【正文】 分理處等營業(yè)網(wǎng)點之間采用一套雙機(jī)防火墻系統(tǒng)提供安全控制。對來自總行和各分支機(jī)構(gòu)網(wǎng)絡(luò)的訪問行為進(jìn)行控制。網(wǎng)絡(luò)結(jié)構(gòu)及安全設(shè)備部署方式如下圖：圖 地市聯(lián)社生產(chǎn)網(wǎng)安全解決方案部署圖 區(qū)縣聯(lián)社生產(chǎn)網(wǎng)安全建議區(qū)縣聯(lián)社生產(chǎn)業(yè)務(wù)網(wǎng)絡(luò)與辦公業(yè)務(wù)網(wǎng)絡(luò)核心交換機(jī)之間設(shè)置一套防火墻系統(tǒng)，對從辦公網(wǎng)絡(luò)特定用戶到生產(chǎn)網(wǎng)絡(luò)特定區(qū)域上特定主機(jī)的訪問行為進(jìn)行控制，同時除必須開放的連接外，禁止任何從生產(chǎn)網(wǎng)主動向辦公網(wǎng)發(fā)起的訪問請求。19 / 30各區(qū)縣聯(lián)社生產(chǎn)網(wǎng)到上級分行生產(chǎn)網(wǎng)以及分理處等營業(yè)網(wǎng)點之間采用一套雙機(jī)防火墻系統(tǒng)提供安全控制。對來自上級分行和各分支機(jī)構(gòu)網(wǎng)絡(luò)的訪問行為進(jìn)行控制。網(wǎng)絡(luò)結(jié)構(gòu)及安全設(shè)備部署方式如下圖：圖 區(qū)縣聯(lián)社生產(chǎn)網(wǎng)安全解決方案部署圖 全行網(wǎng)絡(luò)防病毒系統(tǒng)建議具體的部署建議如下：在 XXX 銀行各級單位所有 Windows 服務(wù)器上部署服務(wù)器防毒系統(tǒng)，確保服務(wù)器系統(tǒng)不會成為病毒駐留的平臺，提高整個服務(wù)器系統(tǒng)的高可靠性；在 XXX 銀行各級單位所有 Windows 客戶端上部署客戶端防毒系統(tǒng)，一方面增強(qiáng)客戶端的防毒能力，另一方面保證客戶端不為因為病毒問題而帶給管理員極大的工作量；防病毒系統(tǒng)采用集中和分布相結(jié)合的管理模式，總行辦公網(wǎng)服務(wù)器區(qū)域中設(shè)置一臺防病毒管理中心服務(wù)器，提供集中的策略制定和下發(fā)，管理總行辦公網(wǎng)的所有防病毒客戶端；生產(chǎn)網(wǎng)運行管理區(qū)域中設(shè)置一臺防病毒管理分中心服務(wù)器，管理生產(chǎn)網(wǎng)的所有防病毒客戶端（包括總部、支行、網(wǎng)點） ，以及與上級管理中心進(jìn)行通信；各管轄支行辦公網(wǎng)中分別設(shè)置一臺防病毒管理分中心服務(wù)器，管理本網(wǎng)的所有防病毒客戶端，以及與上級管理中心進(jìn)行通信；這樣做的好處是防止了因軟件或策略下發(fā)時帶來的帶寬消耗和減小安全隱患；辦公網(wǎng)防病毒管理中心服務(wù)器定期從互聯(lián)網(wǎng)進(jìn)行升級，生產(chǎn)網(wǎng)防病毒管理分中心服務(wù)器、各支行防病毒管理分中心服務(wù)器均從管理中心服務(wù)器獲得升級碼；各防毒服務(wù)器負(fù)責(zé)向所管轄范圍內(nèi)所有防病毒客戶端分發(fā)升級碼。20 / 30在 XXX 銀行各互聯(lián)網(wǎng)出口處，生產(chǎn)網(wǎng)絡(luò)與網(wǎng)銀網(wǎng)絡(luò)之間分別部署病毒過濾網(wǎng)關(guān)（通過 UTM 設(shè)備實現(xiàn)） ，消除來自互聯(lián)網(wǎng)的病毒威脅。 網(wǎng)絡(luò)安全管理平臺建議 部署網(wǎng)絡(luò)安全管理平臺的必要性傳統(tǒng)安全技術(shù)和產(chǎn)品集成的有如下缺點：? 需要大量人為參與的判斷。比如一個報警事件是否準(zhǔn)確需要人為的判斷。? 存在信息淹沒的可能性大量安全產(chǎn)品的報警信息導(dǎo)致管理員無法一一察看和分析，從而導(dǎo)致信息淹沒。同時大量的垃圾報警信息，也加重了管理員的工作負(fù)擔(dān)，導(dǎo)致管理員容易疏忽很多真正有用的信息，這也導(dǎo)致信息淹沒。? 需要專業(yè)安全人員的分析大多數(shù)安全產(chǎn)品對報警事件的語言描述都是專業(yè)安全技術(shù)性的描述，對管理員的專業(yè)技能要求很高。 ? 需要安全維護(hù)人員高度的責(zé)任心的協(xié)助管理員需要積極主動的去查看各類安全產(chǎn)品的報警信息，才能及時地發(fā)現(xiàn)安全事件，并著手去解決。? 止步于安全事件的報警，而沒有完善的事件處理監(jiān)督考核措施傳統(tǒng)的安全產(chǎn)品集成在向管理員報告安全事件后，安全系統(tǒng)的功用便宣告結(jié)束，后續(xù)的所有的工作完全依靠管理員去完成，管理員是否去解決這些安全問題，無從考據(jù)和監(jiān)控。應(yīng)該說，傳統(tǒng)的安全產(chǎn)品和技術(shù)的集成只能夠部分的實現(xiàn)安全的“可見性”和“可控性” 。出于上述原因，我們認(rèn)為在未來的信息安全建設(shè)中，綜合安全監(jiān)控和管理平臺將倍受尊崇，真正讓安全建設(shè)做到完善的“可見、可控、可管理” 。而對于 XXX 銀行來說，我們必須在網(wǎng)絡(luò)內(nèi)部署大量的安全產(chǎn)品。因此，我們急需一個真正的綜合性安全管理平臺來使得整個網(wǎng)絡(luò)的安全建設(shè)實現(xiàn)可見、可控和可管理。集成安全監(jiān)控管理技術(shù)的優(yōu)點：? 延伸了傳統(tǒng)安全產(chǎn)品集成的功能，充分讓每一條有效的安全報警信息得到完善的分析和處理；? 融合網(wǎng)絡(luò)管理、安全管理、運維管理思想于一體，充分發(fā)揮各類安全技術(shù)的功效；21 / 30? 實現(xiàn)安全事件的閉環(huán)管理，最強(qiáng)有力的實現(xiàn)安全管理的技術(shù)輔助手段。 網(wǎng)絡(luò)安全管理平臺部署建議對于 XXX 銀行網(wǎng)絡(luò)來說，我們應(yīng)該本著重點防護(hù)，分步實施的策略來進(jìn)行我們的安全建設(shè)。因此我們應(yīng)該首先將省聯(lián)社網(wǎng)絡(luò)建設(shè)成為一個高度安全，高度可管理的安全網(wǎng)絡(luò)。我們建議在第一階段只在省中心部署一套網(wǎng)絡(luò)安全管理平臺。當(dāng)這套安全管理平臺成功運行并積累一定經(jīng)驗后，可以很靈活的擴(kuò)展到各個地市以及更低一級的網(wǎng)絡(luò)中去。我們所部署的網(wǎng)絡(luò)安全管理平臺應(yīng)該具備以下一些功能：? 管理對象被監(jiān)控管理的目標(biāo)包括：網(wǎng)絡(luò)系統(tǒng)、服務(wù)器主機(jī)、數(shù)據(jù)庫、安全產(chǎn)品、業(yè)務(wù)應(yīng)用。按照不同的KBP 關(guān)鍵業(yè)務(wù)點來劃分進(jìn)行資產(chǎn)管理。? 運維管理網(wǎng)絡(luò)安全的最重要目標(biāo)就是保障系統(tǒng)的安全、可靠的運行，也就是保障業(yè)務(wù)的連續(xù)運行，這也是我們所熟知的安全三性中的可用性。對系統(tǒng)進(jìn)行基于業(yè)務(wù)的監(jiān)控管理，包括：資產(chǎn)管理、流程管理、知識管理等。? 網(wǎng)絡(luò)管理網(wǎng)絡(luò)系統(tǒng)作為業(yè)務(wù)應(yīng)用的載體，對其的監(jiān)控管理也非常重要，我們采用網(wǎng)管技術(shù)對網(wǎng)絡(luò)系統(tǒng)進(jìn)行監(jiān)控管理。內(nèi)容包括：拓?fù)湔故尽⒃O(shè)備發(fā)現(xiàn)、管理工具? 安全管理網(wǎng)絡(luò)安全運行管理中心的核心內(nèi)容，從安全策略管理、事件管理、脆弱性管理、風(fēng)險管理、配置管理等方面，實現(xiàn)安全管理。? 輸出通過報表、報警、工單的方式，得出相應(yīng)的輸出。包括：KBDP 視圖、資產(chǎn)報表、風(fēng)險報告、安全狀態(tài)、趨勢分析、脆弱性報告、知識庫、專家建議等。 建立專業(yè)的安全服務(wù)體系建議在前面的管理層安全建議中我們已經(jīng)提出，應(yīng)該“借助專業(yè)的第三方服務(wù)，在安全管理平臺的基礎(chǔ)上建立 XXX 銀行安全運營中心，對 XXX 銀行安全保障體系的建設(shè)起到推動作用，確保 XXX 銀行信息網(wǎng)絡(luò)信息系統(tǒng)內(nèi)部不發(fā)生安全事件、少發(fā)生安全事件或者發(fā)生安全事件時能夠及時處理減少由22 / 30于安全事件帶來的損失” 。專業(yè)的安全服務(wù)是建立一個能夠持續(xù)運行，動態(tài)更新的網(wǎng)絡(luò)安全體系的技術(shù)保障。和關(guān)鍵環(huán)節(jié)。 信 息 安 全 現(xiàn) 狀 信 息 安 全 建 設(shè)工 程 建 議 書信 息 網(wǎng) 絡(luò) 安 全功 能 的 增 強(qiáng)信 息 安 全 狀 況 的 全面 改 善信 息 安 全 建 設(shè) 的效 果 檢 驗微 弱 風(fēng) 險逐 步 積 累圖 動態(tài)信息安全體系建設(shè)過程動態(tài)信息安全體系建設(shè)是一個周期性的循環(huán)過程，每個建設(shè)周期都是以安全策略為核心，以風(fēng)險評估為開端，通過需求確認(rèn)、網(wǎng)絡(luò)安全功能建設(shè)、完善信息安全管理/策略、風(fēng)險復(fù)審、風(fēng)險積累的過程，建立信息安全體系。對于現(xiàn)階段的 XXX 銀行網(wǎng)絡(luò)來說，我們建議通過以下的步驟來實現(xiàn)這個動態(tài)的信息安全體系建設(shè)過程。 現(xiàn)狀調(diào)查和風(fēng)險評估現(xiàn)狀調(diào)查和風(fēng)險評估是建立安全農(nóng)行計算機(jī)安全體系的基礎(chǔ)和關(guān)鍵，在整個 XXX 銀行網(wǎng)絡(luò)安全建設(shè)項目過程中，現(xiàn)狀調(diào)查和風(fēng)險評估的工作量占了很大比例，現(xiàn)狀調(diào)查和風(fēng)險評估的深度直接影響安全體系能否與 XXX 銀行實際情況相一致且具有可操作性?，F(xiàn)狀調(diào)查和風(fēng)險評估的主要目標(biāo)包括對 XXX 銀行計算機(jī)系統(tǒng)進(jìn)行全面的現(xiàn)狀調(diào)查、建立保護(hù)對象框架和根據(jù)保護(hù)對象框架進(jìn)行風(fēng)險評估。? 全面的現(xiàn)狀調(diào)查全面現(xiàn)狀調(diào)查是本項目十分關(guān)鍵的步驟，現(xiàn)狀調(diào)查的廣度和深度將對保護(hù)對象框架的建立和風(fēng)險評估帶來非常十分重要的作用。在全面現(xiàn)狀調(diào)查中，XXX 銀行的計算機(jī)系統(tǒng)的場所、環(huán)境、網(wǎng)絡(luò)、網(wǎng)絡(luò)設(shè)備、主機(jī)、操作系統(tǒng)、數(shù)據(jù)庫、中間件、應(yīng)用軟件、業(yè)務(wù)流程、管理制度和組織機(jī)構(gòu)將得到全面的調(diào)研。? 風(fēng)險評估23 / 30風(fēng)險評估的目的是了解 XXX 銀行計算機(jī)系統(tǒng)的安全現(xiàn)狀，以便在安全體系的實施過程進(jìn)行需求分析和解決方案設(shè)計。風(fēng)險評估過程包括對 XXX 銀行計算機(jī)系統(tǒng)的資產(chǎn)安全價值、弱點嚴(yán)重性、威脅可能性和現(xiàn)有安全措施等進(jìn)行估值，并通過這些因素計算風(fēng)險值。風(fēng)險評估的具體目標(biāo)包括：? 準(zhǔn)確地獲得 XXX 銀行計算機(jī)系統(tǒng)安全現(xiàn)狀；? 獲得 XXX 銀行計算機(jī)系統(tǒng)風(fēng)險現(xiàn)狀，為安全對策框架設(shè)計提供依據(jù)。 安全策略制定及方案設(shè)計為迎接 XXX 銀行業(yè)務(wù)的飛速發(fā)展而帶來信息安全方面的挑戰(zhàn)，規(guī)范 XXX 銀行信息系統(tǒng)的安全維護(hù)管理，促進(jìn)安全維護(hù)和管理工作體系化、規(guī)范化，提高信息和網(wǎng)絡(luò)服務(wù)質(zhì)量，提高網(wǎng)絡(luò)維護(hù)隊伍的整體安全素質(zhì)和水平，需要制定安全方針和系列安全制度和規(guī)范。安全方針的目標(biāo)是為信息安全管理提供清晰的策略方向，闡明信息安全建設(shè)和管理的重要原則，闡明信息安全的所需支持和承諾。安全策略是指導(dǎo) XXX 銀行信息系統(tǒng)維護(hù)管理工作的基本依據(jù)，安全管理和維護(hù)管理人員必須認(rèn)真執(zhí)行本規(guī)程，并根據(jù)工作實際情況，制定并遵守相應(yīng)的安全標(biāo)準(zhǔn)、流程和安全制度實施細(xì)則，做好安全維護(hù)管理工作。安全策略的適用范圍是 XXX 銀行信息系統(tǒng)擁有的、控制和管理的所有信息系統(tǒng)、數(shù)據(jù)和網(wǎng)絡(luò)環(huán)境，適用于屬于 XXX 銀行信息系統(tǒng)范圍內(nèi)的所有部門。對人員的適用范圍包括所有與 XXX 銀行信息系統(tǒng)的各方面相關(guān)聯(lián)的人員，它適用于全部應(yīng)用 XXX 銀行的員工，全部 XXX 銀行范圍內(nèi)容的維護(hù)人員，集成商，軟件開發(fā)商，產(chǎn)品提供商，顧問，臨時工，商務(wù)伙伴和使用農(nóng)行信息系統(tǒng)的其他第三方。安全策略體系建立的價值在于：? 推進(jìn)信息安全管理體系的建立–安全策略和制度體系的建