【正文】 ..................... 34 不足 ....................................................................................................... 34 推薦意見 ................................................................................................ 34 安全管理 .......................................................................................................... 34 安全組織建設(shè) ......................................................................................... 35 安全管理制度建設(shè) .................................................................................. 35 安全管理手段 ......................................................................................... 36 安全技術(shù)培 訓(xùn) ......................................................................................... 37 其它方面 .......................................................................................................... 38 防火墻日志分析系統(tǒng) .............................................................................. 38 相關(guān)病毒防護(hù)系統(tǒng) .................................................................................. 38 安全管理中心 ........................................................................................ 38 聯(lián)網(wǎng)監(jiān)控系統(tǒng)和 Inter 雙線路互備 .................................................... 39 系統(tǒng)解決方案總體設(shè)計(jì) ..................................................................................... 39 第六章 安全服務(wù)建議 .................................................................................................... 40 第七章 產(chǎn)品需求清單 .................................................................................................... 42 安全產(chǎn)品需求清單 ............................................................................................ 42 新增其它輔助設(shè)備需求清單 .............................................................................. 43 第八章 系統(tǒng)安全解決方案優(yōu)勢(shì) ...................................................................................... 44 Xxxx 銀行 信息系統(tǒng)安全解決方案建議書 4 第一章 項(xiàng)目背景介紹及系統(tǒng)建設(shè)目標(biāo) 背景介紹 隨著計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的發(fā)展，信息已成為推動(dòng)社會(huì)向前發(fā)展的重要資源，許多業(yè)務(wù)變得越來越依靠電子信息處理，在金融業(yè)則更為顯著。金融業(yè)務(wù)計(jì)算機(jī)處理系統(tǒng)經(jīng)歷了從手工 到單機(jī)、從單機(jī)到網(wǎng)絡(luò)的階段性發(fā)展。 網(wǎng)絡(luò)不斷的擴(kuò)展和日趨復(fù)雜，信息網(wǎng)絡(luò)技術(shù)的應(yīng)用正日益普及和廣泛，應(yīng)用層次正在深入，應(yīng)用領(lǐng)域從傳統(tǒng)的、小型業(yè)務(wù)系統(tǒng)逐漸向大型、關(guān)鍵業(yè)務(wù)系統(tǒng)擴(kuò)展。金融 業(yè)務(wù)運(yùn)行的模式正在發(fā)生著深刻的變化，服務(wù)領(lǐng)域日益廣泛，服務(wù)水平不斷提高。在金融業(yè)信息化建設(shè)高速發(fā)展的同時(shí)， 金融計(jì)算機(jī)網(wǎng)絡(luò)也日益受到安全問題的困擾，暴露出在網(wǎng)絡(luò)互聯(lián)環(huán)境下存在的不安全因素。如果沒有適當(dāng)?shù)陌踩Ｃ艽胧?，這些網(wǎng)絡(luò)互聯(lián)環(huán)境下的信息在傳輸和存取過程中就易被竊取、復(fù)制、篡改，造成信息的泄漏、混亂，直接影響金融業(yè)務(wù)系統(tǒng)的正常運(yùn)轉(zhuǎn)。 盡管金融業(yè)對(duì)信息安全問題非常重視，但由于技術(shù)和管理等方面不完善，近年來，多次發(fā)生利用計(jì)算機(jī)進(jìn)行的金融犯罪，造成重大的資金損失。同時(shí)利用計(jì)算機(jī)等信息化手段進(jìn)行的智力型犯罪將越來越多。 xxx 銀行 網(wǎng)絡(luò)信息系統(tǒng)是一個(gè)覆蓋全省各層次銀行金融機(jī)構(gòu)，為銀行金融系統(tǒng)“公用”的計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)。它的建成為全省銀行金融體制改革、強(qiáng)化銀行系統(tǒng)在全省金融行業(yè)的地位以及促進(jìn)全省經(jīng)濟(jì)的發(fā)展起著重要的作用。 xxx 銀行 網(wǎng)絡(luò)信息系統(tǒng)的運(yùn)營(yíng)基本上依賴于計(jì)算機(jī)系統(tǒng)。在銀行計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)上駐留、傳輸、處理的信息都是敏感的重要信息，任何對(duì)這些信 息的非授權(quán)的訪問、修改或假冒、蓄意的破壞都有可能造成重大損失。 另外，隨著電子商務(wù)的迅猛發(fā)展，使 INTERNET 交易 (如網(wǎng)上銀行 )成為 xxx銀行 網(wǎng)絡(luò)信息系統(tǒng)拓展市場(chǎng)的極具吸引力的手段。但是， INTERNET 引入巨大商業(yè)機(jī)會(huì)的同時(shí)，也引入了更大的安全隱患。 由于部分系統(tǒng)與外系統(tǒng)互聯(lián)（ Inter、銀聯(lián)、郵政、其它運(yùn)營(yíng)商等），各系統(tǒng)間也互相連接，存在著不安全的因素，雖然各系統(tǒng)都已經(jīng)考慮了系統(tǒng)和網(wǎng)絡(luò)安全，在對(duì)外連接時(shí)基本通過防火墻等設(shè)備，但是仍可能遭受外部攻擊。 Xxxx 銀行 信息系統(tǒng)安全解決方案建議書 5 根據(jù)上述情況， xxx 銀行 決定進(jìn)行省網(wǎng)信息系統(tǒng)安全 建設(shè)，為建行業(yè)務(wù)支撐系統(tǒng)和管理信息系統(tǒng)提供系統(tǒng)安全管理和網(wǎng)絡(luò)安全防護(hù)平臺(tái)。 建設(shè)目標(biāo) 為 xxx 銀行 提供全面的網(wǎng)絡(luò)系統(tǒng)安全解決方案，包括安全體系結(jié)構(gòu)的設(shè)計(jì)、安全產(chǎn)品的選擇和部署實(shí)施，以及長(zhǎng)期的合作和技術(shù)支持服務(wù)。系統(tǒng)建設(shè)目標(biāo)是在不影響當(dāng)前業(yè)務(wù)的前提下，實(shí)現(xiàn)對(duì) xxx 銀行 網(wǎng)絡(luò)的全面安全管理。 將安全體系架構(gòu)、硬件及軟件等方法結(jié)合起來，構(gòu)成一個(gè)統(tǒng)一的防御系統(tǒng)，有效阻止非法用戶進(jìn)入網(wǎng)絡(luò)，減少網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)。 通過部署不同類型的安全產(chǎn)品，實(shí)現(xiàn)對(duì)不同層次、不同類別網(wǎng)絡(luò)安全問題的防護(hù)。 使網(wǎng)絡(luò)管理者能夠很快重新組 織被破壞了的文件或應(yīng)用。使系統(tǒng)重新恢復(fù)到破壞前的狀態(tài)。最大限度地減少損失。 ? 建立全面的安全教育培訓(xùn)體系，充分發(fā)揮安全投資的效益。通過安全服務(wù)商的專業(yè)服務(wù)，彌補(bǔ)在安全領(lǐng)域的不足。 通過對(duì)省網(wǎng)信息系統(tǒng)的網(wǎng)絡(luò)現(xiàn)狀的調(diào)研，結(jié)合網(wǎng)絡(luò)安全風(fēng)險(xiǎn)報(bào)告等安全因素形成省中心、地市中心、及其相關(guān)網(wǎng)絡(luò)的詳細(xì)優(yōu)化及安全改造方案并實(shí)施相應(yīng)的該造工作。 Xxxx 銀行 信息系統(tǒng)安全解決方案建議書 6 第二章 xxx 銀行 信息系統(tǒng)安全體系框架和設(shè)計(jì)原則 信息系統(tǒng)安全體系框架 信息系統(tǒng)作為一個(gè)整體系統(tǒng)，需要建立一套完善的安全防護(hù)體系，根據(jù)信息系統(tǒng)的業(yè)務(wù)和技術(shù)特點(diǎn)。我們認(rèn)為， 該安全防護(hù)體系的范圍應(yīng)該包括： ，包括： IT 安全架構(gòu)、安全管理策略、安全技術(shù)流程、緊急響應(yīng)流程、安全評(píng)估策略、安全審核策略以及自身管理人員和用戶安全教育策略； 建立 IT 安全架構(gòu)，是構(gòu)建一個(gè) IT 模型，有效標(biāo)識(shí)威脅來源，風(fēng)險(xiǎn)的定義和承擔(dān)，必須對(duì) xxx 銀行 的所有資源進(jìn)行有效的標(biāo)識(shí)和定義，進(jìn)一步劃分其風(fēng)險(xiǎn)的大小，同時(shí)，采用何種方式防護(hù)或者承擔(dān)。 現(xiàn)代的安全體系的建立，是和有效的管理機(jī)制無法分離的，單純的技術(shù)手段已經(jīng)無法保障一個(gè)系統(tǒng)的安全了。而管理體系中，很重要的一個(gè)因素將是人的因素，內(nèi)部人員，外 部人員和第三方人員、外部入侵者等構(gòu)成了信息系統(tǒng)的威脅的主要來源，必須有一套良好的管理機(jī)制來保障信息系統(tǒng)系統(tǒng)的安全運(yùn)作。 任何防護(hù)手段都無法保障 100%的安全性，這已經(jīng)是在安全領(lǐng)域內(nèi)大家已經(jīng)產(chǎn)生的共識(shí)。關(guān)鍵在于如何在發(fā)生安全事件以后，有沒有一套緊急響應(yīng)處理機(jī)制。通過一個(gè)什么樣的途徑，由什么人人負(fù)責(zé)，由那些人參加，按照什么樣的流程，采用什么樣的手段來處理安全事件，是緊急響應(yīng)機(jī)制中定義的，同時(shí)，也能夠保障發(fā)生了安全事件以后，將威脅和風(fēng)險(xiǎn)降到最低。 伴隨著 IT 技術(shù)的發(fā)展，安全威脅也逐漸增長(zhǎng)，新的安全漏洞和威脅也越來越多，對(duì)于信息系統(tǒng)管理人員和用戶本身的要求也越來越高，只有不斷的加強(qiáng)對(duì)管理員和用戶進(jìn)行持續(xù)的安全教育，才能夠有效降低安全風(fēng)險(xiǎn)。 。 從安全的角度來看，信息系統(tǒng)在進(jìn)行網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)時(shí)，需要考慮“水桶原理”―不能因?yàn)橄到y(tǒng)某一個(gè)環(huán)節(jié)的疏漏，而導(dǎo)致整個(gè)系統(tǒng)的潛在安全威脅。因此，在進(jìn)行網(wǎng)絡(luò)設(shè)計(jì)時(shí)，必須對(duì)網(wǎng)絡(luò)進(jìn)行分割，把一個(gè)大系統(tǒng)劃分為多個(gè)相對(duì)獨(dú)立的子系統(tǒng)，針對(duì)每個(gè)子系統(tǒng)進(jìn)行防護(hù)，以實(shí)現(xiàn)各子系統(tǒng)之間的安全獨(dú)立性； Xxxx 銀行 信息系統(tǒng)安全解決方案建議書 7 。 訪問控制是實(shí)現(xiàn)安全防護(hù)的基本屏障，通過訪問控制，可以實(shí)現(xiàn)信息的初級(jí)過濾 。對(duì)于信息系統(tǒng)，基本的訪問控制體系應(yīng)該包括：平臺(tái)與Inter 的接口、平臺(tái)與協(xié)作單位的接口、子系統(tǒng)之間的接口。 。對(duì)于 xxx 銀行 網(wǎng)絡(luò)信息系統(tǒng)這樣一個(gè)龐大的系統(tǒng)，病毒防護(hù)是關(guān)鍵的環(huán)節(jié)。而且，針對(duì)這樣的大系統(tǒng)，在構(gòu)建防病毒系統(tǒng)的時(shí)候，不僅要考慮到防病毒系統(tǒng)的查毒、殺毒功能，還應(yīng)該考慮到防病毒系統(tǒng)的集中管理、集中監(jiān)控、集中審計(jì)功能，還需要考慮到防病毒防護(hù)系統(tǒng)的層次性。 、安全評(píng)估體系。 對(duì)于信息系統(tǒng)的網(wǎng)絡(luò)和主機(jī)設(shè)備，由于系統(tǒng)軟件本身的漏洞、配置不當(dāng)或者其它惡意行為，都有可能引起系統(tǒng)的安 全漏洞，甚至威脅整個(gè)平臺(tái)的安全。因此，需要建立一套漏洞掃描系統(tǒng)，定期檢查平臺(tái)中所有主機(jī)和網(wǎng)絡(luò)設(shè)備，使管理人員可以掌握平臺(tái)所處的安全狀態(tài)，并及時(shí)進(jìn)行調(diào)整； 。 由于防火墻的原理性缺陷，它只能提供靜態(tài)的、被動(dòng)的保護(hù)，不能夠防護(hù)來自于開放端口（例如： 80、 2 110 和其它需要開放的業(yè)務(wù)端口）的攻擊。因此，必須建立動(dòng)態(tài)的入侵檢測(cè)體系，實(shí)現(xiàn)全方位的監(jiān)控。 7．加密系統(tǒng)。 在集中業(yè)務(wù)處理環(huán)境中，數(shù)據(jù)傳輸過程中的安全性需要著重考慮。通常，需要采用加密手段，對(duì)敏感數(shù)據(jù)在不安全鏈路上傳輸時(shí)進(jìn)行加密。根據(jù)加密技術(shù) 在 TCP/IP 協(xié)議棧的作用層次來看，可以分為：鏈路層加密、網(wǎng)絡(luò)層加密、應(yīng)用層加密。 。 包括：系統(tǒng)的統(tǒng)一授權(quán)管理和集中日志管理。 。 安全服務(wù)包含多個(gè)層次：基礎(chǔ)技術(shù)支持服務(wù)、技術(shù)培訓(xùn)服務(wù)、緊急響應(yīng)服務(wù)、高級(jí)策略咨詢服務(wù)。 設(shè)計(jì)原則 體系化原則 必須分析信息網(wǎng)絡(luò)的層次關(guān)系，遵循先進(jìn)的安全理念，提出科學(xué)的安全體系和安全框架，并根據(jù)安全體系分析存在的各種安全風(fēng)險(xiǎn)，從而最大限度地解決可能存在的安全問題。 Xxxx 銀行 信息系統(tǒng)安全解決方案建議書 8 可控性原則 采取的技術(shù)