freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內容

某銀行生產網絡安全規(guī)劃建議書樣本(編輯修改稿)

2024-08-29 20:58 本頁面
 

【文章內容簡介】 有訪問;? 在生產網與相關單位網絡之間采用防火墻提供訪問控制,只允許業(yè)務相關的訪問,拒絕其他所有訪問;? 在網上銀行網絡與互聯網之間采用防火墻提供訪問控制,除允許互聯網用戶訪問網銀門戶網站、允許互聯網認證用戶訪問網銀 WEB 及允許網銀 WEB 服務器/SSL 加速器訪問互聯網上的 CFCA 之外,拒絕其他所有訪問;? 在生產網的生產區(qū)域(一線業(yè)務)與其他區(qū)域之間采用防火墻提供訪問控制,只允許業(yè)務相關的訪問,拒絕其他所有訪問;? 在生產網的其他各區(qū)域之間利用三層交換機劃分虛擬子網及進行簡單包過濾,做到較簡單的訪問控制;11 / 302.防拒絕服務攻擊在網上銀行系統與 Inter 出口邊界處,配備抗 DoS 攻擊網關系統,以抵御來自互聯網的各種拒絕服務攻擊和分布式拒絕服務攻擊。 3.網絡入侵檢測在網上銀行系統和總行業(yè)務網絡系統中部署入侵檢測系統,實時檢測、分析網絡上的通訊數據流,尤其是對進出安全域邊界或進出存放有涉密信息的關鍵網段、服務器主機的通訊數據流進行監(jiān)控,及時發(fā)現違規(guī)行為和異常行為并進行處理。網絡入侵檢測系統可實現如下功能: ? 網絡信息包嗅探。以旁路監(jiān)聽方式秘密運行,使攻擊者無法感知到。黑客常常在沒有覺察的情況下被抓獲,因為他們不知道他們一直受到密切監(jiān)視。? 網絡訪問監(jiān)控。根據實際業(yè)務需要定制相關規(guī)則,可以定義哪些主機或網段可以或不可以訪問網絡上的特定資源,可以定義訪問時間段,對特定的非法訪問行為或除特定合法訪問行為之外的所有訪問行為進行監(jiān)控,一旦發(fā)現違規(guī)行為則根據事先定義的響應策略進行報警、阻斷或聯動的相應,以保證只有授權用戶才可以訪問特定網絡資源。? 應用層攻擊特征檢測。提供詳盡、細粒度的應用協議分析技術,實現應用層攻擊檢測,可自動檢測網絡實時數據流中符合特征的攻擊行為,系統維護一個強大的攻擊特征庫,用戶可以定期更新,確保能夠檢測到最新的攻擊事件。? 蠕蟲檢測。實時跟蹤當前最新的蠕蟲事件,針對已經發(fā)現的蠕蟲攻擊及時提供相關事件規(guī)則。系統維護一個強大的蠕蟲特征庫,用戶可以定期更新,確保能夠檢測到最新的蠕蟲事件。對于存在系統漏洞但尚未發(fā)現相關蠕蟲事件的情況,通過分析漏洞來提供相關的入侵事件規(guī)則,最大限度地解決蠕蟲發(fā)現滯后的問題。? 可疑網絡活動檢測。即異常檢測,包括通過對在特定時間間隔內超流量、超連接的數據包進行檢測等方式,實現對 DoS、掃描等攻擊事件的檢測。? 檢測隱藏在 SSL 加密通訊中的攻擊。通過解碼基于 SSL 加密的通訊數據,分析、檢測基于 SSL加密通訊的攻擊行為,從而可以保護提供 SSL 加密訪問的網銀 WEB 服務器的安全性。? 日志審計。提供入侵日志和網絡流量日志記錄和綜合分析功能,并提供詳細的分析報告,使網絡管理員可以跟蹤用戶、應用程序等對網絡的使用情況,幫助管理員改進網絡安全策略的規(guī)劃,并提供更精確的網絡安全控制。通過詳盡的審計記錄,可以在系統遭到惡意攻擊后,提供證據以提起法律訴訟。 ? 多網段同時監(jiān)控。入侵探測器支持多個網絡監(jiān)聽口,可以連接到多個網段中進行實時監(jiān)控,我們也可以在不同的網段分別部署多個探測引擎,管理員可以通過集中的管理控制臺對探測器上傳的信息進行統一查看,通過管理器進行綜合分析,并生成報表。12 / 304.入侵防御系統在生產網與網上銀行網絡之間、辦公網與互聯網之間分別部署入侵防御系統,對外界網絡黑客利用防火墻為合法的用戶訪問而開放的端口穿透防火墻對內網發(fā)起的各種高級、復雜的攻擊行為進行檢測和阻斷。IPS 系統工作在第二層到第七層,通常使用特征匹配和異常分析的方法來識別各種網絡攻擊行為,因其是以在線串聯方式部署的,對檢測到的各種攻擊行為均可直接阻斷并生成日志報告和報警信息。5.漏洞掃描系統在生產網上部署一套漏洞掃描系統,定期對整個網絡,特別是關鍵主機及網絡設備進行漏洞掃描。這樣才能及時發(fā)現網絡中存在的漏洞和弱點,及時根據漏洞掃描系統提出的解決方案進行系統加固或安全策略調整。以實現防患于未然的目的。同時得到的掃描日志還可以提供給安全管理中心,作為對整個網絡健康狀況評估的一部分,使得管理員能夠機制準確的把握網絡的運行狀況。 系統層安全建議6.病毒防范系統 在 XXX 銀行網絡系統可能的病毒攻擊點或通道中部署全方位的病毒防范系統,包括在網上銀行互聯網出口、網上銀行區(qū)域與業(yè)務區(qū)域之間、辦公區(qū)域的互聯網出口處部署網關級防病毒設備,在整個網絡中的所有 WINDOWS 服務器和客戶端計算機上部署相應平臺的網絡版防病毒軟件并配置防病毒系統管理中心對所有主機上的防病毒軟件進行集中管理、監(jiān)控、統一升級、集中查殺毒。 管理層安全建議7.綜合安全管理平臺和安全運營中心部署一套有效的網絡安全管理體系,采用集中的安全管理平臺,來對全網進行統一的安全管理和網絡管理,同時借助專業(yè)的第三方服務,在安全管理平臺的基礎上建立 XXX 銀行安全運營中心,對 XXX銀行安全保障體系的建設起到推動作用,確保 XXX 銀行信息網絡信息系統內部不發(fā)生安全事件、少發(fā)生安全事件或者發(fā)生安全事件時能夠及時處理減少由于安全事件帶來的損失。根據 XXX 銀行的網絡結構和區(qū)域劃分,我們將分別針對網上銀行、省和地市生產業(yè)務網絡進行安全體系設計。13 / 3014 / 305 詳細網絡架構及產品部署建議 網上銀行安全建議網上銀行的安全防護方案具體設計如下:在網銀區(qū)域與 Inter 之間插入一套抗 DoS 攻擊系統,對來自互聯網的 DDoS 攻擊流量進行清除,同時保證正常訪問流量的通過。網銀區(qū)域與 Inter 之間設置一套防火墻系統(外層防火墻) ,采用雙機熱備結構,通過二層交換機連接抗 DoS 攻擊設備,將網銀 WEB 服務器保護在防火墻的一個單獨的安全區(qū)域中,并通過兩臺三層交換機連接內部網絡。外層防火墻的主要作用是控制來自外網的訪問,只允許授權用戶訪問網銀服務的特定 IP 和端口,并通過 NAT 屏蔽服務器真實地址。防火墻采用透明工作模式。三層交換機提供缺省網關和局域網路由功能。使用一臺網絡入侵檢測設備,提供雙引擎,分別連接到網銀 WEB 區(qū)域和網銀 DB 區(qū)域的兩臺交換機上進行監(jiān)控,對網絡上傳輸的敏感數據包(包括 SSL 加密數據)進行深層分析,可有效地發(fā)現防火墻無法識別的特殊的應用層攻擊行為。網銀 WEB 區(qū)域與后臺數據庫/應用服務器區(qū)域及信息中心網絡之間設置一套防火墻系統(內層防火墻) ,一方面控制網銀 WEB 服務區(qū)與后臺 APP 服務區(qū)之間的訪問,只允許來自網銀 WEB 區(qū)服務器發(fā)起的特定訪問,禁止其他一切數據通訊;另一方面控制網銀 DB/APP 服務區(qū)與內部生產區(qū)域之間的訪問,只允許應用相關的特定訪問,禁止其他一切數據通訊;采用與外部防火墻異構的防火墻產品,即使攻擊者成功獲得外墻的控制權,也不能輕易攻入業(yè)務網絡。在內層防火墻與內網核心交換機之間串聯一組 UTM 設備,啟用 IPS 功能和防病毒功能,抵御來自互聯網及網銀區(qū)域的病毒、蠕蟲、惡意代碼及其他攻擊,雙機熱備。部署方式如下圖所示:15 / 30圖 網上銀行安全解決方案部署圖16 / 30 省聯社生產網安全建議將信息中心按不同業(yè)務劃分多個網絡區(qū)域??傂泄芾碇行木W絡與核心交換機之間不署一套防火墻系統,提供安全控制。對管理區(qū)域的訪問進行行為控制。總行生產業(yè)務網絡與企業(yè)客戶、協作單位網絡的互聯出口采用一套雙機防火墻系統提供安全控制,對來自外單位網絡的訪問行為進行控制。在總行生產業(yè)務網絡與辦公業(yè)務網絡核心交換機之間設置一套雙機防火墻系統,對從辦公網絡特定用戶到生產網絡特定區(qū)域上特定主機的訪問行為進行控制,同時除必須開放的連接外,禁止任何從生產網主動向辦公網發(fā)起的訪問請求。采用千兆 IDS 設備,分別連接到總行生產網兩臺核心交換機上,監(jiān)視和防范內網上的違規(guī)訪問行為,主要監(jiān)聽進出生產區(qū)域及來自辦公網、下級單位和協作單位的流量。各地市生產網到總行生產網之間采用一套雙機防火墻系統提供安全控制。對來自各分支機構網絡的訪問行為進行控制。區(qū)縣生產網、分理處等營業(yè)網點分別通過上級聯社生產網的轉發(fā)實現對總部數據中心系統的訪問。網上銀行網絡與生產網絡之間的訪問通過兩臺互備的 UTM 設備進行監(jiān)控。網絡結構及安全設備部署方式如下圖: 17 / 30圖 省聯社生產網安全解決方案部署圖18 / 30 地市聯社生產網安全建議地市聯社生產業(yè)務網絡與企業(yè)客戶、協作單位網絡的互聯出口采用一套雙機防火墻系統提供安全控制,對來自外單位網絡的訪問行為進行控制。在地市生產業(yè)務網絡與辦公業(yè)務網絡核心交換機之間設置一套雙機防火墻系統,對從辦公網絡特定用戶到生產網絡特定區(qū)域上特定主機的訪問行為進行控制,同時除必須開放的連接外,禁止任何從生產網主動向辦公網發(fā)起的訪問請求。采用 IDS 設備,分別連接到地市生產網兩臺核心交換機上,監(jiān)視和防范內網上的違規(guī)訪問行為,主要監(jiān)聽進出生產區(qū)域及來自辦公網、下級單位和協作單位的流量。各地市生產網到總行生產網以及區(qū)縣生產網、
點擊復制文檔內容
環(huán)評公示相關推薦
文庫吧 www.dybbs8.com
備案圖片鄂ICP備17016276號-1