【導(dǎo)讀】北京啟明星辰信息技術(shù)股份有限公司©2021版權(quán)所有，保留一切權(quán)力。復(fù)寫本文檔的全部或部分內(nèi)容。并受中國(guó)知識(shí)產(chǎn)權(quán)法和國(guó)際公約的保護(hù)。本文檔及其相關(guān)計(jì)算機(jī)軟件程序僅用于為最終用戶提供信息，并且隨時(shí)可由北京啟明星辰信息技術(shù)股份有限公司更改或撤回。括任何隱含的適銷性、特殊目的適用性或無(wú)侵害性。本文檔中所有引用產(chǎn)品的使用及本文檔均受最終用戶可適用的特許協(xié)議約束。本文檔由北京啟明星辰信息技術(shù)股份有限公司2021年3月制作出版。

　　

【正文】 環(huán)境 域 支行的柜面業(yè)務(wù)（包括 遠(yuǎn)端前置機(jī) 及 ATM）歸屬計(jì)算環(huán)境域一般 服務(wù)區(qū)。計(jì)算環(huán)境域在圖中用綠色標(biāo)出。 ? 支撐設(shè)施 域 監(jiān)控設(shè)備歸屬支撐設(shè)施域操作監(jiān)控區(qū)。支撐設(shè)施域在圖中用紫色標(biāo)出。 安全域規(guī)劃 如下圖所示： 圖 16. 支行安全域網(wǎng)絡(luò)劃分圖 安全域歸屬 對(duì)應(yīng)以上安全域 規(guī)劃 ，結(jié)合 XXXXX當(dāng)前 實(shí)際情況，對(duì)總行數(shù)據(jù)中心的業(yè)務(wù)主機(jī)進(jìn)行對(duì)應(yīng)域歸屬，詳細(xì)清單可參看《安全域主機(jī)清單》。 安全源自未雨綢繆，誠(chéng)信貴在風(fēng)雨同舟 北京啟明星辰信息技術(shù) 股份 有限公司 28 網(wǎng)絡(luò)等級(jí)和層次 每個(gè)大安全域內(nèi)的網(wǎng)絡(luò)根據(jù)提供的業(yè)務(wù)和應(yīng)用的不同，對(duì)安全重要性和等級(jí)的要求也不一樣，因此我們把 XXXXX 網(wǎng)絡(luò)先劃分 為 3 個(gè)等級(jí)的網(wǎng)絡(luò) ： 級(jí)別 安全域 3 級(jí) 核心業(yè)務(wù)系統(tǒng)區(qū)、 核心業(yè)務(wù)前置區(qū) 、 網(wǎng)絡(luò)管理區(qū) 、安全管理區(qū)、監(jiān)控管理區(qū) 2 級(jí) 測(cè)試 網(wǎng)區(qū) 、 MIS 系統(tǒng)區(qū)、 OA 服務(wù)器區(qū) 、 對(duì)外門戶網(wǎng)站區(qū) 、 總行生產(chǎn)網(wǎng)區(qū) 、支 行生產(chǎn)網(wǎng)區(qū) 、離 行生產(chǎn)網(wǎng)區(qū) 1 級(jí) 外聯(lián)應(yīng)用系統(tǒng)區(qū) 、遠(yuǎn)程接入?yún)^(qū)、 生產(chǎn)辦公網(wǎng) 區(qū)、總行 生產(chǎn)辦公網(wǎng) 、支行 生產(chǎn)辦公網(wǎng) 、 OA 網(wǎng)區(qū)、總行 OA 網(wǎng)、支行 OA 網(wǎng)、開(kāi)發(fā)網(wǎng)區(qū)、總行測(cè)試網(wǎng)、 金融通機(jī)具區(qū) 3 個(gè)等級(jí)的網(wǎng)絡(luò)區(qū)域分別用不同顏色、不同深淺程度在安全域網(wǎng)絡(luò)劃分圖中表示，顏色越深代表安全域的級(jí)別越高，反之越低。 安全源自未雨綢繆，誠(chéng)信貴在風(fēng)雨同舟 北京啟明星辰信息技術(shù) 股份 有限公司 29 第 5章 安全域防護(hù)詳細(xì)設(shè)計(jì)方案 安全域邊界識(shí)別 識(shí)別安全域邊界是為信息系統(tǒng)提供安全保護(hù)、設(shè)計(jì)安全策略、控制風(fēng)險(xiǎn)的重要前提。信息系統(tǒng)劃分安全域后，各域業(yè)務(wù)系統(tǒng) 之間訪問(wèn)是通過(guò)邊界進(jìn)行，安全域的邊界 是 其它域或 外界進(jìn)入 信息 網(wǎng)絡(luò) 系統(tǒng) 的主要通道 ，因此域邊界就是信息系統(tǒng)的風(fēng)險(xiǎn)控制點(diǎn)。 經(jīng)過(guò)對(duì) XXXXX 綜合業(yè)務(wù)系統(tǒng)、辦公管理系統(tǒng)、公共信息發(fā)布系統(tǒng)以及開(kāi)發(fā)測(cè)試系統(tǒng)等數(shù)據(jù)流分析和業(yè)務(wù)邏輯分析，由上圖可以識(shí)別出 XXXXX 安全域邊界如下： ? 生產(chǎn)網(wǎng) 邊界 邊界一 ：核心業(yè)務(wù)前置區(qū)訪問(wèn)核心業(yè)務(wù)系統(tǒng)區(qū) 邊界二 ：總行生產(chǎn)網(wǎng)區(qū)訪問(wèn)核心業(yè)務(wù)前置區(qū) 邊界三 ：支行生產(chǎn)網(wǎng)區(qū)訪問(wèn)核心業(yè)務(wù)前置區(qū) 邊界四 ：離行生產(chǎn)網(wǎng)區(qū)訪問(wèn)核心業(yè)務(wù)前置區(qū) 邊界五 ： MIS 系統(tǒng)區(qū)訪問(wèn)核心業(yè)務(wù)前置區(qū) 邊界六 ：外聯(lián)應(yīng)用系統(tǒng)區(qū)訪問(wèn)核心業(yè)務(wù)前置區(qū) 邊界七 ：外聯(lián)單位網(wǎng)絡(luò)訪問(wèn)核心業(yè)務(wù)前 置區(qū) 邊界八 ：外聯(lián)單位網(wǎng)絡(luò)訪問(wèn)外聯(lián)應(yīng)用系統(tǒng)區(qū) 邊界九 ： 金融通機(jī)具網(wǎng) 區(qū)訪問(wèn)外聯(lián)應(yīng)用系統(tǒng)區(qū) 邊界十 ：離行生產(chǎn)網(wǎng)區(qū)訪問(wèn)外聯(lián)應(yīng)用服務(wù)區(qū) 邊界十一 ： 生產(chǎn)辦公網(wǎng) 區(qū)訪問(wèn)生產(chǎn)應(yīng)用服務(wù)區(qū) 邊界十二 ：生產(chǎn)辦公網(wǎng)訪問(wèn)外單位業(yè)務(wù)網(wǎng)絡(luò) 邊界十三 ：核心業(yè)務(wù)前置區(qū)訪問(wèn)測(cè)試網(wǎng)區(qū) 邊界十四 ：總行測(cè)試網(wǎng)區(qū)訪問(wèn)測(cè)試網(wǎng)區(qū) 邊界十五 ：生產(chǎn)辦公網(wǎng)訪問(wèn) MIS 系統(tǒng)區(qū) 邊界十六 ：辦公網(wǎng) OA 系統(tǒng)區(qū)跟生產(chǎn)網(wǎng)數(shù)據(jù)同步區(qū) ? 辦公網(wǎng) 邊界 安全源自未雨綢繆，誠(chéng)信貴在風(fēng)雨同舟 北京啟明星辰信息技術(shù) 股份 有限公司 30 邊界一 ：辦公客戶端網(wǎng)訪問(wèn) OA 系統(tǒng)區(qū) 邊界二 ：總行辦公客戶端網(wǎng)訪問(wèn) OA 系統(tǒng)區(qū) 邊界三 ：開(kāi)發(fā)網(wǎng)區(qū)訪問(wèn)測(cè)試網(wǎng)區(qū) 邊界四 ： Inter（遠(yuǎn)程辦公及維護(hù)）訪問(wèn)遠(yuǎn)程接入?yún)^(qū) ? 互聯(lián)網(wǎng) 邊界 邊界一 ：開(kāi)發(fā)網(wǎng)區(qū)訪問(wèn) Inter 邊界二 ：辦公客戶端網(wǎng) 區(qū)訪問(wèn) Inter 邊界三 ： Inter 訪問(wèn)互聯(lián)網(wǎng)網(wǎng)站區(qū) 域邊界防護(hù)策略 根據(jù)安全域等級(jí)劃分和邊界保護(hù)原則，不同等級(jí)間必須采取相應(yīng)的安全防護(hù)策略。對(duì)于可控子域之間的互訪，安全設(shè)施的部署盡量在高安全等級(jí)側(cè)。對(duì)于與不可控子域間的互訪，不同等級(jí)側(cè)均需部署安全防護(hù)措施。在進(jìn)行等級(jí)保護(hù)的同時(shí)，要定期對(duì)各子域進(jìn)行風(fēng)險(xiǎn)評(píng)估并及時(shí)更新安全防護(hù)措施。 總行數(shù)據(jù)中心網(wǎng)絡(luò) ? 總體策略 總行數(shù)據(jù)中心網(wǎng)絡(luò)總體分為三個(gè)網(wǎng)絡(luò)大區(qū)：生產(chǎn)網(wǎng)、辦公網(wǎng)、互聯(lián)網(wǎng)。其中生產(chǎn)網(wǎng)跟辦公網(wǎng)之間通過(guò)硬件防火墻進(jìn)行邏輯隔離，兩網(wǎng)之間的數(shù)據(jù)傳輸通過(guò)數(shù)據(jù)交換區(qū)進(jìn) 行數(shù)據(jù)交互，并且為單向傳輸；辦公網(wǎng)跟互聯(lián)網(wǎng)區(qū)之間通過(guò)硬件防火墻進(jìn)行邏輯隔離，并且與跟生產(chǎn)網(wǎng)隔離的防火墻為異構(gòu)防火墻。 ? 生產(chǎn)網(wǎng) 生產(chǎn)網(wǎng)中的各子域分為三個(gè)等級(jí)。 核心業(yè)務(wù)系統(tǒng)區(qū)、 核心業(yè)務(wù)前置區(qū) 屬于最高級(jí)第三級(jí)，其中核心業(yè)務(wù)系統(tǒng)區(qū)是綜合業(yè)務(wù)系統(tǒng)的后臺(tái)數(shù)據(jù)處理系統(tǒng)，其訪問(wèn)來(lái)源將嚴(yán)格控制，應(yīng)只被核心業(yè)務(wù)前置區(qū)訪問(wèn)；核心業(yè)務(wù)前置區(qū)是綜合業(yè)務(wù)系統(tǒng)的大前置，應(yīng)只能被二級(jí)網(wǎng)絡(luò)訪問(wèn)，包括總行、支行生產(chǎn)網(wǎng)以及離行 ATM 直接訪問(wèn)。三級(jí)網(wǎng)絡(luò)通過(guò)業(yè)務(wù)邊界硬件防火墻設(shè)置訪問(wèn)控制策略實(shí)現(xiàn)保護(hù)，同時(shí)通過(guò)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng) IDS 及網(wǎng)絡(luò)審計(jì)系統(tǒng)進(jìn)行 實(shí)時(shí)威脅監(jiān)控和業(yè)務(wù)操作記錄。但目前核心業(yè)務(wù)前置可以被外聯(lián)單位直接訪問(wèn)，造成巨大的安全隱患，我們建議對(duì)其 安全源自未雨綢繆，誠(chéng)信貴在風(fēng)雨同舟 北京啟明星辰信息技術(shù) 股份 有限公司 31 架構(gòu)進(jìn)行進(jìn)一步深入的業(yè)務(wù)應(yīng)用架構(gòu)評(píng)估。二級(jí)網(wǎng)絡(luò)包括 測(cè)試網(wǎng)區(qū) 、 MIS 系統(tǒng)區(qū)。另外，還有一級(jí)網(wǎng)絡(luò)包括： 外聯(lián)應(yīng)用系統(tǒng)區(qū) 、 生產(chǎn)辦公網(wǎng) 區(qū)。對(duì)于生產(chǎn)網(wǎng)的核心骨干以及外聯(lián)應(yīng)用系統(tǒng)區(qū)通過(guò) IDS 進(jìn)行實(shí)時(shí)威脅監(jiān)控和檢測(cè)。 對(duì)這些安全域的等級(jí)保護(hù)從業(yè)務(wù)數(shù)據(jù)流角度來(lái)看，要求高等級(jí)安全域允許向低等級(jí)安全域發(fā)起業(yè)務(wù)訪問(wèn)的請(qǐng)求，保證發(fā)送數(shù)據(jù)的機(jī)密性，鑒別低等級(jí)安全域的合法性，對(duì)接受的數(shù)據(jù)進(jìn)行完整性校驗(yàn)，對(duì)業(yè)務(wù)操作進(jìn)行日志記錄與審計(jì)；低等 級(jí)安全域向高等級(jí)安全域只允許受限訪問(wèn)，保證發(fā)送數(shù)據(jù)的完整性，對(duì)業(yè)務(wù)操作進(jìn)行日志記錄與審計(jì)。在基于等級(jí)保護(hù)原則同時(shí)遵循策略最大化原則。 另外， 將網(wǎng)絡(luò)管理、安全管理和業(yè)務(wù)運(yùn)維（業(yè)務(wù)操作監(jiān)控）放置在獨(dú)立的安全域中， 并且 處于獨(dú)立的管理 VLAN中。 ? 辦公網(wǎng) 辦公網(wǎng)中各子域分為兩個(gè)等級(jí)。 OA 服務(wù)器區(qū)為二級(jí)，辦公客戶端及開(kāi)發(fā)網(wǎng)以及遠(yuǎn)程辦公接入網(wǎng)區(qū)為一級(jí)。二級(jí)網(wǎng)絡(luò)通過(guò)硬件防火墻進(jìn)行保護(hù)，允許一級(jí)網(wǎng)絡(luò)訪問(wèn)二級(jí)網(wǎng)絡(luò)的有限服務(wù)資源，如只開(kāi)放 OA 辦公需要的端口和服務(wù)。 終端部署防病毒及桌面終端管理軟件。 ? 互聯(lián)網(wǎng) 互聯(lián)網(wǎng)策略包括三個(gè)部 分。第一部分是辦公客戶端及開(kāi)發(fā)網(wǎng)對(duì)互聯(lián)網(wǎng)的訪問(wèn)進(jìn)行通過(guò)邊界硬件防火墻進(jìn)行策略控制；第二部分是遠(yuǎn)程辦公用戶，通過(guò)動(dòng)態(tài)口令雙因素認(rèn)證撥號(hào)及 VPN 撥號(hào)接入到辦公網(wǎng)的遠(yuǎn)程接入?yún)^(qū)，對(duì)于遠(yuǎn)程接入?yún)^(qū)的策略通過(guò)網(wǎng)絡(luò)入侵監(jiān)測(cè)系統(tǒng) IDS 及審計(jì)進(jìn)行監(jiān)控和記錄；第三部分是 Inter 訪問(wèn)網(wǎng)站及郵件服務(wù)器的防護(hù)策略通過(guò)邊界硬件防火墻實(shí)現(xiàn)，并通過(guò) IDS 進(jìn)行實(shí)時(shí)監(jiān)控。 總行營(yíng)業(yè)部網(wǎng)絡(luò) ? 總體策略 總行營(yíng)業(yè)部的生產(chǎn)網(wǎng)跟辦公網(wǎng)之間是物理隔離。 ? 生產(chǎn)網(wǎng) 總行營(yíng)業(yè)部生產(chǎn)網(wǎng)通過(guò)兩條專線鏈路跟總行數(shù)據(jù)中心生產(chǎn)網(wǎng)進(jìn)行連接，一條作為主線路，一條作為備 份線路。生產(chǎn)網(wǎng)區(qū)域之間通過(guò)劃分不同 VLAN，及交換 安全源自未雨綢繆，誠(chéng)信貴在風(fēng)雨同舟 北京啟明星辰信息技術(shù) 股份 有限公司 32 機(jī) ACL 配置進(jìn)行訪問(wèn)控制。 ? 辦公網(wǎng) 總行營(yíng)業(yè)部辦公網(wǎng)通過(guò)一條專線鏈路連接至總行數(shù)據(jù)中心辦公網(wǎng)。終端部署防病毒及桌面終端管理軟件。 支行網(wǎng)絡(luò) ? 總體策略 支行的生產(chǎn)網(wǎng)跟辦公網(wǎng)之間是物理隔離。 ? 生產(chǎn)網(wǎng) 支行生產(chǎn)網(wǎng)通過(guò)兩條專線鏈路跟總行數(shù)據(jù)中心生產(chǎn)網(wǎng)進(jìn)行連接，一條作為主線路，一條作為備份線路。生產(chǎn)網(wǎng)區(qū)域之間通過(guò)劃分不同 VLAN，及交換機(jī) ACL配置進(jìn)行訪問(wèn)控制。 ? 辦公網(wǎng) 支行辦公網(wǎng)通過(guò)一條專線鏈路連接至總行數(shù)據(jù)中心辦公網(wǎng)。終端部署防病毒及桌面終端管理軟件。 安全產(chǎn)品部 署 邏輯操作 通過(guò)在交換機(jī)上劃分 VLAN/PVLAN 實(shí)現(xiàn)域結(jié)構(gòu)的邏輯邊界分離；不同級(jí)別安全域之間通信數(shù)據(jù)流向控制和邏輯邊界分離采用防火墻實(shí)現(xiàn)；對(duì)于可進(jìn)行網(wǎng)絡(luò)遠(yuǎn)程操作的核心業(yè)務(wù)，需要部署網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)結(jié)合業(yè)務(wù)網(wǎng)審計(jì)系統(tǒng)進(jìn)行網(wǎng)絡(luò)行為和業(yè)務(wù)操作行為的監(jiān)控；提供對(duì)外業(yè)務(wù)和中間業(yè)務(wù)的系統(tǒng)，需要通過(guò)防火墻實(shí)現(xiàn)邏輯邊界分離，并結(jié)合網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)安全風(fēng)險(xiǎn)監(jiān)控；在各個(gè)重要業(yè)務(wù)區(qū)域內(nèi)按需定期進(jìn)行網(wǎng)絡(luò)脆弱性掃描，對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行實(shí)時(shí)風(fēng)險(xiǎn)采集和評(píng)估；不同級(jí)別業(yè)務(wù)系統(tǒng)之間邏輯劃分原則上不能相互嵌套， 兩個(gè)高等級(jí)業(yè)務(wù)系統(tǒng)之 間訪問(wèn)的數(shù)據(jù)不能流經(jīng)低等級(jí)業(yè)務(wù)系統(tǒng)或者無(wú)關(guān)業(yè)務(wù)系統(tǒng) 。 以下部分按照安全域劃分的結(jié)果，分別就邊界接入域、計(jì)算環(huán)境域、網(wǎng)絡(luò)基礎(chǔ)設(shè)施域和支撐性設(shè)施域的安全策略設(shè)計(jì)，結(jié)合安全基線及防護(hù)手段進(jìn)行詳細(xì)描 安全源自未雨綢繆，誠(chéng)信貴在風(fēng)雨同舟 北京啟明星辰信息技術(shù) 股份 有限公司 33 述。 邊界接入域部署 考慮到對(duì)邊界接入域的主要威脅來(lái)自于外部入侵、病毒蠕蟲(chóng)和越權(quán)訪問(wèn)，邊界接入域的防護(hù)手段主要采取訪問(wèn)控制、安全遠(yuǎn)程接入和入侵檢測(cè)。 在外聯(lián)、互連和內(nèi)聯(lián)邊界通過(guò)防火墻、接入交換機(jī)針對(duì)訪問(wèn)內(nèi)部業(yè)務(wù)需要的不同業(yè)務(wù)端口，采用訪問(wèn)控制列表進(jìn)行訪問(wèn)控制，以實(shí)現(xiàn)邏輯邊界隔離； 原通過(guò)撥號(hào)進(jìn)行設(shè)備維護(hù)的遠(yuǎn)程用戶改為通過(guò) 點(diǎn)對(duì)端 VPN+動(dòng)態(tài)口令的接入方式，從 Inter 接入的遠(yuǎn)程辦公用戶鏈路采用 IPSec 加密，結(jié)合動(dòng)態(tài)口令認(rèn)證， VPN 網(wǎng)關(guān)的 RADIUS 服務(wù)器可使用原網(wǎng)絡(luò)管理區(qū)的 ACS Server，不推薦遠(yuǎn)程用戶直接對(duì)內(nèi)部網(wǎng)絡(luò)主機(jī)進(jìn)行操作，但設(shè)計(jì)預(yù)留將來(lái)對(duì)主機(jī)進(jìn)行操作的邏輯網(wǎng)絡(luò)通道，保證網(wǎng)絡(luò)的可擴(kuò)展性； 由于邊界接入點(diǎn)較多且呈分散狀態(tài)，在邊界接入域內(nèi)不直接部署 IDS，而在網(wǎng)絡(luò)骨干交換上部署 IDS 監(jiān)控所有從邊界到內(nèi)部的入侵和攻擊行為，在對(duì)外和對(duì)公服務(wù)器區(qū)部署 IDS 監(jiān)控對(duì)服務(wù)器群的入侵和攻擊行為，將在以下的章節(jié)中具體描述。 計(jì)算環(huán)境域部署 考慮到對(duì)計(jì)算環(huán)境域的主要威脅主要來(lái)自于內(nèi)部人員的越權(quán)、濫用、操作失誤和抵賴等，計(jì)算環(huán)境域的防護(hù)手段主要采取基于應(yīng)用并結(jié)合身份認(rèn)證的行為審計(jì)，輔助以訪問(wèn)控制和入侵檢測(cè)等手段。 在核心計(jì)算區(qū)的業(yè)務(wù)核心系統(tǒng)和核心應(yīng)用系統(tǒng)分別部署一套啟明星辰天闐網(wǎng)絡(luò)入侵檢測(cè)與管理系統(tǒng)，用以監(jiān)控外部對(duì)核心計(jì)算區(qū)可能存在的入侵和攻擊行為，實(shí)時(shí)監(jiān)控并采集當(dāng)前核心計(jì)算區(qū)發(fā)生的安全事件和安全趨勢(shì)，并上報(bào)至安全管理中心進(jìn)行區(qū)域風(fēng)險(xiǎn)分析； 在 2 個(gè)核心計(jì)算區(qū)中分別部署一套啟明星辰天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)， 根據(jù)制定的安全審計(jì)策略進(jìn)行審計(jì) 響應(yīng) ，對(duì)業(yè)務(wù)系統(tǒng)核心系統(tǒng)和核心應(yīng)用系統(tǒng)實(shí)現(xiàn)命令級(jí)別、訪問(wèn)邏輯級(jí)別的的認(rèn)證和審計(jì)；天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)可以精確地記錄對(duì)核心計(jì)算區(qū)內(nèi)服務(wù)器的任何訪問(wèn)，并對(duì)可疑的訪問(wèn)實(shí)時(shí)告警。 安全源自未雨綢繆，誠(chéng)信貴在風(fēng)雨同舟 北京啟明星辰信息技術(shù) 股份 有限公司 34 另外在 2 個(gè)核心計(jì)算區(qū)中定時(shí)進(jìn)行網(wǎng)絡(luò) 脆弱性掃描 和檢測(cè)，將當(dāng)前業(yè)務(wù)系統(tǒng)的風(fēng)險(xiǎn)漏洞趨勢(shì)以及分類統(tǒng)計(jì)信息上報(bào)至安全管理中心進(jìn)行區(qū)域脆弱性分析； OA 服務(wù)器所在核心計(jì)算區(qū)的入侵檢測(cè)和脆弱性掃描，由部署在核心交換上的啟明星辰天闐網(wǎng)絡(luò)入侵檢測(cè)和掃描系統(tǒng)以及啟明星辰天鏡網(wǎng)絡(luò)脆弱性掃描系統(tǒng)完成； 在對(duì)公提供業(yè)務(wù)的 DMZ 服務(wù)器區(qū)和對(duì)外提供業(yè)務(wù)的對(duì)外服務(wù)器區(qū)這 2 個(gè)重要服務(wù)器區(qū)分別部署一套啟明星辰天闐網(wǎng)絡(luò)入侵檢測(cè)與管理系統(tǒng)，實(shí)現(xiàn)與核心計(jì)算區(qū)相同的功能監(jiān)控功能； 位于總行和分行營(yíng)業(yè)部前置機(jī)作為重要服務(wù)區(qū)的“飛地”，同樣要采取與其他位于總行網(wǎng)絡(luò)數(shù)據(jù)中心的重要服務(wù)器區(qū)相同的安全策略，前置機(jī)的入侵檢測(cè)和網(wǎng)絡(luò)脆弱性分析，采用部署在核心交換上的一套啟明星辰天闐網(wǎng)絡(luò)入侵檢測(cè)與管理系統(tǒng)和啟明星辰天鏡分布式網(wǎng)絡(luò)脆弱性掃描與管理系統(tǒng)實(shí)現(xiàn)，實(shí)現(xiàn)與總行網(wǎng)絡(luò)數(shù)據(jù)中心重要服務(wù)器區(qū)相同的功能。 網(wǎng)絡(luò)基礎(chǔ)設(shè)施域部署 考慮到對(duì)網(wǎng)絡(luò)基礎(chǔ)設(shè)施域的主要威脅來(lái)自于網(wǎng)絡(luò)設(shè)備故障、網(wǎng)絡(luò)泄密以及物理環(huán)境安全性的 威脅，網(wǎng)絡(luò)基礎(chǔ)設(shè)施域的防護(hù)手段主要采取基于保密性的網(wǎng)絡(luò)傳輸加密、基于完整性的網(wǎng)絡(luò)認(rèn)證和基于可用性的備份及冗余等手段。 在 XXXXX 目前的網(wǎng)絡(luò)結(jié)構(gòu)中，重要設(shè)備均采用了雙機(jī)雙鏈路的部署方式，對(duì)于總行網(wǎng)絡(luò)數(shù)據(jù)中心內(nèi)部的網(wǎng)絡(luò)設(shè)備維護(hù)，可以采用帶外管理，通過(guò)串口連接進(jìn)行操作；網(wǎng)絡(luò)內(nèi)有啟用路由協(xié)議的網(wǎng)絡(luò)設(shè)備，建議開(kāi)啟兩端設(shè)備的路由協(xié)議認(rèn)證功能，使用交換機(jī)連接的鏈路，開(kāi)啟兩端設(shè)備的 MAC 地址綁定功能；位于總行營(yíng)業(yè)部和分行的網(wǎng)絡(luò)設(shè)備維護(hù)，需要通過(guò)網(wǎng)絡(luò)登錄的，建議采用結(jié)合 AAA 或者動(dòng)態(tài)口令的登錄認(rèn)證方式。 支撐性設(shè)施域部署 考慮到對(duì)支撐性設(shè)施域的主要威脅來(lái)自于網(wǎng)絡(luò)傳輸泄密、非授權(quán)訪問(wèn)和濫用以及內(nèi)部人員抵賴，支撐性設(shè)施域的防護(hù)手段主要采取帶外管理和網(wǎng)絡(luò)加密、身份認(rèn)證和訪問(wèn)控制以及審計(jì)和檢測(cè)等手段。 安全源自未雨綢繆，誠(chéng)信貴在風(fēng)雨同舟 北京啟明星辰信息技術(shù) 股份 有限公司 35 在操作監(jiān)控區(qū)部分，將原來(lái)使用撥號(hào)登錄維護(hù)服務(wù)器的方式重新設(shè)計(jì)為通過(guò)撥入 VPN 網(wǎng)關(guān)連接到維護(hù)服務(wù)器再通過(guò)串口連接 Terminal Server 進(jìn)行帶外管理的方式：利舊原 A/S 路由器作為 Terminal Server，實(shí)現(xiàn)帶外管理，移動(dòng)辦公用戶的網(wǎng)絡(luò)連接終結(jié)于維護(hù)服務(wù)器，維護(hù)服務(wù)器至 Terminal Server 至管理目標(biāo)設(shè)備的鏈路均為串 口，在帶外管理模式下，網(wǎng)絡(luò)的管理控制信息與生產(chǎn)網(wǎng)絡(luò)相脫離，通過(guò)不同的邏輯信道傳送，大幅提高了管理安全性； 由于 SOC 核心服務(wù)器、運(yùn)維工作站和各安全設(shè)備的控制臺(tái)以及 CA、