1、精品資料推薦某建設(shè)銀行安全應(yīng)用實例XX數(shù)碼有限公司二OO一年五月一、某建設(shè)銀行業(yè)務(wù)分析1. 業(yè)務(wù)分析業(yè)務(wù)概況保護某建行的網(wǎng)絡(luò)系統(tǒng)，保證各項業(yè)務(wù)正常運行，防止非法行為的侵犯和病毒的破壞。由于目前某建行沒有采取安全保護措施，使得自己的業(yè)務(wù)系統(tǒng)完全暴露在網(wǎng)絡(luò)環(huán)境中，因此容易受到黑客和不法人員的侵害，所以應(yīng)該實施一套完整的安全方案來保護業(yè)務(wù)網(wǎng)絡(luò)，同時由于銀行每天都有大量的數(shù)據(jù)通過網(wǎng)絡(luò)，所以要保證網(wǎng)絡(luò)的流量，即新增的安全產(chǎn)品不能成為網(wǎng)絡(luò)的瓶頸。2. 管理模式在管理上，使用集中式的管理可以方便快捷，并能夠簡化管理員的工作，提高工作效率。從安全的角度來看，復(fù)雜的，分散的管理方式在安全上是存在很大的隱患和漏洞

2、的，使用集中管理也是提高安全等級的一項主要內(nèi)容。3. 網(wǎng)絡(luò)主要的安全風(fēng)險和漏洞數(shù)據(jù)庫數(shù)據(jù)會受到黑客的竊取、破壞以及病毒的破壞系統(tǒng)信息會受到黑客的竊取、破壞以及病毒的破壞服務(wù)的正常運行會受到黑客的攻擊、破壞以及病毒的破壞4. 網(wǎng)絡(luò)中心拓?fù)浣Y(jié)構(gòu)：9CkdDDeHUB(Ti仁版raT5L3ADDK聯(lián)TN到Jr.長+互如感書粕中李旺忱后內(nèi)用直率L幫月乩住匕國蜒符坡J1序再我首檸JmXi二同配的球4M列我行企業(yè)因rtfiTlj爾用ri-lrn："0"通過？兄王湎問用idk方式在后EJk畀Bl通時十51M研同Lli2DSt4.鵬灣昌曲VLAN如S5EIIAB-rf7l_MT史上口企業(yè)網(wǎng)

3、口由十鼻1軒立軌常沿VLAN1II5500BPH如別UL處”芍0Hpet如-,通4:：方戒方值切也弭機蛙比%13B*h|沈陽建設(shè)銀行網(wǎng)絡(luò)拓?fù)鋱D從上圖中可以看出，目前某建行的網(wǎng)絡(luò)比較復(fù)雜，設(shè)備眾多，型號也非常多，一方面在管理上很不方便，另一方面從安全性的角度講，它使得網(wǎng)絡(luò)的安全等級也降低了，因此我們需要簡化網(wǎng)絡(luò)結(jié)構(gòu)，并對網(wǎng)絡(luò)進行集中的管理。二、系統(tǒng)安全目的通過以上的分析，安全目的是：保護某建設(shè)銀行的內(nèi)部網(wǎng)絡(luò)的計算機系統(tǒng)正常運轉(zhuǎn)，避免惡意的攻擊、破壞；重要數(shù)據(jù)庫的數(shù)據(jù)，防止被竊取、修改、破壞。三、用戶安全需求分析1 .安全性網(wǎng)絡(luò)環(huán)境、操作系統(tǒng)與數(shù)據(jù)的安全性現(xiàn)在這個網(wǎng)絡(luò)環(huán)境直接暴露，是處在非常不安全

4、的狀態(tài)，所以我們需要用防火墻來隔離某建行的內(nèi)部生產(chǎn)網(wǎng)絡(luò)，保護各種業(yè)務(wù)的服務(wù)器，其中包括AS400等重要的業(yè)務(wù)機。由于防火墻能夠阻擋黑客的攻擊行為和異常的網(wǎng)絡(luò)事件，這樣可以保護我們的網(wǎng)絡(luò)環(huán)境、網(wǎng)絡(luò)中計算機的操作系統(tǒng)和數(shù)據(jù)。防火墻是網(wǎng)絡(luò)安全的第一道屏障，單有防火墻是不能進行全面保護的，我們還需要入侵監(jiān)測系統(tǒng)（IDS）來對黑客的攻擊進行報警和自動防范。2 高效性由于每天有大量的信息訪問要保護生產(chǎn)系統(tǒng)的服務(wù)器，這就要求網(wǎng)絡(luò)擁有很高的數(shù)據(jù)吞吐能力，也就意味著網(wǎng)絡(luò)的安全產(chǎn)品不能對網(wǎng)絡(luò)的流量造成影響。而現(xiàn)在傳統(tǒng)防火墻動輒造成15%以上的效率損失相比，這就造成了一個矛盾。方正方御防火墻充分考慮了用戶對效率的重

5、視性，擁有足以自豪的數(shù)據(jù)吞吐能力。在500條規(guī)則以下的應(yīng)用（占全部應(yīng)用的95%以上）中，基本不影響網(wǎng)絡(luò)傳輸，有絕對的優(yōu)勢。3 可擴展性銀行是我國重要的金融機構(gòu)，新的業(yè)務(wù)會不斷的開展，同時也會應(yīng)用大量的新技術(shù)新設(shè)備，同時網(wǎng)絡(luò)的發(fā)展日新月異，所以網(wǎng)絡(luò)的擴展性好壞關(guān)系到日后企業(yè)的發(fā)展。這就要求在網(wǎng)絡(luò)建設(shè)時留余地。這樣不會因為現(xiàn)在的投資給將來網(wǎng)絡(luò)的發(fā)展和升級帶來影響。4 易用性（管理控制）不易使用的安全系統(tǒng)是不安全的。充斥著英文術(shù)語的管理界面會大大的增加系統(tǒng)管理人員的工作量，也容易導(dǎo)致不應(yīng)有的漏洞的出現(xiàn)或安全策略的僵化。易用性主要包括：要界面清晰易懂管理集中方便安全性的時實監(jiān)控5 完善的服務(wù)體制網(wǎng)絡(luò)安

6、全的實施還需要完善的服務(wù)體制來保障，一般的企業(yè)不是專業(yè)的網(wǎng)絡(luò)安全公司，安全是動態(tài)的過程，今天安全的系統(tǒng)明天就可能不安全，這就要求提供安全方案的公司有優(yōu)秀的服務(wù)體制進行跟蹤服務(wù)。這就需要有一支專業(yè)的網(wǎng)絡(luò)安全隊伍來幫助企業(yè)解決有關(guān)安全問題。再嚴(yán)密的系統(tǒng)也可能出現(xiàn)漏洞，當(dāng)緊急事件發(fā)生時，能不能在最短時間內(nèi)獲得緊急響應(yīng)服務(wù)經(jīng)常決定了損失的大小，而且這種時候，需要的是極其專業(yè)的服務(wù)，沒有強大開發(fā)實力的公司是無法滿足這種需求的，而在國內(nèi)沒有開發(fā)部門的國外著名公司則往往鞭長莫及。四、安全體系結(jié)構(gòu)通過前面的分析，我們可以知道，首先需要使用防火墻作為網(wǎng)絡(luò)安全的屏障來與其他網(wǎng)絡(luò)進行隔離，這樣能夠防止其他網(wǎng)絡(luò)的非法

7、用戶的非法侵害，在這里我們建議使用方正數(shù)碼的方正方御防火墻。（有關(guān)方御防火墻的具體情況請見后面有關(guān)防火墻介紹的部分）作為網(wǎng)絡(luò)安全必備的第二道警戒線我們需要布置IDS（入侵監(jiān)測系統(tǒng)），IDS系統(tǒng)主要包括網(wǎng)絡(luò)IDS、主機IDS等部分，對于IDS系統(tǒng)方正方御防火墻里已經(jīng)內(nèi)置了一套網(wǎng)絡(luò)IDS系統(tǒng)。同時要在網(wǎng)絡(luò)中布置一套網(wǎng)絡(luò)防病毒系統(tǒng)，已達(dá)到對病毒的防御。由于防火墻是網(wǎng)絡(luò)中的關(guān)鍵設(shè)備之一，由于有時候一些不可預(yù)見的因素可能會是防火墻出現(xiàn)故障的而造成網(wǎng)絡(luò)不暢通或安全性失效，所以我們要采取雙機熱備的方案，提高安全的可靠性。另外需要我們注意的是加入數(shù)據(jù)備份的產(chǎn)品，來保護我們的數(shù)據(jù)庫。安全解決方案體系所使用模塊:

8、防火墻（方正方御防火墻）IDS（ISS產(chǎn)品）防病毒模塊（KiLL網(wǎng)絡(luò)防毒產(chǎn)品）網(wǎng)絡(luò)冗余數(shù)據(jù)備份整個安全系統(tǒng)結(jié)構(gòu)可以總結(jié)為：多層隔離、實時監(jiān)控、立體防護、集中管理。五、安全系統(tǒng)實施通過上面對需求的分析，我們提出了解決需求所要使用到的安全模塊，主要由防火墻來對網(wǎng)絡(luò)上的入侵、攻擊以及異常的行為進行阻擋。使用方正數(shù)碼的FireGate防火墻作為系統(tǒng)安全的屏障。具體實施如下圖所示：沈陽市建設(shè)銀行安全解決方案跖撲圈S KILL網(wǎng)鄰防壽律塊安全模塊安之后的拓?fù)鋱D及其說明：拓?fù)浣庸┤缟蠄D所示，在訪問的線路上添加方御防火墻雙機熱備方案，防火墻設(shè)置為橋接模式，不需要給內(nèi)、外部接口配置IP地址，將防火墻的外部接口使用直連線與交換機連接，將防火墻的內(nèi)部接口使用直連線與相連接即可。防火墻的規(guī)則配置請參看方御防火墻使用說明書。在網(wǎng)絡(luò)的主交換機上安裝一臺帶有IDS系統(tǒng)的計算機，作為第二道安全防護屏障，同時在每臺計算機上安裝Kill網(wǎng)絡(luò)版防病毒模塊和E-trust單機版IDS模塊。作為防御病毒的屏障。對于數(shù)據(jù)的備分系統(tǒng)，相應(yīng)的數(shù)據(jù)庫都提供備份的辦法，也可以使用磁帶機等，這