【正文】 幫助用戶依托安全管理中心建立完整的安全管理體系和規(guī)章制度。生產(chǎn)網(wǎng)絡(luò)病毒防護(hù)系統(tǒng)生產(chǎn)網(wǎng)全部計(jì)算機(jī)及服務(wù)器進(jìn)行全網(wǎng)絡(luò)病毒防護(hù)防火墻1區(qū)縣網(wǎng)絡(luò)核心與區(qū)縣聯(lián)社辦公網(wǎng)接口處防火墻的主要作用是隔離生產(chǎn)網(wǎng)與辦公網(wǎng)絡(luò)，防止兩網(wǎng)間發(fā)生攻擊、非法訪問、資料竊取等行為發(fā)生。防火墻2地市網(wǎng)絡(luò)核心與省/區(qū)縣聯(lián)社生產(chǎn)網(wǎng)接口處地市網(wǎng)絡(luò)核心與相關(guān)業(yè)務(wù)網(wǎng)絡(luò)接口處防火墻的主要作用是隔離地市中心網(wǎng)絡(luò)中其它相關(guān)網(wǎng)絡(luò)對生產(chǎn)網(wǎng)業(yè)務(wù)群的訪問。實(shí)現(xiàn)了安全信息管理、集成、分析等主要中心功能，還提供了異構(gòu)安全信息管理功能。入侵檢測系統(tǒng)省生產(chǎn)網(wǎng)核心以及重要的服務(wù)器前對生產(chǎn)網(wǎng)進(jìn)行重點(diǎn)的安全保障。由于是部署在一個(gè)非常重要并且流量很大的關(guān)鍵節(jié)點(diǎn)，因此需要部署一型性能先進(jìn)的防火墻產(chǎn)品防火墻2省核心與省聯(lián)社測試子網(wǎng)、MIS 子網(wǎng)接口處省核心與網(wǎng)上銀行服務(wù)器群接口處省核心與安全管理中心接口處防火墻的主要作用是隔離省中心網(wǎng)絡(luò)中其它相關(guān)網(wǎng)絡(luò)對生產(chǎn)網(wǎng)關(guān)鍵業(yè)務(wù)群的訪問。通過建立完善的，符合用戶實(shí)際情況的安全管理制度，保障整個(gè)安全管理中心的順利運(yùn)行。本次的安全體系建設(shè)包括的范圍為：? 省聯(lián)社生產(chǎn)網(wǎng)，包括省聯(lián)社網(wǎng)上銀行網(wǎng)絡(luò)和生產(chǎn)業(yè)務(wù)網(wǎng)絡(luò)。? 常設(shè)崗位（安全管理員/文檔管理員/聯(lián)絡(luò)員）：由專門的應(yīng)急響應(yīng)技術(shù)人員擔(dān)任，負(fù)責(zé)發(fā)現(xiàn)、預(yù)警、記錄、報(bào)告、響應(yīng)安全事件。應(yīng)急響應(yīng)組織的組織結(jié)構(gòu)如下圖所示：25 / 30 圖 應(yīng)急響應(yīng)組織結(jié)構(gòu)應(yīng)急響應(yīng)組織主要由應(yīng)急響應(yīng)組組長、執(zhí)行組組長、常設(shè)應(yīng)急響應(yīng)崗位和應(yīng)急崗位等組成。識別出現(xiàn)安全事件的場景包括：? 非授權(quán)訪問，通過入侵的方式進(jìn)入到未被授權(quán)訪問的網(wǎng)絡(luò)中，而導(dǎo)致數(shù)據(jù)信息泄漏；? 信息泄密，數(shù)據(jù)在傳輸中因數(shù)據(jù)被截取、篡改、分析等而造成信息的泄漏；? 拒絕服務(wù)，正常用戶不能正常訪問服務(wù)器提供的相關(guān)服務(wù)；? 系統(tǒng)性能嚴(yán)重下降，有不明的進(jìn)程運(yùn)行并占用大量的 CPU 處理時(shí)間；? 在系統(tǒng)日志中發(fā)現(xiàn)非法登錄者；? 發(fā)現(xiàn)系統(tǒng)感染計(jì)算機(jī)病毒；? 發(fā)現(xiàn)有人在不斷強(qiáng)行嘗試登錄系統(tǒng)；? 系統(tǒng)中出現(xiàn)不明的新用戶賬號；? 管理員收到來自其它站點(diǎn)系統(tǒng)管理員的警告信，指出系統(tǒng)可能被威脅；? 文件的訪問權(quán)限被修改；? 因安全漏洞導(dǎo)致的系統(tǒng)問題；? 其它的入侵行為。安全策略體系建立的價(jià)值在于：? 推進(jìn)信息安全管理體系的建立–安全策略和制度體系的建設(shè)–安全組織體系的建設(shè)–安全運(yùn)作體系的建設(shè)? 規(guī)范信息安全規(guī)劃、采購、建設(shè)、維護(hù)和管理工作，推進(jìn)信息安全的規(guī)范化和制度化建設(shè)在前面的章節(jié)中，我們已經(jīng)對 XXX 銀行的網(wǎng)絡(luò)進(jìn)行了安全策略制定以及方案設(shè)計(jì)的詳細(xì)描述，因此在這里就不做過多地闡述。安全方針的目標(biāo)是為信息安全管理提供清晰的策略方向，闡明信息安全建設(shè)和管理的重要原則，闡明信息安全的所需支持和承諾。? 風(fēng)險(xiǎn)評估23 / 30風(fēng)險(xiǎn)評估的目的是了解 XXX 銀行計(jì)算機(jī)系統(tǒng)的安全現(xiàn)狀，以便在安全體系的實(shí)施過程進(jìn)行需求分析和解決方案設(shè)計(jì)。 現(xiàn)狀調(diào)查和風(fēng)險(xiǎn)評估現(xiàn)狀調(diào)查和風(fēng)險(xiǎn)評估是建立安全農(nóng)行計(jì)算機(jī)安全體系的基礎(chǔ)和關(guān)鍵，在整個(gè) XXX 銀行網(wǎng)絡(luò)安全建設(shè)項(xiàng)目過程中，現(xiàn)狀調(diào)查和風(fēng)險(xiǎn)評估的工作量占了很大比例，現(xiàn)狀調(diào)查和風(fēng)險(xiǎn)評估的深度直接影響安全體系能否與 XXX 銀行實(shí)際情況相一致且具有可操作性。專業(yè)的安全服務(wù)是建立一個(gè)能夠持續(xù)運(yùn)行，動(dòng)態(tài)更新的網(wǎng)絡(luò)安全體系的技術(shù)保障。內(nèi)容包括：拓?fù)湔故?、設(shè)備發(fā)現(xiàn)、管理工具? 安全管理網(wǎng)絡(luò)安全運(yùn)行管理中心的核心內(nèi)容，從安全策略管理、事件管理、脆弱性管理、風(fēng)險(xiǎn)管理、配置管理等方面，實(shí)現(xiàn)安全管理。按照不同的KBP 關(guān)鍵業(yè)務(wù)點(diǎn)來劃分進(jìn)行資產(chǎn)管理。因此我們應(yīng)該首先將省聯(lián)社網(wǎng)絡(luò)建設(shè)成為一個(gè)高度安全，高度可管理的安全網(wǎng)絡(luò)。而對于 XXX 銀行來說，我們必須在網(wǎng)絡(luò)內(nèi)部署大量的安全產(chǎn)品。 ? 需要安全維護(hù)人員高度的責(zé)任心的協(xié)助管理員需要積極主動(dòng)的去查看各類安全產(chǎn)品的報(bào)警信息，才能及時(shí)地發(fā)現(xiàn)安全事件，并著手去解決。比如一個(gè)報(bào)警事件是否準(zhǔn)確需要人為的判斷。對來自上級分行和各分支機(jī)構(gòu)網(wǎng)絡(luò)的訪問行為進(jìn)行控制。各地市生產(chǎn)網(wǎng)到總行生產(chǎn)網(wǎng)以及區(qū)縣生產(chǎn)網(wǎng)、分理處等營業(yè)網(wǎng)點(diǎn)之間采用一套雙機(jī)防火墻系統(tǒng)提供安全控制。網(wǎng)上銀行網(wǎng)絡(luò)與生產(chǎn)網(wǎng)絡(luò)之間的訪問通過兩臺互備的 UTM 設(shè)備進(jìn)行監(jiān)控。采用千兆 IDS 設(shè)備，分別連接到總行生產(chǎn)網(wǎng)兩臺核心交換機(jī)上，監(jiān)視和防范內(nèi)網(wǎng)上的違規(guī)訪問行為，主要監(jiān)聽進(jìn)出生產(chǎn)區(qū)域及來自辦公網(wǎng)、下級單位和協(xié)作單位的流量?？傂泄芾碇行木W(wǎng)絡(luò)與核心交換機(jī)之間不署一套防火墻系統(tǒng)，提供安全控制。使用一臺網(wǎng)絡(luò)入侵檢測設(shè)備，提供雙引擎，分別連接到網(wǎng)銀 WEB 區(qū)域和網(wǎng)銀 DB 區(qū)域的兩臺交換機(jī)上進(jìn)行監(jiān)控，對網(wǎng)絡(luò)上傳輸?shù)拿舾袛?shù)據(jù)包（包括 SSL 加密數(shù)據(jù)）進(jìn)行深層分析，可有效地發(fā)現(xiàn)防火墻無法識別的特殊的應(yīng)用層攻擊行為。網(wǎng)銀區(qū)域與 Inter 之間設(shè)置一套防火墻系統(tǒng)（外層防火墻） ，采用雙機(jī)熱備結(jié)構(gòu)，通過二層交換機(jī)連接抗 DoS 攻擊設(shè)備，將網(wǎng)銀 WEB 服務(wù)器保護(hù)在防火墻的一個(gè)單獨(dú)的安全區(qū)域中，并通過兩臺三層交換機(jī)連接內(nèi)部網(wǎng)絡(luò)。 系統(tǒng)層安全建議6．病毒防范系統(tǒng) 在 XXX 銀行網(wǎng)絡(luò)系統(tǒng)可能的病毒攻擊點(diǎn)或通道中部署全方位的病毒防范系統(tǒng)，包括在網(wǎng)上銀行互聯(lián)網(wǎng)出口、網(wǎng)上銀行區(qū)域與業(yè)務(wù)區(qū)域之間、辦公區(qū)域的互聯(lián)網(wǎng)出口處部署網(wǎng)關(guān)級防病毒設(shè)備，在整個(gè)網(wǎng)絡(luò)中的所有 WINDOWS 服務(wù)器和客戶端計(jì)算機(jī)上部署相應(yīng)平臺的網(wǎng)絡(luò)版防病毒軟件并配置防病毒系統(tǒng)管理中心對所有主機(jī)上的防病毒軟件進(jìn)行集中管理、監(jiān)控、統(tǒng)一升級、集中查殺毒。5．漏洞掃描系統(tǒng)在生產(chǎn)網(wǎng)上部署一套漏洞掃描系統(tǒng)，定期對整個(gè)網(wǎng)絡(luò)，特別是關(guān)鍵主機(jī)及網(wǎng)絡(luò)設(shè)備進(jìn)行漏洞掃描。 ? 多網(wǎng)段同時(shí)監(jiān)控。通過解碼基于 SSL 加密的通訊數(shù)據(jù)，分析、檢測基于 SSL加密通訊的攻擊行為，從而可以保護(hù)提供 SSL 加密訪問的網(wǎng)銀 WEB 服務(wù)器的安全性。對于存在系統(tǒng)漏洞但尚未發(fā)現(xiàn)相關(guān)蠕蟲事件的情況，通過分析漏洞來提供相關(guān)的入侵事件規(guī)則，最大限度地解決蠕蟲發(fā)現(xiàn)滯后的問題。提供詳盡、細(xì)粒度的應(yīng)用協(xié)議分析技術(shù)，實(shí)現(xiàn)應(yīng)用層攻擊檢測，可自動(dòng)檢測網(wǎng)絡(luò)實(shí)時(shí)數(shù)據(jù)流中符合特征的攻擊行為，系統(tǒng)維護(hù)一個(gè)強(qiáng)大的攻擊特征庫，用戶可以定期更新，確保能夠檢測到最新的攻擊事件。黑客常常在沒有覺察的情況下被抓獲，因?yàn)樗麄儾恢浪麄円恢笔艿矫芮斜O(jiān)視。根據(jù)對 XXX 銀行整體網(wǎng)絡(luò)的區(qū)域劃分，我們將在不同安全域邊界采用不同的訪問控制措施：? 在生產(chǎn)網(wǎng)與辦公網(wǎng)之間采用防火墻提供訪問控制，只允許業(yè)務(wù)相關(guān)的訪問，拒絕其他所有訪問；? 在生產(chǎn)網(wǎng)與網(wǎng)上銀行網(wǎng)絡(luò)之間采用防火墻提供訪問控制，只允許業(yè)務(wù)相關(guān)的訪問，拒絕其他所有訪問；? 在生產(chǎn)網(wǎng)與相關(guān)單位網(wǎng)絡(luò)之間采用防火墻提供訪問控制，只允許業(yè)務(wù)相關(guān)的訪問，拒絕其他所有訪問；? 在網(wǎng)上銀行網(wǎng)絡(luò)與互聯(lián)網(wǎng)之間采用防火墻提供訪問控制，除允許互聯(lián)網(wǎng)用戶訪問網(wǎng)銀門戶網(wǎng)站、允許互聯(lián)網(wǎng)認(rèn)證用戶訪問網(wǎng)銀 WEB 及允許網(wǎng)銀 WEB 服務(wù)器/SSL 加速器訪問互聯(lián)網(wǎng)上的 CFCA 之外，拒絕其他所有訪問；? 在生產(chǎn)網(wǎng)的生產(chǎn)區(qū)域（一線業(yè)務(wù)）與其他區(qū)域之間采用防火墻提供訪問控制，只允許業(yè)務(wù)相關(guān)的訪問，拒絕其他所有訪問；? 在生產(chǎn)網(wǎng)的其他各區(qū)域之間利用三層交換機(jī)劃分虛擬子網(wǎng)及進(jìn)行簡單包過濾，做到較簡單的訪問控制；11 / 302．防拒絕服務(wù)攻擊在網(wǎng)上銀行系統(tǒng)與 Inter 出口邊界處，配備抗 DoS 攻擊網(wǎng)關(guān)系統(tǒng)，以抵御來自互聯(lián)網(wǎng)的各種拒絕服務(wù)攻擊和分布式拒絕服務(wù)攻擊。7 / 30 網(wǎng)上銀行安全風(fēng)險(xiǎn)和安全需求針對目前最常見的互聯(lián)網(wǎng)攻擊類型以及國內(nèi)外網(wǎng)上銀行系統(tǒng)通常面臨的安全威脅，結(jié)合 XXX 銀行的實(shí)際情況，我們認(rèn)為在 XXX 銀行網(wǎng)上銀行網(wǎng)絡(luò)可能面臨的安全風(fēng)險(xiǎn)和對應(yīng)的安全需求如下：序號 風(fēng)險(xiǎn)名稱 受影響對象 安全需求1 漏洞操作系統(tǒng)，數(shù)據(jù)庫系統(tǒng)，應(yīng)用軟件評估、加固（打補(bǔ)丁，安裝加固軟件）2 網(wǎng)頁篡改網(wǎng)銀 WEB 和門戶WEB 服務(wù)器打補(bǔ)丁，安裝防篡改軟件，內(nèi)容過濾3 網(wǎng)絡(luò)仿冒 網(wǎng)銀客戶培訓(xùn)客戶的安全防護(hù)意識（安裝 IE 反釣魚插件；認(rèn)清銀行網(wǎng)站，不在虛假站點(diǎn)中填寫 ID 和密碼；采用 CA 認(rèn)證和 SSL 加密）4 蠕蟲和病毒所有 windows 和linux 平臺客戶端：建議或強(qiáng)制安裝防病毒軟件/插件服務(wù)器：安裝相應(yīng)平臺防病毒軟件網(wǎng)銀 WEB 區(qū)域與互聯(lián)網(wǎng)之間：防病毒網(wǎng)關(guān)網(wǎng)銀與核心層之間：防病毒網(wǎng)關(guān)5非法入侵和攻擊（網(wǎng)絡(luò)級、應(yīng)用級）所有網(wǎng)段防火墻、IDS（需檢測應(yīng)用級攻擊及 SSL加密攻擊）6 拒絕服務(wù)攻擊 網(wǎng)銀 WEB 區(qū)域 抗 DOS 攻擊產(chǎn)品7網(wǎng)頁惡意代碼（木馬、間諜軟件、廣告軟件、撥號器（dialers） 、key logger、密碼破解工具和遠(yuǎn)程控制程序等）網(wǎng)銀客戶windows，ie 瀏覽器（linux 不受影響）培訓(xùn)客戶的安全防護(hù)意識（在計(jì)算機(jī)上安裝防病毒工具并及時(shí)更新；采用相對安