，应用用软件评估、加加固（打打补丁，安安装加固固软件）2蠕虫和病病毒移动存储储介质、网网络通讯讯所有wiindoows和和linnux平平台客户端/服务器器：安装装相应平平台防病病毒软件件网银与生生产业务务网络之之间：防防病毒网网关3非法入侵侵和攻击击（网络络级、应应用级）所有需要要访问或或

20、可能访访问到一一线业务务的用户户一线业务务生产主主机防火墙、入入侵检测测网上银行行区域生产业务务网络防火墙、入入侵防御御网上银行行区域、相相关外部部单位网网络、办办公业务务网络生产业务务网络防火墙、入入侵检测测4数据窃密密、篡改改非法闯入入者在局域网网或广域域网上传传输的业业务数据据，存放放在客户户端本地地的业务务数据网络准入入控制、桌桌面安全全控制5非法访问问、越权权访问非生产人人员生产应用用系统和和业务数数据身份认证证、访问问授权非管理人人员操作系统统、数据据库系统统身份认证证、访问问授权4 总体安全全技术框框架建议议根据对XXXX银银行网络络系统安安全需求求分析，我我们提出出了由多多种安

21、全全技术和和多层防防护措施施构成的的一整套套安全技技术方案案，具体体包括：在网络络层划分分安全域域，部署署防火墙墙系统、防防拒绝服服务攻击击系统、入入侵检测测系统、入侵防防御系统统和漏洞洞扫描系系统；在在系统层层部署病病毒防范范系统，提提供系统统安全评评估和加加固建议议；在管管理层制制订安全全管理策策略，部部署安全全信息管管理和分分析系统统，建立立安全管管理中心心。具体建议议如下：4.1 网络层安安全建议议1网络络访问控控制 l 划分安全全域为了提高高银行网网络的安安全性和和可靠性性，在省省联社总总部、各各地市联联社、各区县县联社、分理处处对不同同系统划划分不同同安全域域。 l 访问控制制措施

22、对安全等等级较高高的安全全域，在在其边界界部署防防火墙，对对安全等等级较低低的安全全域的边边界则可可以使用用VLAAN或访访问控制制列表来来代替。根据对XXXX银银行整体体网络的的区域划划分，我我们将在在不同安安全域边边界采用用不同的的访问控控制措施施：u 在生产网网与办公公网之间间采用防防火墙提提供访问问控制，只只允许业业务相关关的访问问，拒绝绝其他所所有访问问；u 在生产网网与网上上银行网网络之间间采用防防火墙提提供访问问控制，只只允许业业务相关关的访问问，拒绝绝其他所所有访问问；u 在生产网网与相关关单位网网络之间间采用防防火墙提提供访问问控制，只只允许业业务相关关的访问问，拒绝绝其他所

23、所有访问问；u 在网上银银行网络络与互联联网之间间采用防防火墙提提供访问问控制，除除允许互互联网用用户访问问网银门门户网站站、允许许互联网网认证用用户访问问网银WWEB及及允许网网银WEEB服务务器/SSSL加加速器访访问互联联网上的的CFCCA之外外，拒绝绝其他所所有访问问；u 在生产网网的生产产区域（一一线业务务）与其其他区域域之间采采用防火火墙提供供访问控控制，只只允许业业务相关关的访问问，拒绝绝其他所所有访问问；u 在生产网网的其他他各区域域之间利利用三层层交换机机划分虚虚拟子网网及进行行简单包包过滤，做做到较简简单的访访问控制制；2防拒拒绝服务务攻击在网上银银行系统统与Innterr

24、nett出口边边界处，配配备抗DDoS攻攻击网关关系统，以以抵御来来自互联联网的各各种拒绝绝服务攻攻击和分分布式拒拒绝服务务攻击。 3网络络入侵检检测在网上银银行系统统和总行行业务网网络系统统中部署署入侵检检测系统统，实时时检测、分分析网络络上的通通讯数据据流，尤尤其是对对进出安安全域边边界或进进出存放放有涉密密信息的的关键网网段、服服务器主主机的通通讯数据据流进行行监控，及及时发现现违规行行为和异异常行为为并进行行处理。网网络入侵侵检测系系统可实实现如下下功能： n 网络信息息包嗅探探。以旁旁路监听听方式秘秘密运行行，使攻攻击者无无法感知知到。黑黑客常常常在没有有觉察的的情况下下被抓获获，因

25、为为他们不不知道他他们一直直受到密密切监视视。n 网络访问问监控。根根据实际际业务需需要定制制相关规规则，可可以定义义哪些主主机或网网段可以以或不可可以访问问网络上上的特定定资源，可可以定义义访问时时间段，对对特定的的非法访访问行为为或除特特定合法法访问行行为之外外的所有有访问行行为进行行监控，一一旦发现现违规行行为则根根据事先先定义的的响应策策略进行行报警、阻阻断或联联动的相相应，以以保证只只有授权权用户才才可以访访问特定定网络资资源。n 应用层攻攻击特征征检测。提提供详尽尽、细粒粒度的应应用协议议分析技技术，实实现应用用层攻击击检测，可可自动检检测网络络实时数数据流中中符合特特征的攻攻击行

26、为为，系统统维护一一个强大大的攻击击特征库库，用户户可以定定期更新新，确保保能够检检测到最最新的攻攻击事件件。n 蠕虫检测测。实时时跟踪当当前最新新的蠕虫虫事件，针针对已经经发现的的蠕虫攻攻击及时时提供相相关事件件规则。系系统维护护一个强强大的蠕蠕虫特征征库，用用户可以以定期更更新，确确保能够够检测到到最新的的蠕虫事事件。对对于存在在系统漏漏洞但尚尚未发现现相关蠕蠕虫事件件的情况况，通过过分析漏漏洞来提提供相关关的入侵侵事件规规则，最最大限度度地解决决蠕虫发发现滞后后的问题题。n 可疑网络络活动检检测。即即异常检检测，包包括通过过对在特特定时间间间隔内内超流量量、超连连接的数数据包进进行检测测

27、等方式式，实现现对DooS、扫扫描等攻攻击事件件的检测测。n 检测隐藏藏在SSSL加密密通讯中中的攻击击。通过过解码基基于SSSL加密密的通讯讯数据，分分析、检检测基于于SSLL加密通通讯的攻攻击行为为，从而而可以保保护提供供SSLL加密访访问的网网银WEEB服务务器的安安全性。n 日志审计计。提供供入侵日日志和网网络流量量日志记记录和综综合分析析功能，并并提供详详细的分分析报告告，使网网络管理理员可以以跟踪用用户、应应用程序序等对网网络的使使用情况况，帮助助管理员员改进网网络安全全策略的的规划，并并提供更更精确的的网络安安全控制制。通过过详尽的的审计记记录，可可以在系系统遭到到恶意攻攻击后，

28、提提供证据据以提起起法律诉诉讼。n 多网段同同时监控控。入侵侵探测器器支持多多个网络络监听口口，可以以连接到到多个网网段中进进行实时时监控，我我们也可可以在不不同的网网段分别别部署多多个探测测引擎，管管理员可可以通过过集中的的管理控控制台对对探测器器上传的的信息进进行统一一查看，通通过管理理器进行行综合分分析，并并生成报报表。4入侵侵防御系系统在生产网网与网上上银行网网络之间间、办公公网与互互联网之之间分别别部署入入侵防御御系统，对对外界网网络黑客客利用防防火墙为为合法的的用户访访问而开开放的端端口穿透透防火墙墙对内网网发起的的各种高高级、复复杂的攻攻击行为为进行检检测和阻阻断。IIPS系系统

29、工作作在第二二层到第第七层，通通常使用用特征匹匹配和异异常分析析的方法法来识别别各种网网络攻击击行为，因因其是以以在线串串联方式式部署的的，对检检测到的的各种攻攻击行为为均可直直接阻断断并生成成日志报报告和报报警信息息。5漏洞洞扫描系系统在生产网网上部署署一套漏漏洞扫描描系统，定定期对整整个网络络，特别别是关键键主机及及网络设设备进行行漏洞扫扫描。这这样才能能及时发发现网络络中存在在的漏洞洞和弱点点，及时时根据漏漏洞扫描描系统提提出的解解决方案案进行系系统加固固或安全全策略调调整。以以实现防防患于未未然的目目的。同同时得到到的扫描描日志还还可以提提供给安安全管理理中心，作作为对整整个网络络健康

30、状状况评估估的一部部分，使使得管理理员能够够机制准准确的把把握网络络的运行行状况。4.2 系统层安安全建议议6病毒毒防范系系统 在XXXX银行网网络系统统可能的的病毒攻攻击点或或通道中中部署全全方位的的病毒防防范系统统，包括括在网上上银行互互联网出出口、网网上银行行区域与与业务区区域之间间、办公公区域的的互联网网出口处处部署网网关级防防病毒设设备，在在整个网网络中的的所有WWINDDOWSS服务器器和客户户端计算算机上部部署相应应平台的的网络版版防病毒毒软件并并配置防防病毒系系统管理理中心对对所有主主机上的的防病毒毒软件进进行集中中管理、监监控、统统一升级级、集中中查杀毒毒。 4.3 管理层安

31、安全建议议7综合合安全管管理平台台和安全全运营中中心部署一套套有效的的网络安安全管理理体系，采采用集中中的安全全管理平平台，来来对全网网进行统统一的安安全管理理和网络络管理，同同时借助助专业的的第三方方服务，在在安全管管理平台台的基础础上建立立XXXX银行安安全运营营中心，对对XXXX银行安安全保障障体系的的建设起起到推动动作用，确确保XXXX银行行信息网网络信息息系统内内部不发发生安全全事件、少少发生安安全事件件或者发发生安全全事件时时能够及及时处理理减少由由于安全全事件带带来的损损失。根据XXXX银行行的网络络结构和和区域划划分，我我们将分分别针对对网上银银行、省和地市生产产业务网网络进行

32、行安全体体系设计计。5 详细网络络架构及及产品部部署建议议5.1 网上银行行安全建建议网上银行行的安全全防护方方案具体体设计如如下：1、在网网银区域域与Innterrnett之间插插入一套套抗DooS攻击击系统，对对来自互互联网的的DDooS攻击击流量进进行清除除，同时时保证正正常访问问流量的的通过。2、网银银区域与与Intternnet之之间设置置一套防防火墙系系统（外外层防火火墙），采采用双机机热备结结构，通通过二层层交换机机连接抗抗DoSS攻击设设备，将将网银WWEB服服务器保保护在防防火墙的的一个单单独的安安全区域域中，并并通过两两台三层层交换机机连接内内部网络络。外层层防火墙墙的主要

33、要作用是是控制来来自外网网的访问问，只允允许授权权用户访访问网银银服务的的特定IIP和端端口，并并通过NNAT屏屏蔽服务务器真实实地址。防防火墙采采用透明明工作模模式。三三层交换换机提供供缺省网网关和局局域网路路由功能能。3、使用用一台网网络入侵侵检测设设备，提提供双引引擎，分分别连接接到网银银WEBB区域和和网银DDB区域域的两台台交换机机上进行行监控，对对网络上上传输的的敏感数数据包（包包括SSSL加密密数据）进进行深层层分析，可可有效地地发现防防火墙无无法识别别的特殊殊的应用用层攻击击行为。4、网银银WEBB区域与与后台数数据库/应用服服务器区区域及信信息中心心网络之之间设置置一套防防火

34、墙系系统（内内层防火火墙），一一方面控控制网银银WEBB服务区区与后台台APPP服务区区之间的的访问，只只允许来来自网银银WEBB区服务务器发起起的特定定访问，禁禁止其他他一切数数据通讯讯；另一一方面控控制网银银DB/APPP服务区区与内部部生产区区域之间间的访问问，只允允许应用用相关的的特定访访问，禁禁止其他他一切数数据通讯讯；采用用与外部部防火墙墙异构的的防火墙墙产品，即即使攻击击者成功功获得外外墙的控控制权，也也不能轻轻易攻入入业务网网络。5、在内内层防火火墙与内内网核心心交换机机之间串串联一组组UTMM设备，启启用IPPS功能能和防病病毒功能能，抵御御来自互互联网及及网银区区域的病病毒

35、、蠕蠕虫、恶恶意代码码及其他他攻击，双双机热备备。部署方式式如下图图所示：图5.11 网上上银行安安全解决决方案部部署图5.2 省联社生生产网安安全建议议1、将信信息中心心按不同同业务划划分多个个网络区区域。2、总行行管理中中心网络络与核心心交换机机之间不不署一套套防火墙墙系统，提提供安全全控制。对管理理区域的的访问进进行行为为控制。3、总行行生产业业务网络络与企业业客户、协协作单位位网络的的互联出出口采用用一套双双机防火火墙系统统提供安安全控制制，对来来自外单单位网络络的访问问行为进进行控制制。4、在总总行生产产业务网网络与办办公业务务网络核核心交换换机之间间设置一一套双机机防火墙墙系统，对

36、对从办公公网络特特定用户户到生产产网络特特定区域域上特定定主机的的访问行行为进行行控制，同同时除必必须开放放的连接接外，禁禁止任何何从生产产网主动动向办公公网发起起的访问问请求。5、采用用千兆IIDS设设备，分分别连接接到总行行生产网网两台核核心交换换机上，监监视和防防范内网网上的违违规访问问行为，主主要监听听进出生生产区域域及来自自办公网网、下级级单位和和协作单单位的流流量。6、各地地市生产产网到总总行生产产网之间间采用一一套双机机防火墙墙系统提提供安全全控制。对对来自各各分支机机构网络络的访问问行为进进行控制制。7、区县县生产网网、分理理处等营营业网点点分别通通过上级级联社生产产网的转转发

37、实现现对总部部数据中中心系统统的访问问。8、网上上银行网网络与生生产网络络之间的的访问通通过两台台互备的的UTMM设备进进行监控控。网络结构构及安全全设备部部署方式式如下图图：图5.22省联社社生产网网安全解解决方案案部署图图5.3 地市联社社生产网网安全建建议1、地市市联社生生产业务务网络与与企业客客户、协协作单位位网络的的互联出出口采用用一套双双机防火火墙系统统提供安安全控制制，对来来自外单单位网络络的访问问行为进进行控制制。2、在地地市生产产业务网网络与办办公业务务网络核核心交换换机之间间设置一一套双机机防火墙墙系统，对对从办公公网络特特定用户户到生产产网络特特定区域域上特定定主机的的访

38、问行行为进行行控制，同同时除必必须开放放的连接接外，禁禁止任何何从生产产网主动动向办公公网发起起的访问问请求。3、采用用IDSS设备，分分别连接接到地市市生产网网两台核核心交换换机上，监监视和防防范内网网上的违违规访问问行为，主主要监听听进出生生产区域域及来自自办公网网、下级级单位和和协作单单位的流流量。4、各地地市生产产网到总总行生产产网以及及区县生生产网、分分理处等等营业网网点之间间采用一一套双机机防火墙墙系统提提供安全全控制。对对来自总总行和各各分支机机构网络络的访问问行为进进行控制制。网络结构构及安全全设备部部署方式式如下图图：图5.33地市联联社生产产网安全全解决方方案部署署图5.4

39、 区县联社社生产网网安全建建议1、区县县联社生产产业务网网络与办办公业务务网络核核心交换换机之间间设置一一套防火火墙系统统，对从从办公网网络特定定用户到到生产网网络特定定区域上上特定主主机的访访问行为为进行控控制，同同时除必必须开放放的连接接外，禁禁止任何何从生产产网主动动向办公公网发起起的访问问请求。2、各区区县联社社生产网网到上级级分行生生产网以以及分理理处等营营业网点点之间采采用一套套双机防防火墙系系统提供供安全控控制。对对来自上上级分行行和各分分支机构构网络的的访问行行为进行行控制。网络结构构及安全全设备部部署方式式如下图图：图5.44区县联联社生产产网安全全解决方方案部署署图5.5

40、全行网络络防病毒毒系统建建议具体的部部署建议议如下：1、在XXXX银银行各级级单位所所有Wiindoows服服务器上上部署服服务器防防毒系统统，确保保服务器器系统不不会成为为病毒驻驻留的平平台，提提高整个个服务器器系统的的高可靠靠性；2、在XXXX银银行各级级单位所所有Wiindoows客客户端上上部署客客户端防防毒系统统，一方方面增强强客户端端的防毒毒能力，另另一方面面保证客客户端不不为因为为病毒问问题而带带给管理理员极大大的工作作量；3、防病病毒系统统采用集集中和分分布相结结合的管管理模式式，总行行办公网网服务器器区域中中设置一一台防病病毒管理理中心服服务器，提提供集中中的策略略制定和和下

41、发，管管理总行行办公网网的所有有防病毒毒客户端端；生产产网运行行管理区区域中设设置一台台防病毒毒管理分分中心服服务器，管管理生产产网的所所有防病病毒客户户端（包包括总部部、支行行、网点点），以以及与上上级管理理中心进进行通信信；各管管辖支行行办公网网中分别别设置一一台防病病毒管理理分中心心服务器器，管理理本网的的所有防防病毒客客户端，以以及与上上级管理理中心进进行通信信；这样样做的好好处是防防止了因因软件或或策略下下发时带带来的带带宽消耗耗和减小小安全隐隐患；4、办公公网防病病毒管理理中心服服务器定定期从互互联网进进行升级级，生产产网防病病毒管理理分中心心服务器器、各支支行防病病毒管理理分中心

42、心服务器器均从管管理中心心服务器器获得升升级码；各防毒毒服务器器负责向向所管辖辖范围内内所有防防病毒客客户端分分发升级级码。5、在XXXX银银行各互互联网出出口处，生生产网络络与网银银网络之之间分别别部署病病毒过滤滤网关（通通过UTTM设备备实现），消消除来自自互联网网的病毒毒威胁。5.6 网络安全全管理平平台建议议5.6.1 部署网络络安全管管理平台台的必要要性传统安全全技术和和产品集集成的有有如下缺缺点：n 需要大量量人为参参与的判判断。比如一个个报警事事件是否否准确需需要人为为的判断断。n 存在信息息淹没的的可能性性大量安全全产品的的报警信信息导致致管理员员无法一一一察看看和分析析，从而

43、而导致信信息淹没没。同时大量量的垃圾圾报警信信息，也也加重了了管理员员的工作作负担，导导致管理理员容易易疏忽很很多真正正有用的的信息，这这也导致致信息淹淹没。n 需要专业业安全人人员的分分析大多数安安全产品品对报警警事件的的语言描描述都是是专业安安全技术术性的描描述，对对管理员员的专业业技能要要求很高高。 n 需要安全全维护人人员高度度的责任任心的协协助管理员需需要积极极主动的的去查看看各类安安全产品品的报警警信息，才才能及时时地发现现安全事事件，并并着手去去解决。n 止步于安安全事件件的报警警，而没没有完善善的事件件处理监监督考核核措施传统的安安全产品品集成在在向管理理员报告告安全事事件后，

44、安安全系统统的功用用便宣告告结束，后后续的所所有的工工作完全全依靠管管理员去去完成，管管理员是是否去解解决这些些安全问问题，无无从考据据和监控控。应该说，传传统的安安全产品品和技术术的集成成只能够够部分的的实现安安全的“可见性性”和“可控性性”。出于上述述原因，我我们认为为在未来来的信息息安全建建设中，综综合安全全监控和和管理平平台将倍倍受尊崇崇，真正正让安全全建设做做到完善善的“可见、可可控、可可管理”。而对于XXXX银银行来说说，我们们必须在在网络内内部署大大量的安安全产品品。因此此，我们们急需一一个真正正的综合合性安全全管理平平台来使使得整个个网络的的安全建建设实现现可见、可可控和可可管

45、理。集成安全全监控管管理技术术的优点点：n 延伸了传传统安全全产品集集成的功功能，充充分让每每一条有有效的安安全报警警信息得得到完善善的分析析和处理理；n 融合网络络管理、安安全管理理、运维维管理思思想于一一体，充充分发挥挥各类安安全技术术的功效效；n 实现安全全事件的的闭环管管理，最最强有力力的实现现安全管管理的技技术辅助助手段。5.6.2 网络安全全管理平平台部署署建议对于XXXX银行行网络来来说，我我们应该该本着重重点防护护，分步步实施的的策略来来进行我我们的安安全建设设。因此此我们应应该首先先将省联联社网络络建设成成为一个个高度安安全，高高度可管管理的安安全网络络。我们们建议在在第一阶

46、阶段只在在省中心心部署一一套网络络安全管管理平台台。当这这套安全全管理平平台成功功运行并并积累一一定经验验后，可可以很灵灵活的扩扩展到各各个地市市以及更更低一级级的网络络中去。我们所部部署的网网络安全全管理平平台应该该具备以以下一些些功能：u 管理对象象被监控管管理的目目标包括括：网络络系统、服服务器主主机、数数据库、安安全产品品、业务务应用。按按照不同同的KBBP关键键业务点点来划分分进行资资产管理理。u 运维管理理网络安全全的最重重要目标标就是保保障系统统的安全全、可靠靠的运行行，也就就是保障障业务的的连续运运行，这这也是我我们所熟熟知的安安全三性性中的可可用性。对对系统进进行基于于业务的

47、的监控管管理，包包括：资资产管理理、流程程管理、知知识管理理等。u 网络管理理网络系统统作为业业务应用用的载体体，对其其的监控控管理也也非常重重要，我我们采用用网管技技术对网网络系统统进行监监控管理理。内容容包括：拓扑展展示、设设备发现现、管理理工具u 安全管理理网络安全全运行管管理中心心的核心心内容，从从安全策策略管理理、事件件管理、脆脆弱性管管理、风风险管理理、配置置管理等等方面，实实现安全全管理。u 输出通过报表表、报警警、工单单的方式式，得出出相应的的输出。包包括：KKBDPP视图、资资产报表表、风险险报告、安安全状态态、趋势势分析、脆脆弱性报报告、知知识库、专专家建议议等。5.7 建

48、立专业业的安全全服务体体系建议议在前面的的管理层层安全建建议中我我们已经经提出，应应该“借助专专业的第第三方服服务，在在安全管管理平台台的基础础上建立立XXXX银行安安全运营营中心，对对XXXX银行安安全保障障体系的的建设起起到推动动作用，确确保XXXX银行行信息网网络信息息系统内内部不发发生安全全事件、少少发生安安全事件件或者发发生安全全事件时时能够及及时处理理减少由由于安全全事件带带来的损损失”。专业的安安全服务务是建立立一个能能够持续续运行，动动态更新新的网络络安全体体系的技技术保障障。和关关键环节节。图5.55动态信信息安全全体系建建设过程程动态信息息安全体体系建设设是一个个周期性性的

49、循环环过程，每每个建设设周期都都是以安安全策略略为核心心，以风风险评估估为开端端，通过过需求确确认、网网络安全全功能建建设、完完善信息息安全管管理/策策略、风风险复审审、风险险积累的的过程，建建立信息息安全体体系。对于现阶阶段的XXXX银银行网络络来说，我我们建议议通过以以下的步步骤来实实现这个个动态的的信息安安全体系系建设过过程。5.7.1 现状调查查和风险险评估现状调查查和风险险评估是是建立安安全农行行计算机机安全体体系的基基础和关关键，在在整个XXXX银银行网络络安全建建设项目目过程中中，现状状调查和和风险评评估的工工作量占占了很大大比例，现现状调查查和风险险评估的的深度直直接影响响安全

50、体体系能否否与XXXX银行行实际情情况相一一致且具具有可操操作性。现状调查查和风险险评估的的主要目目标包括括对XXXX银行行计算机机系统进进行全面面的现状状调查、建建立保护护对象框框架和根根据保护护对象框框架进行行风险评评估。n 全面的现现状调查查全面现状状调查是是本项目目十分关关键的步步骤，现现状调查查的广度度和深度度将对保保护对象象框架的的建立和和风险评评估带来来非常十十分重要要的作用用。在全全面现状状调查中中，XXXX银行行的计算算机系统统的场所所、环境境、网络络、网络络设备、主主机、操操作系统统、数据据库、中中间件、应应用软件件、业务务流程、管管理制度度和组织织机构将将得到全全面的调调

51、研。n 风险评估估风险评估估的目的的是了解解XXXX银行计计算机系系统的安安全现状状，以便便在安全全体系的的实施过过程进行行需求分分析和解解决方案案设计。风风险评估估过程包包括对XXXX银银行计算算机系统统的资产产安全价价值、弱弱点严重重性、威威胁可能能性和现现有安全全措施等等进行估估值，并并通过这这些因素素计算风风险值。风险评估估的具体体目标包包括：n准确地地获得XXXX银银行计算算机系统统安全现现状；n获得XXXX银银行计算算机系统统风险现现状，为为安全对对策框架架设计提提供依据据。5.7.2 安全策略略制定及及方案设设计为迎接XXXX银银行业务的的飞速发发展而带带来信息息安全方方面的挑挑

52、战，规规范XXXX银行行信息系系统的安安全维护护管理，促促进安全全维护和和管理工工作体系系化、规规范化，提提高信息息和网络络服务质质量，提提高网络络维护队队伍的整整体安全全素质和和水平，需需要制定定安全方方针和系系列安全全制度和和规范。安安全方针针的目标标是为信信息安全全管理提提供清晰晰的策略略方向，阐阐明信息息安全建建设和管管理的重重要原则则，阐明明信息安安全的所所需支持持和承诺诺。安全策略略是指导导XXXX银行信息系系统维护护管理工工作的基基本依据据，安全全管理和和维护管管理人员员必须认认真执行行本规程程，并根根据工作作实际情情况，制制定并遵遵守相应应的安全全标准、流流程和安安全制度度实施

53、细细则，做做好安全全维护管管理工作作。安全策略略的适用用范围是是XXXX银行信息系系统拥有有的、控控制和管管理的所所有信息息系统、数数据和网网络环境境，适用用于属于于XXXX银行信息系系统范围围内的所所有部门门。对人人员的适适用范围围包括所所有与XXXX银银行信息系系统的各各方面相相关联的的人员，它它适用于于全部应应用XXXX银行行的员工工，全部部XXXX银行范围内内容的维维护人员员，集成成商，软软件开发发商，产产品提供供商，顾顾问，临临时工，商商务伙伴伴和使用用农行信信息系统统的其他他第三方方。安全策略略体系建建立的价价值在于于：u 推进信息息安全管管理体系系的建立立安全策策略和制制度体系系

54、的建设设安全组组织体系系的建设设安全运运作体系系的建设设u 规范信息息安全规规划、采采购、建建设、维维护和管管理工作作，推进进信息安安全的规规范化和和制度化化建设在前面的的章节中中，我们们已经对对XXXX银行的的网络进进行了安安全策略略制定以以及方案案设计的的详细描描述，因因此在这这里就不不做过多多地阐述述。5.7.3 安全应急急响应方方案安全事件件响应的的概念和和基本流流程应急响应应也叫紧紧急响应应，是安安全事件件发生后后迅速采采取的措措施和行行动，它它是安全全事件响响应的一一种快速速实现方方式 。应应急响应应是解决决网络系系统安全全问题的的有效安安全服务务手段之之一。其其目的就就是最快快速

55、度恢恢复系统统的保密密性、完完整性和和可用性性，阻止止和减小小安全事事件带来来的影响响。识别出现现安全事事件的场场景包括括：u 非授权访访问，通通过入侵侵的方式式进入到到未被授授权访问问的网络络中，而而导致数数据信息息泄漏；u 信息泄密密，数据据在传输输中因数数据被截截取、篡篡改、分分析等而而造成信信息的泄泄漏；u 拒绝服务务，正常常用户不不能正常常访问服服务器提提供的相相关服务务；u 系统性能能严重下下降，有有不明的的进程运运行并占占用大量量的CPPU处理理时间；u 在系统日日志中发发现非法法登录者者；u 发现系统统感染计计算机病病毒；u 发现有人人在不断断强行尝尝试登录录系统；u 系统中出

56、出现不明明的新用用户账号号；u 管理员收收到来自自其它站站点系统统管理员员的警告告信，指指出系统统可能被被威胁；u 文件的访访问权限限被修改改；u 因安全漏漏洞导致致的系统统问题；u 其它的入入侵行为为。XXX银银行要制制订应急急响应演演练计划划，明确确应急响响应组织织、响应应人员、人人员职责责、响应应方式、工工作内容容，定期期对相关关人员进进行应急急响应培培训，定定期组织织应急响响应演练练。各部门领领导及管管理员应应当对紧紧急响应应流程的的演习和和执行情情况进行行有效的的监督和和管理。建立应急急响应组组织应急响应应组织是是为了有有效处理理安全事事件，协协调各相相关部门门和人员员而成立立的机构

57、构。应急响应应组织的的组织结结构如下下图所示示：图5.66应急响响应组织织结构应急响应应组织主主要由应应急响应应组组长长、执行行组组长长、常设设应急响响应岗位位和应急急岗位等等组成。u 应急响应应组组长长：可由由山西网网通的高高管层担担任。u 执行组长长：可由由主管安安全的部部门负责责人来担担任。u 应急岗位位（即安安全顾问问）：发发生紧急急事件，需需要临时时抽调的的安全专专家，精精通业务务流程并并熟知系系统及网网络结构构的资深深安全专专家担任任，也可可以是外外聘的专专业安全全服务公公司。u 常设岗位位（安全全管理员员/文档管管理员/联络员员）：由由专门的的应急响响应技术术人员担担任，负负责发

58、现现、预警警、记录录、报告告、响应应安全事事件。职责划分分u 应急响应应组组长长接受执行行组长的的报告，作作决策工作分配配，协调调整个事事件的处处理过程程u 执行组长长接收报告告，判断断是安全全问题抑抑或安全全事件选择人员员建立紧紧急事件件响应小小组制定应急急响应计计划应急响应应验收、监监督u 常设岗位位系统、网网络、数数据、业业务方面面的安全全专家在在应急响响应过程程中，作作为应急急响应小小组成员员，实施施应急响响应计划划。u 安全管理理员接收报告告、采取取初步行行动，根根据得到到的报告告判断是是一个安安全问题题还是一一个安全全事件，评评估事件件紧急程程度，确确定响应应策略，并并将它提提交高

59、层层；参与决策策过程，根根据自己己对ITT应用要要求的保保护程度度评估选选择措施施；报告安全全问题和和安全事事件；按照应急急响应策策略实施施应急措措施。u 文档管理理人员收集汇总总应急响响应相关关报告、文文档应急响应应事件知知识库维维护u 知识库管管理员负责维护护应急响响应体系系知识库库u 联络员负责与各各部门之之间的联联系负责与相相关机构构（中国国病毒应应急响应应中心、CCVE、CCNCEERT、病病毒厂商商、国内内专业安安全厂商商）的联联系接收报警警事件u 培训人员员负责日常常的安全全意识、技技能的培培训6 安全规划划总结通过以上上的XXXX银行行网络安安全规划划建议，我我们能够够在XXX

60、X银行行的生产产网初步步建立一一个信息息安全保保障体系系。本次的安安全体系系建设包包括的范范围为：u 省联社生生产网，包包括省联联社网上上银行网网络和生生产业务务网络。u 地市联社社生产网网整个信息息安全体体系从三三个层次次进行了了建设：首先通过过安全域域的划分分明确了了信息安安全保障障的重点点和层次次；其次通过过必要的的网络结结构调整整和产品品部署，建建立了生生产网的的网络边边界访问问控制体体系，网网络抗攻攻击和入入侵深层层防护体体系，漏漏洞防护护体系和和网络防防病毒体体系等基基础防护护体系。在此基础础上通过过安全管管理平台台的建设设建立独独立的安安全管理理中心。将将所部属属的安全全设备结结

61、合起来来进行有有效的管管理并实实现互动动，发挥挥所有设设备的最最大功效效并使得得用户能能够随时时掌握网网络安全全状况。通通过建立立完善的的，符合合用户实实际情况况的安全全管理制制度，保保障整个个安全管管理中心心的顺利利运行。最后通过过专业的的安全服服务体系系，以强强大的专专家技术术保障为为后盾，实实现对整整个网络络的动态态监控和和应急响响应。通过这一一整套信信息安全全体系建建设，我我们可以以认为XXXX银银行的生生产网络络能够应应对现实实和未知知的网络络安全威威胁，实实现网络络的长期期良好运运行，为为XXXX银行的的重要业业务运行行和新业业务拓展展提供安安全可靠靠的网络络平台。7 产品配置置清

62、单区域产品数量部署位置置简要说明明省联社生生产网络络防火墙11省核心与与省联社社办公网网接口处处防火墙的的主要作作用是隔隔离生产产网与办办公网络络，防止止两网间间发生攻攻击、非非法访问问、资料料窃取等等行为发发生。由由于是部部署在一一个非常常重要并并且流量量很大的的关键节节点，因因此需要要部署一一型性能能先进的的防火墙墙产品防火墙22省核心与与省联社社测试子子网、MMIS子子网接口口处省核心与与网上银银行服务务器群接接口处省核心与与安全管管理中心心接口处处防火墙的的主要作作用是隔隔离省中中心网络络中其它它相关网网络对生生产网关关键业务务群的访访问。防防止攻击击、非法法访问、资资料窃取取等行为为

63、发生。防火墙33省核心与与各地市市联社生生产网、各各相关业业务单位位接口处处防火墙的的主要作作用是隔隔离省生生产网与与各地市市生产网网、各相相关业务务单位网网。对网网之间进进行严格格的访问问控制，防防止攻击击、非法法访问、资资料窃取取等行为为发生。入侵检测测系统省生产网网核心以以及重要要的服务务器前对生产网网进行重重点的安安全保障障。作为为防火墙墙的补充充，提供供更高强强度的安安全防护护，并与与防火墙墙联动，阻阻断各种种入侵和和攻击行行为。漏洞扫描描系统省网络中中心对生产网网进行定定期的安安全扫描描，及时时提供网网络弱点点和漏洞洞情报，以以便及时时采取弥弥补措施施。病毒防护护系统省生产网网全部计计算机及及服务器器进行全网网络病毒毒防护SOC系系统省生产网网安全管管理中心心SOC（安安全管理理中心）系系统是一一款综合合性产品品，能够够和事件件关联、实实时工具具、案例例管理、良良好的报报警提示示