【正文】 另一方面保證客戶端不為因?yàn)椴《締栴}而帶給管理員極大的工作量；防病毒系統(tǒng)采用集中和分布相結(jié)合的管理模式，總行辦公網(wǎng)服務(wù)器區(qū)域中設(shè)置一臺(tái)防病毒管理中心服務(wù)器，提供集中的策略制定和下發(fā)，管理總行辦公網(wǎng)的所有防病毒客戶端；生產(chǎn)網(wǎng)運(yùn)行管理區(qū)域中設(shè)置一臺(tái)防病毒管理分中心服務(wù)器，管理生產(chǎn)網(wǎng)的所有防病毒客戶端（包括總部、支行、網(wǎng)點(diǎn)） ，以及與上級(jí)管理中心進(jìn)行通信；各管轄支行辦公網(wǎng)中分別設(shè)置一臺(tái)防病毒管理分中心服務(wù)器，管理本網(wǎng)的所有防病毒客戶端，以及與上級(jí)管理中心進(jìn)行通信；這樣做的好處是防止了因軟件或策略下發(fā)時(shí)帶來的帶寬消耗和減小安全隱患；辦公網(wǎng)防病毒管理中心服務(wù)器定期從互聯(lián)網(wǎng)進(jìn)行升級(jí)，生產(chǎn)網(wǎng)防病毒管理分中心服務(wù)器、各支行防病毒管理分中心服務(wù)器均從管理中心服務(wù)器獲得升級(jí)碼；各防毒服務(wù)器負(fù)責(zé)向所管轄范圍內(nèi)所有防病毒客戶端分發(fā)升級(jí)碼。19 / 30各區(qū)縣聯(lián)社生產(chǎn)網(wǎng)到上級(jí)分行生產(chǎn)網(wǎng)以及分理處等營(yíng)業(yè)網(wǎng)點(diǎn)之間采用一套雙機(jī)防火墻系統(tǒng)提供安全控制。對(duì)來自總行和各分支機(jī)構(gòu)網(wǎng)絡(luò)的訪問行為進(jìn)行控制。采用 IDS 設(shè)備，分別連接到地市生產(chǎn)網(wǎng)兩臺(tái)核心交換機(jī)上，監(jiān)視和防范內(nèi)網(wǎng)上的違規(guī)訪問行為，主要監(jiān)聽進(jìn)出生產(chǎn)區(qū)域及來自辦公網(wǎng)、下級(jí)單位和協(xié)作單位的流量。網(wǎng)絡(luò)結(jié)構(gòu)及安全設(shè)備部署方式如下圖： 17 / 30圖 省聯(lián)社生產(chǎn)網(wǎng)安全解決方案部署圖18 / 30 地市聯(lián)社生產(chǎn)網(wǎng)安全建議地市聯(lián)社生產(chǎn)業(yè)務(wù)網(wǎng)絡(luò)與企業(yè)客戶、協(xié)作單位網(wǎng)絡(luò)的互聯(lián)出口采用一套雙機(jī)防火墻系統(tǒng)提供安全控制，對(duì)來自外單位網(wǎng)絡(luò)的訪問行為進(jìn)行控制。區(qū)縣生產(chǎn)網(wǎng)、分理處等營(yíng)業(yè)網(wǎng)點(diǎn)分別通過上級(jí)聯(lián)社生產(chǎn)網(wǎng)的轉(zhuǎn)發(fā)實(shí)現(xiàn)對(duì)總部數(shù)據(jù)中心系統(tǒng)的訪問。各地市生產(chǎn)網(wǎng)到總行生產(chǎn)網(wǎng)之間采用一套雙機(jī)防火墻系統(tǒng)提供安全控制。在總行生產(chǎn)業(yè)務(wù)網(wǎng)絡(luò)與辦公業(yè)務(wù)網(wǎng)絡(luò)核心交換機(jī)之間設(shè)置一套雙機(jī)防火墻系統(tǒng)，對(duì)從辦公網(wǎng)絡(luò)特定用戶到生產(chǎn)網(wǎng)絡(luò)特定區(qū)域上特定主機(jī)的訪問行為進(jìn)行控制，同時(shí)除必須開放的連接外，禁止任何從生產(chǎn)網(wǎng)主動(dòng)向辦公網(wǎng)發(fā)起的訪問請(qǐng)求。對(duì)管理區(qū)域的訪問進(jìn)行行為控制。部署方式如下圖所示：15 / 30圖 網(wǎng)上銀行安全解決方案部署圖16 / 30 省聯(lián)社生產(chǎn)網(wǎng)安全建議將信息中心按不同業(yè)務(wù)劃分多個(gè)網(wǎng)絡(luò)區(qū)域。網(wǎng)銀 WEB 區(qū)域與后臺(tái)數(shù)據(jù)庫/應(yīng)用服務(wù)器區(qū)域及信息中心網(wǎng)絡(luò)之間設(shè)置一套防火墻系統(tǒng)（內(nèi)層防火墻） ，一方面控制網(wǎng)銀 WEB 服務(wù)區(qū)與后臺(tái) APP 服務(wù)區(qū)之間的訪問，只允許來自網(wǎng)銀 WEB 區(qū)服務(wù)器發(fā)起的特定訪問，禁止其他一切數(shù)據(jù)通訊；另一方面控制網(wǎng)銀 DB/APP 服務(wù)區(qū)與內(nèi)部生產(chǎn)區(qū)域之間的訪問，只允許應(yīng)用相關(guān)的特定訪問，禁止其他一切數(shù)據(jù)通訊；采用與外部防火墻異構(gòu)的防火墻產(chǎn)品，即使攻擊者成功獲得外墻的控制權(quán)，也不能輕易攻入業(yè)務(wù)網(wǎng)絡(luò)。三層交換機(jī)提供缺省網(wǎng)關(guān)和局域網(wǎng)路由功能。外層防火墻的主要作用是控制來自外網(wǎng)的訪問，只允許授權(quán)用戶訪問網(wǎng)銀服務(wù)的特定 IP 和端口，并通過 NAT 屏蔽服務(wù)器真實(shí)地址。13 / 3014 / 305 詳細(xì)網(wǎng)絡(luò)架構(gòu)及產(chǎn)品部署建議 網(wǎng)上銀行安全建議網(wǎng)上銀行的安全防護(hù)方案具體設(shè)計(jì)如下：在網(wǎng)銀區(qū)域與 Inter 之間插入一套抗 DoS 攻擊系統(tǒng)，對(duì)來自互聯(lián)網(wǎng)的 DDoS 攻擊流量進(jìn)行清除，同時(shí)保證正常訪問流量的通過。 管理層安全建議7．綜合安全管理平臺(tái)和安全運(yùn)營(yíng)中心部署一套有效的網(wǎng)絡(luò)安全管理體系，采用集中的安全管理平臺(tái)，來對(duì)全網(wǎng)進(jìn)行統(tǒng)一的安全管理和網(wǎng)絡(luò)管理，同時(shí)借助專業(yè)的第三方服務(wù)，在安全管理平臺(tái)的基礎(chǔ)上建立 XXX 銀行安全運(yùn)營(yíng)中心，對(duì) XXX銀行安全保障體系的建設(shè)起到推動(dòng)作用，確保 XXX 銀行信息網(wǎng)絡(luò)信息系統(tǒng)內(nèi)部不發(fā)生安全事件、少發(fā)生安全事件或者發(fā)生安全事件時(shí)能夠及時(shí)處理減少由于安全事件帶來的損失。同時(shí)得到的掃描日志還可以提供給安全管理中心，作為對(duì)整個(gè)網(wǎng)絡(luò)健康狀況評(píng)估的一部分，使得管理員能夠機(jī)制準(zhǔn)確的把握網(wǎng)絡(luò)的運(yùn)行狀況。這樣才能及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中存在的漏洞和弱點(diǎn)，及時(shí)根據(jù)漏洞掃描系統(tǒng)提出的解決方案進(jìn)行系統(tǒng)加固或安全策略調(diào)整。IPS 系統(tǒng)工作在第二層到第七層，通常使用特征匹配和異常分析的方法來識(shí)別各種網(wǎng)絡(luò)攻擊行為，因其是以在線串聯(lián)方式部署的，對(duì)檢測(cè)到的各種攻擊行為均可直接阻斷并生成日志報(bào)告和報(bào)警信息。入侵探測(cè)器支持多個(gè)網(wǎng)絡(luò)監(jiān)聽口，可以連接到多個(gè)網(wǎng)段中進(jìn)行實(shí)時(shí)監(jiān)控，我們也可以在不同的網(wǎng)段分別部署多個(gè)探測(cè)引擎，管理員可以通過集中的管理控制臺(tái)對(duì)探測(cè)器上傳的信息進(jìn)行統(tǒng)一查看，通過管理器進(jìn)行綜合分析，并生成報(bào)表。通過詳盡的審計(jì)記錄，可以在系統(tǒng)遭到惡意攻擊后，提供證據(jù)以提起法律訴訟。? 日志審計(jì)。? 檢測(cè)隱藏在 SSL 加密通訊中的攻擊。? 可疑網(wǎng)絡(luò)活動(dòng)檢測(cè)。系統(tǒng)維護(hù)一個(gè)強(qiáng)大的蠕蟲特征庫，用戶可以定期更新，確保能夠檢測(cè)到最新的蠕蟲事件。? 蠕蟲檢測(cè)。? 應(yīng)用層攻擊特征檢測(cè)。? 網(wǎng)絡(luò)訪問監(jiān)控。以旁路監(jiān)聽方式秘密運(yùn)行，使攻擊者無法感知到。 3．網(wǎng)絡(luò)入侵檢測(cè)在網(wǎng)上銀行系統(tǒng)和總行業(yè)務(wù)網(wǎng)絡(luò)系統(tǒng)中部署入侵檢測(cè)系統(tǒng)，實(shí)時(shí)檢測(cè)、分析網(wǎng)絡(luò)上的通訊數(shù)據(jù)流，尤其是對(duì)進(jìn)出安全域邊界或進(jìn)出存放有涉密信息的關(guān)鍵網(wǎng)段、服務(wù)器主機(jī)的通訊數(shù)據(jù)流進(jìn)行監(jiān)控，及時(shí)發(fā)現(xiàn)違規(guī)行為和異常行為并進(jìn)行處理。 ? 訪問控制措施 對(duì)安全等級(jí)較高的安全域，在其邊界部署防火墻，對(duì)安全等級(jí)較低的安全域的邊界則可以使用VLAN 或訪問控制列表來代替。 ）8 / 308僵尸網(wǎng)絡(luò)（DDOS、垃圾郵件、網(wǎng)頁仿冒、網(wǎng)頁攻擊的被動(dòng)發(fā)起者）互聯(lián)網(wǎng)上大量不安全的主機(jī)可能成為僵尸，被利用來向網(wǎng)銀進(jìn)行攻擊通過上述手段加強(qiáng)自身防護(hù) 生產(chǎn)業(yè)務(wù)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和安全需求對(duì)于生產(chǎn)業(yè)務(wù)網(wǎng)絡(luò)而言，可能存在的安全風(fēng)險(xiǎn)和對(duì)應(yīng)的安全需求如下：序號(hào) 風(fēng)險(xiǎn)名稱 風(fēng)險(xiǎn)來源 受影響對(duì)象 安全需求1 漏洞 自身操作系統(tǒng)，數(shù)據(jù)庫系統(tǒng)，應(yīng)用軟件評(píng)估、加固（打補(bǔ)丁，安裝加固軟件）2蠕蟲和病毒移動(dòng)存儲(chǔ)介質(zhì)、網(wǎng)絡(luò)通訊所有 windows和 linux 平臺(tái)客戶端/服務(wù)器：安裝相應(yīng)平臺(tái)防病毒軟件網(wǎng)銀與生產(chǎn)業(yè)務(wù)網(wǎng)絡(luò)之間：防病毒網(wǎng)關(guān)所有需要訪問或可能訪問到一線業(yè)務(wù)的用戶一線業(yè)務(wù)生產(chǎn)主機(jī)防火墻、入侵檢測(cè)網(wǎng)上銀行區(qū)域生產(chǎn)業(yè)務(wù)網(wǎng)絡(luò) 防火墻、入侵防御3非法入侵和攻擊（網(wǎng)絡(luò)級(jí)、應(yīng)用級(jí)）網(wǎng)上銀行區(qū)域、相關(guān)外部單位網(wǎng)絡(luò)、辦公業(yè)務(wù)網(wǎng)絡(luò)生產(chǎn)業(yè)務(wù)網(wǎng)絡(luò) 防火墻、入侵檢測(cè)4數(shù)據(jù)竊密、篡改非法闖入者在局域網(wǎng)或廣域網(wǎng)上傳輸?shù)臉I(yè)務(wù)數(shù)據(jù)，存網(wǎng)絡(luò)準(zhǔn)入控制、桌面安全控制9 / 30放在客戶端本地的業(yè)務(wù)數(shù)據(jù)非生產(chǎn)人員生產(chǎn)應(yīng)用系統(tǒng)和業(yè)務(wù)數(shù)據(jù)身份認(rèn)證、訪問授權(quán)5非法訪問、越權(quán)訪問非管理人員操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)身份認(rèn)證、訪問授權(quán) 10 / 304 總體安全技術(shù)框架建議根據(jù)對(duì) XXX 銀行網(wǎng)絡(luò)系統(tǒng)安全需求分析，我們提出了由多種安全技術(shù)和多層防護(hù)措施構(gòu)成的一整套安全技術(shù)方案，具體包括：在網(wǎng)絡(luò)層劃分安全域，部署防火墻系統(tǒng)、防拒絕服務(wù)攻擊系統(tǒng)、入侵檢測(cè)系統(tǒng)、入侵防御系統(tǒng)和漏洞掃描系統(tǒng)；在系統(tǒng)層部署病毒防范系統(tǒng)，提供系統(tǒng)安全評(píng)估和加固建議；在管理層制訂安全管理策略，部署安全信息管理和分析系統(tǒng)，建立安全管理中心。根據(jù)實(shí)際項(xiàng)目進(jìn)度安排，我們將分別對(duì)網(wǎng)上銀行系統(tǒng)、生產(chǎn)業(yè)務(wù)系統(tǒng)進(jìn)行分析。所以，銀行界的有識(shí)之士都意識(shí)到應(yīng)從根本上改變應(yīng)對(duì)信息安全問題的思路，建立更加全面的安全保障體系，在安全產(chǎn)品的輔助下，通過管理手段體系化地保障信息系統(tǒng)安全。部署安全產(chǎn)品是一種靜態(tài)的解決辦法。但是它們并沒有從根本上降低安全風(fēng)險(xiǎn)，緩解安全問題，這主要是因?yàn)椋? 信息安全問題從來就不是單純的技術(shù)問題，把防范黑客入侵和病毒感染理解為信息安全問題的全部是片面的。中國國內(nèi)各家銀行也已經(jīng)開始進(jìn)行信息安體系建設(shè)，其中最主要的措施就是采購了大量安全產(chǎn)品，包括防火墻、入侵檢測(cè)系統(tǒng)、防病毒和身份認(rèn)證系統(tǒng)等。銀行信息系統(tǒng)正在面臨著嚴(yán)峻的挑戰(zhàn)。6 / 303 XXX 銀行網(wǎng)絡(luò)需求分析隨著 XXX 銀行金融信息化的發(fā)展，信息系統(tǒng)已經(jīng)成為銀行賴以生存和發(fā)展的基本條件。改造后的總體邏輯結(jié)構(gòu)如圖所示：5 / 30圖 XXX 銀行網(wǎng)絡(luò)安全結(jié)構(gòu)示意圖網(wǎng)絡(luò)改造后，全行辦公系統(tǒng)將統(tǒng)一互聯(lián)網(wǎng)出口，所有辦公終端只允許在通信行為可控的情況下才能通過信息中心辦公網(wǎng)絡(luò)的互聯(lián)網(wǎng)出口訪問外界網(wǎng)絡(luò)，生產(chǎn)業(yè)務(wù)服務(wù)器和終端不允許采取任何手段直接訪問互聯(lián)網(wǎng)或通過辦公網(wǎng)間接訪問互聯(lián)網(wǎng)。初步規(guī)劃將省聯(lián)社生產(chǎn)網(wǎng)絡(luò)劃分成多個(gè)具備不同安全等級(jí)的區(qū)域，參考公安部發(fā)布的《信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南》 ，我們對(duì)安全區(qū)域劃分和定級(jí)的建議如下：安全區(qū)域 說明 定級(jí)建議生產(chǎn)區(qū)域 包含一線業(yè)務(wù)服務(wù)器主機(jī) 3 級(jí)MIS 區(qū)域 包含二線業(yè)務(wù)服務(wù)器主機(jī) 2 級(jí)網(wǎng)上銀行區(qū)域 包含網(wǎng)上銀行業(yè)務(wù)服務(wù)器主機(jī) 2 級(jí)運(yùn)行管理區(qū)域包含維護(hù)網(wǎng)絡(luò)信息系統(tǒng)有效運(yùn)行的管理服務(wù)器主機(jī)和管理終端2 級(jí)測(cè)試區(qū)域包含新開發(fā)的生產(chǎn)應(yīng)用的測(cè)試環(huán)境，可視為準(zhǔn)生產(chǎn)環(huán)境1 級(jí)辦公服務(wù)器區(qū)域