【正文】 全的瀏覽器或在 IE 中安裝各類安全控件；對不明郵件不要打開，并及時刪除；提高對個人資料、賬戶、密碼的保護意識；及時修改銀行帳戶的原始密碼；不要采用身份證號碼、生日、手機號碼及過分簡單的數(shù)字作為密碼；不要在網(wǎng)吧等公共場所操作網(wǎng)上銀行業(yè)務。一般來說，在產品安裝和配置后較長一段時間內，它們都無法動態(tài)調整以適應安全問題的變化。這些安全產品在很大程度上提高了銀行信息系統(tǒng)的安全水平，對保護銀行信息安全起到了一定作用。相應地，銀行信息系統(tǒng)的安全問題也越來越突出，銀行信息系統(tǒng)的安全問題主要包括兩個方面：一是來自外界對銀行系統(tǒng)的非法侵入，對信息系統(tǒng)的蓄意破壞和盜竊、篡改信息行為；二是來自銀行內部員工故意或無意的對信息系統(tǒng)管理的違反。由于部分辦公業(yè)務用戶需要訪問生產業(yè)務中的特定數(shù)據(jù)，而部分生產應用也需要訪問辦公網(wǎng)中的特定數(shù)據(jù)，因此無法做到生產、辦公之間徹底的物理隔離，建議在各級聯(lián)社信息中心提供生產網(wǎng)與辦公網(wǎng)之間的連接，并采用邏輯隔離手段進行控制，對于營業(yè)網(wǎng)點，由于作隔離投入太大，可暫時不考慮隔離。 ”“第七十五條　計算機信息系統(tǒng)的開發(fā)環(huán)境和現(xiàn)場應當與生產環(huán)境和現(xiàn)場隔離。當把省及地市部分的網(wǎng)絡建成一個比較完善的安全防護體系之后，再逐步的將安全措施和手段應用于下層的區(qū)縣聯(lián)社及分理處。（三）區(qū)（縣）聯(lián)社生產網(wǎng)絡? 區(qū)（縣）聯(lián)社生產網(wǎng)絡是三級網(wǎng)絡，通過 2M SDH/或者 10M 光纖以太網(wǎng)（ISDN 備份）等方式與管轄支行的網(wǎng)絡連接。? 數(shù)據(jù)庫系統(tǒng)包括：DBINFORMIX、SYBASE、ORACLE 等。? 省聯(lián)社網(wǎng)絡生產網(wǎng)絡負責與人行及其他單位中間業(yè)務的連接。一旦生產網(wǎng)出現(xiàn)問題，造成的損失和影響將是不可估量的。從橫向來看，省及各地市的銀行網(wǎng)絡都按照應用劃分為辦公子網(wǎng)、生產子網(wǎng)和外聯(lián)網(wǎng)絡三個大子網(wǎng)。1 / 30XXX 銀行生產網(wǎng)絡安全規(guī)劃建議書2022 年 6 月目錄1 項目情況概述 .............................................................................................................32 網(wǎng)絡結構調整與安全域劃分 .........................................................................................53 XXX 銀行網(wǎng)絡需求分析 ...............................................................................................7 網(wǎng)上銀行安全風險和安全需求 ..............................................................................8 生產業(yè)務網(wǎng)絡安全風險和安全需求 ........................................................................94 總體安全技術框架建議 .............................................................................................11 網(wǎng)絡層安全建議 ................................................................................................11 系統(tǒng)層安全建議 ................................................................................................13 管理層安全建議 ................................................................................................145 詳細網(wǎng)絡架構及產品部署建議 ...................................................................................15 網(wǎng)上銀行安全建議 .............................................................................................15 省聯(lián)社生產網(wǎng)安全建議 ......................................................................................17 地市聯(lián)社生產網(wǎng)安全建議 ...................................................................................19 區(qū)縣聯(lián)社生產網(wǎng)安全建議 ...................................................................................19 全行網(wǎng)絡防病毒系統(tǒng)建議 ...................................................................................20 網(wǎng)絡安全管理平臺建議 ......................................................................................21 部署網(wǎng)絡安全管理平臺的必要性 ..................................................................21 網(wǎng)絡安全管理平臺部署建議 .........................................................................22 建立專業(yè)的安全服務體系建議 ............................................................................23 現(xiàn)狀調查和風險評估 ...................................................................................24 安全策略制定及方案設計 ............................................................................24 安全應急響應方案 ......................................................................................256 安全規(guī)劃總結 ...........................................................................................................287 產品配置清單 ...........................................................................................................292 / 301 項目情況概述Xxx 銀行網(wǎng)絡是一個正在進行改造的省級銀行網(wǎng)絡。而在省中心網(wǎng)上，還包括網(wǎng)上銀行、測試子網(wǎng)和 MIS 子網(wǎng)三個單獨的子網(wǎng)。因此現(xiàn)在急需解決生產網(wǎng)的安全問題。? 省聯(lián)社網(wǎng)絡生產網(wǎng)絡負責建立和維護網(wǎng)上銀行。? 業(yè)務應用包括：? 生產業(yè)務： ? 一線業(yè)務：與客戶直接關聯(lián)的業(yè)務，如 ATM、POS、柜員終端等? 二線業(yè)務：不直接與客戶相關的業(yè)務，如管理流程、公文輪流轉、監(jiān)督、決策等，為一線業(yè)務的支撐。? 操作系統(tǒng)主要有：UNIX、WINDOWS。從而實現(xiàn)整個網(wǎng)絡的重點防護、分步實施策略。 ”因此我們有必要對現(xiàn)有網(wǎng)絡環(huán)境進行改造，以將生產業(yè)務網(wǎng)絡（包括一線業(yè)務和二線業(yè)務）與具有互聯(lián)網(wǎng)連接的辦公網(wǎng)絡之間區(qū)分開來，通過強有力的安全控制機制最大化實現(xiàn)生產系統(tǒng)與其他業(yè)務系統(tǒng)之間的隔離。改造后的總體邏輯結構如圖所示：5 / 30圖 XXX 銀行網(wǎng)絡安全結構示意圖網(wǎng)絡改造后，全行辦公系統(tǒng)將統(tǒng)一互聯(lián)網(wǎng)出口，所有辦公終端只允許在通信行為可控的情況下才能通過信息中心辦公網(wǎng)絡的互聯(lián)網(wǎng)出口訪問外界網(wǎng)絡，生產業(yè)務服務器和終端不允許采取任何手段直接訪問互聯(lián)網(wǎng)或通過辦公網(wǎng)間接訪問互聯(lián)網(wǎng)。銀行信息系統(tǒng)正在面臨著嚴峻的挑戰(zhàn)。但是它們并沒有從根本上降低安全風險，緩解安全問題，這主要是因為：? 信息安全問題從來就不是單純的技術問題，把防范黑客入侵和病毒感染理解為信息安全問題的全部是片面的。