XX銀行網(wǎng)絡(luò)安全規(guī)劃建議書

2006年6月

目錄

1項目情況概述..................................................................3

2網(wǎng)絡(luò)結(jié)構(gòu)調(diào)整與安全域劃分......................................................5

3XXX銀行網(wǎng)絡(luò)需求分析.........................................................7

3.1網(wǎng)上銀行安全風(fēng)險與安全需求...............................................8

3.2生產(chǎn)業(yè)務(wù)網(wǎng)絡(luò)安全風(fēng)險與安全需求............................................9

4總體安全技術(shù)框架建議.........................................................11

4.1網(wǎng)絡(luò)層安全建議...........................................................11

4.2系統(tǒng)層安全建議...........................................................13

4.3管理層安全建議...........................................................14

5全面網(wǎng)絡(luò)架構(gòu)及產(chǎn)品部署建議...................................................15

5.1網(wǎng)上銀行安全建議.........................................................15

5.2省聯(lián)社生產(chǎn)網(wǎng)安全建議.....................................................17

5.3地市聯(lián)社生產(chǎn)網(wǎng)安全建議...................................................19

5.4區(qū)縣聯(lián)社生產(chǎn)網(wǎng)安全建議...................................................19

5.5全行網(wǎng)絡(luò)防病毒系統(tǒng)建議..................................................20

5.6網(wǎng)絡(luò)安全管理平臺建議....................................................21

5.6.1部署網(wǎng)絡(luò)安全管理平臺的必要性................................................................................21

5.6.2網(wǎng)絡(luò)安全管理平臺部署建議........................................................................................22

5.7建立專業(yè)的安全服務(wù)體系建議...............................................23

5.7.1現(xiàn)狀調(diào)查與風(fēng)險評估....................................................................................................24

5.7.2安全策略制定及方案設(shè)計............................................................................................24

5.7.3安全應(yīng)急響應(yīng)方案........................................................................................................25

6安全規(guī)劃總結(jié).................................................................28

7產(chǎn)品配置清單.................................................................29

1項目情況概述

Xxx銀行網(wǎng)絡(luò)是一個正在進行改造的省級銀行網(wǎng)絡(luò)。整個網(wǎng)絡(luò)隨著業(yè)務(wù)的不斷擴展與應(yīng)

用的增加，已經(jīng)形成了一個橫縱聯(lián)系，錯綜復(fù)雜的網(wǎng)絡(luò)。從縱向來看，目前XXX銀行畫絡(luò)分

為四層，第一層為省聯(lián)社網(wǎng)絡(luò)，第二層為地市聯(lián)社網(wǎng)絡(luò)，第三層為縣（區(qū)）聯(lián)社網(wǎng)絡(luò)，第四

層為分理處網(wǎng)絡(luò)。

從橫向來看，省及各地市的銀行網(wǎng)絡(luò)都按照應(yīng)用劃分為辦公子網(wǎng)、生產(chǎn)子網(wǎng)與外聯(lián)網(wǎng)絡(luò)

三個大子網(wǎng)。而在省中心網(wǎng)上，還包含網(wǎng)上銀行、測試子網(wǎng)與MIS子網(wǎng)三個單獨的子網(wǎng)。其

整個網(wǎng)絡(luò)的結(jié)構(gòu)示意圖加卜.：

子網(wǎng)

縣（區(qū)）聯(lián)社辦

生產(chǎn)網(wǎng)股公（0A）子網(wǎng)

務(wù)器

分理處生產(chǎn)r?網(wǎng)

生產(chǎn)網(wǎng)服

務(wù)器XXX銀行網(wǎng)絡(luò)結(jié)構(gòu)示意圖

圖1.1XXX銀行網(wǎng)絡(luò)結(jié)構(gòu)示意圖

XXX銀行網(wǎng)絡(luò)是一個正在新建的網(wǎng)絡(luò)，目前業(yè)務(wù)系統(tǒng)剛剛上線運行，還沒有進行信息安

全方面的建設(shè)。而關(guān)于XXX銀行網(wǎng)絡(luò)來說，生產(chǎn)網(wǎng)是網(wǎng)絡(luò)中最重要的部分，所有的應(yīng)用也業(yè)

務(wù)系統(tǒng)都部署在生產(chǎn)網(wǎng)上。一旦生產(chǎn)網(wǎng)出現(xiàn)問題，造成的缺失與影響將是不可估量的。因此

現(xiàn)在急需解決生產(chǎn)網(wǎng)的安全問題。

本次對XXX銀行網(wǎng)絡(luò)的安全規(guī)劃僅限于生產(chǎn)網(wǎng)與與生產(chǎn)網(wǎng)安全有關(guān)的網(wǎng)絡(luò)部分，因此下

面我們著重對XXX銀行的生產(chǎn)網(wǎng)構(gòu)架做?個全面描述。

（一）省聯(lián)社生產(chǎn)網(wǎng)絡(luò)

省聯(lián)社網(wǎng)絡(luò)生產(chǎn)網(wǎng)絡(luò)是全行信息系統(tǒng)的核心，業(yè)務(wù)系統(tǒng)、網(wǎng)上銀行系統(tǒng)及管理系統(tǒng)

都集中在信息中心。

省聯(lián)社網(wǎng)絡(luò)生產(chǎn)網(wǎng)絡(luò)負(fù)責(zé)與人行及其他單位中間業(yè)務(wù)的連接。

省聯(lián)社網(wǎng)絡(luò)生產(chǎn)網(wǎng)絡(luò)負(fù)責(zé)建立與保護網(wǎng)上銀行。

省聯(lián)社網(wǎng)絡(luò)生產(chǎn)網(wǎng)絡(luò)中包含M1S系統(tǒng)與測試系統(tǒng)。

操作系統(tǒng)要緊有：0S/400、AIX、Linux>Windows,與其它設(shè)備的專用系統(tǒng)。

數(shù)據(jù)庫系統(tǒng)包含:DB2、INFORMIX.SYBASE、ORACLE等。

業(yè)務(wù)應(yīng)用包含：

牛產(chǎn)業(yè)務(wù):

一線業(yè)務(wù)：與客戶直接關(guān)聯(lián)的業(yè)務(wù)，如ATM、POS、柜員終端等

二線業(yè)務(wù)：不直接與客戶有關(guān)的業(yè)務(wù)，如管理流程、公文輪番轉(zhuǎn)、監(jiān)督、決策等，

為一線業(yè)務(wù)的支撐。

（-）地市聯(lián)社生產(chǎn)網(wǎng)絡(luò)

地市聯(lián)社生產(chǎn)網(wǎng)絡(luò)是二級網(wǎng)絡(luò)，通過兩條互為冬份的專線與省聯(lián)社中心網(wǎng)絡(luò)互連。

操作系統(tǒng)要緊有：UNIX、WINDOWS.,

（三）區(qū)（縣）聯(lián)社生產(chǎn)網(wǎng)絡(luò)

區(qū)（縣）聯(lián)社生產(chǎn)網(wǎng)絡(luò)是三級網(wǎng)絡(luò)，通過2MSDH/或者者10M光纖以太網(wǎng)（ISDN

備份）等方式與管轄支行的網(wǎng)絡(luò)連接。

操作系統(tǒng)要緊有：UNIX、WINDOWS。

（四）分理處生產(chǎn)網(wǎng)

分理處是四級網(wǎng)絡(luò)，各個分理處通過2MSDH或者者ISDN等方式與管轄區(qū)（公）聯(lián)

社的網(wǎng)絡(luò)連接。

由于區(qū)縣聯(lián)社及分理處的網(wǎng)絡(luò)日前還處在組網(wǎng)的初級階段，網(wǎng)絡(luò)構(gòu)造簡單H.還沒有能力

進行完善的網(wǎng)絡(luò)安全建設(shè)與管理，因此本次規(guī)劃要緊是對省及地市聯(lián)社的網(wǎng)絡(luò)安全部分。當(dāng)

把省及地市部分的網(wǎng)絡(luò)建成一個比較完善的安全防護體系之后，再逐步的將安全措施與手段

應(yīng)用于下層的區(qū)縣聯(lián)社及分埋處。從而實現(xiàn)整個網(wǎng)絡(luò)的重點防護、分步實施策略。

2網(wǎng)絡(luò)結(jié)構(gòu)調(diào)整與安全域劃分

關(guān)于XXX銀行生產(chǎn)網(wǎng)絡(luò)來說，首要的一點就是應(yīng)該根據(jù)國家有關(guān)部門對有關(guān)規(guī)定，將整

個生產(chǎn)網(wǎng)絡(luò)進行網(wǎng)絡(luò)結(jié)構(gòu)的優(yōu)化與安全域的劃分，從結(jié)構(gòu)上實現(xiàn)對安全等級化保護。

根據(jù)《中國人民銀行計算機安全管理暫行規(guī)定（試行）》的有關(guān)要求：

“笫六十一條內(nèi)聯(lián)網(wǎng)上的所有計算機設(shè)備，不得直接或者間接地與國際互.聯(lián)網(wǎng)相聯(lián)

接，務(wù)必實現(xiàn)與國際互聯(lián)網(wǎng)的物理隔離。”

“第七十五條計算機信息系統(tǒng)的開發(fā)環(huán)境與現(xiàn)場應(yīng)當(dāng)與生產(chǎn)環(huán)境與現(xiàn)場隔離?！?/p>

因此我們有必要對現(xiàn)有網(wǎng)絡(luò)環(huán)境進行改造，以將生產(chǎn)業(yè)務(wù)網(wǎng)絡(luò)（包含一線業(yè)務(wù)與二線業(yè)

務(wù)）與具有互聯(lián)網(wǎng)連接的辦公網(wǎng)絡(luò)之間區(qū)分開來，通過強有力的安全操縱機制最大化實現(xiàn)生

產(chǎn)系統(tǒng)與其他業(yè)務(wù)系統(tǒng)之間的隔離。同時，對XXX銀行所有信息資源進行安全分級，根據(jù)不

一致業(yè)務(wù)與應(yīng)用類型劃分不一致安全等級的安全域，并分別進行不一致等級的隔離與保護。

初步規(guī)劃將省聯(lián)社生產(chǎn)網(wǎng)絡(luò)劃分成多個具備不一致安全等級的區(qū)域，參考公安部公布的

《信息系統(tǒng)安全保護等級定級指南》，我們對安全區(qū)域劃分與定級的建議如下：

安全區(qū)域說明定級建議

生產(chǎn)區(qū)域包含一線業(yè)務(wù)服務(wù)器主機3級

MIS區(qū)域包含二線業(yè)務(wù)服務(wù)器主機2級

網(wǎng)上銀行區(qū)域包含網(wǎng)上銀行業(yè)務(wù)服務(wù)器主機2級

包含保護網(wǎng)絡(luò)信息系統(tǒng)有效運行的管理服務(wù)器主機與管理

運行管理區(qū)域2級

終端

測試區(qū)域包含新開發(fā)的生產(chǎn)應(yīng)用的測試環(huán)境，可視為準(zhǔn)生產(chǎn)環(huán)境1級

辦公服務(wù)器區(qū)

包含辦公業(yè)務(wù)系統(tǒng)服務(wù)器主機2級

域

關(guān)于各地市、區(qū)縣聯(lián)社與各營業(yè)網(wǎng)點也需要將生產(chǎn)業(yè)務(wù)與辦公業(yè)務(wù)嚴(yán)格區(qū)分開，并進行

邏輯隔離，確保生產(chǎn)區(qū)域具有較高安全級別。

由于?部分辦公業(yè)務(wù)用戶需要訪問生產(chǎn)業(yè)務(wù)中的特定數(shù)據(jù)，而部分生產(chǎn)應(yīng)用也需要訪問辦

公網(wǎng)中的特定數(shù)據(jù)，因此無法做到生產(chǎn)、辦公之間完全的物理隔離，建議在各級聯(lián)社信息中

心提供生產(chǎn)網(wǎng)與辦公網(wǎng)之間的連接，并使用邏輯隔離手段進行操縱，關(guān)于營業(yè)網(wǎng)點，由于作

隔離投入太大，可暫時不考慮隔離。

改造后的總體邏輯結(jié)構(gòu)如圖所示:

網(wǎng)絡(luò)改造后，全行辦公系統(tǒng)將統(tǒng)一互聯(lián)網(wǎng)出口，所有辦公終端只同意在通信行為可控的

情況下才能通過信息中心辦公網(wǎng)絡(luò)的互聯(lián)網(wǎng)出口訪問外界網(wǎng)絡(luò)，生產(chǎn)、業(yè)務(wù)服務(wù)器與終端不同

意采取任何手段直接訪問互聯(lián)網(wǎng)或者通過辦公網(wǎng)間接訪問互聯(lián)網(wǎng)。

網(wǎng)上銀行因業(yè)務(wù)需要務(wù)必連接互聯(lián)網(wǎng)，但只同意互聯(lián)網(wǎng)用戶對網(wǎng)銀門戶網(wǎng)站的訪問與認(rèn)

證用戶對網(wǎng)銀WEB服務(wù)器為訪問，生產(chǎn)業(yè)務(wù)服務(wù)器與終端不同意采取任何手段直接訪問互聯(lián)

網(wǎng)或者通過網(wǎng)銀網(wǎng)絡(luò)間接訪問互聯(lián)網(wǎng)。

3XXX銀行網(wǎng)絡(luò)需求分析

隨著XXX銀行金融信息化的進展，信息系統(tǒng)已經(jīng)成為銀行賴以生存與進展的基本條件。

相應(yīng)地，銀行信息系統(tǒng)的安全問題也越來越突出，銀行信息系統(tǒng)的安全問題要緊包含兩個方

面：?是來自外界對銀行系統(tǒng)的非法侵入，對信息系統(tǒng)的蓄意破壞與盜竊、篡改信息行為;

二是來自銀行內(nèi)部員工有意或者無意的對信息系統(tǒng)管理的迂反。銀行信息系統(tǒng)正在面收著嚴(yán)

峻的挑戰(zhàn)。

銀行進行安全建設(shè)、加強安全管理已經(jīng)成為當(dāng)務(wù)之急，其必要性正在隨著銀行業(yè)務(wù)與信

息系統(tǒng)如下的進展趨勢而更加凸出：

銀行的關(guān)鍵業(yè)務(wù)系統(tǒng)層次豐富，操作環(huán)節(jié)多，風(fēng)險也相對比較明顯；

隨著電子銀行與中間業(yè)務(wù)的廣泛開展，銀行的網(wǎng)絡(luò)與Internet與其他組織機構(gòu)的網(wǎng)絡(luò)

互聯(lián)程度越來越高，使原本相對封閉的刖絡(luò)越來越開放，從血將外部網(wǎng)絡(luò)的風(fēng)險引入到銀行

內(nèi)部網(wǎng)絡(luò)；

隨著銀行業(yè)務(wù)集中化的趨勢，銀行業(yè)務(wù)系統(tǒng)對可靠性與無間斷運行的要求也越來越高;

隨著WTO的到來與外資銀行的進入，銀行業(yè)競爭日益猛烈，新的金融產(chǎn)品不斷推出，從

而使銀行的應(yīng)用系統(tǒng)處于快速的變化過程中，對銀行的安全管理提出了更高的要求。

中國國內(nèi)各家銀行也已經(jīng)開始進行信息安體系建設(shè),其中最要緊的措施就是采購了大量

安全產(chǎn)品，包含防火墻、入侵檢測系統(tǒng)、防病毒與身份認(rèn)證系統(tǒng)等。這些安全產(chǎn)品在很大程

度上提高了銀行信息系統(tǒng)的安全水平，對保護銀行信息安全起到了一定作用。但是它僅并沒

有從根本上降低安全風(fēng)險，緩解安全問題，這要緊是由于：

?信息安全問題從來就不是單純的技術(shù)問題，把防范黑客入侵與病毒感染懂得為信

息安全問題的全部是片面的。安全產(chǎn)品的功能相對比較狹窄，往往用于解決一類安

全問題，因此僅僅通過部署安全產(chǎn)品很難完全覆蓋銀行信息安全問題；

?信息安全問題不是靜態(tài)的，它總是隨著銀行策略、組織架構(gòu)、信息系統(tǒng)與操作流

程的改變而改變。部署安全產(chǎn)品是?種靜態(tài)的解決辦法。通常來說，在產(chǎn)品安裝與

配置后較長一段時間內(nèi)，它們都無法動態(tài)調(diào)整以習(xí)慣安全問題的變化。

因此，銀行界的有識之士都意識到應(yīng)從根本上改變應(yīng)對信息安全問題的思路，建立更加

全面的安全保障體系，在安全產(chǎn)品的輔助下，通過管理手段體系化地保隙信息系統(tǒng)安全。

下面我們將通過分析XXX銀行改造后的網(wǎng)絡(luò)結(jié)構(gòu)下可能面臨的安全問題，對XXX銀行（要

緊是生產(chǎn)網(wǎng)）目前的安全需求進行總體分析。根據(jù)實際項FI進度安排，我們將分別對網(wǎng)上銀

行系統(tǒng)、生產(chǎn)業(yè)務(wù)系統(tǒng)進行分析工

3.1網(wǎng)上銀行安全風(fēng)險與安全需求

針對目前最常見的互聯(lián)網(wǎng)攻擊類型與國內(nèi)外網(wǎng)上銀行系統(tǒng)通常面臨的安全威脅，結(jié)合

XXX銀行的實際情況，我們認(rèn)為在XXX銀行網(wǎng)上銀行網(wǎng)絡(luò)可能血臨的安全風(fēng)險與對應(yīng)的安全

需求如下:

序號風(fēng)險名稱受影響對象安全需求

操作系統(tǒng)，數(shù)據(jù)庫系

1漏洞評估、加固（打補丁，安裝加固軟件）

統(tǒng)，應(yīng)用軟件

網(wǎng)銀WEB與門戶WEB

2網(wǎng)頁篡改打補丁.安裝防篡改軟件.內(nèi)容過濾

服務(wù)器

培訓(xùn)客戶的安全防護意識（安裝IE反釣魚插

3網(wǎng)絡(luò)仿冒網(wǎng)銀客戶件；認(rèn)清銀行網(wǎng)站，不在虛假站點中填寫1D

與密碼；使用CA認(rèn)證與SSL加密）

客戶端：建議或者強制安裝防病毒軟件/,插件

所有windows與服務(wù)器：安裝相應(yīng)平臺防病毒軟件

4蠕蟲與病毒

linux平臺網(wǎng)銀WEB區(qū)域與互聯(lián)網(wǎng)之間：防病毒網(wǎng)關(guān)

網(wǎng)銀與核心層之間：防病毒網(wǎng)關(guān)

非法入侵與攻

防火墻、IDS（需檢測應(yīng)用級攻擊及SSL加密

5擊（網(wǎng)絡(luò)級、所有網(wǎng)段

攻擊）

應(yīng)用級）

6拒絕服務(wù)攻擊網(wǎng)銀WEB區(qū)域抗DOS攻擊產(chǎn)品

網(wǎng)頁惡意代碼培訓(xùn)客戶的安全防護意識（在計算機上安裝

（木馬、間諜防病毒工具并及時更新；使用相對安全的瀏

網(wǎng)銀客戶windows,

軟件、廣告軟覽器或者在IE中安裝各類安全控件；對不明

7ie瀏覽器（linux

件、撥號器郵件不要打開，并及時刪除；提高對個人資

不受影響）

（dialers）、料、賬戶、密碼的保護意識；及時修改銀行

keyloggerx帳戶的原始密碼；不要使用身份證號碼、生

密碼破解工具日、手機號碼及過分簡單的數(shù)字作為密碼；

與遠(yuǎn)程操縱程不要在網(wǎng)吧等公共場所操作網(wǎng)上銀行業(yè)務(wù)。）

序等）

僵尸網(wǎng)絡(luò)

（DDOS、垃圾互聯(lián)網(wǎng)上大量不安

郵件、網(wǎng)頁仿全的主機可能成為

8通過上述手段加強自身防護

冒、網(wǎng)頁攻擊僵尸，被利用來向網(wǎng)

的被動發(fā)起很進行攻擊

者）

3.2生產(chǎn)業(yè)務(wù)網(wǎng)絡(luò)安全風(fēng)險與安全需求

關(guān)于生產(chǎn)業(yè)務(wù)網(wǎng)絡(luò)而言，可能存在的安全風(fēng)險與對應(yīng)的安全需求如下:

序號風(fēng)險名稱風(fēng)險來源受影響對象安全需求

操作系統(tǒng)，數(shù)據(jù)

評估、加固（打補丁，安裝加固軟

1漏洞自身庫系統(tǒng)，應(yīng)用軟

件）

件

客戶端/服務(wù)器：安裝相應(yīng)平臺防病

蠕蟲與病移動存儲介所有windows與毒軟件

2

土

母質(zhì)、網(wǎng)絡(luò)通訊linux平臺網(wǎng)銀與生產(chǎn)業(yè)務(wù)網(wǎng)絡(luò)之間：防病毒

網(wǎng)關(guān)

所有需要訪問

或者可能訪問一線業(yè)務(wù)生產(chǎn)

防火墻、入侵檢測

到一線業(yè)務(wù)的主機

非法入侵

用戶

與攻擊（網(wǎng)

3網(wǎng)上銀行區(qū)域生產(chǎn)業(yè)務(wù)網(wǎng)絡(luò)防火墻、入侵防御

絡(luò)級、應(yīng)用

網(wǎng)上銀行區(qū)

級）

域、有關(guān)外部

生產(chǎn)業(yè)務(wù)網(wǎng)絡(luò)防火墻、入侵檢測

單位網(wǎng)絡(luò)、辦

公業(yè)務(wù)網(wǎng)絡(luò)

在局域網(wǎng)或者

廣域網(wǎng)上傳輸

數(shù)據(jù)竊密、

4非法闖入者的業(yè)務(wù)數(shù)據(jù)，存網(wǎng)絡(luò)準(zhǔn)入操縱、桌面安全操縱

篡改

放在客戶端本

地的業(yè)務(wù)數(shù)據(jù)

生產(chǎn)應(yīng)用系統(tǒng)

非生產(chǎn)人員身份認(rèn)證、訪問授權(quán)

非法訪問、與業(yè)務(wù)數(shù)據(jù)

5

越權(quán)訪問操作系統(tǒng)、數(shù)據(jù)

非管理人員身份認(rèn)證、訪問授權(quán)

庫系統(tǒng)

4總體安全技術(shù)框架建議

根據(jù)對XXX銀行網(wǎng)絡(luò)系統(tǒng)安全需求分析，我們提出了由多種安全技術(shù)與多層防護措施構(gòu)

成的一整套安全技術(shù)方案，具體包含：在網(wǎng)絡(luò)層劃分安全域，部署防火墻系統(tǒng)、防拒絕服務(wù)

攻擊系統(tǒng)、入侵檢測系統(tǒng)、入侵防御系統(tǒng)與漏洞掃描系統(tǒng)；在系統(tǒng)層部署病毒防范系統(tǒng)，提

供系統(tǒng)安全評估與加固建議；在管理層制訂安全管理策略，部署安全信息管理與分析系統(tǒng)，

建立安全管理中心。

具體建議如下：

4.1網(wǎng)絡(luò)層安全建議

1.網(wǎng)絡(luò)訪問操縱

?劃分安全域

為了提高銀行網(wǎng)絡(luò)的安全性與可靠性，在省聯(lián)社總部、各地市聯(lián)社、各區(qū)縣聯(lián)社、

分理處對不一致系統(tǒng)劃分不一致安全域。

?訪問操縱措施

對安全等級較高的安全域，在其邊界部署防火墻，對安全等級較低的安全域的邊界

則能夠使用VLAN或者訪問操縱列表來代替。

根據(jù)對XXX銀行整體網(wǎng)絡(luò)的區(qū)域劃分，我們將在不一致安全域邊界使用不一致的訪

問操縱措施：

?在生產(chǎn)網(wǎng)與辦公網(wǎng)之間使用防火墻提供訪問操縱，只同意業(yè)務(wù)有關(guān)的訪問，拒

絕其他所有訪問；

?在生產(chǎn)網(wǎng)與網(wǎng)上銀行網(wǎng)絡(luò)之間使用防火墻提供訪問操縱，只同意業(yè)務(wù)有關(guān)的訪

問，拒絕其他所有訪問：

?在生產(chǎn)網(wǎng)與有關(guān)單位網(wǎng)絡(luò)之間使用防火墻提供訪問操縱，只同意業(yè)務(wù)有關(guān)的訪

問，拒絕其他所有訪問；

?在網(wǎng)上銀行網(wǎng)絡(luò)與互聯(lián)網(wǎng)之間使用防火墻提供訪問操縱，除同意互聯(lián)網(wǎng)用戶訪

問網(wǎng)銀門戶網(wǎng)站、同意互聯(lián)網(wǎng)認(rèn)證用戶訪問網(wǎng)銀WEB及同意網(wǎng)銀WEB服務(wù)器

/SSL加速器訪問互聯(lián)網(wǎng)上的CFCA之外，拒絕其他所有訪問；

?在生產(chǎn)網(wǎng)的生產(chǎn)區(qū)域（一線業(yè)務(wù)）與其他區(qū)域之間使用防火增提供訪問操縱，

只同意業(yè)務(wù)有關(guān)的訪問，拒絕其他所有訪問;

?在生產(chǎn)網(wǎng)的其他各區(qū)域之間利用三層交換機劃分虛擬子網(wǎng)及進行簡單包過濾,

做到較簡單的訪問操縱；

2.防拒絕服務(wù)攻擊

在網(wǎng)上銀行系統(tǒng)與Internet出口邊界處，配備抗DoS攻擊網(wǎng)關(guān)系統(tǒng)，以抵御來自互聯(lián)

網(wǎng)的各類拒絕服務(wù)攻擊與分布式拒絕服務(wù)攻擊。

3.網(wǎng)絡(luò)入侵檢測

在網(wǎng)上銀行系統(tǒng)與總行業(yè)務(wù)網(wǎng)絡(luò)系統(tǒng)中部署入侵檢測系統(tǒng)，實時檢測、分析網(wǎng)絡(luò)上的通

訊數(shù)據(jù)流，特別是對進出安全域邊界或者進出存放有涉否信息的關(guān)鍵網(wǎng)段、服務(wù)器主機的通

訊數(shù)據(jù)流進行監(jiān)控，及時發(fā)現(xiàn)違規(guī)行為與特殊行為并進行處理。網(wǎng)絡(luò)入侵檢測系統(tǒng)可實現(xiàn)加

下功能：

■網(wǎng)絡(luò)信息包嗅探。以旁路監(jiān)聽方式秘密運行，使攻擊者無法感知到。黑客常常在沒

有覺察的情況下被抓獲，由于他們不明白他們一直受到密切監(jiān)視。

■網(wǎng)絡(luò)訪問監(jiān)控。服據(jù)實際業(yè)務(wù)需要定制有關(guān)規(guī)則，能夠定義什么主機或者網(wǎng)段能夠

或者不能夠訪問網(wǎng)絡(luò)上的特定資源，能夠定義訪問時間段，對特定的非法訪問行為

或者除特定合法訪問行為之外的所有訪問行為進行監(jiān)控，一旦發(fā)現(xiàn)違規(guī)行為貝!根據(jù)

事先定義的響應(yīng)策略進行報警、阻斷或者聯(lián)動的相應(yīng)，以保證只有授權(quán)用戶才能夠

訪問特定網(wǎng)絡(luò)資源。

■應(yīng)用層攻擊特征檢測。提供詳盡、細(xì)粒度的應(yīng)用協(xié)議分析技術(shù)，實現(xiàn)應(yīng)用層攻擊檢

測，可自動檢測網(wǎng)絡(luò)實時數(shù)據(jù)流中符合特征的攻擊行為，系統(tǒng)保護一個強大的攻擊

特征庫，用戶能夠定期更新，確保能夠檢測到最新的攻擊事件。

■端蟲檢測。實時跟蹤當(dāng)前最新的端蟲事件，針對已經(jīng)發(fā)現(xiàn)的蠕蟲攻擊及時提供有關(guān)

事件規(guī)則。系統(tǒng)保護一個強大的蠕蟲特征庫，用戶能夠定期更新，確保能夠檢測到

最新的蠕蟲事件。關(guān)于存在系統(tǒng)漏洞但尚未發(fā)現(xiàn)有關(guān)蠕蟲事件的情況，通過分析漏

洞來提供有關(guān)的入侵事件規(guī)則，最大限度地解決蠕蟲發(fā)現(xiàn)滯后的問題。

■可疑網(wǎng)絡(luò)活動檢測。即特殊檢測，包含通過對在特定時間間隔內(nèi)超流量、超連接的

數(shù)據(jù)包進行檢測等方式，實現(xiàn)對DoS、掃描等攻擊事件的檢測。

■檢測險藏在SSL0口密通訊中的攻擊。通過解碼基于SSL加密的通訊數(shù)據(jù)，分析、檢

測基于SSL加密通訊的攻擊行為，從而能夠保護提供SSL加密訪問的網(wǎng)銀WEB服務(wù)

器的安全性。

■口志審計。提供入侵日志與網(wǎng)絡(luò)流量口志記錄與綜合分析功能，并提供全面的分析

報告，使網(wǎng)絡(luò)管理員能夠跟蹤用戶、應(yīng)用程序等對網(wǎng)絡(luò)的使用情況，幫助管理員改

進網(wǎng)絡(luò)安全策略的規(guī)劃，并提供更精確的網(wǎng)絡(luò)安全操縱。通過詳盡的審計記錄，能

夠在系統(tǒng)遭到惡意攻擊后，提供證據(jù)以提起法律訴訟。

■多網(wǎng)段同時監(jiān)控。入侵探測器支持多個網(wǎng)絡(luò)監(jiān)聽口，能夠連接到多個網(wǎng)段中進行實

時監(jiān)控，我們也能夠在不一致的網(wǎng)段分別部署多個探測引擎，管理員能夠通過集中

的管理操縱臺對探測器上傳的信息進行統(tǒng)一查看，通過管理器進行綜合分析，并生

成報表。

4.入侵防御系統(tǒng)

在生產(chǎn)網(wǎng)與網(wǎng)上銀行網(wǎng)絡(luò)之間、辦公網(wǎng)與互聯(lián)網(wǎng)之間分別部署入侵防御系統(tǒng)，對外界網(wǎng)

絡(luò)黑客利用防火墻為合法的用戶訪問而開放的端口穿透防火墻對內(nèi)網(wǎng)發(fā)起的各類高級、復(fù)雜

的攻擊行為進行檢測與阻斷。IPS系統(tǒng)工作在笫二層到第七層，通常使用特征匹配與特殊分

析的方法來識別各類網(wǎng)絡(luò)攻擊行為，因其是以在線串聯(lián)方式部署的，對檢測到的各類攻擊行

為均可直接阻斷并生成口志報告與報警信息。

5.漏洞掃描系統(tǒng)

在生產(chǎn)網(wǎng)上部署一套漏洞掃描系統(tǒng)，定期對整個網(wǎng)絡(luò)，特別是關(guān)鍵主機及網(wǎng)絡(luò)設(shè)備進行

漏洞掃描。這樣才能及時發(fā)現(xiàn)網(wǎng)絡(luò)中存在的漏洞與弱點，及時根據(jù)漏洞掃描系統(tǒng)提出的解決

方案進行系統(tǒng)加固或者安全策略調(diào)整。以‘實現(xiàn)防患于未然的目的。同時得到的掃描日志還能

夠提供給安全管理中心，作為對整個網(wǎng)絡(luò)健康狀況評估的?部分，使得管理員能夠機制準(zhǔn)確

的把握網(wǎng)絡(luò)的運行狀況。

4.2系統(tǒng)層安全建議

6.病毒防范系統(tǒng)

在XXX銀行網(wǎng)絡(luò)系統(tǒng)可能的病毒攻擊點或者通道中部署全方位的病毒防范系統(tǒng)，包含在

網(wǎng)上銀行互聯(lián)網(wǎng)出口、網(wǎng)上銀行區(qū)域與業(yè)務(wù)區(qū)域之間、辦公區(qū)域的互聯(lián)網(wǎng)出口處部署網(wǎng)關(guān)級

防病毒設(shè)備，在整個網(wǎng)絡(luò)中的所有WINDOWS服務(wù)器與客戶端計算機上部署相應(yīng)平臺的網(wǎng)絡(luò)版

防病毒軟件并配置防病毒系統(tǒng)管理中心對所有主機上的防病毒軟件進行集中管理、監(jiān)挖、統(tǒng)

一升級、集中查殺毒。

4.3管理層安全建議

7.綜合安全管理平臺與安全運營中心

部署一套有效的網(wǎng)絡(luò)安全管理體系，使用集中的安全管理平臺，來對全網(wǎng)進行統(tǒng)一的安

全管理與網(wǎng)絡(luò)管理，同時借助專業(yè)的第三方服務(wù)，在安全管理平臺的基礎(chǔ)上建立XXX銀行安

全運營中心，對XXX銀行安全保障體系的建設(shè)起到推動作用，確保XXX銀行信息網(wǎng)絡(luò)信息系

統(tǒng)內(nèi)部不發(fā)生安全事件、少發(fā)生安全事件或者者發(fā)生安全事件時能夠及時處理減少由于安全

事件帶來的缺失。

根據(jù)XXX銀行的網(wǎng)絡(luò)結(jié)構(gòu)與區(qū)域劃分，我們將分別針對網(wǎng)上銀行、省與地市生產(chǎn)業(yè)務(wù)網(wǎng)

絡(luò)進行安全體系設(shè)計。

5全面網(wǎng)絡(luò)架構(gòu)及產(chǎn)品部署建議

5.1網(wǎng)上銀行安全建議

網(wǎng)上銀行的安全防護方案具體設(shè)計如下：

1、在網(wǎng)銀區(qū)域與Internet之間插入一套抗DoS攻擊系統(tǒng)，對來自互聯(lián)網(wǎng)的DDoS攻擊

流量進行清除，同時保證正常訪問流量的通過。

2、網(wǎng)銀區(qū)域與Internet之間設(shè)置一套防火墻系統(tǒng)（外層防火墻），使用雙機熱備結(jié)構(gòu),

通過二層交換機連接抗DcS攻擊設(shè)備，將網(wǎng)銀WEB服務(wù)器保護在防火墻的一個單獨的安全區(qū)

域中，并通過兩臺三層交換機連接內(nèi)部網(wǎng)絡(luò)。外層防火墻的要緊作用是操縱來自外網(wǎng)的訪問，

只同意授權(quán)用戶訪問網(wǎng)銀服務(wù)的特定【P與端口，并通過NAT屏蔽服務(wù)器真實地址。防火增

使用透明工作模式。三層交換機提供缺省網(wǎng)關(guān)與局域網(wǎng)路由功能。

3、使用一臺網(wǎng)絡(luò)入侵檢測設(shè)備，提供雙引擎，分別連接到網(wǎng)銀WEB區(qū)域與網(wǎng)銀DB區(qū)域

的兩臺交換機上進行監(jiān)控，對網(wǎng)絡(luò)上傳輸?shù)拿舾袛?shù)據(jù)包（包含SSL加密數(shù)據(jù)）進行深層分析,

可有效地發(fā)現(xiàn)防火墻無法識別的特殊的應(yīng)用層攻擊行為。

4、網(wǎng)銀WEB區(qū)域與后臺數(shù)據(jù)庫/應(yīng)用服務(wù)器區(qū)域及信息中心網(wǎng)絡(luò)之間設(shè)置一套防火墻系

統(tǒng)（內(nèi)層防火墻），一方面操縱網(wǎng)銀WEB服務(wù)區(qū)與后臺APP服務(wù)區(qū)之間的訪問，只同意來自

網(wǎng)銀WEB區(qū)服務(wù)器發(fā)起的特定訪問，禁止其他一切數(shù)據(jù)通訊；另一方面操縱網(wǎng)銀DB/AnP服

務(wù)區(qū)與內(nèi)部生產(chǎn)區(qū)域之間的訪問，只同意應(yīng)用有關(guān)的特定訪問，禁止其他一切數(shù)據(jù)通訊；使

用與外部防火墻異構(gòu)的防火墻產(chǎn)品，即使攻擊者成功獲得外墻的操縱權(quán)，也不能輕易攻入業(yè)

務(wù)網(wǎng)絡(luò)。

5、在內(nèi)層防火墻與內(nèi)網(wǎng)核心交換機之間串聯(lián)一組UTU設(shè)備，啟用IPS功能與防病毒功

能，抵御來自互聯(lián)網(wǎng)及網(wǎng)銀區(qū)域的病毒、蠕蟲、惡意代碼及其他攻擊，雙機熱備。

部署方式如下圖所示：

牛產(chǎn)網(wǎng)

生產(chǎn)I：機中間業(yè)務(wù)上4

抗DOS攻擊系戰(zhàn)

交換機

防火塔

網(wǎng)銀WEB區(qū)W機攜的防火堵防火培

取機熱備雙機熱備

加速機

Wh.BSSL%聯(lián)社辦公

交換機交換機

\JpA）網(wǎng)

防火場

雙機熱備

入住監(jiān)泅

康及

黔叁隈務(wù)交換機

UIM(AVIPS)

雙機熱瞽

MPP

網(wǎng)銀DB區(qū)

圖5.1網(wǎng)上銀行安全解決方案部署圖

5.2省聯(lián)社生產(chǎn)網(wǎng)安全建議

1、將信息中心按不一致業(yè)務(wù)劃分多個網(wǎng)絡(luò)區(qū)域。

2、總行管理中心網(wǎng)絡(luò)與核心交換機之間不署一套防火墻系統(tǒng)，提供安全操縱。對管理

區(qū)域的訪問進行行為操縱，

3、總行生產(chǎn)業(yè)務(wù)網(wǎng)絡(luò)與企業(yè)客戶、協(xié)作單位網(wǎng)絡(luò)的互聯(lián)出口使用一套雙機防火墻系統(tǒng)

提供安全操縱，對來自外單位網(wǎng)絡(luò)的訪問行為進行操縱。

4、在總行生產(chǎn)業(yè)務(wù)網(wǎng)絡(luò)與辦公業(yè)務(wù)網(wǎng)絡(luò)核心交換機之間設(shè)置一套雙機防火墻系統(tǒng)，對

從辦公網(wǎng)絡(luò)特定用戶到生產(chǎn)網(wǎng)絡(luò)特定區(qū)域上特定主機的訪問行為進行操縱，同時除務(wù)必開放

的連接外，禁止任何從生產(chǎn)網(wǎng)主動向辦公網(wǎng)發(fā)起的訪問請求。

5、使用千兆IDS設(shè)備，分別連接到總行生產(chǎn)網(wǎng)兩臺核心交換機匕監(jiān)視與防范內(nèi)網(wǎng)上

的違規(guī)訪問行為，要緊監(jiān)聽進出生產(chǎn)區(qū)域及來自辦公網(wǎng)、下級單位與協(xié)作單位的流量。

6、各地市生產(chǎn)網(wǎng)到總行生產(chǎn)網(wǎng)之間使用一套雙機防火墻系統(tǒng)提供安全操縱。對來自各

分支機構(gòu)網(wǎng)絡(luò)的訪問行為進行操縱。

7、區(qū)縣生產(chǎn)網(wǎng)、分理處等營業(yè)網(wǎng)點分別通過上級聯(lián)社生產(chǎn)網(wǎng)的轉(zhuǎn)發(fā)實現(xiàn)對總部數(shù)據(jù)中

心系統(tǒng)的訪問。

8、網(wǎng)上銀行網(wǎng)絡(luò)與生產(chǎn)網(wǎng)絡(luò)之間的訪問通過兩臺互備的ITM設(shè)備進行監(jiān)控。

網(wǎng)絡(luò)結(jié)構(gòu)及安全設(shè)備部署方式如下圖：

防火墻『福IDS入侵檢測SCANNER漏洞掃描

安全產(chǎn)從

圖例

管理機日志、網(wǎng)管服務(wù)器

圖5.2省聯(lián)社生產(chǎn)網(wǎng)安全解決方案部署圖

5.3地市聯(lián)社生產(chǎn)網(wǎng)安全建議

1、地市聯(lián)社生產(chǎn)業(yè)務(wù)網(wǎng)絡(luò)與企業(yè)客戶、協(xié)作單位網(wǎng)絡(luò)的互聯(lián)出口使用一套雙機防火墻

系統(tǒng)提供安全操縱，對來自外單位網(wǎng)絡(luò)的訪問行為進行操縱。

2、在地市生產(chǎn)業(yè)務(wù)網(wǎng)絡(luò)與辦公業(yè)務(wù)網(wǎng)絡(luò)核心交換機之間設(shè)置一套雙機防火墻系統(tǒng)，對

從辦公網(wǎng)絡(luò)特定用戶到生產(chǎn)網(wǎng)絡(luò)特定區(qū)域上特定主機的訪問行為進行操縱，同時除務(wù)必開放

的連接外，禁止任何從生存網(wǎng)主動向辦公網(wǎng)發(fā)起的訪問請求。

3、使用IDS設(shè)備，分別連接到地市生產(chǎn)網(wǎng)兩臺核心交換機上，監(jiān)視與防范內(nèi)網(wǎng)上的違

規(guī)訪問行為，要緊監(jiān)聽進出生產(chǎn)區(qū)域及來自辦公網(wǎng)、下級單位與協(xié)作單位的流量。

4、各地市生產(chǎn)網(wǎng)到總行生產(chǎn)網(wǎng)與區(qū)縣生產(chǎn)網(wǎng)、分理處等營業(yè)網(wǎng)點之間使用一套雙機防

火墻系統(tǒng)提供安全操縱。對來自總行與各分支機構(gòu)網(wǎng)絡(luò)的訪問行為進行操縱。

網(wǎng)絡(luò)結(jié)構(gòu)及安全設(shè)備部署方式如下圖：

安全產(chǎn)品防火墻IDS入侵檢測

圖例

圖5.3地市聯(lián)社生產(chǎn)網(wǎng)安全解決方案部署圖

5.4區(qū)縣聯(lián)社生產(chǎn)網(wǎng)安全建議

1、區(qū)縣聯(lián)社生產(chǎn)業(yè)務(wù)網(wǎng)絡(luò)與辦公業(yè)務(wù)網(wǎng)絡(luò)核心交換機之間設(shè)置?套防火墻系統(tǒng)，對從

辦公網(wǎng)絡(luò)特定用戶到生產(chǎn)網(wǎng)絡(luò)特定區(qū)域上特定主機的訪問行為進行操縱，同時除務(wù)必開放的

連接外，禁止任何從生產(chǎn)網(wǎng)主動向辦公網(wǎng)發(fā)起的訪問請求。

2、各區(qū)縣聯(lián)社生產(chǎn)網(wǎng)到上級分行生產(chǎn)網(wǎng)與分理處等營業(yè)網(wǎng)點之間使用一套雙機防火墻

系統(tǒng)提供安全操縱。對來自上級分行與各分支機構(gòu)網(wǎng)絡(luò)MJ訪問行為進行操縱。

網(wǎng)絡(luò)結(jié)構(gòu)及安全設(shè)備部署方式如下圖：

安全產(chǎn)品.2防火墻

圖例

圖5.4區(qū)縣聯(lián)社生產(chǎn)網(wǎng)安全解決方案部署圖

5.5全行網(wǎng)絡(luò)防病毒系統(tǒng)建議

具體的部署建議如下：

1、在XXX銀行各級單位所有Windows服務(wù)器上部署服務(wù)器防毒系統(tǒng)，確保服務(wù)器系統(tǒng)

不可能成為病毒駐留的平臺，提高整個服務(wù)器系統(tǒng)的高可靠性；

2、在XXX銀行各級單位所有Windows客戶端上部署客戶端防毒系統(tǒng)，一方面增強客戶

端的防毒能力，另一方面保證客戶端不為由于病毒問題而帶給管理員極大的工作量；

3、防病毒系統(tǒng)使用集中與分布相結(jié)合的管理模式，總行辦公網(wǎng)服務(wù)器區(qū)域中設(shè)置一臺

防病毒管理中心服務(wù)器,提供集中的策略制定與下發(fā)，管理總行辦公網(wǎng)的所有防病毒客戶端;

生產(chǎn)網(wǎng)運行管理區(qū)域中設(shè)置一臺防病毒管理分中心服務(wù)器，管理生產(chǎn)網(wǎng)的所有防病毒客戶端

（包含總部、支行、網(wǎng)點），與與上級管理中心進行通信；各管轄支行辦公網(wǎng)中分別設(shè)置一

臺防病毒管理分中心服務(wù)器，管理木網(wǎng)的所有防病毒客戶端，與與上級管理中心進行通信；

這樣做的好處是防止了因軟件或者策略下發(fā)時帶來的帶寬消耗與減小安全隱患;

4、辦公網(wǎng)防病毒管理中心服務(wù)器定期從互聯(lián)網(wǎng)進行升級，生產(chǎn)網(wǎng)防病毒管理分中心服

務(wù)器、各支行防病毒管理分中心服務(wù)器均從管理中心服務(wù)器獲得升級碼；各防毒服務(wù)器負(fù)責(zé)

向所管轄范圍內(nèi)所有防病毒客戶端分發(fā)升級碼。

5、在XXX銀行各互聯(lián)網(wǎng)出口處，生產(chǎn)網(wǎng)絡(luò)與網(wǎng)銀網(wǎng)絡(luò)之間分別部署病毒過濾網(wǎng)關(guān)（通

過UTM設(shè)備實現(xiàn)），消除來自互聯(lián)網(wǎng)的病毒威脅。

5.6網(wǎng)絡(luò)安全管理平臺建議

5.6.1部署網(wǎng)絡(luò)安全管理平臺的必要性

傳統(tǒng)安全技術(shù)與產(chǎn)品集成的有如卜缺點：

■需要大量人為參與的推斷。

比如一個報警事件是否準(zhǔn)確需要人為的推斷。

■存在信息淹沒的可能性

大量安全產(chǎn)品的報警信息導(dǎo)致管理員無法一一察看與分析，從而導(dǎo)致信息淹沒。

同時大量的垃圾報警信息，也加重了管理員的二作負(fù)擔(dān)，導(dǎo)致管理員容易疏忽很多

真正有用的信息，這也導(dǎo)致信息淹沒。

■需要專業(yè)安全人員的分析

大多數(shù)安全產(chǎn)品對報警事件的語言描述都是專業(yè)安全技術(shù)性的描述,對管理員的專

業(yè)技能要求很高。

■需要安全保護人員高度的責(zé)任心的協(xié)助

管理員需要積極主動的去查看各類安全產(chǎn)品的報警信息，才能及時地發(fā)現(xiàn)安全事

件，并著手去解決。

■止步于安全事件的報警，而沒有完善的事件處理監(jiān)督考核措施

傳統(tǒng)的安全產(chǎn)品集成在向管理員報告安全事件后，安全系統(tǒng)的功用便宣告結(jié)束，后

續(xù)的所有的工作完全依靠管理員去完成，管理員是否去解決這些安全問題，無從考據(jù)與

監(jiān)控。

應(yīng)該說，傳統(tǒng)的安全產(chǎn)品與技術(shù)的集成只能夠部分的實現(xiàn)安全的“可見性”與“可控性工

出于上述原因，我們認(rèn)為在未來的信息安全建設(shè)中，綜合安全監(jiān)控與管理平臺將倍受尊

崇，真正讓安全建設(shè)做到完善的“可見、可控、可管理工

而關(guān)于XXX銀行來說，我們務(wù)必在網(wǎng)絡(luò)內(nèi)部署大量的安全產(chǎn)品。因此，我們急需一個真

正的綜合性安全管理平臺來使得整個網(wǎng)絡(luò)的安全建設(shè)實現(xiàn)可見、可控與可管理。

集成安全監(jiān)控管理技術(shù)的優(yōu)點：

■延伸了傳統(tǒng)安全產(chǎn)品集成的功能，充分讓每一條有效的安全報警信息得到完善的分

析與處理；

■融合網(wǎng)絡(luò)管理、安全管理、運維管理思想于一體，充分發(fā)揮各類安全技術(shù)的功效：

■實現(xiàn)安全事件的閉環(huán)管理，最強有力的實現(xiàn)安全管理的技術(shù)輔助手段。

562網(wǎng)絡(luò)安全管理平臺部署建議

關(guān)于XXX銀行網(wǎng)絡(luò)來說，我們應(yīng)該本著重點防護，分步實施的策略來進行我任的安

全建設(shè)。因此我們應(yīng)該首先將省聯(lián)社網(wǎng)絡(luò)建設(shè)成為一個高度安全，高度可管理的安全網(wǎng)

絡(luò)。我們建議在第一階段只在省中心部署一套網(wǎng)絡(luò)安全管理平臺。當(dāng)這套安全管理平臺

成功運行并積存一定經(jīng)驗后，能夠很靈活的擴展到各個地市與更低一級的網(wǎng)絡(luò)中去。

我們所部署的網(wǎng)絡(luò)安全管理平臺應(yīng)該具備下列一些功能：

?管理對象

被監(jiān)控管理的目標(biāo)包含：網(wǎng)絡(luò)系統(tǒng)、服務(wù)器主機、數(shù)據(jù)庫、安全產(chǎn)品、業(yè)務(wù)應(yīng)用。

按照不一致的KBP關(guān)健業(yè)務(wù)點來劃分進行資產(chǎn)管理。

?運維管理

網(wǎng)絡(luò)安全的最重要目標(biāo)就是保障系統(tǒng)的安全、可靠的運行，也就是保障業(yè)務(wù)的連續(xù)

運行，這也是我們所熟知的安全三性中的可用性。對系統(tǒng)進行基于業(yè)務(wù)的監(jiān)控管理，包

含：資產(chǎn)管理、流程管理、知識管理等。

?網(wǎng)絡(luò)管理

網(wǎng)絡(luò)系統(tǒng)作為業(yè)務(wù)應(yīng)用的載體，對其的監(jiān)控管理也非常重要，我們使用網(wǎng)管技術(shù)對

網(wǎng)絡(luò)系統(tǒng)進行監(jiān)控管理。內(nèi)容包含：拓?fù)湔故?、設(shè)冬發(fā)現(xiàn)、管理工具

?安全管理

網(wǎng)絡(luò)安全運行管理中心的核心內(nèi)容，從安全策略管理、事件管理、脆弱性管理、風(fēng)

險管理、配置管理等方面，實現(xiàn)安全管理。

?輸出

通過報表、報警、工單的方式，得出相應(yīng)的輸出。包含：KBDP視圖、資產(chǎn)報表、

風(fēng)險報告、安全狀態(tài)、趨勢分析、脆弱性報告、知識庫、專家建議等。

5.7建立專業(yè)的安全服務(wù)體系建議

在前面的管理層安全建議中我們已經(jīng)提出，應(yīng)該“借助專業(yè)的第三方服務(wù)，在安全

管理平臺的基礎(chǔ)上建立XXX銀行安全運營中心，對XXX銀行安全保障體系的建設(shè)起到推

動作用，確保XXX銀行信息網(wǎng)絡(luò)信息系統(tǒng)內(nèi)部不發(fā)生安全事件、少發(fā)生安全事件或者者

發(fā)生安全事件時能夠及時處理減少由于?安全事件帶來的缺失”。

專業(yè)的安全服務(wù)是建立一個能夠持續(xù)運行，動態(tài)更新的網(wǎng)絡(luò)安全體系的技術(shù)保障。

與關(guān)鍵環(huán)節(jié)。

信息安全現(xiàn)狀

信息安全建設(shè)

工程建議書

微弱風(fēng)險

逐步積累

信息網(wǎng)絡(luò)安全

信息安全建設(shè)的功能的增強

效果檢驗

信息安全狀況的全

面改善

圖5.5動態(tài)信息安全體系建設(shè)過程

動態(tài)信息安全體系建設(shè)是一個周期性的循環(huán)過程，每個建設(shè)周期都是以安全策略為

核心，以風(fēng)險評估為開端，通過需求確認(rèn)、網(wǎng)絡(luò)安全功能建設(shè)、完善信息安全管理/策

略、風(fēng)險復(fù)審、風(fēng)險積存的過程，建立信息安全體系。

關(guān)于現(xiàn)階段的XXX銀行網(wǎng)絡(luò)來說,我們建議通過下列的步驟來實現(xiàn)這個動態(tài)的信息

安全體系建設(shè)過程。

5.7.1現(xiàn)狀調(diào)查與風(fēng)險評估

現(xiàn)狀調(diào)查與風(fēng)險評估是建立安全農(nóng)行計算機安全體系的基礎(chǔ)與關(guān)鍵，在整個XXX

銀行網(wǎng)絡(luò)安全建設(shè)項目過程中，現(xiàn)狀調(diào)查與風(fēng)險評估的工作最占了很大比例，現(xiàn)狀調(diào)查

與風(fēng)險評估的深度直接影響安全體系能否與XXX銀吁實際情況相一致且具有可操作性。

現(xiàn)狀調(diào)查與風(fēng)險評估的要緊目標(biāo)包含對XXX銀夕亍計算機系統(tǒng)進行全面的現(xiàn)狀調(diào)查、

建立保護對象框架與根據(jù)保護對象框架進行風(fēng)險評估。

■全面的現(xiàn)狀調(diào)查

全面現(xiàn)狀調(diào)查是本項目十分關(guān)鍵的步驟,現(xiàn)狀調(diào)查的廣度與深度將對保護對象框架

的建立與風(fēng)險評估帶來非常十分重要的作用。在全面現(xiàn)狀調(diào)查中，XXX銀行的計算機系

統(tǒng)的場所、環(huán)境、網(wǎng)絡(luò)、網(wǎng)絡(luò)設(shè)備、主機、操作系統(tǒng)、數(shù)據(jù)庫、中間件、應(yīng)用軟件、業(yè)

務(wù)流程、管理制度與組織機構(gòu)將得到全面的調(diào)研。

■風(fēng)險評估

風(fēng)險評估的FI的是熟悉XXX銀行計算機系統(tǒng)的安全現(xiàn)狀，以便在安全體系的實施過

程進行需求分析與解決方案設(shè)計。風(fēng)險評估過程包含對XXX銀行計算機系統(tǒng)的資產(chǎn)安全

價值、弱點嚴(yán)重性、威脅可能性與現(xiàn)有安全措施等進行估值，并通過這些因素計算風(fēng)險

值。

風(fēng)險評估的具體目標(biāo)包含：

準(zhǔn)確地獲得XXX銀行計算機系統(tǒng)安全現(xiàn)狀；

獲得XXX銀行計算機系統(tǒng)風(fēng)險現(xiàn)狀，為安全計策框架設(shè)計提供根據(jù)。

5.7.2安全策略制定及方案設(shè)計

為迎接XXX銀行業(yè)務(wù)的飛速進展而帶來信息安全方面的挑戰(zhàn)，規(guī)范XXX銀行信息系

統(tǒng)的安全保護管理，促進安全保護與管理工作體系化、規(guī)范化，提高信息與網(wǎng)絡(luò)服務(wù)質(zhì)

量，提高網(wǎng)絡(luò)保護隊伍的整體安全素養(yǎng)與水平，需要制定安全方針與系列安全制度與規(guī)

范。安全方針的目標(biāo)是為信息安全管理提供清晰的簧略方向，闡明信息安全建設(shè)與管理

的重要原則，闡明信息安全的所需支持與承諾。

安全策略是指導(dǎo)XXX銀行信息系統(tǒng)保護管理工作的基本根據(jù)，安全管理與保護管理

人員務(wù)必認(rèn)真執(zhí)行本規(guī)程，并根據(jù)工作實際情況，制定并遵守相應(yīng)的安全標(biāo)準(zhǔn)、流程與

安全制度實施細(xì)則，做好安全保護管理工作。

安全策略的適用范圍是XXX銀行信息系統(tǒng)擁有的、操縱與管理的所有信息系統(tǒng)、數(shù)

據(jù)與網(wǎng)絡(luò)環(huán)境，適用于屬于XXX銀行信息系統(tǒng)范圍內(nèi)的所有部門。對人員的適用范圍包

含所有與XXX銀行信息系統(tǒng)的各方面有關(guān)聯(lián)的人員，它適用于全部應(yīng)用XXX銀行的員工,

全部XXX銀行范圍內(nèi)容的保護人員，集成商，軟件開發(fā)商，產(chǎn)品提供商，顧問，臨時工,

商務(wù)伙伴與使用農(nóng)行信息系統(tǒng)的其他第三方。

安全策略體系建立的價值在于：

?推進信息安全管理體系的建立

-安全策略與制度體系的建設(shè)

-安全組織體系的建設(shè)

-安全運作體系的建設(shè)

?規(guī)范信息安全規(guī)劃、采購、建設(shè)、保護與管理工作，推進信息安全的規(guī)范化與

制度化建設(shè)

在前面的章節(jié)中，我們已經(jīng)對XXX銀行的網(wǎng)絡(luò)讓行了安全策略制定與方案設(shè)計的全

面描述，因此在這里就不做過多地闡述。

5.7.3安全應(yīng)急響應(yīng)方案

安全事件響應(yīng)的概念與基本流程

應(yīng)急響應(yīng)也叫緊急響應(yīng)，是安全事件發(fā)生后迅速采取的措施與行動，它是安全事件

響應(yīng)的一種快速實現(xiàn)方式。應(yīng)急響應(yīng)是解決網(wǎng)絡(luò)系統(tǒng)安全問題的有效安全服務(wù)手段之

一。其目的就是最快速度恢復(fù)系統(tǒng)的保密性、完整性與可川性，阻止與減小安全事件帶

來的影響。

識別出現(xiàn)安全事件的場景包含：

?非授權(quán)訪問，通過入侵的方式進入到未被授權(quán)訪問的網(wǎng)絡(luò)中，而導(dǎo)致數(shù)據(jù)信息

泄漏；

?信息泄密，數(shù)據(jù)在傳輸中因數(shù)據(jù)被截取、篡改、分析等而造成信息的泄漏；

?拒絕服務(wù)，正常用戶不能正常訪問服務(wù)器提供的有關(guān)服務(wù)；

?系統(tǒng)性能嚴(yán)重下降，有不明的進程運行并占用大量的CPU處理時間；

?在系統(tǒng)日志中發(fā)現(xiàn)非法登錄者；

?發(fā)現(xiàn)系統(tǒng)感染計算機病毒；

?發(fā)現(xiàn)有人在不斷強行嘗試登錄系統(tǒng)；

?系統(tǒng)中出現(xiàn)不明的新用戶賬號；

?管理員收到來自其它站點系統(tǒng)管理員的警告信，指出系統(tǒng)可能被威脅；

?文件的訪問權(quán)限被修改；

?因安全漏洞導(dǎo)致的系統(tǒng)問題；

?其它的入侵行為。

XXX銀行要制訂應(yīng)急響應(yīng)演練計劃，明確應(yīng)急響應(yīng)組織、響應(yīng)人員、人員職責(zé)、響

應(yīng)方式、工作內(nèi)容，定期對有關(guān)人員進行應(yīng)急響應(yīng)培訓(xùn)，定期組織應(yīng)急響應(yīng)演練。

各部門領(lǐng)導(dǎo)及管理員應(yīng)當(dāng)對緊急響應(yīng)流程的演習(xí)與執(zhí)行情況進行有效的監(jiān)督與管

理.

建立應(yīng)急響應(yīng)組織

應(yīng)急響應(yīng)組織是為了有效處理安全事件，協(xié)調(diào)各有關(guān)部門與人員而成立的機構(gòu)。

應(yīng)急響應(yīng)組織的組織結(jié)構(gòu)如下圖所示：

應(yīng)急響應(yīng)組組長

執(zhí)行組組長

應(yīng)

數(shù)

知

系

網(wǎng)

業(yè)

急

識

據(jù)

文

培

統(tǒng)

絡(luò)

務(wù)

聯(lián)

安

庫

庫

檔

絡(luò)

訓(xùn)

安

安

安

管

全

安

管其

員

人

全

全

全

理

管

全

理他

員

顧

顧

顧

員

員

理

顧

問

問

問

員

回

圖5.6應(yīng)急響應(yīng)組織結(jié)構(gòu)

應(yīng)急響應(yīng)組織要素由應(yīng)急響應(yīng)組組長、執(zhí)行組組長、常設(shè)應(yīng)急響應(yīng)崗位與應(yīng)急崗位

等構(gòu)成。

?應(yīng)急響應(yīng)組組長：可由山西網(wǎng)通的高管層擔(dān)任。

?執(zhí)行組長：可由主管安全的部門負(fù)責(zé)人來擔(dān)任。

?應(yīng)急崗位（即安全顧問）：發(fā)生緊急事件，需要臨時抽調(diào)的安全專家，熟知業(yè)

務(wù)流程并熟知系統(tǒng)及網(wǎng)絡(luò)結(jié)構(gòu)的資深安全專家擔(dān)任，也能夠是外聘的專業(yè)安全

服務(wù)公司。

?常設(shè)崗位（安全管理員/文檔管理員/聯(lián)絡(luò)員）：由專門的應(yīng)急響應(yīng)技術(shù)人員擔(dān)

任，負(fù)責(zé)發(fā)現(xiàn)、預(yù)警、記錄、報告、響應(yīng)安全事件。

職責(zé)劃分

?應(yīng)急響應(yīng)組組長

同意執(zhí)行組長的報告，作決策

工作分配，協(xié)調(diào)整個事件的處理過程

?執(zhí)行絹長

接收報告，推斷是安全問題抑或者安全事件

選擇人員建立緊急事件響應(yīng)小組

制定應(yīng)急響應(yīng)計劃

應(yīng)急響應(yīng)驗收、監(jiān)督

?常設(shè)崗位

系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)、業(yè)務(wù)方面的安仝專家在應(yīng)急響應(yīng)過程中，作為應(yīng)急響應(yīng)小構(gòu)成

員，實施應(yīng)急響應(yīng)計劃。

?安全管理員

接收報告、采取初步行動，根據(jù)得到的報告推斷是一個安全問題還是一個安全事件,

評估事件緊急程度，確定響應(yīng)策略，并將它提交高層；