【正文】 防止攻擊、非法訪問(wèn)、資料竊取等行為發(fā)生。并能夠讓用戶在此基礎(chǔ)上建立起完善的安全管理體系與安全服務(wù)體系。防火墻3省核心與各地市聯(lián)社生產(chǎn)網(wǎng)、各相關(guān)業(yè)務(wù)單位接口處防火墻的主要作用是隔離省生產(chǎn)網(wǎng)與各地市生產(chǎn)網(wǎng)、各相關(guān)業(yè)務(wù)單位網(wǎng)。在此基礎(chǔ)上通過(guò)安全管理平臺(tái)的建設(shè)建立獨(dú)立的安全管理中心。? 執(zhí)行組長(zhǎng)：可由主管安全的部門負(fù)責(zé)人來(lái)?yè)?dān)任。應(yīng)急響應(yīng)是解決網(wǎng)絡(luò)系統(tǒng)安全問(wèn)題的有效安全服務(wù)手段之一。風(fēng)險(xiǎn)評(píng)估的具體目標(biāo)包括：? 準(zhǔn)確地獲得 XXX 銀行計(jì)算機(jī)系統(tǒng)安全現(xiàn)狀；? 獲得 XXX 銀行計(jì)算機(jī)系統(tǒng)風(fēng)險(xiǎn)現(xiàn)狀，為安全對(duì)策框架設(shè)計(jì)提供依據(jù)。 信 息 安 全 現(xiàn) 狀 信 息 安 全 建 設(shè)工 程 建 議 書信 息 網(wǎng) 絡(luò) 安 全功 能 的 增 強(qiáng)信 息 安 全 狀 況 的 全面 改 善信 息 安 全 建 設(shè) 的效 果 檢 驗(yàn)微 弱 風(fēng) 險(xiǎn)逐 步 積 累圖 動(dòng)態(tài)信息安全體系建設(shè)過(guò)程動(dòng)態(tài)信息安全體系建設(shè)是一個(gè)周期性的循環(huán)過(guò)程，每個(gè)建設(shè)周期都是以安全策略為核心，以風(fēng)險(xiǎn)評(píng)估為開端，通過(guò)需求確認(rèn)、網(wǎng)絡(luò)安全功能建設(shè)、完善信息安全管理/策略、風(fēng)險(xiǎn)復(fù)審、風(fēng)險(xiǎn)積累的過(guò)程，建立信息安全體系。對(duì)系統(tǒng)進(jìn)行基于業(yè)務(wù)的監(jiān)控管理，包括：資產(chǎn)管理、流程管理、知識(shí)管理等。集成安全監(jiān)控管理技術(shù)的優(yōu)點(diǎn)：? 延伸了傳統(tǒng)安全產(chǎn)品集成的功能，充分讓每一條有效的安全報(bào)警信息得到完善的分析和處理；? 融合網(wǎng)絡(luò)管理、安全管理、運(yùn)維管理思想于一體，充分發(fā)揮各類安全技術(shù)的功效；21 / 30? 實(shí)現(xiàn)安全事件的閉環(huán)管理，最強(qiáng)有力的實(shí)現(xiàn)安全管理的技術(shù)輔助手段。同時(shí)大量的垃圾報(bào)警信息，也加重了管理員的工作負(fù)擔(dān)，導(dǎo)致管理員容易疏忽很多真正有用的信息，這也導(dǎo)致信息淹沒(méi)。網(wǎng)絡(luò)結(jié)構(gòu)及安全設(shè)備部署方式如下圖：圖 地市聯(lián)社生產(chǎn)網(wǎng)安全解決方案部署圖 區(qū)縣聯(lián)社生產(chǎn)網(wǎng)安全建議區(qū)縣聯(lián)社生產(chǎn)業(yè)務(wù)網(wǎng)絡(luò)與辦公業(yè)務(wù)網(wǎng)絡(luò)核心交換機(jī)之間設(shè)置一套防火墻系統(tǒng)，對(duì)從辦公網(wǎng)絡(luò)特定用戶到生產(chǎn)網(wǎng)絡(luò)特定區(qū)域上特定主機(jī)的訪問(wèn)行為進(jìn)行控制，同時(shí)除必須開放的連接外，禁止任何從生產(chǎn)網(wǎng)主動(dòng)向辦公網(wǎng)發(fā)起的訪問(wèn)請(qǐng)求。對(duì)來(lái)自各分支機(jī)構(gòu)網(wǎng)絡(luò)的訪問(wèn)行為進(jìn)行控制。在內(nèi)層防火墻與內(nèi)網(wǎng)核心交換機(jī)之間串聯(lián)一組 UTM 設(shè)備，啟用 IPS 功能和防病毒功能，抵御來(lái)自互聯(lián)網(wǎng)及網(wǎng)銀區(qū)域的病毒、蠕蟲、惡意代碼及其他攻擊，雙機(jī)熱備。根據(jù) XXX 銀行的網(wǎng)絡(luò)結(jié)構(gòu)和區(qū)域劃分，我們將分別針對(duì)網(wǎng)上銀行、省和地市生產(chǎn)業(yè)務(wù)網(wǎng)絡(luò)進(jìn)行安全體系設(shè)計(jì)。12 / 304．入侵防御系統(tǒng)在生產(chǎn)網(wǎng)與網(wǎng)上銀行網(wǎng)絡(luò)之間、辦公網(wǎng)與互聯(lián)網(wǎng)之間分別部署入侵防御系統(tǒng)，對(duì)外界網(wǎng)絡(luò)黑客利用防火墻為合法的用戶訪問(wèn)而開放的端口穿透防火墻對(duì)內(nèi)網(wǎng)發(fā)起的各種高級(jí)、復(fù)雜的攻擊行為進(jìn)行檢測(cè)和阻斷。即異常檢測(cè)，包括通過(guò)對(duì)在特定時(shí)間間隔內(nèi)超流量、超連接的數(shù)據(jù)包進(jìn)行檢測(cè)等方式，實(shí)現(xiàn)對(duì) DoS、掃描等攻擊事件的檢測(cè)。根據(jù)實(shí)際業(yè)務(wù)需要定制相關(guān)規(guī)則，可以定義哪些主機(jī)或網(wǎng)段可以或不可以訪問(wèn)網(wǎng)絡(luò)上的特定資源，可以定義訪問(wèn)時(shí)間段，對(duì)特定的非法訪問(wèn)行為或除特定合法訪問(wèn)行為之外的所有訪問(wèn)行為進(jìn)行監(jiān)控，一旦發(fā)現(xiàn)違規(guī)行為則根據(jù)事先定義的響應(yīng)策略進(jìn)行報(bào)警、阻斷或聯(lián)動(dòng)的相應(yīng)，以保證只有授權(quán)用戶才可以訪問(wèn)特定網(wǎng)絡(luò)資源。具體建議如下： 網(wǎng)絡(luò)層安全建議1．網(wǎng)絡(luò)訪問(wèn)控制 ? 劃分安全域 為了提高銀行網(wǎng)絡(luò)的安全性和可靠性，在省聯(lián)社總部、各地市聯(lián)社、各區(qū)縣聯(lián)社、分理處對(duì)不同系統(tǒng)劃分不同安全域。安全產(chǎn)品的功能相對(duì)比較狹窄，往往用于解決一類安全問(wèn)題，因此僅僅通過(guò)部署安全產(chǎn)品很難完全覆蓋銀行信息安全問(wèn)題；? 信息安全問(wèn)題不是靜態(tài)的，它總是隨著銀行策略、組織架構(gòu)、信息系統(tǒng)和操作流程的改變而改變。網(wǎng)上銀行因業(yè)務(wù)需要必須連接互聯(lián)網(wǎng)，但只允許互聯(lián)網(wǎng)用戶對(duì)網(wǎng)銀門戶網(wǎng)站的訪問(wèn)以及認(rèn)證用戶對(duì)網(wǎng)銀 WEB 服務(wù)器的訪問(wèn)，生產(chǎn)業(yè)務(wù)服務(wù)器和終端不允許采取任何手段直接訪問(wèn)互聯(lián)網(wǎng)或通過(guò)網(wǎng)銀網(wǎng)絡(luò)間接訪問(wèn)互聯(lián)網(wǎng)。4 / 302 網(wǎng)絡(luò)結(jié)構(gòu)調(diào)整與安全域劃分對(duì)于 XXX 銀行生產(chǎn)網(wǎng)絡(luò)來(lái)說(shuō)，首要的一點(diǎn)就是應(yīng)該根據(jù)國(guó)家有關(guān)部門對(duì)相關(guān)規(guī)定，將整個(gè)生產(chǎn)網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)結(jié)構(gòu)的優(yōu)化和安全域的劃分，從結(jié)構(gòu)上實(shí)現(xiàn)對(duì)安全等級(jí)化保護(hù)。（二）地市聯(lián)社生產(chǎn)網(wǎng)絡(luò)? 地市聯(lián)社生產(chǎn)網(wǎng)絡(luò)是二級(jí)網(wǎng)絡(luò)，通過(guò)兩條互為備份的專線與省聯(lián)社中心網(wǎng)絡(luò)互連。本次對(duì) XXX 銀行網(wǎng)絡(luò)的安全規(guī)劃僅限于生產(chǎn)網(wǎng)以及與生產(chǎn)網(wǎng)安全相關(guān)的網(wǎng)絡(luò)部分，因此下面我們著重對(duì) XXX 銀行的生產(chǎn)網(wǎng)構(gòu)架做一個(gè)詳細(xì)描述。整個(gè)網(wǎng)絡(luò)隨著業(yè)務(wù)的不斷擴(kuò)展和應(yīng)用的增加，已經(jīng)形成了一個(gè)橫縱聯(lián)系，錯(cuò)綜復(fù)雜的網(wǎng)絡(luò)。而對(duì)于 XXX 銀行網(wǎng)絡(luò)來(lái)說(shuō)，生產(chǎn)網(wǎng)是網(wǎng)絡(luò)中最重要的部分，所有的應(yīng)用也業(yè)務(wù)系統(tǒng)都部署在生產(chǎn)網(wǎng)上。? 操作系統(tǒng)主要有：OS/400、AIX、Linux、Windows，以及其它設(shè)備的專用系統(tǒng)。 由于區(qū)縣聯(lián)社及分理處的網(wǎng)絡(luò)目前還處在組網(wǎng)的初級(jí)階段，網(wǎng)絡(luò)構(gòu)造簡(jiǎn)單且還沒(méi)有能力進(jìn)行完善的網(wǎng)絡(luò)安全建設(shè)和管理，因此本次規(guī)劃主要是對(duì)省及地市聯(lián)社的網(wǎng)絡(luò)安全部分。初步規(guī)劃將省聯(lián)社生產(chǎn)網(wǎng)絡(luò)劃分成多個(gè)具備不同安全等級(jí)的區(qū)域，參考公安部發(fā)布的《信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南》 ，我們對(duì)安全區(qū)域劃分和定級(jí)的建議如下：安全區(qū)域 說(shuō)明 定級(jí)建議生產(chǎn)區(qū)域 包含一線業(yè)務(wù)服務(wù)器主機(jī) 3 級(jí)MIS 區(qū)域 包含二線業(yè)務(wù)服務(wù)器主機(jī) 2 級(jí)網(wǎng)上銀行區(qū)域 包含網(wǎng)上銀行業(yè)務(wù)服務(wù)器主機(jī) 2 級(jí)運(yùn)行管理區(qū)域包含維護(hù)網(wǎng)絡(luò)信息系統(tǒng)有效運(yùn)行的管理服務(wù)器主機(jī)和管理終端2 級(jí)測(cè)試區(qū)域包含新開發(fā)的生產(chǎn)應(yīng)用的測(cè)試環(huán)境，可視為準(zhǔn)生產(chǎn)環(huán)境1 級(jí)辦公服務(wù)器區(qū)域 包含辦公業(yè)務(wù)系統(tǒng)服務(wù)器主機(jī) 2 級(jí)對(duì)于各地市、區(qū)縣聯(lián)社和各營(yíng)業(yè)網(wǎng)點(diǎn)也需要將生產(chǎn)業(yè)務(wù)和辦公業(yè)務(wù)嚴(yán)格區(qū)分開，并進(jìn)行邏輯隔離，確保生產(chǎn)區(qū)域具有較高安全級(jí)別。中國(guó)國(guó)內(nèi)各家銀行也已經(jīng)開始進(jìn)行信息安體系建設(shè)，其中最主要的措施就是采購(gòu)了大量安全產(chǎn)品，包括防火墻、入侵檢測(cè)系統(tǒng)、防病毒和身份認(rèn)證系統(tǒng)等。根據(jù)實(shí)際項(xiàng)目進(jìn)度安排，我們將分別對(duì)網(wǎng)上銀行系統(tǒng)、生產(chǎn)業(yè)務(wù)系統(tǒng)進(jìn)行分析。以旁路監(jiān)聽(tīng)方式秘密運(yùn)行，使攻擊者無(wú)法感知到。系統(tǒng)維護(hù)一個(gè)強(qiáng)大的蠕蟲特征庫(kù)，用戶可以定期更新，確保能夠檢測(cè)到最新的蠕蟲事件。通過(guò)詳盡的審計(jì)記錄，可以在系統(tǒng)遭到惡意攻擊后，提供證據(jù)以提起法律訴訟。同時(shí)得到的掃描日志還可以提供給安全管理中心，作為對(duì)整個(gè)網(wǎng)絡(luò)健康狀況評(píng)估的一部分，使得管理員能夠機(jī)制準(zhǔn)確的把握網(wǎng)絡(luò)的運(yùn)行狀況。三層交換機(jī)提供缺省網(wǎng)關(guān)和局域網(wǎng)路由功能。在總行生產(chǎn)業(yè)務(wù)網(wǎng)絡(luò)與辦公業(yè)務(wù)網(wǎng)絡(luò)核心交換機(jī)之間設(shè)置一套雙機(jī)防火墻系統(tǒng)，對(duì)從辦公網(wǎng)絡(luò)特定用戶到生產(chǎn)網(wǎng)絡(luò)特定區(qū)域上特定主機(jī)的訪問(wèn)行為進(jìn)行控制，同時(shí)除必須開放的連接外，禁止任何從生產(chǎn)網(wǎng)主動(dòng)向辦公網(wǎng)發(fā)起的訪問(wèn)請(qǐng)求。采用 IDS 設(shè)備，分別連接到地市生產(chǎn)網(wǎng)兩臺(tái)核心交換機(jī)上，監(jiān)視和防范內(nèi)網(wǎng)上的違規(guī)訪問(wèn)行為，主要監(jiān)聽(tīng)進(jìn)出生產(chǎn)區(qū)域及來(lái)自辦公網(wǎng)、下級(jí)單位和協(xié)作單位的流量。 網(wǎng)絡(luò)安全管理平臺(tái)建議 部署網(wǎng)絡(luò)安全管理平臺(tái)的必要性傳統(tǒng)安全技術(shù)和產(chǎn)品集成的有如下缺點(diǎn)：? 需要大量人為參與的判斷。出于上述原因，我們認(rèn)為在未來(lái)的信息安全建設(shè)中，綜合安全監(jiān)控和管理平臺(tái)將倍受尊崇，真正讓安全建設(shè)做到完善的“可見(jiàn)、可控、可管理” 。我們所部署的網(wǎng)絡(luò)安全管理平臺(tái)應(yīng)該具備以下一些功能：? 管理對(duì)象被監(jiān)控管理的目標(biāo)包括：網(wǎng)絡(luò)系統(tǒng)、服務(wù)器主機(jī)、數(shù)據(jù)庫(kù)、安全產(chǎn)品、業(yè)務(wù)應(yīng)用。 建立專業(yè)的安全服務(wù)體系建議在前面的管理層安全建議中我們已經(jīng)提出，應(yīng)該“借助專業(yè)的第三方服務(wù)，在安全管理平臺(tái)的基礎(chǔ)上建立 XXX 銀行安全運(yùn)營(yíng)中心，對(duì) XXX 銀行安全保障體系的建設(shè)起到推動(dòng)作用，確保 XXX 銀行信息網(wǎng)絡(luò)信息系統(tǒng)內(nèi)部不發(fā)生安全事件、少發(fā)生安全事件或者發(fā)生安全事件時(shí)能夠及時(shí)處理減少由22 / 30于安全事件帶來(lái)的損失” 。在全面現(xiàn)狀調(diào)查中，XXX 銀行的計(jì)算機(jī)系統(tǒng)的場(chǎng)所、環(huán)境、網(wǎng)絡(luò)、網(wǎng)絡(luò)設(shè)備、主機(jī)、操作系統(tǒng)、數(shù)據(jù)庫(kù)、中間件、應(yīng)用軟件、業(yè)務(wù)流程、管理制度和組織機(jī)構(gòu)將得到全面的調(diào)研。對(duì)人員的適用范圍包括所有與 XXX 銀行信息系統(tǒng)的各方面相關(guān)聯(lián)的人員，它適用于全部應(yīng)用 XXX 銀行的員工，全部 XXX 銀行范圍內(nèi)容的維護(hù)人員，集成商，軟件開發(fā)商，產(chǎn)品提供商，顧問(wèn)，臨時(shí)工，商務(wù)伙伴和使用農(nóng)行信息系統(tǒng)的其他第三方。建立應(yīng)急響應(yīng)組織應(yīng)急響應(yīng)組織是為了有效處理安全事件，協(xié)調(diào)各相關(guān)部門和人員而成立的機(jī)構(gòu)。? 文檔管理人員收集匯總應(yīng)急響應(yīng)相關(guān)報(bào)告、文檔應(yīng)急響應(yīng)事件知識(shí)庫(kù)維護(hù)? 知識(shí)庫(kù)管理員負(fù)責(zé)維護(hù)應(yīng)急響應(yīng)體系知識(shí)庫(kù)? 聯(lián)絡(luò)員負(fù)責(zé)與各部門之間的聯(lián)系負(fù)責(zé)與相關(guān)機(jī)構(gòu)（中國(guó)病毒應(yīng)急響應(yīng)中心、CVE、CNCERT、病毒廠商、國(guó)內(nèi)專業(yè)安全廠商）的聯(lián)系接收?qǐng)?bào)警事件? 培訓(xùn)人員負(fù)責(zé)日常的安全意識(shí)、技能的培訓(xùn)6 安全規(guī)劃總結(jié)通過(guò)以上的 XXX 銀行網(wǎng)絡(luò)安全規(guī)劃建議，我們能夠在 XXX 銀行的生產(chǎn)網(wǎng)初步建立一個(gè)信息安全保障體系。28 / 307 產(chǎn)品配置清單區(qū)域 產(chǎn)品數(shù)量部署位置 簡(jiǎn)要說(shuō)明防火墻1省核心與省聯(lián)社辦公網(wǎng)接口處防火墻的主要作用是隔離生產(chǎn)網(wǎng)與辦公網(wǎng)絡(luò)，防止兩網(wǎng)間發(fā)生攻擊、非法訪問(wèn)、資料竊取等行