【正文】 。區(qū)縣聯(lián)社生產(chǎn)網(wǎng)絡(luò)病毒防護(hù)系統(tǒng)生產(chǎn)網(wǎng)全部計(jì)算機(jī)及服務(wù)器進(jìn)行全網(wǎng)絡(luò)病毒防護(hù)安全服務(wù) 對(duì)全網(wǎng)進(jìn)行安全評(píng)估，系統(tǒng)加固，應(yīng)急響應(yīng)等安全服務(wù)體系建設(shè)。防火墻2區(qū)縣網(wǎng)絡(luò)核心與上級(jí)/下級(jí)聯(lián)社生產(chǎn)網(wǎng)接口處防火墻的主要作用是隔離區(qū)縣中心網(wǎng)絡(luò)中其它相關(guān)網(wǎng)絡(luò)對(duì)生產(chǎn)網(wǎng)業(yè)務(wù)群的訪問(wèn)。作為防火墻的補(bǔ)充，提供更高強(qiáng)度的安全防護(hù)，并與防火墻聯(lián)動(dòng)，阻斷各種入侵和攻擊行為。防止攻擊、非法訪問(wèn)、資料竊取等行為發(fā)生。防火墻（外網(wǎng)）網(wǎng)上銀行系統(tǒng)與 Inter之間控制來(lái)自外網(wǎng)的訪問(wèn)，只允許授權(quán)用戶訪問(wèn)網(wǎng)銀服務(wù)的特定 IP 和端口，并通過(guò) NAT 屏蔽服務(wù)器真實(shí)地址防火墻（內(nèi)網(wǎng)）網(wǎng)銀 WEB 區(qū)域與后臺(tái)數(shù)據(jù)庫(kù)/應(yīng)用服務(wù)器區(qū)域及信息中心網(wǎng)絡(luò)之間一方面控制網(wǎng)銀 WEB 服務(wù)區(qū)與后臺(tái) APP 服務(wù)區(qū)之間的訪問(wèn)，只允許來(lái)自網(wǎng)銀 WEB 區(qū)服務(wù)器發(fā)起的特定訪問(wèn)，禁止其他一切數(shù)據(jù)通訊；另一方面控制網(wǎng)銀 DB/APP 服務(wù)區(qū)與內(nèi)部生產(chǎn)區(qū)域之間的訪問(wèn)，只允許應(yīng)用相關(guān)的特定訪問(wèn)，禁止其他一切數(shù)據(jù)通訊抗 DoS攻擊系統(tǒng)網(wǎng)銀區(qū)域與 Inter 之間對(duì)來(lái)自互聯(lián)網(wǎng)的 DDoS 攻擊流量進(jìn)行清除，同時(shí)保證正常訪問(wèn)流量的通過(guò)入侵監(jiān)測(cè)系統(tǒng)網(wǎng)銀 WEB 區(qū)域和網(wǎng)銀 DB區(qū)域的兩臺(tái)交換機(jī)上對(duì)網(wǎng)絡(luò)上傳輸?shù)拿舾袛?shù)據(jù)包（包括 SSL 加密數(shù)據(jù)）進(jìn)行深層分析，可有效地發(fā)現(xiàn)防火墻無(wú)法識(shí)別的特殊的應(yīng)用層攻擊行為省網(wǎng)上銀行網(wǎng)絡(luò)UTM內(nèi)層防火墻與內(nèi)網(wǎng)核心交換機(jī)之間抵御來(lái)自互聯(lián)網(wǎng)及網(wǎng)銀區(qū)域的病毒、蠕蟲(chóng)、惡意代碼及其他攻擊地市聯(lián)社 防火墻 地市網(wǎng)絡(luò)核心與地市聯(lián)社 防火墻的主要作用是隔離生產(chǎn)網(wǎng)與辦公網(wǎng)絡(luò)，防止兩網(wǎng)間發(fā)生攻擊、非法訪問(wèn)、資料竊取等行30 / 301 辦公網(wǎng)接口處 為發(fā)生。能夠?yàn)橛脩籼峁┤娴陌踩芾斫鉀Q方案。29 / 30病毒防護(hù)系統(tǒng)省生產(chǎn)網(wǎng)全部計(jì)算機(jī)及服務(wù)器進(jìn)行全網(wǎng)絡(luò)病毒防護(hù)SOC 系統(tǒng)省生產(chǎn)網(wǎng)安全管理中心SOC（安全管理中心）系統(tǒng)是一款綜合性產(chǎn)品，能夠和事件關(guān)聯(lián)、實(shí)時(shí)工具、案例管理、良好的報(bào)警提示系統(tǒng)、CVE 知識(shí)庫(kù)、漏洞掃描以及實(shí)時(shí)的資產(chǎn)管理比較好的結(jié)合起來(lái)。作為防火墻的補(bǔ)充，提供更高強(qiáng)度的安全防護(hù)，并與防火墻聯(lián)動(dòng)，阻斷各種入侵和攻擊行為。對(duì)網(wǎng)之間進(jìn)行嚴(yán)格的訪問(wèn)控制，防止攻擊、非法訪問(wèn)、資料竊取等行為發(fā)生。防止攻擊、非法訪問(wèn)、資料竊取等行為發(fā)生。28 / 307 產(chǎn)品配置清單區(qū)域 產(chǎn)品數(shù)量部署位置 簡(jiǎn)要說(shuō)明防火墻1省核心與省聯(lián)社辦公網(wǎng)接口處防火墻的主要作用是隔離生產(chǎn)網(wǎng)與辦公網(wǎng)絡(luò)，防止兩網(wǎng)間發(fā)生攻擊、非法訪問(wèn)、資料竊取等行為發(fā)生。最后通過(guò)專業(yè)的安全服務(wù)體系，以強(qiáng)大的專家技術(shù)保障為后盾，實(shí)現(xiàn)對(duì)整個(gè)網(wǎng)絡(luò)的動(dòng)態(tài)監(jiān)控和應(yīng)急響應(yīng)。將所部屬的安全設(shè)備結(jié)合起來(lái)27 / 30進(jìn)行有效的管理并實(shí)現(xiàn)互動(dòng)，發(fā)揮所有設(shè)備的最大功效并使得用戶能夠隨時(shí)掌握網(wǎng)絡(luò)安全狀況。? 地市聯(lián)社生產(chǎn)網(wǎng)整個(gè)信息安全體系從三個(gè)層次進(jìn)行了建設(shè)：首先通過(guò)安全域的劃分明確了信息安全保障的重點(diǎn)和層次；其次通過(guò)必要的網(wǎng)絡(luò)結(jié)構(gòu)調(diào)整和產(chǎn)品部署，建立了生產(chǎn)網(wǎng)的網(wǎng)絡(luò)邊界訪問(wèn)控制體系，網(wǎng)絡(luò)抗攻擊和入侵深層防護(hù)體系，漏洞防護(hù)體系和網(wǎng)絡(luò)防病毒體系等基礎(chǔ)防護(hù)體系。? 文檔管理人員收集匯總應(yīng)急響應(yīng)相關(guān)報(bào)告、文檔應(yīng)急響應(yīng)事件知識(shí)庫(kù)維護(hù)? 知識(shí)庫(kù)管理員負(fù)責(zé)維護(hù)應(yīng)急響應(yīng)體系知識(shí)庫(kù)? 聯(lián)絡(luò)員負(fù)責(zé)與各部門之間的聯(lián)系負(fù)責(zé)與相關(guān)機(jī)構(gòu)（中國(guó)病毒應(yīng)急響應(yīng)中心、CVE、CNCERT、病毒廠商、國(guó)內(nèi)專業(yè)安全廠商）的聯(lián)系接收?qǐng)?bào)警事件? 培訓(xùn)人員負(fù)責(zé)日常的安全意識(shí)、技能的培訓(xùn)6 安全規(guī)劃總結(jié)通過(guò)以上的 XXX 銀行網(wǎng)絡(luò)安全規(guī)劃建議，我們能夠在 XXX 銀行的生產(chǎn)網(wǎng)初步建立一個(gè)信息安全保障體系。職責(zé)劃分? 應(yīng)急響應(yīng)組組長(zhǎng)接受執(zhí)行組長(zhǎng)的報(bào)告，作決策工作分配，協(xié)調(diào)整個(gè)事件的處理過(guò)程? 執(zhí)行組長(zhǎng)接收?qǐng)?bào)告，判斷是安全問(wèn)題抑或安全事件選擇人員建立緊急事件響應(yīng)小組制定應(yīng)急響應(yīng)計(jì)劃應(yīng)急響應(yīng)驗(yàn)收、監(jiān)督? 常設(shè)崗位系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)、業(yè)務(wù)方面的安全專家在應(yīng)急響應(yīng)過(guò)程中，作為應(yīng)急響應(yīng)小組成員，實(shí)施應(yīng)急響應(yīng)計(jì)劃。? 應(yīng)急崗位（即安全顧問(wèn)）：發(fā)生緊急事件，需要臨時(shí)抽調(diào)的安全專家，精通業(yè)務(wù)流程并熟知系統(tǒng)及網(wǎng)絡(luò)結(jié)構(gòu)的資深安全專家擔(dān)任，也可以是外聘的專業(yè)安全服務(wù)公司。? 應(yīng)急響應(yīng)組組長(zhǎng)：可由山西網(wǎng)通的高管層擔(dān)任。建立應(yīng)急響應(yīng)組織應(yīng)急響應(yīng)組織是為了有效處理安全事件，協(xié)調(diào)各相關(guān)部門和人員而成立的機(jī)構(gòu)。XXX 銀行要制訂應(yīng)急響應(yīng)演練計(jì)劃，明確應(yīng)急響應(yīng)組織、響應(yīng)人員、人員職責(zé)、響應(yīng)方式、工作內(nèi)容，定期對(duì)相關(guān)人員進(jìn)行應(yīng)急響應(yīng)培訓(xùn)，定期組織應(yīng)急響應(yīng)演練。其目的就是最快速度恢復(fù)系統(tǒng)的保密性、完整性和可用性，阻止和減小安全事件帶來(lái)的影響。24 / 30 安全應(yīng)急響應(yīng)方案安全事件響應(yīng)的概念和基本流程應(yīng)急響應(yīng)也叫緊急響應(yīng)，是安全事件發(fā)生后迅速采取的措施和行動(dòng)，它是安全事件響應(yīng)的一種快速實(shí)現(xiàn)方式 。對(duì)人員的適用范圍包括所有與 XXX 銀行信息系統(tǒng)的各方面相關(guān)聯(lián)的人員，它適用于全部應(yīng)用 XXX 銀行的員工，全部 XXX 銀行范圍內(nèi)容的維護(hù)人員，集成商，軟件開(kāi)發(fā)商，產(chǎn)品提供商，顧問(wèn)，臨時(shí)工，商務(wù)伙伴和使用農(nóng)行信息系統(tǒng)的其他第三方。安全策略是指導(dǎo) XXX 銀行信息系統(tǒng)維護(hù)管理工作的基本依據(jù)，安全管理和維護(hù)管理人員必須認(rèn)真執(zhí)行本規(guī)程，并根據(jù)工作實(shí)際情況，制定并遵守相應(yīng)的安全標(biāo)準(zhǔn)、流程和安全制度實(shí)施細(xì)則，做好安全維護(hù)管理工作。 安全策略制定及方案設(shè)計(jì)為迎接 XXX 銀行業(yè)務(wù)的飛速發(fā)展而帶來(lái)信息安全方面的挑戰(zhàn)，規(guī)范 XXX 銀行信息系統(tǒng)的安全維護(hù)管理，促進(jìn)安全維護(hù)和管理工作體系化、規(guī)范化，提高信息和網(wǎng)絡(luò)服務(wù)質(zhì)量，提高網(wǎng)絡(luò)維護(hù)隊(duì)伍的整體安全素質(zhì)和水平，需要制定安全方針和系列安全制度和規(guī)范。風(fēng)險(xiǎn)評(píng)估過(guò)程包括對(duì) XXX 銀行計(jì)算機(jī)系統(tǒng)的資產(chǎn)安全價(jià)值、弱點(diǎn)嚴(yán)重性、威脅可能性和現(xiàn)有安全措施等進(jìn)行估值，并通過(guò)這些因素計(jì)算風(fēng)險(xiǎn)值。在全面現(xiàn)狀調(diào)查中，XXX 銀行的計(jì)算機(jī)系統(tǒng)的場(chǎng)所、環(huán)境、網(wǎng)絡(luò)、網(wǎng)絡(luò)設(shè)備、主機(jī)、操作系統(tǒng)、數(shù)據(jù)庫(kù)、中間件、應(yīng)用軟件、業(yè)務(wù)流程、管理制度和組織機(jī)構(gòu)將得到全面的調(diào)研。現(xiàn)狀調(diào)查和風(fēng)險(xiǎn)評(píng)估的主要目標(biāo)包括對(duì) XXX 銀行計(jì)算機(jī)系統(tǒng)進(jìn)行全面的現(xiàn)狀調(diào)查、建立保護(hù)對(duì)象框架和根據(jù)保護(hù)對(duì)象框架進(jìn)行風(fēng)險(xiǎn)評(píng)估。對(duì)于現(xiàn)階段的 XXX 銀行網(wǎng)絡(luò)來(lái)說(shuō)，我們建議通過(guò)以下的步驟來(lái)實(shí)現(xiàn)這個(gè)動(dòng)態(tài)的信息安全體系建設(shè)過(guò)程。和關(guān)鍵環(huán)節(jié)。 建立專業(yè)的安全服務(wù)體系建議在前面的管理層安全建議中我們已經(jīng)提出，應(yīng)該“借助專業(yè)的第三方服務(wù)，在安全管理平臺(tái)的基礎(chǔ)上建立 XXX 銀行安全運(yùn)營(yíng)中心，對(duì) XXX 銀行安全保障體系的建設(shè)起到推動(dòng)作用，確保 XXX 銀行信息網(wǎng)絡(luò)信息系統(tǒng)內(nèi)部不發(fā)生安全事件、少發(fā)生安全事件或者發(fā)生安全事件時(shí)能夠及時(shí)處理減少由22 / 30于安全事件帶來(lái)的損失” 。? 輸出通過(guò)報(bào)表、報(bào)警、工單的方式，得出相應(yīng)的輸出。? 網(wǎng)絡(luò)管理網(wǎng)絡(luò)系統(tǒng)作為業(yè)務(wù)應(yīng)用的載體，對(duì)其的監(jiān)控管理也非常重要，我們采用網(wǎng)管技術(shù)對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行監(jiān)控管理。? 運(yùn)維管理網(wǎng)絡(luò)安全的最重要目標(biāo)就是保障系統(tǒng)的安全、可靠的運(yùn)行，也就是保障業(yè)務(wù)的連續(xù)運(yùn)行，這也是我們所熟知的安全三性中的可用性。我們所部署的網(wǎng)絡(luò)安全管理平臺(tái)應(yīng)該具備以下一些功能：? 管理對(duì)象被監(jiān)控管理的目標(biāo)包括：網(wǎng)絡(luò)系統(tǒng)、服務(wù)器主機(jī)、數(shù)據(jù)庫(kù)、安全產(chǎn)品、業(yè)務(wù)應(yīng)用。我們建議在第一階段只在省中心部署一套網(wǎng)絡(luò)安全管理平臺(tái)。 網(wǎng)絡(luò)安全管理平臺(tái)部署建議對(duì)于 XXX 銀行網(wǎng)絡(luò)來(lái)說(shuō)，我們應(yīng)該本著重點(diǎn)防護(hù)，分步實(shí)施的策略來(lái)進(jìn)行我們的安全建設(shè)。因此，我們急需一個(gè)真正的綜合性安全管理平臺(tái)來(lái)使得整個(gè)網(wǎng)絡(luò)的安全建設(shè)實(shí)現(xiàn)可見(jiàn)、可控和可管理。出于上述原因，我們認(rèn)為在未來(lái)的信息安全建設(shè)中，綜合安全監(jiān)控和管理平臺(tái)將倍受尊崇，真正讓安全建設(shè)做到完善的“可見(jiàn)、可控、可管理” 。? 止步于安全事件的報(bào)警，而沒(méi)有完善的事件處理監(jiān)督考核措施傳統(tǒng)的安全產(chǎn)品集成在向管理員報(bào)告安全事件后，安全系統(tǒng)的功用便宣告結(jié)束，后續(xù)的所有的工作完全依靠管理員去完成，管理員是否去解決這些安全問(wèn)題，無(wú)從考據(jù)和監(jiān)控。? 需要專業(yè)安全人員的分析大多數(shù)安全產(chǎn)品對(duì)報(bào)警事件的語(yǔ)言描述都是專業(yè)安全技術(shù)性的描述，對(duì)管理員的專業(yè)技能要求很高。? 存在信息淹沒(méi)的可能性大量安全產(chǎn)品的報(bào)警信息導(dǎo)致管理員無(wú)法一一察看和分析，從而導(dǎo)致信息淹沒(méi)。 網(wǎng)絡(luò)安全管理平臺(tái)建議 部署網(wǎng)絡(luò)安全管理平臺(tái)的必要性傳統(tǒng)安全技術(shù)和產(chǎn)品集成的有如下缺點(diǎn)：? 需要大量人為參與的判斷。網(wǎng)絡(luò)結(jié)構(gòu)及安全設(shè)備部署方式如下圖：圖 區(qū)縣聯(lián)社生產(chǎn)網(wǎng)安全解決方案部署圖 全行網(wǎng)絡(luò)防病毒系統(tǒng)建議具體的部署建議如下：在 XXX 銀行各級(jí)單位所有 Windows 服務(wù)器上部署服務(wù)器防毒系統(tǒng)，確保服務(wù)器系統(tǒng)不會(huì)成為病毒駐留的平臺(tái)，提高整個(gè)服務(wù)器系統(tǒng)的高可靠性；在 XXX 銀行各級(jí)單位所有 Windows 客戶端上部署客戶端防毒系統(tǒng)，一方面增強(qiáng)客戶端的防毒能力，