XXX银行网络安全规划建议书

《XXX银行网络安全规划建议书》由会员分享，可在线阅读，更多相关《XXX银行网络安全规划建议书（33页珍藏版）》请在装配图网上搜索。

1、XXX银行生产网络平安规划建议书2006年6月目录1工程情况概述32网络结构调整与平安域划分53XXX银行网络需求分析73.1网上银行平安风险和平安需求83.2生产业务网络平安风险和平安需求94总体平安技术框架建议114.1网络层平安建议114.2系统层平安建议134.3管理层平安建议145详细网络架构及产品部署建议155.1网上银行平安建议155.2省联社生产网平安建议175.3地市联社生产网平安建议195.4区县联社生产网平安建议195.5全行网络防病毒系统建议205.6网络平安管理平台建议21部署网络平安管理平台的必要性21网络平安管理平台部署建议225.7建立专业的平安效劳体系建议23

2、现状调查和风险评估24平安策略制定及方案设计24平安应急响应方案256平安规划总结287产品配置清单291 工程情况概述Xxx银行网络是一个正在进行改造的省级银行网络。整个网络随着业务的不断扩展和应用的增加，已经形成了一个横纵联系，错综复杂的网络。从纵向来看，目前XXX银行网络分为四层，第一层为省联社网络，第二层为地市联社网络，第三层为县区联社网络，第四层为分理处网络。从横向来看，省及各地市的银行网络都按照应用划分为办公子网、生产子网和外联网络三个大子网。而在省中心网上，还包括网上银行、测试子网和MIS子网三个单独的子网。其整个网络的结构示意图如下： 图1.1 XXX银行网络结构示意图XXX银

3、行网络是一个正在新建的网络，目前业务系统刚刚上线运行，还没有进行信息平安方面的建设。而对于XXX银行网络来说，生产网是网络中最重要的局部，所有的应用也业务系统都部署在生产网上。一旦生产网出现问题，造成的损失和影响将是不可估量的。因此现在急需解决生产网的平安问题。本次对XXX银行网络的平安规划仅限于生产网以及与生产网平安相关的网络局部，因此下面我们着重对XXX银行的生产网构架做一个详细描述。一省联社生产网络l省联社网络生产网络是全行信息系统的核心，业务系统、网上银行系统及管理系统都集中在信息中心。l省联社网络生产网络负责与人行及其他单位中间业务的连接。l省联社网络生产网络负责建立和维护网上银行。

4、l省联社网络生产网络中包含MIS系统和测试系统。l操作系统主要有：OS/400、AIX、Linux、Windows，以及其它设备的专用系统。l数据库系统包括：DB2、INFORMIX、SYBASE、ORACLE等。l业务应用包括：u生产业务： l一线业务：与客户直接关联的业务，如ATM、POS、柜员终端等l二线业务：不直接与客户相关的业务，如管理流程、公文轮流转、监督、决策等，为一线业务的支撑。二地市联社生产网络l地市联社生产网络是二级网络，通过两条互为备份的专线与省联社中心网络互连。l操作系统主要有：UNIX、WINDOWS。三区县联社生产网络l区县联社生产网络是三级网络，通过2M SDH/

5、或者10M光纤以太网ISDN备份等方式与管辖支行的网络连接。l操作系统主要有：UNIX、WINDOWS。四分理处生产网l分理处是四级网络，各个分理处通过2M SDH或者ISDN等方式与管辖区县联社的网络连接。 由于区县联社及分理处的网络目前还处在组网的初级阶段，网络构造简单且还没有能力进行完善的网络平安建设和管理，因此本次规划主要是对省及地市联社的网络平安局部。当把省及地市局部的网络建成一个比拟完善的平安防护体系之后，再逐步的将平安措施和手段应用于下层的区县联社及分理处。从而实现整个网络的重点防护、分步实施策略。2 网络结构调整与平安域划分对于XXX银行生产网络来说，首要的一点就是应该根据国家

6、有关部门对相关规定，将整个生产网络进行网络结构的优化和平安域的划分，从结构上实现对平安等级化保护。根据?中国人民银行计算机平安管理暂行规定试行?的相关要求：“第六十一条内联网上的所有计算机设备，不得直接或间接地与国际互联网相联接，必须实现与国际互联网的物理隔离。“第七十五条计算机信息系统的开发环境和现场应当与生产环境和现场隔离。因此我们有必要对现有网络环境进行改造，以将生产业务网络包括一线业务和二线业务与具有互联网连接的办公网络之间区分开来，通过强有力的平安控制机制最大化实现生产系统与其他业务系统之间的隔离。同时，对XXX银行所有信息资源进行平安分级，根据不同业务和应用类型划分不同平安等级的平

7、安域，并分别进行不同等级的隔离和保护。初步规划将省联社生产网络划分成多个具备不同平安等级的区域，参考公安部发布的?信息系统平安保护等级定级指南?，我们对平安区域划分和定级的建议如下：平安区域说明定级建议生产区域包含一线业务效劳器主机3级MIS区域包含二线业务效劳器主机2级网上银行区域包含网上银行业务效劳器主机2级运行管理区域包含维护网络信息系统有效运行的管理效劳器主机和管理终端2级测试区域包含新开发的生产应用的测试环境，可视为准生产环境1级办公效劳器区域包含办公业务系统效劳器主机2级对于各地市、区县联社和各营业网点也需要将生产业务和办公业务严格区分开，并进行逻辑隔离，确保生产区域具有较高平安级

8、别。由于局部办公业务用户需要访问生产业务中的特定数据，而局部生产应用也需要访问办公网中的特定数据，因此无法做到生产、办公之间彻底的物理隔离，建议在各级联社信息中心提供生产网与办公网之间的连接，并采用逻辑隔离手段进行控制，对于营业网点，由于作隔离投入太大，可暂时不考虑隔离。改造后的总体逻辑结构如下图：图2.1 XXX银行网络平安结构示意图网络改造后，全行办公系统将统一互联网出口，所有办公终端只允许在通信行为可控的情况下才能通过信息中心办公网络的互联网出口访问外界网络，生产业务效劳器和终端不允许采取任何手段直接访问互联网或通过办公网间接访问互联网。网上银行因业务需要必须连接互联网，但只允许互联网用

9、户对网银门户网站的访问以及认证用户对网银WEB效劳器的访问，生产业务效劳器和终端不允许采取任何手段直接访问互联网或通过网银网络间接访问互联网。3 XXX银行网络需求分析随着XXX银行金融信息化的开展，信息系统已经成为银行赖以生存和开展的根本条件。相应地，银行信息系统的平安问题也越来越突出，银行信息系统的平安问题主要包括两个方面：一是来自外界对银行系统的非法侵入，对信息系统的蓄意破坏和盗窃、篡改信息行为；二是来自银行内部员工成心或无意的对信息系统管理的违反。银行信息系统正在面临着严峻的挑战。银行进行平安建设、加强平安管理已经成为当务之急，其必要性正在随着银行业务和信息系统如下的开展趋势而更加凸出

10、：银行的关键业务系统层次丰富，操作环节多，风险也相比照拟明显；随着电子银行和中间业务的广泛开展，银行的网络与Internet和其他组织机构的网络互联程度越来越高，使原本相对封闭的网络越来越开放，从而将外部网络的风险引入到银行内部网络；随着银行业务集中化的趋势，银行业务系统对可靠性和无间断运行的要求也越来越高；随着WTO的到来和外资银行的进入，银行业竞争日益剧烈，新的金融产品不断推出，从而使银行的应用系统处于快速的变化过程中，对银行的平安管理提出了更高的要求。中国国内各家银行也已经开始进行信息安体系建设，其中最主要的措施就是采购了大量平安产品，包括防火墙、入侵检测系统、防病毒和身份认证系统等。这

11、些平安产品在很大程度上提高了银行信息系统的平安水平，对保护银行信息平安起到了一定作用。但是它们并没有从根本上降低平安风险，缓解平安问题，这主要是因为：l 信息平安问题从来就不是单纯的技术问题，把防范黑客入侵和病毒感染理解为信息平安问题的全部是片面的。平安产品的功能相比照拟狭窄，往往用于解决一类平安问题，因此仅仅通过部署平安产品很难完全覆盖银行信息平安问题；l 信息平安问题不是静态的，它总是随着银行策略、组织架构、信息系统和操作流程的改变而改变。部署平安产品是一种静态的解决方法。一般来说，在产品安装和配置后较长一段时间内，它们都无法动态调整以适应平安问题的变化。所以，银行界的有识之士都意识到应从

12、根本上改变应对信息平安问题的思路，建立更加全面的平安保障体系，在平安产品的辅助下，通过管理手段体系化地保障信息系统平安。下面我们将通过分析XXX银行改造后的网络结构下可能面临的平安问题，对XXX银行主要是生产网目前的平安需求进行总体分析。根据实际工程进度安排，我们将分别对网上银行系统、生产业务系统进行分析。3.1 网上银行平安风险和平安需求针对目前最常见的互联网攻击类型以及国内外网上银行系统通常面临的平安威胁，结合XXX银行的实际情况，我们认为在XXX银行网上银行网络可能面临的平安风险和对应的平安需求如下：序号风险名称受影响对象平安需求1漏洞操作系统，数据库系统，应用软件评估、加固打补丁，安装

13、加固软件2网页篡改网银WEB和门户WEB效劳器打补丁，安装防篡改软件，内容过滤3网络仿冒网银客户培训客户的平安防护意识安装IE反钓鱼插件；认清银行网站，不在虚假站点中填写ID和密码；采用CA认证和SSL加密4蠕虫和病毒所有windows和linux平台客户端：建议或强制安装防病毒软件/插件效劳器：安装相应平台防病毒软件网银WEB区域与互联网之间：防病毒网关网银与核心层之间：防病毒网关5非法入侵和攻击网络级、应用级所有网段防火墙、IDS需检测应用级攻击及SSL加密攻击6拒绝效劳攻击网银WEB区域抗DOS攻击产品7网页恶意代码木马、间谍软件、广告软件、拨号器dialers、key logger、密

14、码破解工具和远程控制程序等网银客户windows，ie浏览器linux不受影响培训客户的平安防护意识在计算机上安装防病毒工具并及时更新；采用相对平安的浏览器或在IE中安装各类平安控件；对不明邮件不要翻开，并及时删除；提高对个人资料、账户、密码的保护意识；及时修改银行帐户的原始密码；不要采用身份证号码、生日、 号码及过分简单的数字作为密码；不要在网吧等公共场所操作网上银行业务。8僵尸网络DDOS、垃圾邮件、网页仿冒、网页攻击的被动发起者互联网上大量不平安的主机可能成为僵尸，被利用来向网银进行攻击通过上述手段加强自身防护3.2 生产业务网络平安风险和平安需求对于生产业务网络而言，可能存在的平安风险

15、和对应的平安需求如下：序号风险名称风险来源受影响对象平安需求1漏洞自身操作系统，数据库系统，应用软件评估、加固打补丁，安装加固软件2蠕虫和病毒移动存储介质、网络通讯所有windows和linux平台客户端/效劳器：安装相应平台防病毒软件网银与生产业务网络之间：防病毒网关3非法入侵和攻击网络级、应用级所有需要访问或可能访问到一线业务的用户一线业务生产主机防火墙、入侵检测网上银行区域生产业务网络防火墙、入侵防御网上银行区域、相关外部单位网络、办公业务网络生产业务网络防火墙、入侵检测4数据窃密、篡改非法闯入者在局域网或广域网上传输的业务数据，存放在客户端本地的业务数据网络准入控制、桌面平安控制5非法

16、访问、越权访问非生产人员生产应用系统和业务数据身份认证、访问授权非管理人员操作系统、数据库系统身份认证、访问授权 4 总体平安技术框架建议根据对XXX银行网络系统平安需求分析，我们提出了由多种平安技术和多层防护措施构成的一整套平安技术方案，具体包括：在网络层划分平安域，部署防火墙系统、防拒绝效劳攻击系统、入侵检测系统、入侵防御系统和漏洞扫描系统；在系统层部署病毒防范系统，提供系统平安评估和加固建议；在管理层制订平安管理策略，部署平安信息管理和分析系统，建立平安管理中心。具体建议如下：4.1 网络层平安建议1网络访问控制 l 划分平安域 为了提高银行网络的平安性和可靠性，在省联社总部、各地市联社

17、、各区县联社、分理处对不同系统划分不同平安域。 l 访问控制措施 对平安等级较高的平安域，在其边界部署防火墙，对平安等级较低的平安域的边界那么可以使用VLAN或访问控制列表来代替。根据对XXX银行整体网络的区域划分，我们将在不同平安域边界采用不同的访问控制措施：u 在生产网与办公网之间采用防火墙提供访问控制，只允许业务相关的访问，拒绝其他所有访问；u 在生产网与网上银行网络之间采用防火墙提供访问控制，只允许业务相关的访问，拒绝其他所有访问；u 在生产网与相关单位网络之间采用防火墙提供访问控制，只允许业务相关的访问，拒绝其他所有访问；u 在网上银行网络与互联网之间采用防火墙提供访问控制，除允许互

18、联网用户访问网银门户网站、允许互联网认证用户访问网银WEB及允许网银WEB效劳器/SSL加速器访问互联网上的CFCA之外，拒绝其他所有访问；u 在生产网的生产区域一线业务与其他区域之间采用防火墙提供访问控制，只允许业务相关的访问，拒绝其他所有访问；u 在生产网的其他各区域之间利用三层交换机划分虚拟子网及进行简单包过滤，做到较简单的访问控制；2防拒绝效劳攻击在网上银行系统与Internet出口边界处，配备抗DoS攻击网关系统，以抵御来自互联网的各种拒绝效劳攻击和分布式拒绝效劳攻击。 3网络入侵检测在网上银行系统和总行业务网络系统中部署入侵检测系统，实时检测、分析网络上的通讯数据流，尤其是对进出平

19、安域边界或进出存放有涉密信息的关键网段、效劳器主机的通讯数据流进行监控，及时发现违规行为和异常行为并进行处理。网络入侵检测系统可实现如下功能： n 网络信息包嗅探。以旁路监听方式秘密运行，使攻击者无法感知到。黑客常常在没有觉察的情况下被抓获，因为他们不知道他们一直受到密切监视。n 网络访问监控。根据实际业务需要定制相关规那么，可以定义哪些主机或网段可以或不可以访问网络上的特定资源，可以定义访问时间段，对特定的非法访问行为或除特定合法访问行为之外的所有访问行为进行监控，一旦发现违规行为那么根据事先定义的响应策略进行报警、阻断或联动的相应，以保证只有授权用户才可以访问特定网络资源。n 应用层攻击特

20、征检测。提供详尽、细粒度的应用协议分析技术，实现应用层攻击检测，可自动检测网络实时数据流中符合特征的攻击行为，系统维护一个强大的攻击特征库，用户可以定期更新，确保能够检测到最新的攻击事件。n 蠕虫检测。实时跟踪当前最新的蠕虫事件，针对已经发现的蠕虫攻击及时提供相关事件规那么。系统维护一个强大的蠕虫特征库，用户可以定期更新，确保能够检测到最新的蠕虫事件。对于存在系统漏洞但尚未发现相关蠕虫事件的情况，通过分析漏洞来提供相关的入侵事件规那么，最大限度地解决蠕虫发现滞后的问题。n 可疑网络活动检测。即异常检测，包括通过对在特定时间间隔内超流量、超连接的数据包进行检测等方式，实现对DoS、扫描等攻击事件

21、的检测。n 检测隐藏在SSL加密通讯中的攻击。通过解码基于SSL加密的通讯数据，分析、检测基于SSL加密通讯的攻击行为，从而可以保护提供SSL加密访问的网银WEB效劳器的平安性。n 日志审计。提供入侵日志和网络流量日志记录和综合分析功能，并提供详细的分析报告，使网络管理员可以跟踪用户、应用程序等对网络的使用情况，帮助管理员改良网络平安策略的规划，并提供更精确的网络平安控制。通过详尽的审计记录，可以在系统遭到恶意攻击后，提供证据以提起法律诉讼。 n 多网段同时监控。入侵探测器支持多个网络监听口，可以连接到多个网段中进行实时监控，我们也可以在不同的网段分别部署多个探测引擎，管理员可以通过集中的管理

22、控制台对探测器上传的信息进行统一查看，通过管理器进行综合分析，并生成报表。4入侵防御系统在生产网与网上银行网络之间、办公网与互联网之间分别部署入侵防御系统，对外界网络黑客利用防火墙为合法的用户访问而开放的端口穿透防火墙对内网发起的各种高级、复杂的攻击行为进行检测和阻断。IPS系统工作在第二层到第七层，通常使用特征匹配和异常分析的方法来识别各种网络攻击行为，因其是以在线串联方式部署的，对检测到的各种攻击行为均可直接阻断并生成日志报告和报警信息。5漏洞扫描系统在生产网上部署一套漏洞扫描系统，定期对整个网络，特别是关键主机及网络设备进行漏洞扫描。这样才能及时发现网络中存在的漏洞和弱点，及时根据漏洞扫

23、描系统提出的解决方案进行系统加固或平安策略调整。以实现防患于未然的目的。同时得到的扫描日志还可以提供应平安管理中心，作为对整个网络健康状况评估的一局部，使得管理员能够机制准确的把握网络的运行状况。4.2 系统层平安建议6病毒防范系统 在XXX银行网络系统可能的病毒攻击点或通道中部署全方位的病毒防范系统，包括在网上银行互联网出口、网上银行区域与业务区域之间、办公区域的互联网出口处部署网关级防病毒设备，在整个网络中的所有WINDOWS效劳器和客户端计算机上部署相应平台的网络版防病毒软件并配置防病毒系统管理中心对所有主机上的防病毒软件进行集中管理、监控、统一升级、集中查杀毒。 4.3 管理层平安建议

24、7综合平安管理平台和平安运营中心部署一套有效的网络平安管理体系，采用集中的平安管理平台，来对全网进行统一的平安管理和网络管理，同时借助专业的第三方效劳，在平安管理平台的根底上建立XXX银行平安运营中心，对XXX银行平安保障体系的建设起到推动作用，确保XXX银行信息网络信息系统内部不发生平安事件、少发生平安事件或者发生平安事件时能够及时处理减少由于平安事件带来的损失。根据XXX银行的网络结构和区域划分，我们将分别针对网上银行、省和地市生产业务网络进行平安体系设计。5 详细网络架构及产品部署建议5.1 网上银行平安建议网上银行的平安防护方案具体设计如下：1、在网银区域与Internet之间插入一套

25、抗DoS攻击系统，对来自互联网的DDoS攻击流量进行去除，同时保证正常访问流量的通过。2、网银区域与Internet之间设置一套防火墙系统外层防火墙，采用双机热备结构，通过二层交换机连接抗DoS攻击设备，将网银WEB效劳器保护在防火墙的一个单独的平安区域中，并通过两台三层交换机连接内部网络。外层防火墙的主要作用是控制来自外网的访问，只允许授权用户访问网银效劳的特定IP和端口，并通过NAT屏蔽效劳器真实地址。防火墙采用透明工作模式。三层交换机提供缺省网关和局域网路由功能。3、使用一台网络入侵检测设备，提供双引擎，分别连接到网银WEB区域和网银DB区域的两台交换机上进行监控，对网络上传输的敏感数据

26、包包括SSL加密数据进行深层分析，可有效地发现防火墙无法识别的特殊的应用层攻击行为。4、网银WEB区域与后台数据库/应用效劳器区域及信息中心网络之间设置一套防火墙系统内层防火墙，一方面控制网银WEB效劳区与后台APP效劳区之间的访问，只允许来自网银WEB区效劳器发起的特定访问，禁止其他一切数据通讯；另一方面控制网银DB/APP效劳区与内部生产区域之间的访问，只允许应用相关的特定访问，禁止其他一切数据通讯；采用与外部防火墙异构的防火墙产品，即使攻击者成功获得外墙的控制权，也不能轻易攻入业务网络。5、在内层防火墙与内网核心交换机之间串联一组UTM设备，启用IPS功能和防病毒功能，抵御来自互联网及网

27、银区域的病毒、蠕虫、恶意代码及其他攻击，双机热备。部署方式如下列图所示： 图5.1 网上银行平安解决方案部署图5.2 省联社生产网平安建议1、将信息中心按不同业务划分多个网络区域。2、总行管理中心网络与核心交换机之间不署一套防火墙系统，提供平安控制。对管理区域的访问进行行为控制。3、总行生产业务网络与企业客户、协作单位网络的互联出口采用一套双机防火墙系统提供平安控制，对来自外单位网络的访问行为进行控制。4、在总行生产业务网络与办公业务网络核心交换机之间设置一套双机防火墙系统，对从办公网络特定用户到生产网络特定区域上特定主机的访问行为进行控制，同时除必须开放的连接外，禁止任何从生产网主动向办公网

28、发起的访问请求。5、采用千兆IDS设备，分别连接到总行生产网两台核心交换机上，监视和防范内网上的违规访问行为，主要监听进出生产区域及来自办公网、下级单位和协作单位的流量。6、各地市生产网到总行生产网之间采用一套双机防火墙系统提供平安控制。对来自各分支机构网络的访问行为进行控制。7、区县生产网、分理处等营业网点分别通过上级联社生产网的转发实现对总部数据中心系统的访问。8、网上银行网络与生产网络之间的访问通过两台互备的UTM设备进行监控。网络结构及平安设备部署方式如下列图： 图5.2 省联社生产网平安解决方案部署图5.3 地市联社生产网平安建议1、地市联社生产业务网络与企业客户、协作单位网络的互联

29、出口采用一套双机防火墙系统提供平安控制，对来自外单位网络的访问行为进行控制。2、在地市生产业务网络与办公业务网络核心交换机之间设置一套双机防火墙系统，对从办公网络特定用户到生产网络特定区域上特定主机的访问行为进行控制，同时除必须开放的连接外，禁止任何从生产网主动向办公网发起的访问请求。3、采用IDS设备，分别连接到地市生产网两台核心交换机上，监视和防范内网上的违规访问行为，主要监听进出生产区域及来自办公网、下级单位和协作单位的流量。4、各地市生产网到总行生产网以及区县生产网、分理处等营业网点之间采用一套双机防火墙系统提供平安控制。对来自总行和各分支机构网络的访问行为进行控制。网络结构及平安设备

30、部署方式如下列图：图5.3 地市联社生产网平安解决方案部署图5.4 区县联社生产网平安建议1、区县联社生产业务网络与办公业务网络核心交换机之间设置一套防火墙系统，对从办公网络特定用户到生产网络特定区域上特定主机的访问行为进行控制，同时除必须开放的连接外，禁止任何从生产网主动向办公网发起的访问请求。2、各区县联社生产网到上级分行生产网以及分理处等营业网点之间采用一套双机防火墙系统提供平安控制。对来自上级分行和各分支机构网络的访问行为进行控制。网络结构及平安设备部署方式如下列图：图5.4 区县联社生产网平安解决方案部署图5.5 全行网络防病毒系统建议具体的部署建议如下：1、在XXX银行各级单位所有

31、Windows效劳器上部署效劳器防毒系统，确保效劳器系统不会成为病毒驻留的平台，提高整个效劳器系统的高可靠性；2、在XXX银行各级单位所有Windows客户端上部署客户端防毒系统，一方面增强客户端的防毒能力，另一方面保证客户端不为因为病毒问题而带给管理员极大的工作量；3、防病毒系统采用集中和分布相结合的管理模式，总行办公网效劳器区域中设置一台防病毒管理中心效劳器，提供集中的策略制定和下发，管理总行办公网的所有防病毒客户端；生产网运行管理区域中设置一台防病毒管理分中心效劳器，管理生产网的所有防病毒客户端包括总部、支行、网点，以及与上级管理中心进行通信；各管辖支行办公网中分别设置一台防病毒管理分中

32、心效劳器，管理本网的所有防病毒客户端，以及与上级管理中心进行通信；这样做的好处是防止了因软件或策略下发时带来的带宽消耗和减小平安隐患；4、办公网防病毒管理中心效劳器定期从互联网进行升级，生产网防病毒管理分中心效劳器、各支行防病毒管理分中心效劳器均从管理中心效劳器获得升级码；各防毒效劳器负责向所管辖范围内所有防病毒客户端分发升级码。5、在XXX银行各互联网出口处，生产网络与网银网络之间分别部署病毒过滤网关通过UTM设备实现，消除来自互联网的病毒威胁。5.6 网络平安管理平台建议5.6.1 部署网络平安管理平台的必要性传统平安技术和产品集成的有如下缺点：n 需要大量人为参与的判断。比方一个报警事件

33、是否准确需要人为的判断。n 存在信息淹没的可能性大量平安产品的报警信息导致管理员无法一一观察和分析，从而导致信息淹没。同时大量的垃圾报警信息，也加重了管理员的工作负担，导致管理员容易疏忽很多真正有用的信息，这也导致信息淹没。n 需要专业平安人员的分析大多数平安产品对报警事件的语言描述都是专业平安技术性的描述，对管理员的专业技能要求很高。 n 需要平安维护人员高度的责任心的协助管理员需要积极主动的去查看各类平安产品的报警信息，才能及时地发现平安事件，并着手去解决。n 止步于平安事件的报警，而没有完善的事件处理监督考核措施传统的平安产品集成在向管理员报告平安事件后，平安系统的功用便宣告结束，后续的

34、所有的工作完全依靠管理员去完成，管理员是否去解决这些平安问题，无从考据和监控。应该说，传统的平安产品和技术的集成只能够局部的实现平安的“可见性和“可控性。出于上述原因，我们认为在未来的信息平安建设中，综合平安监控和管理平台将倍受尊崇，真正让平安建设做到完善的“可见、可控、可管理。而对于XXX银行来说，我们必须在网络内部署大量的平安产品。因此，我们急需一个真正的综合性平安管理平台来使得整个网络的平安建设实现可见、可控和可管理。集成平安监控管理技术的优点：n 延伸了传统平安产品集成的功能，充分让每一条有效的平安报警信息得到完善的分析和处理；n 融合网络管理、平安管理、运维管理思想于一体，充分发挥各

35、类平安技术的成效；n 实现平安事件的闭环管理，最强有力的实现平安管理的技术辅助手段。5.6.2 网络平安管理平台部署建议对于XXX银行网络来说，我们应该本着重点防护，分步实施的策略来进行我们的平安建设。因此我们应该首先将省联社网络建设成为一个高度平安，高度可管理的平安网络。我们建议在第一阶段只在省中心部署一套网络平安管理平台。当这套平安管理平台成功运行并积累一定经验后，可以很灵活的扩展到各个地市以及更低一级的网络中去。我们所部署的网络平安管理平台应该具备以下一些功能：u 管理对象被监控管理的目标包括：网络系统、效劳器主机、数据库、平安产品、业务应用。按照不同的KBP关键业务点来划分进行资产管理

36、。u 运维管理网络平安的最重要目标就是保障系统的平安、可靠的运行，也就是保障业务的连续运行，这也是我们所熟知的平安三性中的可用性。对系统进行基于业务的监控管理，包括：资产管理、流程管理、知识管理等。u 网络管理网络系统作为业务应用的载体，对其的监控管理也非常重要，我们采用网管技术对网络系统进行监控管理。内容包括：拓扑展示、设备发现、管理工具u 平安管理网络平安运行管理中心的核心内容，从平安策略管理、事件管理、脆弱性管理、风险管理、配置管理等方面，实现平安管理。u 输出通过报表、报警、工单的方式，得出相应的输出。包括：KBDP视图、资产报表、风险报告、平安状态、趋势分析、脆弱性报告、知识库、专家

37、建议等。5.7 建立专业的平安效劳体系建议在前面的管理层平安建议中我们已经提出，应该“借助专业的第三方效劳，在平安管理平台的根底上建立XXX银行平安运营中心，对XXX银行平安保障体系的建设起到推动作用，确保XXX银行信息网络信息系统内部不发生平安事件、少发生平安事件或者发生平安事件时能够及时处理减少由于平安事件带来的损失。专业的平安效劳是建立一个能够持续运行，动态更新的网络平安体系的技术保障。和关键环节。图5.5 动态信息平安体系建设过程动态信息平安体系建设是一个周期性的循环过程，每个建设周期都是以平安策略为核心，以风险评估为开端，通过需求确认、网络平安功能建设、完善信息平安管理/策略、风险复

38、审、风险积累的过程，建立信息平安体系。对于现阶段的XXX银行网络来说，我们建议通过以下的步骤来实现这个动态的信息平安体系建设过程。5.7.1 现状调查和风险评估现状调查和风险评估是建立平安农行计算机平安体系的根底和关键，在整个XXX银行网络平安建设工程过程中，现状调查和风险评估的工作量占了很大比例，现状调查和风险评估的深度直接影响平安体系能否与XXX银行实际情况相一致且具有可操作性。现状调查和风险评估的主要目标包括对XXX银行计算机系统进行全面的现状调查、建立保护对象框架和根据保护对象框架进行风险评估。n 全面的现状调查全面现状调查是本工程十分关键的步骤，现状调查的广度和深度将对保护对象框架的

39、建立和风险评估带来非常十分重要的作用。在全面现状调查中，XXX银行的计算机系统的场所、环境、网络、网络设备、主机、操作系统、数据库、中间件、应用软件、业务流程、管理制度和组织机构将得到全面的调研。n 风险评估风险评估的目的是了解XXX银行计算机系统的平安现状，以便在平安体系的实施过程进行需求分析和解决方案设计。风险评估过程包括对XXX银行计算机系统的资产平安价值、弱点严重性、威胁可能性和现有平安措施等进行估值，并通过这些因素计算风险值。风险评估的具体目标包括：n准确地获得XXX银行计算机系统平安现状；n获得XXX银行计算机系统风险现状，为平安对策框架设计提供依据。5.7.2 平安策略制定及方案

40、设计为迎接XXX银行业务的飞速开展而带来信息平安方面的挑战，标准XXX银行信息系统的平安维护管理，促进平安维护和管理工作体系化、标准化，提高信息和网络效劳质量，提高网络维护队伍的整体平安素质和水平，需要制定平安方针和系列平安制度和标准。平安方针的目标是为信息平安管理提供清晰的策略方向，说明信息平安建设和管理的重要原那么，说明信息平安的所需支持和承诺。平安策略是指导XXX银行信息系统维护管理工作的根本依据，平安管理和维护管理人员必须认真执行本规程，并根据工作实际情况，制定并遵守相应的平安标准、流程和平安制度实施细那么，做好平安维护管理工作。平安策略的适用范围是XXX银行信息系统拥有的、控制和管理

41、的所有信息系统、数据和网络环境，适用于属于XXX银行信息系统范围内的所有部门。对人员的适用范围包括所有与XXX银行信息系统的各方面相关联的人员，它适用于全部应用XXX银行的员工，全部XXX银行范围内容的维护人员，集成商，软件开发商，产品提供商，参谋，临时工，商务伙伴和使用农行信息系统的其他第三方。平安策略体系建立的价值在于：u 推进信息平安管理体系的建立平安策略和制度体系的建设平安组织体系的建设平安运作体系的建设u 标准信息平安规划、采购、建设、维护和管理工作，推进信息平安的标准化和制度化建设在前面的章节中，我们已经对XXX银行的网络进行了平安策略制定以及方案设计的详细描述，因此在这里就不做过

42、多地阐述。5.7.3 平安应急响应方案平安事件响应的概念和根本流程应急响应也叫紧急响应，是平安事件发生后迅速采取的措施和行动，它是平安事件响应的一种快速实现方式 。应急响应是解决网络系统平安问题的有效平安效劳手段之一。其目的就是最快速度恢复系统的保密性、完整性和可用性，阻止和减小平安事件带来的影响。识别出现平安事件的场景包括：u 非授权访问，通过入侵的方式进入到未被授权访问的网络中，而导致数据信息泄漏；u 信息泄密，数据在传输中因数据被截取、篡改、分析等而造成信息的泄漏；u 拒绝效劳，正常用户不能正常访问效劳器提供的相关效劳；u 系统性能严重下降，有不明的进程运行并占用大量的CPU处理时间；u

43、 在系统日志中发现非法登录者；u 发现系统感染计算机病毒；u 发现有人在不断强行尝试登录系统；u 系统中出现不明的新用户账号；u 管理员收到来自其它站点系统管理员的警告信，指出系统可能被威胁；u 文件的访问权限被修改；u 因平安漏洞导致的系统问题；u 其它的入侵行为。XXX银行要制订应急响应演练方案，明确应急响应组织、响应人员、人员职责、响应方式、工作内容，定期对相关人员进行应急响应培训，定期组织应急响应演练。各部门领导及管理员应当对紧急响应流程的演习和执行情况进行有效的监督和管理。建立应急响应组织应急响应组织是为了有效处理平安事件，协调各相关部门和人员而成立的机构。应急响应组织的组织结构如下

44、列图所示： 图5.6 应急响应组织结构应急响应组织主要由应急响应组组长、执行组组长、常设应急响应岗位和应急岗位等组成。u 应急响应组组长：可由山西网通的高管层担任。u 执行组长：可由主管平安的部门负责人来担任。u 应急岗位即平安参谋：发生紧急事件，需要临时抽调的平安专家，精通业务流程并熟知系统及网络结构的资深平安专家担任，也可以是外聘的专业平安效劳公司。u 常设岗位平安管理员/文档管理员/联络员：由专门的应急响应技术人员担任，负责发现、预警、记录、报告、响应平安事件。职责划分u 应急响应组组长接受执行组长的报告，作决策工作分配，协调整个事件的处理过程u 执行组长接收报告，判断是平安问题抑或平安

45、事件选择人员建立紧急事件响应小组制定应急响应方案应急响应验收、监督u 常设岗位系统、网络、数据、业务方面的平安专家在应急响应过程中，作为应急响应小组成员，实施应急响应方案。u 平安管理员接收报告、采取初步行动，根据得到的报告判断是一个平安问题还是一个平安事件，评估事件紧急程度，确定响应策略，并将它提交高层；参与决策过程，根据自己对IT应用要求的保护程度评估选择措施；报告平安问题和平安事件；按照应急响应策略实施应急措施。u 文档管理人员收集汇总应急响应相关报告、文档应急响应事件知识库维护u 知识库管理员负责维护应急响应体系知识库u 联络员负责与各部门之间的联系负责与相关机构中国病毒应急响应中心、

46、CVE、CNCERT、病毒厂商、国内专业平安厂商的联系接收报警事件u 培训人员负责日常的平安意识、技能的培训6 平安规划总结通过以上的XXX银行网络平安规划建议，我们能够在XXX银行的生产网初步建立一个信息平安保障体系。本次的平安体系建设包括的范围为：u 省联社生产网，包括省联社网上银行网络和生产业务网络。u 地市联社生产网整个信息平安体系从三个层次进行了建设：首先通过平安域的划清楚确了信息平安保障的重点和层次；其次通过必要的网络结构调整和产品部署，建立了生产网的网络边界访问控制体系，网络抗攻击和入侵深层防护体系，漏洞防护体系和网络防病毒体系等根底防护体系。在此根底上通过平安管理平台的建设建立

47、独立的平安管理中心。将所部属的平安设备结合起来进行有效的管理并实现互动，发挥所有设备的最大成效并使得用户能够随时掌握网络平安状况。通过建立完善的，符合用户实际情况的平安管理制度，保障整个平安管理中心的顺利运行。最后通过专业的平安效劳体系，以强大的专家技术保障为后盾，实现对整个网络的动态监控和应急响应。通过这一整套信息平安体系建设，我们可以认为XXX银行的生产网络能够应对现实和未知的网络平安威胁，实现网络的长期良好运行，为XXX银行的重要业务运行和新业务拓展提供平安可靠的网络平台。7 产品配置清单区域产品数量部署位置简要说明省联社生产网络防火墙1省核心与省联社办公网接口处防火墙的主要作用是隔离生

48、产网与办公网络，防止两网间发生攻击、非法访问、资料窃取等行为发生。由于是部署在一个非常重要并且流量很大的关键节点，因此需要部署一型性能先进的防火墙产品防火墙2省核心与省联社测试子网、MIS子网接口处省核心与网上银行效劳器群接口处省核心与平安管理中心接口处防火墙的主要作用是隔离省中心网络中其它相关网络对生产网关键业务群的访问。防止攻击、非法访问、资料窃取等行为发生。防火墙3省核心与各地市联社生产网、各相关业务单位接口处防火墙的主要作用是隔离省生产网与各地市生产网、各相关业务单位网。对网之间进行严格的访问控制，防止攻击、非法访问、资料窃取等行为发生。入侵检测系统省生产网核心以及重要的效劳器前对生产

49、网进行重点的平安保障。作为防火墙的补充，提供更高强度的平安防护，并与防火墙联动，阻断各种入侵和攻击行为。漏洞扫描系统省网络中心对生产网进行定期的平安扫描，及时提供网络弱点和漏洞情报，以便及时采取弥补措施。病毒防护系统省生产网全部计算机及效劳器进行全网络病毒防护SOC系统省生产网平安管理中心SOC平安管理中心系统是一款综合性产品，能够和事件关联、实时工具、案例管理、良好的报警提示系统、CVE知识库、漏洞扫描以及实时的资产管理比拟好的结合起来。实现了平安信息管理、集成、分析等主要中心功能，还提供了异构平安信息管理功能。能够为用户提供全面的平安管理解决方案。并能够让用户在此根底上建立起完善的平安管理

50、体系与平安效劳体系。省网上银行网络防火墙外网网上银行系统与Internet之间控制来自外网的访问，只允许授权用户访问网银效劳的特定IP和端口，并通过NAT屏蔽效劳器真实地址防火墙内网网银WEB区域与后台数据库/应用效劳器区域及信息中心网络之间一方面控制网银WEB效劳区与后台APP效劳区之间的访问，只允许来自网银WEB区效劳器发起的特定访问，禁止其他一切数据通讯；另一方面控制网银DB/APP效劳区与内部生产区域之间的访问，只允许应用相关的特定访问，禁止其他一切数据通讯抗DoS攻击系统网银区域与Internet之间对来自互联网的DDoS攻击流量进行去除，同时保证正常访问流量的通过入侵监测系统网银W

51、EB区域和网银DB区域的两台交换机上对网络上传输的敏感数据包包括SSL加密数据进行深层分析，可有效地发现防火墙无法识别的特殊的应用层攻击行为UTM内层防火墙与内网核心交换机之间抵御来自互联网及网银区域的病毒、蠕虫、恶意代码及其他攻击地市联社生产网络防火墙1地市网络核心与地市联社办公网接口处防火墙的主要作用是隔离生产网与办公网络，防止两网间发生攻击、非法访问、资料窃取等行为发生。防火墙2地市网络核心与省/区县联社生产网接口处地市网络核心与相关业务网络接口处防火墙的主要作用是隔离地市中心网络中其它相关网络对生产网业务群的访问。防止攻击、非法访问、资料窃取等行为发生。入侵检测系统生产网核心以及重要的

52、效劳器前对生产网进行重点的平安保障。作为防火墙的补充，提供更高强度的平安防护，并与防火墙联动，阻断各种入侵和攻击行为。病毒防护系统生产网全部计算机及效劳器进行全网络病毒防护区县联社生产网络防火墙1区县网络核心与区县联社办公网接口处防火墙的主要作用是隔离生产网与办公网络，防止两网间发生攻击、非法访问、资料窃取等行为发生。防火墙2区县网络核心与上级/下级联社生产网接口处防火墙的主要作用是隔离区县中心网络中其它相关网络对生产网业务群的访问。防止攻击、非法访问、资料窃取等行为发生。病毒防护系统生产网全部计算机及效劳器进行全网络病毒防护平安效劳对全网进行平安评估，系统加固，应急响应等平安效劳体系建设。帮助用户依托平安管理中心建立完整的平安管理体系和规章制度。