1、XX建設銀行安全解決方案XX數碼有限公司二OO一年五月一、XX數碼與網絡安全3二、沈陽建設銀行3業務分析3三、系統安全目的4四、用戶安全需求分析51安全性52高效性53可擴展性55完善的服務體制6五、安全體系結構6六、安全系統實施7附錄：產品介紹（請見相關文檔）XX數碼與網絡安全Internet正在越來越多地離開原來單純的學術環境，融入到社會的各個方面。一方面，隨著網絡用戶成分越來越多樣化，出于各種目的的網絡入侵和攻擊越來越頻繁；另一方面，隨著Internet和以電子商務為代表的網絡應用的日益發展，Internet越來越深地滲透到各行各業的關鍵要害領域。Internet的安全，包括其上的信息數

2、據安全，日益成為與國家、政府、企業、個人的利益休戚相關的“大事情”。為此XX數碼首先推出的就是SHARKS互聯網安全解決方案。SHARKS是在經過一年多的大量投入和深入的研究后，提出的一套基于中國國情、全部自主開發、具有領先優勢的解決方案。它是一套整體的集群平臺，可以解決互聯網運營商最為關切的安全性、高可靠性、可擴展性和易于遠程管理的問題。目前這套方案已經得到國家有關部門的大力支持，被國家經貿委列為國家創新計劃項目之一，另外，還得到了國家”863計劃的支持”。XX數碼方御防火墻是SHARKS中的主要安全產品之一。方御防火墻實現了以橋方式接入的獨特技術，既提高了系統自身的安全性，又保證了其運行效

3、率。方御防火墻中還融入了入侵檢測技術，可以有效地防范攻擊企圖的試探，另外利用先進的III技術，方御防火墻可以有效濾除著名的DDoS攻擊，正是這種攻擊曾迫使包括美國雅虎在內的若干世界最大的網站停止服務。在立身自主開發外，XX數碼還與ISS、Symantec等眾多國際知名的安全公司保持著良好的合作關系，集成國內外最優秀的公司安全產品，為國內Internet的安全建設保駕護航。二、沈陽建設銀行業務分析1 .業務分析業務概況保護沈陽建行的網絡系統，保證各項業務正常運行，防止非法行為的侵犯和病毒的破壞。由于目前沈陽建行沒有采取安全保護措施，使得自己的業務系統完全暴露在網絡環境中，因此容易受到黑客和不法人

4、員的侵害，所以應該實施一套完整的安全方案來保護業務網絡，同時由于銀行每天都有大量的數據通過網絡，所以要保證網絡的流量，即新增的安全產品不能成為網絡的瓶頸。1.管理模式在管理上，使用集中式的管理可以方便快捷，并能夠簡化管理員的工作，提高工作效率。從安全的角度來看，復雜的，分散的管理方式在安全上是存在很大的隱患和漏洞的，使用集中管理也是提高安全等級的一項主要內容2 .網絡主要的安全風險和漏洞數據庫數據會受到黑客的竊取、破壞以及病毒的破壞系統信息會受到黑客的竊取、破壞以及病毒的破壞服務的正常運行會受到黑客的攻擊、破壞以及病毒的破壞3.網絡中心拓撲結構:客戶也再息中心CahSSJOBHUB(T)DDN

5、/PSIN辦事處幅智所向事也愜市所沈陽建設銀行網絡拓撲圖或1玉網段 的客戶MESCOMSPLOOOA* 前通也通覽中心戶M金業羈F 250i5通過751翔茹同Mcdordl-i 口土業相務終 HUEC 鵬360（企皿周目前來局1VLAN 10 5500B Port. 2/1-2DVLAN 205500A RwtM以前k萬丈連樓的山盤班 通過7513c曲H以辛小方式連於鈍山畀軌 通過抬13A仿曰里土田七作或更快的山舞機 通過7513B中耕VLAN1: 5500BPart2/2-24生產機總助M自曲磯 斤篁加 21S921622240從上圖中可以看出，目前沈陽建行的網絡比較復雜，設備眾多，型號也非

6、常多，一方面在管理上很不方便，另一方面從安全性的角度講，它使得網絡的安全等級也降低了，因此我們需要簡化網絡結構，并對網絡進行集中的管理。三、系統安全目的通過以上的分析，安全目的是：保護沈陽建設銀行的內部網絡的計算機系統正常運轉，避免惡意的攻擊、破壞；重要數據庫的數據，防止被竊取、修改、破壞。四、用戶安全需求分析1 安全性網絡環境、操作系統與數據的安全性現在這個網絡環境直接暴露，是處在非常不安全的狀態，所以我們需要用防火墻來隔離沈陽建行的內部生產網絡，保護各種業務的服務器，其中包括AS400等重要的業務機。由于防火墻能夠阻擋黑客的攻擊行為和異常的網絡事件，這樣可以保護我們的網絡環境、網絡中計算機

7、的操作系統和數據。防火墻是網絡安全的第一道屏障，單有防火墻是不能進行全面保護的，我們還需要入侵監測系統（IDS）來對黑客的攻擊進行報警和自動防范。2 高效性由于每天有大量的信息訪問要保護生產系統的服務器，這就要求網絡擁有很高的數據吞吐能力，也就意味著網絡的安全產品不能對網絡的流量造成影響。而現在傳統防火墻動輒造成15%以上的效率損失相比，這就造成了一個矛盾。XX方御防火墻充分考慮了用戶對效率的重視性，擁有足以自豪的數據吞吐能力。在500條規則以下的應用（占全部應用的95%以上）中，基本不影響網絡傳輸，有絕對的優勢。3 可擴展性銀行是我國重要的金融機構，新的業務會不斷的開展，同時也會應用大量的新

8、技術新設備，同時網絡的發展日新月異，所以網絡的擴展性好壞關系到日后企業的發展。這就要求在網絡建設時留余地。這樣不會因為現在的投資給將來網絡的發展和升級帶來影響。4 易用性（管理控制）不易使用的安全系統是不安全的。充斥著英文術語的管理界面會大大的增加系統管理人員的工作量，也容易導致不應有的漏洞的出現或安全策略的僵化。易用性主要包括：要界面清晰易懂管理集中方便安全性的時實監控5完善的服務體制網絡安全的實施還需要完善的服務體制來保障，一般的企業不是專業的網絡安全公司，安全是動態的過程，今天安全的系統明天就可能不安全，這就要求提供安全方案的公司有優秀的服務體制進行跟蹤服務。這就需要有一支專業的網絡安全

9、隊伍來幫助企業解決有關安全問題。再嚴密的系統也可能出現漏洞，當緊急事件發生時，能不能在最短時間內獲得緊急響應服務經常決定了損失的大小，而且這種時候，需要的是極其專業的服務，沒有強大開發實力的公司是無法滿足這種需求的，而在國內沒有開發部門的國外著名公司則往往鞭長莫及。五、安全體系結構通過前面的分析，我們可以知道，首先需要使用防火墻作為網絡安全的屏障來與其他網絡進行隔離，這樣能夠防止其他網絡的非法用戶的非法侵害，在這里我們建議使用XX數碼的XX方御防火墻。（有關方御防火墻的具體情況請見后面有關防火墻介紹的部分）作為網絡安全必備的第二道警戒線我們需要布置IDS（入侵監測系統），IDS系統主要包括網絡

10、IDS、主機IDS等部分，對于IDS系統XX方御防火墻里已經內置了一套網絡IDS系統。同時要在網絡中布置一套網絡防病毒系統，已達到對病毒的防御。由于防火墻是網絡中的關鍵設備之一，由于有時候一些不可預見的因素可能會是防火墻出現故障的而造成網絡不暢通或安全性失效，所以我們要采取雙機熱備的方案，提高安全的可靠性。另外需要我們注意的是加入數據備份的產品，來保護我們的數據庫。安全體系結構圖：安全解決方案體系所使用模塊：防火墻（XX方御防火墻）IDS（ISS產品）防病毒模塊（KiLL網絡防毒產品）網絡冗余數據備份整個安全系統結構可以總結為：多層隔離、實時監控、立體防護、集中管理。六、安全系統實施通過上面對

11、需求的分析，我們提出了解決需求所要使用到的安全模塊，主要由防火墻來對網絡上的入侵、攻擊以及異常的行為進行阻擋。使用XX數碼的FireGate防火墻作為系統安全的屏障。具體實施如下圖所示：R EHL網給防再重洪沈陽市建設銀行 安全解決方案 柘撲圖安全模塊安之后的拓撲圖及其說明:拓撲接供如上圖所示，在訪問的線路上添加方御防火墻雙機熱備方案，防火墻設置為橋接模式，不需要給內、外部接口配置IP地址，將防火墻的外部接口使用直連線與交換機連接，將防火墻的內部接口使用直連線與相連接即可。防火墻的規則配置請參看方御防火墻使用說明書。在網絡的主交換機上安裝一臺帶有IDS系統的計算機，作為第二道安全防護屏障，同時在每臺計算機上安裝Kill網絡版防病毒模塊和E-trust單機版IDS模塊。作為防御病毒的屏障。對于數據的備分系統，