【正文】 度的安全防護(hù)，并與防火墻聯(lián)動(dòng)，阻斷各種入侵和攻擊行為。防火墻（外網(wǎng)）網(wǎng)上銀行系統(tǒng)與 Inter之間控制來(lái)自外網(wǎng)的訪問(wèn)，只允許授權(quán)用戶訪問(wèn)網(wǎng)銀服務(wù)的特定 IP 和端口，并通過(guò) NAT 屏蔽服務(wù)器真實(shí)地址防火墻（內(nèi)網(wǎng)）網(wǎng)銀 WEB 區(qū)域與后臺(tái)數(shù)據(jù)庫(kù)/應(yīng)用服務(wù)器區(qū)域及信息中心網(wǎng)絡(luò)之間一方面控制網(wǎng)銀 WEB 服務(wù)區(qū)與后臺(tái) APP 服務(wù)區(qū)之間的訪問(wèn)，只允許來(lái)自網(wǎng)銀 WEB 區(qū)服務(wù)器發(fā)起的特定訪問(wèn)，禁止其他一切數(shù)據(jù)通訊；另一方面控制網(wǎng)銀 DB/APP 服務(wù)區(qū)與內(nèi)部生產(chǎn)區(qū)域之間的訪問(wèn)，只允許應(yīng)用相關(guān)的特定訪問(wèn)，禁止其他一切數(shù)據(jù)通訊抗 DoS攻擊系統(tǒng)網(wǎng)銀區(qū)域與 Inter 之間對(duì)來(lái)自互聯(lián)網(wǎng)的 DDoS 攻擊流量進(jìn)行清除，同時(shí)保證正常訪問(wèn)流量的通過(guò)入侵監(jiān)測(cè)系統(tǒng)網(wǎng)銀 WEB 區(qū)域和網(wǎng)銀 DB區(qū)域的兩臺(tái)交換機(jī)上對(duì)網(wǎng)絡(luò)上傳輸?shù)拿舾袛?shù)據(jù)包（包括 SSL 加密數(shù)據(jù)）進(jìn)行深層分析，可有效地發(fā)現(xiàn)防火墻無(wú)法識(shí)別的特殊的應(yīng)用層攻擊行為省網(wǎng)上銀行網(wǎng)絡(luò)UTM內(nèi)層防火墻與內(nèi)網(wǎng)核心交換機(jī)之間抵御來(lái)自互聯(lián)網(wǎng)及網(wǎng)銀區(qū)域的病毒、蠕蟲、惡意代碼及其他攻擊地市聯(lián)社 防火墻 地市網(wǎng)絡(luò)核心與地市聯(lián)社 防火墻的主要作用是隔離生產(chǎn)網(wǎng)與辦公網(wǎng)絡(luò)，防止兩網(wǎng)間發(fā)生攻擊、非法訪問(wèn)、資料竊取等行30 / 301 辦公網(wǎng)接口處 為發(fā)生。29 / 30病毒防護(hù)系統(tǒng)省生產(chǎn)網(wǎng)全部計(jì)算機(jī)及服務(wù)器進(jìn)行全網(wǎng)絡(luò)病毒防護(hù)SOC 系統(tǒng)省生產(chǎn)網(wǎng)安全管理中心SOC（安全管理中心）系統(tǒng)是一款綜合性產(chǎn)品，能夠和事件關(guān)聯(lián)、實(shí)時(shí)工具、案例管理、良好的報(bào)警提示系統(tǒng)、CVE 知識(shí)庫(kù)、漏洞掃描以及實(shí)時(shí)的資產(chǎn)管理比較好的結(jié)合起來(lái)。對(duì)網(wǎng)之間進(jìn)行嚴(yán)格的訪問(wèn)控制，防止攻擊、非法訪問(wèn)、資料竊取等行為發(fā)生。28 / 307 產(chǎn)品配置清單區(qū)域 產(chǎn)品數(shù)量部署位置 簡(jiǎn)要說(shuō)明防火墻1省核心與省聯(lián)社辦公網(wǎng)接口處防火墻的主要作用是隔離生產(chǎn)網(wǎng)與辦公網(wǎng)絡(luò)，防止兩網(wǎng)間發(fā)生攻擊、非法訪問(wèn)、資料竊取等行為發(fā)生。將所部屬的安全設(shè)備結(jié)合起來(lái)27 / 30進(jìn)行有效的管理并實(shí)現(xiàn)互動(dòng)，發(fā)揮所有設(shè)備的最大功效并使得用戶能夠隨時(shí)掌握網(wǎng)絡(luò)安全狀況。? 文檔管理人員收集匯總應(yīng)急響應(yīng)相關(guān)報(bào)告、文檔應(yīng)急響應(yīng)事件知識(shí)庫(kù)維護(hù)? 知識(shí)庫(kù)管理員負(fù)責(zé)維護(hù)應(yīng)急響應(yīng)體系知識(shí)庫(kù)? 聯(lián)絡(luò)員負(fù)責(zé)與各部門之間的聯(lián)系負(fù)責(zé)與相關(guān)機(jī)構(gòu)（中國(guó)病毒應(yīng)急響應(yīng)中心、CVE、CNCERT、病毒廠商、國(guó)內(nèi)專業(yè)安全廠商）的聯(lián)系接收?qǐng)?bào)警事件? 培訓(xùn)人員負(fù)責(zé)日常的安全意識(shí)、技能的培訓(xùn)6 安全規(guī)劃總結(jié)通過(guò)以上的 XXX 銀行網(wǎng)絡(luò)安全規(guī)劃建議，我們能夠在 XXX 銀行的生產(chǎn)網(wǎng)初步建立一個(gè)信息安全保障體系。? 應(yīng)急崗位（即安全顧問(wèn)）：發(fā)生緊急事件，需要臨時(shí)抽調(diào)的安全專家，精通業(yè)務(wù)流程并熟知系統(tǒng)及網(wǎng)絡(luò)結(jié)構(gòu)的資深安全專家擔(dān)任，也可以是外聘的專業(yè)安全服務(wù)公司。建立應(yīng)急響應(yīng)組織應(yīng)急響應(yīng)組織是為了有效處理安全事件，協(xié)調(diào)各相關(guān)部門和人員而成立的機(jī)構(gòu)。其目的就是最快速度恢復(fù)系統(tǒng)的保密性、完整性和可用性，阻止和減小安全事件帶來(lái)的影響。對(duì)人員的適用范圍包括所有與 XXX 銀行信息系統(tǒng)的各方面相關(guān)聯(lián)的人員，它適用于全部應(yīng)用 XXX 銀行的員工，全部 XXX 銀行范圍內(nèi)容的維護(hù)人員，集成商，軟件開發(fā)商，產(chǎn)品提供商，顧問(wèn)，臨時(shí)工，商務(wù)伙伴和使用農(nóng)行信息系統(tǒng)的其他第三方。 安全策略制定及方案設(shè)計(jì)為迎接 XXX 銀行業(yè)務(wù)的飛速發(fā)展而帶來(lái)信息安全方面的挑戰(zhàn)，規(guī)范 XXX 銀行信息系統(tǒng)的安全維護(hù)管理，促進(jìn)安全維護(hù)和管理工作體系化、規(guī)范化，提高信息和網(wǎng)絡(luò)服務(wù)質(zhì)量，提高網(wǎng)絡(luò)維護(hù)隊(duì)伍的整體安全素質(zhì)和水平，需要制定安全方針和系列安全制度和規(guī)范。在全面現(xiàn)狀調(diào)查中，XXX 銀行的計(jì)算機(jī)系統(tǒng)的場(chǎng)所、環(huán)境、網(wǎng)絡(luò)、網(wǎng)絡(luò)設(shè)備、主機(jī)、操作系統(tǒng)、數(shù)據(jù)庫(kù)、中間件、應(yīng)用軟件、業(yè)務(wù)流程、管理制度和組織機(jī)構(gòu)將得到全面的調(diào)研。對(duì)于現(xiàn)階段的 XXX 銀行網(wǎng)絡(luò)來(lái)說(shuō)，我們建議通過(guò)以下的步驟來(lái)實(shí)現(xiàn)這個(gè)動(dòng)態(tài)的信息安全體系建設(shè)過(guò)程。 建立專業(yè)的安全服務(wù)體系建議在前面的管理層安全建議中我們已經(jīng)提出，應(yīng)該“借助專業(yè)的第三方服務(wù)，在安全管理平臺(tái)的基礎(chǔ)上建立 XXX 銀行安全運(yùn)營(yíng)中心，對(duì) XXX 銀行安全保障體系的建設(shè)起到推動(dòng)作用，確保 XXX 銀行信息網(wǎng)絡(luò)信息系統(tǒng)內(nèi)部不發(fā)生安全事件、少發(fā)生安全事件或者發(fā)生安全事件時(shí)能夠及時(shí)處理減少由22 / 30于安全事件帶來(lái)的損失” 。? 網(wǎng)絡(luò)管理網(wǎng)絡(luò)系統(tǒng)作為業(yè)務(wù)應(yīng)用的載體，對(duì)其的監(jiān)控管理也非常重要，我們采用網(wǎng)管技術(shù)對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行監(jiān)控管理。我們所部署的網(wǎng)絡(luò)安全管理平臺(tái)應(yīng)該具備以下一些功能：? 管理對(duì)象被監(jiān)控管理的目標(biāo)包括：網(wǎng)絡(luò)系統(tǒng)、服務(wù)器主機(jī)、數(shù)據(jù)庫(kù)、安全產(chǎn)品、業(yè)務(wù)應(yīng)用。 網(wǎng)絡(luò)安全管理平臺(tái)部署建議對(duì)于 XXX 銀行網(wǎng)絡(luò)來(lái)說(shuō)，我們應(yīng)該本著重點(diǎn)防護(hù)，分步實(shí)施的策略來(lái)進(jìn)行我們的安全建設(shè)。出于上述原因，我們認(rèn)為在未來(lái)的信息安全建設(shè)中，綜合安全監(jiān)控和管理平臺(tái)將倍受尊崇，真正讓安全建設(shè)做到完善的“可見、可控、可管理” 。? 需要專業(yè)安全人員的分析大多數(shù)安全產(chǎn)品對(duì)報(bào)警事件的語(yǔ)言描述都是專業(yè)安全技術(shù)性的描述，對(duì)管理員的專業(yè)技能要求很高。 網(wǎng)絡(luò)安全管理平臺(tái)建議 部署網(wǎng)絡(luò)安全管理平臺(tái)的必要性傳統(tǒng)安全技術(shù)和產(chǎn)品集成的有如下缺點(diǎn)：? 需要大量人為參與的判斷。19 / 30各區(qū)縣聯(lián)社生產(chǎn)網(wǎng)到上級(jí)分行生產(chǎn)網(wǎng)以及分理處等營(yíng)業(yè)網(wǎng)點(diǎn)之間采用一套雙機(jī)防火墻系統(tǒng)提供安全控制。采用 IDS 設(shè)備，分別連接到地市生產(chǎn)網(wǎng)兩臺(tái)核心交換機(jī)上，監(jiān)視和防范內(nèi)網(wǎng)上的違規(guī)訪問(wèn)行為，主要監(jiān)聽進(jìn)出生產(chǎn)區(qū)域及來(lái)自辦公網(wǎng)、下級(jí)單位和協(xié)作單位的流量。區(qū)縣生產(chǎn)網(wǎng)、分理處等營(yíng)業(yè)網(wǎng)點(diǎn)分別通過(guò)上級(jí)聯(lián)社生產(chǎn)網(wǎng)的轉(zhuǎn)發(fā)實(shí)現(xiàn)對(duì)總部數(shù)據(jù)中心系統(tǒng)的訪問(wèn)。在總行生產(chǎn)業(yè)務(wù)網(wǎng)絡(luò)與辦公業(yè)務(wù)網(wǎng)絡(luò)核心交換機(jī)之間設(shè)置一套雙機(jī)防火墻系統(tǒng)，對(duì)從辦公網(wǎng)絡(luò)特定用戶到生產(chǎn)網(wǎng)絡(luò)特定區(qū)域上特定主機(jī)的訪問(wèn)行為進(jìn)行控制，同時(shí)除必須開放的連接外，禁止任何從生產(chǎn)網(wǎng)主動(dòng)向辦公網(wǎng)發(fā)起的訪問(wèn)請(qǐng)求。部署方式如下圖所示：15 / 30圖 網(wǎng)上銀行安全解決方案部署圖16 / 30 省聯(lián)社生產(chǎn)網(wǎng)安全建議將信息中心按不同業(yè)務(wù)劃分多個(gè)網(wǎng)絡(luò)區(qū)域。三層交換機(jī)提供缺省網(wǎng)關(guān)和局域網(wǎng)路由功能。13 / 3014 / 305 詳細(xì)網(wǎng)絡(luò)架構(gòu)及產(chǎn)品部署建議 網(wǎng)上銀行安全建議網(wǎng)上銀行的安全防護(hù)方案具體設(shè)計(jì)如下：在網(wǎng)銀區(qū)域與 Inter 之間插入一套抗 DoS 攻擊系統(tǒng)，對(duì)來(lái)自互聯(lián)網(wǎng)的 DDoS 攻擊流量進(jìn)行清除，同時(shí)保證正常訪問(wèn)流量的通過(guò)。同時(shí)得到的掃描日志還可以提供給安全管理中心，作為對(duì)整個(gè)網(wǎng)絡(luò)健康狀況評(píng)估的一部分，使得管理員能夠機(jī)制準(zhǔn)確的把握網(wǎng)絡(luò)的運(yùn)行狀況。IPS 系統(tǒng)工作在第二層到第七層，通常使用特征匹配和異常分析的方法來(lái)識(shí)別各種網(wǎng)絡(luò)攻擊行為，因其是以在線串聯(lián)方式部署的，對(duì)檢測(cè)到的各種攻擊行為均可直接阻斷并生成日志報(bào)告和報(bào)警信息。通過(guò)詳盡的審計(jì)記錄，可以在系統(tǒng)遭到惡意攻擊后，提供證據(jù)以提起法律訴訟。? 檢測(cè)隱藏在 SSL 加密通訊中的攻擊。系統(tǒng)維護(hù)一個(gè)強(qiáng)大的蠕蟲特征庫(kù)，用戶可以定期更新，確保能夠檢測(cè)到最新的蠕蟲事件。? 應(yīng)用層攻擊特征檢測(cè)。以旁路監(jiān)聽方式秘密運(yùn)行，使攻擊者無(wú)法感知到。 ? 訪問(wèn)控制措施 對(duì)安全等級(jí)較高的安全域，在其邊界部署防火墻，對(duì)安全等級(jí)較低的安全域的邊界則可以使用VLAN 或訪問(wèn)控制列表來(lái)代替。根據(jù)實(shí)際項(xiàng)目進(jìn)度安排，我們將分別對(duì)網(wǎng)上銀行系統(tǒng)、生產(chǎn)業(yè)務(wù)系統(tǒng)進(jìn)行分析。部署安全產(chǎn)品是一種靜態(tài)的解決辦法。中國(guó)國(guó)內(nèi)各家銀行也已經(jīng)開始進(jìn)行信息安體系建設(shè)，其中最主要的措施就是采購(gòu)了大量安全產(chǎn)品，包括防火墻、入侵檢測(cè)系統(tǒng)、防病毒和身份認(rèn)證系統(tǒng)等。6 / 303 XXX 銀行網(wǎng)絡(luò)需求分析隨著 XXX 銀行金融信息化的發(fā)展，信息系統(tǒng)已經(jīng)成為銀行賴以生存和發(fā)展的基本條件。初步規(guī)劃將省聯(lián)社生產(chǎn)網(wǎng)絡(luò)劃分成多個(gè)具備不同安全等級(jí)的區(qū)域，參考公安部發(fā)布的《信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南》 ，我們對(duì)安全區(qū)域劃分和定級(jí)的建議如下：安全區(qū)域 說(shuō)明 定級(jí)建議生產(chǎn)區(qū)域 包含一線業(yè)務(wù)服務(wù)器主機(jī) 3 級(jí)MIS 區(qū)域 包含二線業(yè)務(wù)服務(wù)器主機(jī) 2 級(jí)網(wǎng)上銀行區(qū)域 包含網(wǎng)上銀行業(yè)務(wù)服務(wù)器主機(jī) 2 級(jí)運(yùn)行管理區(qū)域包含維護(hù)網(wǎng)絡(luò)信息系統(tǒng)有效運(yùn)行的管理服務(wù)器主機(jī)和管理終端2 級(jí)測(cè)試區(qū)域包含新開發(fā)的生產(chǎn)應(yīng)用的測(cè)試環(huán)境，可視為準(zhǔn)生產(chǎn)環(huán)境1 級(jí)辦公服務(wù)器區(qū)域 包含辦公業(yè)務(wù)系統(tǒng)服務(wù)器主機(jī) 2 級(jí)對(duì)于各地市、區(qū)縣聯(lián)社和各營(yíng)業(yè)網(wǎng)點(diǎn)也需要將生產(chǎn)業(yè)務(wù)和辦公業(yè)務(wù)嚴(yán)格區(qū)分開，并進(jìn)行邏輯隔離，確保生產(chǎn)區(qū)域具有較高安全級(jí)別。根據(jù)《中國(guó)人民銀行計(jì)算機(jī)安全管理暫行規(guī)定（試行） 》的相關(guān)要求：“第六十一條　內(nèi)聯(lián)網(wǎng)上的所有計(jì)算機(jī)設(shè)備，不得直接或間接地與國(guó)際互聯(lián)網(wǎng)相聯(lián)接，必須實(shí)現(xiàn)與國(guó)際互聯(lián)網(wǎng)的物理隔離。 由于區(qū)縣聯(lián)社及分理處的網(wǎng)絡(luò)目前還處在組網(wǎng)的初級(jí)階段，網(wǎng)絡(luò)構(gòu)造簡(jiǎn)單且還沒有能力進(jìn)行完善的網(wǎng)絡(luò)安全建設(shè)和管理，因此本次規(guī)劃主要是對(duì)省及地市聯(lián)社的網(wǎng)絡(luò)安全部分。?