【正文】 全的瀏覽器或在 IE 中安裝各類安全控件；對不明郵件不要打開，并及時刪除；提高對個人資料、賬戶、密碼的保護意識；及時修改銀行帳戶的原始密碼；不要采用身份證號碼、生日、手機號碼及過分簡單的數(shù)字作為密碼；不要在網(wǎng)吧等公共場所操作網(wǎng)上銀行業(yè)務(wù)。一般來說，在產(chǎn)品安裝和配置后較長一段時間內(nèi)，它們都無法動態(tài)調(diào)整以適應(yīng)安全問題的變化。這些安全產(chǎn)品在很大程度上提高了銀行信息系統(tǒng)的安全水平，對保護銀行信息安全起到了一定作用。相應(yīng)地，銀行信息系統(tǒng)的安全問題也越來越突出，銀行信息系統(tǒng)的安全問題主要包括兩個方面：一是來自外界對銀行系統(tǒng)的非法侵入，對信息系統(tǒng)的蓄意破壞和盜竊、篡改信息行為；二是來自銀行內(nèi)部員工故意或無意的對信息系統(tǒng)管理的違反。由于部分辦公業(yè)務(wù)用戶需要訪問生產(chǎn)業(yè)務(wù)中的特定數(shù)據(jù)，而部分生產(chǎn)應(yīng)用也需要訪問辦公網(wǎng)中的特定數(shù)據(jù)，因此無法做到生產(chǎn)、辦公之間徹底的物理隔離，建議在各級聯(lián)社信息中心提供生產(chǎn)網(wǎng)與辦公網(wǎng)之間的連接，并采用邏輯隔離手段進行控制，對于營業(yè)網(wǎng)點，由于作隔離投入太大，可暫時不考慮隔離。 ”“第七十五條　計算機信息系統(tǒng)的開發(fā)環(huán)境和現(xiàn)場應(yīng)當與生產(chǎn)環(huán)境和現(xiàn)場隔離。當把省及地市部分的網(wǎng)絡(luò)建成一個比較完善的安全防護體系之后，再逐步的將安全措施和手段應(yīng)用于下層的區(qū)縣聯(lián)社及分理處。（三）區(qū)（縣）聯(lián)社生產(chǎn)網(wǎng)絡(luò)? 區(qū)（縣）聯(lián)社生產(chǎn)網(wǎng)絡(luò)是三級網(wǎng)絡(luò)，通過 2M SDH/或者 10M 光纖以太網(wǎng)（ISDN 備份）等方式與管轄支行的網(wǎng)絡(luò)連接。? 數(shù)據(jù)庫系統(tǒng)包括：DBINFORMIX、SYBASE、ORACLE 等。? 省聯(lián)社網(wǎng)絡(luò)生產(chǎn)網(wǎng)絡(luò)負責(zé)與人行及其他單位中間業(yè)務(wù)的連接。一旦生產(chǎn)網(wǎng)出現(xiàn)問題，造成的損失和影響將是不可估量的。從橫向來看，省及各地市的銀行網(wǎng)絡(luò)都按照應(yīng)用劃分為辦公子網(wǎng)、生產(chǎn)子網(wǎng)和外聯(lián)網(wǎng)絡(luò)三個大子網(wǎng)。1 / 30XXX 銀行生產(chǎn)網(wǎng)絡(luò)安全規(guī)劃建議書2022 年 6 月目錄1 項目情況概述 .............................................................................................................32 網(wǎng)絡(luò)結(jié)構(gòu)調(diào)整與安全域劃分 .........................................................................................53 XXX 銀行網(wǎng)絡(luò)需求分析 ...............................................................................................7 網(wǎng)上銀行安全風(fēng)險和安全需求 ..............................................................................8 生產(chǎn)業(yè)務(wù)網(wǎng)絡(luò)安全風(fēng)險和安全需求 ........................................................................94 總體安全技術(shù)框架建議 .............................................................................................11 網(wǎng)絡(luò)層安全建議 ................................................................................................11 系統(tǒng)層安全建議 ................................................................................................13 管理層安全建議 ................................................................................................145 詳細網(wǎng)絡(luò)架構(gòu)及產(chǎn)品部署建議 ...................................................................................15 網(wǎng)上銀行安全建議 .............................................................................................15 省聯(lián)社生產(chǎn)網(wǎng)安全建議 ......................................................................................17 地市聯(lián)社生產(chǎn)網(wǎng)安全建議 ...................................................................................19 區(qū)縣聯(lián)社生產(chǎn)網(wǎng)安全建議 ...................................................................................19 全行網(wǎng)絡(luò)防病毒系統(tǒng)建議 ...................................................................................20 網(wǎng)絡(luò)安全管理平臺建議 ......................................................................................21 部署網(wǎng)絡(luò)安全管理平臺的必要性 ..................................................................21 網(wǎng)絡(luò)安全管理平臺部署建議 .........................................................................22 建立專業(yè)的安全服務(wù)體系建議 ............................................................................23 現(xiàn)狀調(diào)查和風(fēng)險評估 ...................................................................................24 安全策略制定及方案設(shè)計 ............................................................................24 安全應(yīng)急響應(yīng)方案 ......................................................................................256 安全規(guī)劃總結(jié) ...........................................................................................................287 產(chǎn)品配置清單 ...........................................................................................................292 / 301 項目情況概述Xxx 銀行網(wǎng)絡(luò)是一個正在進行改造的省級銀行網(wǎng)絡(luò)。而在省中心網(wǎng)上，還包括網(wǎng)上銀行、測試子網(wǎng)和 MIS 子網(wǎng)三個單獨的子網(wǎng)。因此現(xiàn)在急需解決生產(chǎn)網(wǎng)的安全問題。? 省聯(lián)社網(wǎng)絡(luò)生產(chǎn)網(wǎng)絡(luò)負責(zé)建立和維護網(wǎng)上銀行。? 業(yè)務(wù)應(yīng)用包括：? 生產(chǎn)業(yè)務(wù)： ? 一線業(yè)務(wù)：與客戶直接關(guān)聯(lián)的業(yè)務(wù)，如 ATM、POS、柜員終端等? 二線業(yè)務(wù)：不直接與客戶相關(guān)的業(yè)務(wù)，如管理流程、公文輪流轉(zhuǎn)、監(jiān)督、決策等，為一線業(yè)務(wù)的支撐。? 操作系統(tǒng)主要有：UNIX、WINDOWS。從而實現(xiàn)整個網(wǎng)絡(luò)的重點防護、分步實施策略。 ”因此我們有必要對現(xiàn)有網(wǎng)絡(luò)環(huán)境進行改造，以將生產(chǎn)業(yè)務(wù)網(wǎng)絡(luò)（包括一線業(yè)務(wù)和二線業(yè)務(wù)）與具有互聯(lián)網(wǎng)連接的辦公網(wǎng)絡(luò)之間區(qū)分開來，通過強有力的安全控制機制最大化實現(xiàn)生產(chǎn)系統(tǒng)與其他業(yè)務(wù)系統(tǒng)之間的隔離。改造后的總體邏輯結(jié)構(gòu)如圖所示：5 / 30圖 XXX 銀行網(wǎng)絡(luò)安全結(jié)構(gòu)示意圖網(wǎng)絡(luò)改造后，全行辦公系統(tǒng)將統(tǒng)一互聯(lián)網(wǎng)出口，所有辦公終端只允許在通信行為可控的情況下才能通過信息中心辦公網(wǎng)絡(luò)的互聯(lián)網(wǎng)出口訪問外界網(wǎng)絡(luò)，生產(chǎn)業(yè)務(wù)服務(wù)器和終端不允許采取任何手段直接訪問互聯(lián)網(wǎng)或通過辦公網(wǎng)間接訪問互聯(lián)網(wǎng)。銀行信息系統(tǒng)正在面臨著嚴峻的挑戰(zhàn)。但是它們并沒有從根本上降低安全風(fēng)險，緩解安全問題，這主要是因為：? 信息安全問題從來就不是單純的技術(shù)問題，把防范黑客入侵和病毒感染理解為信息安全問題的全部是片面的。