【正文】 防止攻擊、非法訪問、資料竊取等行為發(fā)生。并能夠讓用戶在此基礎(chǔ)上建立起完善的安全管理體系與安全服務(wù)體系。防火墻3省核心與各地市聯(lián)社生產(chǎn)網(wǎng)、各相關(guān)業(yè)務(wù)單位接口處防火墻的主要作用是隔離省生產(chǎn)網(wǎng)與各地市生產(chǎn)網(wǎng)、各相關(guān)業(yè)務(wù)單位網(wǎng)。在此基礎(chǔ)上通過安全管理平臺的建設(shè)建立獨(dú)立的安全管理中心。? 執(zhí)行組長：可由主管安全的部門負(fù)責(zé)人來擔(dān)任。應(yīng)急響應(yīng)是解決網(wǎng)絡(luò)系統(tǒng)安全問題的有效安全服務(wù)手段之一。風(fēng)險評估的具體目標(biāo)包括：? 準(zhǔn)確地獲得 XXX 銀行計算機(jī)系統(tǒng)安全現(xiàn)狀；? 獲得 XXX 銀行計算機(jī)系統(tǒng)風(fēng)險現(xiàn)狀，為安全對策框架設(shè)計提供依據(jù)。 信 息 安 全 現(xiàn) 狀 信 息 安 全 建 設(shè)工 程 建 議 書信 息 網(wǎng) 絡(luò) 安 全功 能 的 增 強(qiáng)信 息 安 全 狀 況 的 全面 改 善信 息 安 全 建 設(shè) 的效 果 檢 驗微 弱 風(fēng) 險逐 步 積 累圖 動態(tài)信息安全體系建設(shè)過程動態(tài)信息安全體系建設(shè)是一個周期性的循環(huán)過程，每個建設(shè)周期都是以安全策略為核心，以風(fēng)險評估為開端，通過需求確認(rèn)、網(wǎng)絡(luò)安全功能建設(shè)、完善信息安全管理/策略、風(fēng)險復(fù)審、風(fēng)險積累的過程，建立信息安全體系。對系統(tǒng)進(jìn)行基于業(yè)務(wù)的監(jiān)控管理，包括：資產(chǎn)管理、流程管理、知識管理等。集成安全監(jiān)控管理技術(shù)的優(yōu)點(diǎn)：? 延伸了傳統(tǒng)安全產(chǎn)品集成的功能，充分讓每一條有效的安全報警信息得到完善的分析和處理；? 融合網(wǎng)絡(luò)管理、安全管理、運(yùn)維管理思想于一體，充分發(fā)揮各類安全技術(shù)的功效；21 / 30? 實現(xiàn)安全事件的閉環(huán)管理，最強(qiáng)有力的實現(xiàn)安全管理的技術(shù)輔助手段。同時大量的垃圾報警信息，也加重了管理員的工作負(fù)擔(dān)，導(dǎo)致管理員容易疏忽很多真正有用的信息，這也導(dǎo)致信息淹沒。網(wǎng)絡(luò)結(jié)構(gòu)及安全設(shè)備部署方式如下圖：圖 地市聯(lián)社生產(chǎn)網(wǎng)安全解決方案部署圖 區(qū)縣聯(lián)社生產(chǎn)網(wǎng)安全建議區(qū)縣聯(lián)社生產(chǎn)業(yè)務(wù)網(wǎng)絡(luò)與辦公業(yè)務(wù)網(wǎng)絡(luò)核心交換機(jī)之間設(shè)置一套防火墻系統(tǒng)，對從辦公網(wǎng)絡(luò)特定用戶到生產(chǎn)網(wǎng)絡(luò)特定區(qū)域上特定主機(jī)的訪問行為進(jìn)行控制，同時除必須開放的連接外，禁止任何從生產(chǎn)網(wǎng)主動向辦公網(wǎng)發(fā)起的訪問請求。對來自各分支機(jī)構(gòu)網(wǎng)絡(luò)的訪問行為進(jìn)行控制。在內(nèi)層防火墻與內(nèi)網(wǎng)核心交換機(jī)之間串聯(lián)一組 UTM 設(shè)備，啟用 IPS 功能和防病毒功能，抵御來自互聯(lián)網(wǎng)及網(wǎng)銀區(qū)域的病毒、蠕蟲、惡意代碼及其他攻擊，雙機(jī)熱備。根據(jù) XXX 銀行的網(wǎng)絡(luò)結(jié)構(gòu)和區(qū)域劃分，我們將分別針對網(wǎng)上銀行、省和地市生產(chǎn)業(yè)務(wù)網(wǎng)絡(luò)進(jìn)行安全體系設(shè)計。12 / 304．入侵防御系統(tǒng)在生產(chǎn)網(wǎng)與網(wǎng)上銀行網(wǎng)絡(luò)之間、辦公網(wǎng)與互聯(lián)網(wǎng)之間分別部署入侵防御系統(tǒng)，對外界網(wǎng)絡(luò)黑客利用防火墻為合法的用戶訪問而開放的端口穿透防火墻對內(nèi)網(wǎng)發(fā)起的各種高級、復(fù)雜的攻擊行為進(jìn)行檢測和阻斷。即異常檢測，包括通過對在特定時間間隔內(nèi)超流量、超連接的數(shù)據(jù)包進(jìn)行檢測等方式，實現(xiàn)對 DoS、掃描等攻擊事件的檢測。根據(jù)實際業(yè)務(wù)需要定制相關(guān)規(guī)則，可以定義哪些主機(jī)或網(wǎng)段可以或不可以訪問網(wǎng)絡(luò)上的特定資源，可以定義訪問時間段，對特定的非法訪問行為或除特定合法訪問行為之外的所有訪問行為進(jìn)行監(jiān)控，一旦發(fā)現(xiàn)違規(guī)行為則根據(jù)事先定義的響應(yīng)策略進(jìn)行報警、阻斷或聯(lián)動的相應(yīng)，以保證只有授權(quán)用戶才可以訪問特定網(wǎng)絡(luò)資源。具體建議如下： 網(wǎng)絡(luò)層安全建議1．網(wǎng)絡(luò)訪問控制 ? 劃分安全域 為了提高銀行網(wǎng)絡(luò)的安全性和可靠性，在省聯(lián)社總部、各地市聯(lián)社、各區(qū)縣聯(lián)社、分理處對不同系統(tǒng)劃分不同安全域。安全產(chǎn)品的功能相對比較狹窄，往往用于解決一類安全問題，因此僅僅通過部署安全產(chǎn)品很難完全覆蓋銀行信息安全問題；? 信息安全問題不是靜態(tài)的，它總是隨著銀行策略、組織架構(gòu)、信息系統(tǒng)和操作流程的改變而改變。網(wǎng)上銀行因業(yè)務(wù)需要必須連接互聯(lián)網(wǎng)，但只允許互聯(lián)網(wǎng)用戶對網(wǎng)銀門戶網(wǎng)站的訪問以及認(rèn)證用戶對網(wǎng)銀 WEB 服務(wù)器的訪問，生產(chǎn)業(yè)務(wù)服務(wù)器和終端不允許采取任何手段直接訪問互聯(lián)網(wǎng)或通過網(wǎng)銀網(wǎng)絡(luò)間接訪問互聯(lián)網(wǎng)。4 / 302 網(wǎng)絡(luò)結(jié)構(gòu)調(diào)整與安全域劃分對于 XXX 銀行生產(chǎn)網(wǎng)絡(luò)來說，首要的一點(diǎn)就是應(yīng)該根據(jù)國家有關(guān)部門對相關(guān)規(guī)定，將整個生產(chǎn)網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)結(jié)構(gòu)的優(yōu)化和安全域的劃分，從結(jié)構(gòu)上實現(xiàn)對安全等級化保護(hù)。（二）地市聯(lián)社生產(chǎn)網(wǎng)絡(luò)? 地市聯(lián)社生產(chǎn)網(wǎng)絡(luò)是二級網(wǎng)絡(luò)，通過兩條互為備份的專線與省聯(lián)社中心網(wǎng)絡(luò)互連。本次對 XXX 銀行網(wǎng)絡(luò)的安全規(guī)劃僅限于生產(chǎn)網(wǎng)以及與生產(chǎn)網(wǎng)安全相關(guān)的網(wǎng)絡(luò)部分，因此下面我們著重對 XXX 銀行的生產(chǎn)網(wǎng)構(gòu)架做一個詳細(xì)描述。整個網(wǎng)絡(luò)隨著業(yè)務(wù)的不斷擴(kuò)展和應(yīng)用的增加，已經(jīng)形成了一個橫縱聯(lián)系，錯綜復(fù)雜的網(wǎng)絡(luò)。而對于 XXX 銀行網(wǎng)絡(luò)來說，生產(chǎn)網(wǎng)是網(wǎng)絡(luò)中最重要的部分，所有的應(yīng)用也業(yè)務(wù)系統(tǒng)都部署在生產(chǎn)網(wǎng)上。? 操作系統(tǒng)主要有：OS/400、AIX、Linux、Windows，以及其它設(shè)備的專用系統(tǒng)。 由于區(qū)縣聯(lián)社及分理處的網(wǎng)絡(luò)目前還處在組網(wǎng)的初級階段，網(wǎng)絡(luò)構(gòu)造簡單且還沒有能力進(jìn)行完善的網(wǎng)絡(luò)安全建設(shè)和管理，因此本次規(guī)劃主要是對省及地市聯(lián)社的網(wǎng)絡(luò)安全部分。初步規(guī)劃將省聯(lián)社生產(chǎn)網(wǎng)絡(luò)劃分成多個具備不同安全等級的區(qū)域，參考公安部發(fā)布的《信息系統(tǒng)安全保護(hù)等級定級指南》 ，我們對安全區(qū)域劃分和定級的建議如下：安全區(qū)域 說明 定級建議生產(chǎn)區(qū)域 包含一線業(yè)務(wù)服務(wù)器主機(jī) 3 級MIS 區(qū)域 包含二線業(yè)務(wù)服務(wù)器主機(jī) 2 級網(wǎng)上銀行區(qū)域 包含網(wǎng)上銀行業(yè)務(wù)服務(wù)器主機(jī) 2 級運(yùn)行管理區(qū)域包含維護(hù)網(wǎng)絡(luò)信息系統(tǒng)有效運(yùn)行的管理服務(wù)器主機(jī)和管理終端2 級測試區(qū)域包含新開發(fā)的生產(chǎn)應(yīng)用的測試環(huán)境，可視為準(zhǔn)生產(chǎn)環(huán)境1 級辦公服務(wù)器區(qū)域 包含辦公業(yè)務(wù)系統(tǒng)服務(wù)器主機(jī) 2 級對于各地市、區(qū)縣聯(lián)社和各營業(yè)網(wǎng)點(diǎn)也需要將生產(chǎn)業(yè)務(wù)和辦公業(yè)務(wù)嚴(yán)格區(qū)分開，并進(jìn)行邏輯隔離，確保生產(chǎn)區(qū)域具有較高安全級別。中國國內(nèi)各家銀行也已經(jīng)開始進(jìn)行信息安體系建設(shè)，其中最主要的措施就是采購了大量安全產(chǎn)品，包括防火墻、入侵檢測系統(tǒng)、防病毒和身份認(rèn)證系統(tǒng)等。根據(jù)實際項目進(jìn)度安排，我們將分別對網(wǎng)上銀行系統(tǒng)、生產(chǎn)業(yè)務(wù)系統(tǒng)進(jìn)行分析。以旁路監(jiān)聽方式秘密運(yùn)行，使攻擊者無法感知到。系統(tǒng)維護(hù)一個強(qiáng)大的蠕蟲特征庫，用戶可以定期更新，確保能夠檢測到最新的蠕蟲事件。通過詳盡的審計記錄，可以在系統(tǒng)遭到惡意攻擊后，提供證據(jù)以提起法律訴訟。同時得到的掃描日志還可以提供給安全管理中心，作為對整個網(wǎng)絡(luò)健康狀況評估的一部分，使得管理員能夠機(jī)制準(zhǔn)確的把握網(wǎng)絡(luò)的運(yùn)行狀況。三層交換機(jī)提供缺省網(wǎng)關(guān)和局域網(wǎng)路由功能。在總行生產(chǎn)業(yè)務(wù)網(wǎng)絡(luò)與辦公業(yè)務(wù)網(wǎng)絡(luò)核心交換機(jī)之間設(shè)置一套雙機(jī)防火墻系統(tǒng)，對從辦公網(wǎng)絡(luò)特定用戶到生產(chǎn)網(wǎng)絡(luò)特定區(qū)域上特定主機(jī)的訪問行為進(jìn)行控制，同時除必須開放的連接外，禁止任何從生產(chǎn)網(wǎng)主動向辦公網(wǎng)發(fā)起的訪問請求。采用 IDS 設(shè)備，分別連接到地市生產(chǎn)網(wǎng)兩臺核心交換機(jī)上，監(jiān)視和防范內(nèi)網(wǎng)上的違規(guī)訪問行為，主要監(jiān)聽進(jìn)出生產(chǎn)區(qū)域及來自辦公網(wǎng)、下級單位和協(xié)作單位的流量。 網(wǎng)絡(luò)安全管理平臺建議 部署網(wǎng)絡(luò)安全管理平臺的必要性傳統(tǒng)安全技術(shù)和產(chǎn)品集成的有如下缺點(diǎn)：? 需要大量人為參與的判斷。出于上述原因，我們認(rèn)為在未來的信息安全建設(shè)中，綜合安全監(jiān)控和管理平臺將倍受尊崇，真正讓安全建設(shè)做到完善的“可見、可控、可管理” 。我們所部署的網(wǎng)絡(luò)安全管理平臺應(yīng)該具備以下一些功能：? 管理對象被監(jiān)控管理的目標(biāo)包括：網(wǎng)絡(luò)系統(tǒng)、服務(wù)器主機(jī)、數(shù)據(jù)庫、安全產(chǎn)品、業(yè)務(wù)應(yīng)用。 建立專業(yè)的安全服務(wù)體系建議在前面的管理層安全建議中我們已經(jīng)提出，應(yīng)該“借助專業(yè)的第三方服務(wù)，在安全管理平臺的基礎(chǔ)上建立 XXX 銀行安全運(yùn)營中心，對 XXX 銀行安全保障體系的建設(shè)起到推動作用，確保 XXX 銀行信息網(wǎng)絡(luò)信息系統(tǒng)內(nèi)部不發(fā)生安全事件、少發(fā)生安全事件或者發(fā)生安全事件時能夠及時處理減少由22 / 30于安全事件帶來的損失” 。在全面現(xiàn)狀調(diào)查中，XXX 銀行的計算機(jī)系統(tǒng)的場所、環(huán)境、網(wǎng)絡(luò)、網(wǎng)絡(luò)設(shè)備、主機(jī)、操作系統(tǒng)、數(shù)據(jù)庫、中間件、應(yīng)用軟件、業(yè)務(wù)流程、管理制度和組織機(jī)構(gòu)將得到全面的調(diào)研。對人員的適用范圍包括所有與 XXX 銀行信息系統(tǒng)的各方面相關(guān)聯(lián)的人員，它適用于全部應(yīng)用 XXX 銀行的員工，全部 XXX 銀行范圍內(nèi)容的維護(hù)人員，集成商，軟件開發(fā)商，產(chǎn)品提供商，顧問，臨時工，商務(wù)伙伴和使用農(nóng)行信息系統(tǒng)的其他第三方。建立應(yīng)急響應(yīng)組織應(yīng)急響應(yīng)組織是為了有效處理安全事件，協(xié)調(diào)各相關(guān)部門和人員而成立的機(jī)構(gòu)。? 文檔管理人員收集匯總應(yīng)急響應(yīng)相關(guān)報告、文檔應(yīng)急響應(yīng)事件知識庫維護(hù)? 知識庫管理員負(fù)責(zé)維護(hù)應(yīng)急響應(yīng)體系知識庫? 聯(lián)絡(luò)員負(fù)責(zé)與各部門之間的聯(lián)系負(fù)責(zé)與相關(guān)機(jī)構(gòu)（中國病毒應(yīng)急響應(yīng)中心、CVE、CNCERT、病毒廠商、國內(nèi)專業(yè)安全廠商）的聯(lián)系接收報警事件? 培訓(xùn)人員負(fù)責(zé)日常的安全意識、技能的培訓(xùn)6 安全規(guī)劃總結(jié)通過以上的 XXX 銀行網(wǎng)絡(luò)安全規(guī)劃建議，我們能夠在 XXX 銀行的生產(chǎn)網(wǎng)初步建立一個信息安全保障體系。28 / 307 產(chǎn)品配置清單區(qū)域 產(chǎn)品數(shù)量部署位置 簡要說明防火墻1省核心與省聯(lián)社辦公網(wǎng)接口處防火墻的主要作用是隔離生產(chǎn)網(wǎng)與辦公網(wǎng)絡(luò)，防止兩網(wǎng)間發(fā)生攻擊、非法訪問、資料竊取等行