XX銀行網絡安全規劃建議書

2006年6月

目錄

1項目情況概述..................................................................3

2網絡結構調整與安全域劃分......................................................5

3XXX銀行網絡需求分析.........................................................7

3.1網上銀行安全風險與安全需求...............................................8

3.2生產業務網絡安全風險與安全需求............................................9

4總體安全技術框架建議.........................................................11

4.1網絡層安全建議...........................................................11

4.2系統層安全建議...........................................................13

4.3管理層安全建議...........................................................14

5全面網絡架構及產品部署建議...................................................15

5.1網上銀行安全建議.........................................................15

5.2省聯社生產網安全建議.....................................................17

5.3地市聯社生產網安全建議...................................................19

5.4區縣聯社生產網安全建議...................................................19

5.5全行網絡防病毒系統建議..................................................20

5.6網絡安全管理平臺建議....................................................21

5.6.1部署網絡安全管理平臺的必要性................................................................................21

5.6.2網絡安全管理平臺部署建議........................................................................................22

5.7建立專業的安全服務體系建議...............................................23

5.7.1現狀調查與風險評估....................................................................................................24

5.7.2安全策略制定及方案設計............................................................................................24

5.7.3安全應急響應方案........................................................................................................25

6安全規劃總結.................................................................28

7產品配置清單.................................................................29

1項目情況概述

Xxx銀行網絡是一個正在進行改造的省級銀行網絡。整個網絡隨著業務的不斷擴展與應

用的增加，已經形成了一個橫縱聯系，錯綜復雜的網絡。從縱向來看，目前XXX銀行畫絡分

為四層，第一層為省聯社網絡，第二層為地市聯社網絡，第三層為縣（區）聯社網絡，第四

層為分理處網絡。

從橫向來看，省及各地市的銀行網絡都按照應用劃分為辦公子網、生產子網與外聯網絡

三個大子網。而在省中心網上，還包含網上銀行、測試子網與MIS子網三個單獨的子網。其

整個網絡的結構示意圖加卜.：

子網

縣（區）聯社辦

生產網股公（0A）子網

務器

分理處生產r?網

生產網服

務器XXX銀行網絡結構示意圖

圖1.1XXX銀行網絡結構示意圖

XXX銀行網絡是一個正在新建的網絡，目前業務系統剛剛上線運行，還沒有進行信息安

全方面的建設。而關于XXX銀行網絡來說，生產網是網絡中最重要的部分，所有的應用也業

務系統都部署在生產網上。一旦生產網出現問題，造成的缺失與影響將是不可估量的。因此

現在急需解決生產網的安全問題。

本次對XXX銀行網絡的安全規劃僅限于生產網與與生產網安全有關的網絡部分，因此下

面我們著重對XXX銀行的生產網構架做?個全面描述。

（一）省聯社生產網絡

省聯社網絡生產網絡是全行信息系統的核心，業務系統、網上銀行系統及管理系統

都集中在信息中心。

省聯社網絡生產網絡負責與人行及其他單位中間業務的連接。

省聯社網絡生產網絡負責建立與保護網上銀行。

省聯社網絡生產網絡中包含M1S系統與測試系統。

操作系統要緊有：0S/400、AIX、Linux>Windows,與其它設備的專用系統。

數據庫系統包含:DB2、INFORMIX.SYBASE、ORACLE等。

業務應用包含：

牛產業務:

一線業務：與客戶直接關聯的業務，如ATM、POS、柜員終端等

二線業務：不直接與客戶有關的業務，如管理流程、公文輪番轉、監督、決策等，

為一線業務的支撐。

（-）地市聯社生產網絡

地市聯社生產網絡是二級網絡，通過兩條互為冬份的專線與省聯社中心網絡互連。

操作系統要緊有：UNIX、WINDOWS.,

（三）區（縣）聯社生產網絡

區（縣）聯社生產網絡是三級網絡，通過2MSDH/或者者10M光纖以太網（ISDN

備份）等方式與管轄支行的網絡連接。

操作系統要緊有：UNIX、WINDOWS。

（四）分理處生產網

分理處是四級網絡，各個分理處通過2MSDH或者者ISDN等方式與管轄區（公）聯

社的網絡連接。

由于區縣聯社及分理處的網絡日前還處在組網的初級階段，網絡構造簡單H.還沒有能力

進行完善的網絡安全建設與管理，因此本次規劃要緊是對省及地市聯社的網絡安全部分。當

把省及地市部分的網絡建成一個比較完善的安全防護體系之后，再逐步的將安全措施與手段

應用于下層的區縣聯社及分埋處。從而實現整個網絡的重點防護、分步實施策略。

2網絡結構調整與安全域劃分

關于XXX銀行生產網絡來說，首要的一點就是應該根據國家有關部門對有關規定，將整

個生產網絡進行網絡結構的優化與安全域的劃分，從結構上實現對安全等級化保護。

根據《中國人民銀行計算機安全管理暫行規定（試行）》的有關要求：

“笫六十一條內聯網上的所有計算機設備，不得直接或者間接地與國際互.聯網相聯

接，務必實現與國際互聯網的物理隔離。”

“第七十五條計算機信息系統的開發環境與現場應當與生產環境與現場隔離。”

因此我們有必要對現有網絡環境進行改造，以將生產業務網絡（包含一線業務與二線業

務）與具有互聯網連接的辦公網絡之間區分開來，通過強有力的安全操縱機制最大化實現生

產系統與其他業務系統之間的隔離。同時，對XXX銀行所有信息資源進行安全分級，根據不

一致業務與應用類型劃分不一致安全等級的安全域，并分別進行不一致等級的隔離與保護。

初步規劃將省聯社生產網絡劃分成多個具備不一致安全等級的區域，參考公安部公布的

《信息系統安全保護等級定級指南》，我們對安全區域劃分與定級的建議如下：

安全區域說明定級建議

生產區域包含一線業務服務器主機3級

MIS區域包含二線業務服務器主機2級

網上銀行區域包含網上銀行業務服務器主機2級

包含保護網絡信息系統有效運行的管理服務器主機與管理

運行管理區域2級

終端

測試區域包含新開發的生產應用的測試環境，可視為準生產環境1級

辦公服務器區

包含辦公業務系統服務器主機2級

域

關于各地市、區縣聯社與各營業網點也需要將生產業務與辦公業務嚴格區分開，并進行

邏輯隔離，確保生產區域具有較高安全級別。

由于?部分辦公業務用戶需要訪問生產業務中的特定數據，而部分生產應用也需要訪問辦

公網中的特定數據，因此無法做到生產、辦公之間完全的物理隔離，建議在各級聯社信息中

心提供生產網與辦公網之間的連接，并使用邏輯隔離手段進行操縱，關于營業網點，由于作

隔離投入太大，可暫時不考慮隔離。

改造后的總體邏輯結構如圖所示:

網絡改造后，全行辦公系統將統一互聯網出口，所有辦公終端只同意在通信行為可控的

情況下才能通過信息中心辦公網絡的互聯網出口訪問外界網絡，生產、業務服務器與終端不同

意采取任何手段直接訪問互聯網或者通過辦公網間接訪問互聯網。

網上銀行因業務需要務必連接互聯網，但只同意互聯網用戶對網銀門戶網站的訪問與認

證用戶對網銀WEB服務器為訪問，生產業務服務器與終端不同意采取任何手段直接訪問互聯

網或者通過網銀網絡間接訪問互聯網。

3XXX銀行網絡需求分析

隨著XXX銀行金融信息化的進展，信息系統已經成為銀行賴以生存與進展的基本條件。

相應地，銀行信息系統的安全問題也越來越突出，銀行信息系統的安全問題要緊包含兩個方

面：?是來自外界對銀行系統的非法侵入，對信息系統的蓄意破壞與盜竊、篡改信息行為;

二是來自銀行內部員工有意或者無意的對信息系統管理的迂反。銀行信息系統正在面收著嚴

峻的挑戰。

銀行進行安全建設、加強安全管理已經成為當務之急，其必要性正在隨著銀行業務與信

息系統如下的進展趨勢而更加凸出：

銀行的關鍵業務系統層次豐富，操作環節多，風險也相對比較明顯；

隨著電子銀行與中間業務的廣泛開展，銀行的網絡與Internet與其他組織機構的網絡

互聯程度越來越高，使原本相對封閉的刖絡越來越開放，從血將外部網絡的風險引入到銀行

內部網絡；

隨著銀行業務集中化的趨勢，銀行業務系統對可靠性與無間斷運行的要求也越來越高;

隨著WTO的到來與外資銀行的進入，銀行業競爭日益猛烈，新的金融產品不斷推出，從

而使銀行的應用系統處于快速的變化過程中，對銀行的安全管理提出了更高的要求。

中國國內各家銀行也已經開始進行信息安體系建設,其中最要緊的措施就是采購了大量

安全產品，包含防火墻、入侵檢測系統、防病毒與身份認證系統等。這些安全產品在很大程

度上提高了銀行信息系統的安全水平，對保護銀行信息安全起到了一定作用。但是它僅并沒

有從根本上降低安全風險，緩解安全問題，這要緊是由于：

?信息安全問題從來就不是單純的技術問題，把防范黑客入侵與病毒感染懂得為信

息安全問題的全部是片面的。安全產品的功能相對比較狹窄，往往用于解決一類安

全問題，因此僅僅通過部署安全產品很難完全覆蓋銀行信息安全問題；

?信息安全問題不是靜態的，它總是隨著銀行策略、組織架構、信息系統與操作流

程的改變而改變。部署安全產品是?種靜態的解決辦法。通常來說，在產品安裝與

配置后較長一段時間內，它們都無法動態調整以習慣安全問題的變化。

因此，銀行界的有識之士都意識到應從根本上改變應對信息安全問題的思路，建立更加

全面的安全保障體系，在安全產品的輔助下，通過管理手段體系化地保隙信息系統安全。

下面我們將通過分析XXX銀行改造后的網絡結構下可能面臨的安全問題，對XXX銀行（要

緊是生產網）目前的安全需求進行總體分析。根據實際項FI進度安排，我們將分別對網上銀

行系統、生產業務系統進行分析工

3.1網上銀行安全風險與安全需求

針對目前最常見的互聯網攻擊類型與國內外網上銀行系統通常面臨的安全威脅，結合

XXX銀行的實際情況，我們認為在XXX銀行網上銀行網絡可能血臨的安全風險與對應的安全

需求如下:

序號風險名稱受影響對象安全需求

操作系統，數據庫系

1漏洞評估、加固（打補丁，安裝加固軟件）

統，應用軟件

網銀WEB與門戶WEB

2網頁篡改打補丁.安裝防篡改軟件.內容過濾

服務器

培訓客戶的安全防護意識（安裝IE反釣魚插

3網絡仿冒網銀客戶件；認清銀行網站，不在虛假站點中填寫1D

與密碼；使用CA認證與SSL加密）

客戶端：建議或者強制安裝防病毒軟件/,插件

所有windows與服務器：安裝相應平臺防病毒軟件

4蠕蟲與病毒

linux平臺網銀WEB區域與互聯網之間：防病毒網關

網銀與核心層之間：防病毒網關

非法入侵與攻

防火墻、IDS（需檢測應用級攻擊及SSL加密

5擊（網絡級、所有網段

攻擊）

應用級）

6拒絕服務攻擊網銀WEB區域抗DOS攻擊產品

網頁惡意代碼培訓客戶的安全防護意識（在計算機上安裝

（木馬、間諜防病毒工具并及時更新；使用相對安全的瀏

網銀客戶windows,

軟件、廣告軟覽器或者在IE中安裝各類安全控件；對不明

7ie瀏覽器（linux

件、撥號器郵件不要打開，并及時刪除；提高對個人資

不受影響）

（dialers）、料、賬戶、密碼的保護意識；及時修改銀行

keyloggerx帳戶的原始密碼；不要使用身份證號碼、生

密碼破解工具日、手機號碼及過分簡單的數字作為密碼；

與遠程操縱程不要在網吧等公共場所操作網上銀行業務。）

序等）

僵尸網絡

（DDOS、垃圾互聯網上大量不安

郵件、網頁仿全的主機可能成為

8通過上述手段加強自身防護

冒、網頁攻擊僵尸，被利用來向網

的被動發起很進行攻擊

者）

3.2生產業務網絡安全風險與安全需求

關于生產業務網絡而言，可能存在的安全風險與對應的安全需求如下:

序號風險名稱風險來源受影響對象安全需求

操作系統，數據

評估、加固（打補丁，安裝加固軟

1漏洞自身庫系統，應用軟

件）

件

客戶端/服務器：安裝相應平臺防病

蠕蟲與病移動存儲介所有windows與毒軟件

2

土

母質、網絡通訊linux平臺網銀與生產業務網絡之間：防病毒

網關

所有需要訪問

或者可能訪問一線業務生產

防火墻、入侵檢測

到一線業務的主機

非法入侵

用戶

與攻擊（網

3網上銀行區域生產業務網絡防火墻、入侵防御

絡級、應用

網上銀行區

級）

域、有關外部

生產業務網絡防火墻、入侵檢測

單位網絡、辦

公業務網絡

在局域網或者

廣域網上傳輸

數據竊密、

4非法闖入者的業務數據，存網絡準入操縱、桌面安全操縱

篡改

放在客戶端本

地的業務數據

生產應用系統

非生產人員身份認證、訪問授權

非法訪問、與業務數據

5

越權訪問操作系統、數據

非管理人員身份認證、訪問授權

庫系統

4總體安全技術框架建議

根據對XXX銀行網絡系統安全需求分析，我們提出了由多種安全技術與多層防護措施構

成的一整套安全技術方案，具體包含：在網絡層劃分安全域，部署防火墻系統、防拒絕服務

攻擊系統、入侵檢測系統、入侵防御系統與漏洞掃描系統；在系統層部署病毒防范系統，提

供系統安全評估與加固建議；在管理層制訂安全管理策略，部署安全信息管理與分析系統，

建立安全管理中心。

具體建議如下：

4.1網絡層安全建議

1.網絡訪問操縱

?劃分安全域

為了提高銀行網絡的安全性與可靠性，在省聯社總部、各地市聯社、各區縣聯社、

分理處對不一致系統劃分不一致安全域。

?訪問操縱措施

對安全等級較高的安全域，在其邊界部署防火墻，對安全等級較低的安全域的邊界

則能夠使用VLAN或者訪問操縱列表來代替。

根據對XXX銀行整體網絡的區域劃分，我們將在不一致安全域邊界使用不一致的訪

問操縱措施：

?在生產網與辦公網之間使用防火墻提供訪問操縱，只同意業務有關的訪問，拒

絕其他所有訪問；

?在生產網與網上銀行網絡之間使用防火墻提供訪問操縱，只同意業務有關的訪

問，拒絕其他所有訪問：

?在生產網與有關單位網絡之間使用防火墻提供訪問操縱，只同意業務有關的訪

問，拒絕其他所有訪問；

?在網上銀行網絡與互聯網之間使用防火墻提供訪問操縱，除同意互聯網用戶訪

問網銀門戶網站、同意互聯網認證用戶訪問網銀WEB及同意網銀WEB服務器

/SSL加速器訪問互聯網上的CFCA之外，拒絕其他所有訪問；

?在生產網的生產區域（一線業務）與其他區域之間使用防火增提供訪問操縱，

只同意業務有關的訪問，拒絕其他所有訪問;

?在生產網的其他各區域之間利用三層交換機劃分虛擬子網及進行簡單包過濾,

做到較簡單的訪問操縱；

2.防拒絕服務攻擊

在網上銀行系統與Internet出口邊界處，配備抗DoS攻擊網關系統，以抵御來自互聯

網的各類拒絕服務攻擊與分布式拒絕服務攻擊。

3.網絡入侵檢測

在網上銀行系統與總行業務網絡系統中部署入侵檢測系統，實時檢測、分析網絡上的通

訊數據流，特別是對進出安全域邊界或者進出存放有涉否信息的關鍵網段、服務器主機的通

訊數據流進行監控，及時發現違規行為與特殊行為并進行處理。網絡入侵檢測系統可實現加

下功能：

■網絡信息包嗅探。以旁路監聽方式秘密運行，使攻擊者無法感知到。黑客常常在沒

有覺察的情況下被抓獲，由于他們不明白他們一直受到密切監視。

■網絡訪問監控。服據實際業務需要定制有關規則，能夠定義什么主機或者網段能夠

或者不能夠訪問網絡上的特定資源，能夠定義訪問時間段，對特定的非法訪問行為

或者除特定合法訪問行為之外的所有訪問行為進行監控，一旦發現違規行為貝!根據

事先定義的響應策略進行報警、阻斷或者聯動的相應，以保證只有授權用戶才能夠

訪問特定網絡資源。

■應用層攻擊特征檢測。提供詳盡、細粒度的應用協議分析技術，實現應用層攻擊檢

測，可自動檢測網絡實時數據流中符合特征的攻擊行為，系統保護一個強大的攻擊

特征庫，用戶能夠定期更新，確保能夠檢測到最新的攻擊事件。

■端蟲檢測。實時跟蹤當前最新的端蟲事件，針對已經發現的蠕蟲攻擊及時提供有關

事件規則。系統保護一個強大的蠕蟲特征庫，用戶能夠定期更新，確保能夠檢測到

最新的蠕蟲事件。關于存在系統漏洞但尚未發現有關蠕蟲事件的情況，通過分析漏

洞來提供有關的入侵事件規則，最大限度地解決蠕蟲發現滯后的問題。

■可疑網絡活動檢測。即特殊檢測，包含通過對在特定時間間隔內超流量、超連接的

數據包進行檢測等方式，實現對DoS、掃描等攻擊事件的檢測。

■檢測險藏在SSL0口密通訊中的攻擊。通過解碼基于SSL加密的通訊數據，分析、檢

測基于SSL加密通訊的攻擊行為，從而能夠保護提供SSL加密訪問的網銀WEB服務

器的安全性。

■口志審計。提供入侵日志與網絡流量口志記錄與綜合分析功能，并提供全面的分析

報告，使網絡管理員能夠跟蹤用戶、應用程序等對網絡的使用情況，幫助管理員改

進網絡安全策略的規劃，并提供更精確的網絡安全操縱。通過詳盡的審計記錄，能

夠在系統遭到惡意攻擊后，提供證據以提起法律訴訟。

■多網段同時監控。入侵探測器支持多個網絡監聽口，能夠連接到多個網段中進行實

時監控，我們也能夠在不一致的網段分別部署多個探測引擎，管理員能夠通過集中

的管理操縱臺對探測器上傳的信息進行統一查看，通過管理器進行綜合分析，并生

成報表。

4.入侵防御系統

在生產網與網上銀行網絡之間、辦公網與互聯網之間分別部署入侵防御系統，對外界網

絡黑客利用防火墻為合法的用戶訪問而開放的端口穿透防火墻對內網發起的各類高級、復雜

的攻擊行為進行檢測與阻斷。IPS系統工作在笫二層到第七層，通常使用特征匹配與特殊分

析的方法來識別各類網絡攻擊行為，因其是以在線串聯方式部署的，對檢測到的各類攻擊行

為均可直接阻斷并生成口志報告與報警信息。

5.漏洞掃描系統

在生產網上部署一套漏洞掃描系統，定期對整個網絡，特別是關鍵主機及網絡設備進行

漏洞掃描。這樣才能及時發現網絡中存在的漏洞與弱點，及時根據漏洞掃描系統提出的解決

方案進行系統加固或者安全策略調整。以‘實現防患于未然的目的。同時得到的掃描日志還能

夠提供給安全管理中心，作為對整個網絡健康狀況評估的?部分，使得管理員能夠機制準確

的把握網絡的運行狀況。

4.2系統層安全建議

6.病毒防范系統

在XXX銀行網絡系統可能的病毒攻擊點或者通道中部署全方位的病毒防范系統，包含在

網上銀行互聯網出口、網上銀行區域與業務區域之間、辦公區域的互聯網出口處部署網關級

防病毒設備，在整個網絡中的所有WINDOWS服務器與客戶端計算機上部署相應平臺的網絡版

防病毒軟件并配置防病毒系統管理中心對所有主機上的防病毒軟件進行集中管理、監挖、統

一升級、集中查殺毒。

4.3管理層安全建議

7.綜合安全管理平臺與安全運營中心

部署一套有效的網絡安全管理體系，使用集中的安全管理平臺，來對全網進行統一的安

全管理與網絡管理，同時借助專業的第三方服務，在安全管理平臺的基礎上建立XXX銀行安

全運營中心，對XXX銀行安全保障體系的建設起到推動作用，確保XXX銀行信息網絡信息系

統內部不發生安全事件、少發生安全事件或者者發生安全事件時能夠及時處理減少由于安全

事件帶來的缺失。

根據XXX銀行的網絡結構與區域劃分，我們將分別針對網上銀行、省與地市生產業務網

絡進行安全體系設計。

5全面網絡架構及產品部署建議

5.1網上銀行安全建議

網上銀行的安全防護方案具體設計如下：

1、在網銀區域與Internet之間插入一套抗DoS攻擊系統，對來自互聯網的DDoS攻擊

流量進行清除，同時保證正常訪問流量的通過。

2、網銀區域與Internet之間設置一套防火墻系統（外層防火墻），使用雙機熱備結構,

通過二層交換機連接抗DcS攻擊設備，將網銀WEB服務器保護在防火墻的一個單獨的安全區

域中，并通過兩臺三層交換機連接內部網絡。外層防火墻的要緊作用是操縱來自外網的訪問，

只同意授權用戶訪問網銀服務的特定【P與端口，并通過NAT屏蔽服務器真實地址。防火增

使用透明工作模式。三層交換機提供缺省網關與局域網路由功能。

3、使用一臺網絡入侵檢測設備，提供雙引擎，分別連接到網銀WEB區域與網銀DB區域

的兩臺交換機上進行監控，對網絡上傳輸的敏感數據包（包含SSL加密數據）進行深層分析,

可有效地發現防火墻無法識別的特殊的應用層攻擊行為。

4、網銀WEB區域與后臺數據庫/應用服務器區域及信息中心網絡之間設置一套防火墻系

統（內層防火墻），一方面操縱網銀WEB服務區與后臺APP服務區之間的訪問，只同意來自

網銀WEB區服務器發起的特定訪問，禁止其他一切數據通訊；另一方面操縱網銀DB/AnP服

務區與內部生產區域之間的訪問，只同意應用有關的特定訪問，禁止其他一切數據通訊；使

用與外部防火墻異構的防火墻產品，即使攻擊者成功獲得外墻的操縱權，也不能輕易攻入業

務網絡。

5、在內層防火墻與內網核心交換機之間串聯一組UTU設備，啟用IPS功能與防病毒功

能，抵御來自互聯網及網銀區域的病毒、蠕蟲、惡意代碼及其他攻擊，雙機熱備。

部署方式如下圖所示：

牛產網

生產I：機中間業務上4

抗DOS攻擊系戰

交換機

防火塔

網銀WEB區W機攜的防火堵防火培

取機熱備雙機熱備

加速機

Wh.BSSL%聯社辦公

交換機交換機

\JpA）網

防火場

雙機熱備

入住監泅

康及

黔叁隈務交換機

UIM(AVIPS)

雙機熱瞽

MPP

網銀DB區

圖5.1網上銀行安全解決方案部署圖

5.2省聯社生產網安全建議

1、將信息中心按不一致業務劃分多個網絡區域。

2、總行管理中心網絡與核心交換機之間不署一套防火墻系統，提供安全操縱。對管理

區域的訪問進行行為操縱，

3、總行生產業務網絡與企業客戶、協作單位網絡的互聯出口使用一套雙機防火墻系統

提供安全操縱，對來自外單位網絡的訪問行為進行操縱。

4、在總行生產業務網絡與辦公業務網絡核心交換機之間設置一套雙機防火墻系統，對

從辦公網絡特定用戶到生產網絡特定區域上特定主機的訪問行為進行操縱，同時除務必開放

的連接外，禁止任何從生產網主動向辦公網發起的訪問請求。

5、使用千兆IDS設備，分別連接到總行生產網兩臺核心交換機匕監視與防范內網上

的違規訪問行為，要緊監聽進出生產區域及來自辦公網、下級單位與協作單位的流量。

6、各地市生產網到總行生產網之間使用一套雙機防火墻系統提供安全操縱。對來自各

分支機構網絡的訪問行為進行操縱。

7、區縣生產網、分理處等營業網點分別通過上級聯社生產網的轉發實現對總部數據中

心系統的訪問。

8、網上銀行網絡與生產網絡之間的訪問通過兩臺互備的ITM設備進行監控。

網絡結構及安全設備部署方式如下圖：

防火墻『福IDS入侵檢測SCANNER漏洞掃描

安全產從

圖例

管理機日志、網管服務器

圖5.2省聯社生產網安全解決方案部署圖

5.3地市聯社生產網安全建議

1、地市聯社生產業務網絡與企業客戶、協作單位網絡的互聯出口使用一套雙機防火墻

系統提供安全操縱，對來自外單位網絡的訪問行為進行操縱。

2、在地市生產業務網絡與辦公業務網絡核心交換機之間設置一套雙機防火墻系統，對

從辦公網絡特定用戶到生產網絡特定區域上特定主機的訪問行為進行操縱，同時除務必開放

的連接外，禁止任何從生存網主動向辦公網發起的訪問請求。

3、使用IDS設備，分別連接到地市生產網兩臺核心交換機上，監視與防范內網上的違

規訪問行為，要緊監聽進出生產區域及來自辦公網、下級單位與協作單位的流量。

4、各地市生產網到總行生產網與區縣生產網、分理處等營業網點之間使用一套雙機防

火墻系統提供安全操縱。對來自總行與各分支機構網絡的訪問行為進行操縱。

網絡結構及安全設備部署方式如下圖：

安全產品防火墻IDS入侵檢測

圖例

圖5.3地市聯社生產網安全解決方案部署圖

5.4區縣聯社生產網安全建議

1、區縣聯社生產業務網絡與辦公業務網絡核心交換機之間設置?套防火墻系統，對從

辦公網絡特定用戶到生產網絡特定區域上特定主機的訪問行為進行操縱，同時除務必開放的

連接外，禁止任何從生產網主動向辦公網發起的訪問請求。

2、各區縣聯社生產網到上級分行生產網與分理處等營業網點之間使用一套雙機防火墻

系統提供安全操縱。對來自上級分行與各分支機構網絡MJ訪問行為進行操縱。

網絡結構及安全設備部署方式如下圖：

安全產品.2防火墻

圖例

圖5.4區縣聯社生產網安全解決方案部署圖

5.5全行網絡防病毒系統建議

具體的部署建議如下：

1、在XXX銀行各級單位所有Windows服務器上部署服務器防毒系統，確保服務器系統

不可能成為病毒駐留的平臺，提高整個服務器系統的高可靠性；

2、在XXX銀行各級單位所有Windows客戶端上部署客戶端防毒系統，一方面增強客戶

端的防毒能力，另一方面保證客戶端不為由于病毒問題而帶給管理員極大的工作量；

3、防病毒系統使用集中與分布相結合的管理模式，總行辦公網服務器區域中設置一臺

防病毒管理中心服務器,提供集中的策略制定與下發，管理總行辦公網的所有防病毒客戶端;

生產網運行管理區域中設置一臺防病毒管理分中心服務器，管理生產網的所有防病毒客戶端

（包含總部、支行、網點），與與上級管理中心進行通信；各管轄支行辦公網中分別設置一

臺防病毒管理分中心服務器，管理木網的所有防病毒客戶端，與與上級管理中心進行通信；

這樣做的好處是防止了因軟件或者策略下發時帶來的帶寬消耗與減小安全隱患;

4、辦公網防病毒管理中心服務器定期從互聯網進行升級，生產網防病毒管理分中心服

務器、各支行防病毒管理分中心服務器均從管理中心服務器獲得升級碼；各防毒服務器負責

向所管轄范圍內所有防病毒客戶端分發升級碼。

5、在XXX銀行各互聯網出口處，生產網絡與網銀網絡之間分別部署病毒過濾網關（通

過UTM設備實現），消除來自互聯網的病毒威脅。

5.6網絡安全管理平臺建議

5.6.1部署網絡安全管理平臺的必要性

傳統安全技術與產品集成的有如卜缺點：

■需要大量人為參與的推斷。

比如一個報警事件是否準確需要人為的推斷。

■存在信息淹沒的可能性

大量安全產品的報警信息導致管理員無法一一察看與分析，從而導致信息淹沒。

同時大量的垃圾報警信息，也加重了管理員的二作負擔，導致管理員容易疏忽很多

真正有用的信息，這也導致信息淹沒。

■需要專業安全人員的分析

大多數安全產品對報警事件的語言描述都是專業安全技術性的描述,對管理員的專

業技能要求很高。

■需要安全保護人員高度的責任心的協助

管理員需要積極主動的去查看各類安全產品的報警信息，才能及時地發現安全事

件，并著手去解決。

■止步于安全事件的報警，而沒有完善的事件處理監督考核措施

傳統的安全產品集成在向管理員報告安全事件后，安全系統的功用便宣告結束，后

續的所有的工作完全依靠管理員去完成，管理員是否去解決這些安全問題，無從考據與

監控。

應該說，傳統的安全產品與技術的集成只能夠部分的實現安全的“可見性”與“可控性工

出于上述原因，我們認為在未來的信息安全建設中，綜合安全監控與管理平臺將倍受尊

崇，真正讓安全建設做到完善的“可見、可控、可管理工

而關于XXX銀行來說，我們務必在網絡內部署大量的安全產品。因此，我們急需一個真

正的綜合性安全管理平臺來使得整個網絡的安全建設實現可見、可控與可管理。

集成安全監控管理技術的優點：

■延伸了傳統安全產品集成的功能，充分讓每一條有效的安全報警信息得到完善的分

析與處理；

■融合網絡管理、安全管理、運維管理思想于一體，充分發揮各類安全技術的功效：

■實現安全事件的閉環管理，最強有力的實現安全管理的技術輔助手段。

562網絡安全管理平臺部署建議

關于XXX銀行網絡來說，我們應該本著重點防護，分步實施的策略來進行我任的安

全建設。因此我們應該首先將省聯社網絡建設成為一個高度安全，高度可管理的安全網

絡。我們建議在第一階段只在省中心部署一套網絡安全管理平臺。當這套安全管理平臺

成功運行并積存一定經驗后，能夠很靈活的擴展到各個地市與更低一級的網絡中去。

我們所部署的網絡安全管理平臺應該具備下列一些功能：

?管理對象

被監控管理的目標包含：網絡系統、服務器主機、數據庫、安全產品、業務應用。

按照不一致的KBP關健業務點來劃分進行資產管理。

?運維管理

網絡安全的最重要目標就是保障系統的安全、可靠的運行，也就是保障業務的連續

運行，這也是我們所熟知的安全三性中的可用性。對系統進行基于業務的監控管理，包

含：資產管理、流程管理、知識管理等。

?網絡管理

網絡系統作為業務應用的載體，對其的監控管理也非常重要，我們使用網管技術對

網絡系統進行監控管理。內容包含：拓撲展示、設冬發現、管理工具

?安全管理

網絡安全運行管理中心的核心內容，從安全策略管理、事件管理、脆弱性管理、風

險管理、配置管理等方面，實現安全管理。

?輸出

通過報表、報警、工單的方式，得出相應的輸出。包含：KBDP視圖、資產報表、

風險報告、安全狀態、趨勢分析、脆弱性報告、知識庫、專家建議等。

5.7建立專業的安全服務體系建議

在前面的管理層安全建議中我們已經提出，應該“借助專業的第三方服務，在安全

管理平臺的基礎上建立XXX銀行安全運營中心，對XXX銀行安全保障體系的建設起到推

動作用，確保XXX銀行信息網絡信息系統內部不發生安全事件、少發生安全事件或者者

發生安全事件時能夠及時處理減少由于?安全事件帶來的缺失”。

專業的安全服務是建立一個能夠持續運行，動態更新的網絡安全體系的技術保障。

與關鍵環節。

信息安全現狀

信息安全建設

工程建議書

微弱風險

逐步積累

信息網絡安全

信息安全建設的功能的增強

效果檢驗

信息安全狀況的全

面改善

圖5.5動態信息安全體系建設過程

動態信息安全體系建設是一個周期性的循環過程，每個建設周期都是以安全策略為

核心，以風險評估為開端，通過需求確認、網絡安全功能建設、完善信息安全管理/策

略、風險復審、風險積存的過程，建立信息安全體系。

關于現階段的XXX銀行網絡來說,我們建議通過下列的步驟來實現這個動態的信息

安全體系建設過程。

5.7.1現狀調查與風險評估

現狀調查與風險評估是建立安全農行計算機安全體系的基礎與關鍵，在整個XXX

銀行網絡安全建設項目過程中，現狀調查與風險評估的工作最占了很大比例，現狀調查

與風險評估的深度直接影響安全體系能否與XXX銀吁實際情況相一致且具有可操作性。

現狀調查與風險評估的要緊目標包含對XXX銀夕亍計算機系統進行全面的現狀調查、

建立保護對象框架與根據保護對象框架進行風險評估。

■全面的現狀調查

全面現狀調查是本項目十分關鍵的步驟,現狀調查的廣度與深度將對保護對象框架

的建立與風險評估帶來非常十分重要的作用。在全面現狀調查中，XXX銀行的計算機系

統的場所、環境、網絡、網絡設備、主機、操作系統、數據庫、中間件、應用軟件、業

務流程、管理制度與組織機構將得到全面的調研。

■風險評估

風險評估的FI的是熟悉XXX銀行計算機系統的安全現狀，以便在安全體系的實施過

程進行需求分析與解決方案設計。風險評估過程包含對XXX銀行計算機系統的資產安全

價值、弱點嚴重性、威脅可能性與現有安全措施等進行估值，并通過這些因素計算風險

值。

風險評估的具體目標包含：

準確地獲得XXX銀行計算機系統安全現狀；

獲得XXX銀行計算機系統風險現狀，為安全計策框架設計提供根據。

5.7.2安全策略制定及方案設計

為迎接XXX銀行業務的飛速進展而帶來信息安全方面的挑戰，規范XXX銀行信息系

統的安全保護管理，促進安全保護與管理工作體系化、規范化，提高信息與網絡服務質

量，提高網絡保護隊伍的整體安全素養與水平，需要制定安全方針與系列安全制度與規

范。安全方針的目標是為信息安全管理提供清晰的簧略方向，闡明信息安全建設與管理

的重要原則，闡明信息安全的所需支持與承諾。

安全策略是指導XXX銀行信息系統保護管理工作的基本根據，安全管理與保護管理

人員務必認真執行本規程，并根據工作實際情況，制定并遵守相應的安全標準、流程與

安全制度實施細則，做好安全保護管理工作。

安全策略的適用范圍是XXX銀行信息系統擁有的、操縱與管理的所有信息系統、數

據與網絡環境，適用于屬于XXX銀行信息系統范圍內的所有部門。對人員的適用范圍包

含所有與XXX銀行信息系統的各方面有關聯的人員，它適用于全部應用XXX銀行的員工,

全部XXX銀行范圍內容的保護人員，集成商，軟件開發商，產品提供商，顧問，臨時工,

商務伙伴與使用農行信息系統的其他第三方。

安全策略體系建立的價值在于：

?推進信息安全管理體系的建立

-安全策略與制度體系的建設

-安全組織體系的建設

-安全運作體系的建設

?規范信息安全規劃、采購、建設、保護與管理工作，推進信息安全的規范化與

制度化建設

在前面的章節中，我們已經對XXX銀行的網絡讓行了安全策略制定與方案設計的全

面描述，因此在這里就不做過多地闡述。

5.7.3安全應急響應方案

安全事件響應的概念與基本流程

應急響應也叫緊急響應，是安全事件發生后迅速采取的措施與行動，它是安全事件

響應的一種快速實現方式。應急響應是解決網絡系統安全問題的有效安全服務手段之

一。其目的就是最快速度恢復系統的保密性、完整性與可川性，阻止與減小安全事件帶

來的影響。

識別出現安全事件的場景包含：

?非授權訪問，通過入侵的方式進入到未被授權訪問的網絡中，而導致數據信息

泄漏；

?信息泄密，數據在傳輸中因數據被截取、篡改、分析等而造成信息的泄漏；

?拒絕服務，正常用戶不能正常訪問服務器提供的有關服務；

?系統性能嚴重下降，有不明的進程運行并占用大量的CPU處理時間；

?在系統日志中發現非法登錄者；

?發現系統感染計算機病毒；

?發現有人在不斷強行嘗試登錄系統；

?系統中出現不明的新用戶賬號；

?管理員收到來自其它站點系統管理員的警告信，指出系統可能被威脅；

?文件的訪問權限被修改；

?因安全漏洞導致的系統問題；

?其它的入侵行為。

XXX銀行要制訂應急響應演練計劃，明確應急響應組織、響應人員、人員職責、響

應方式、工作內容，定期對有關人員進行應急響應培訓，定期組織應急響應演練。

各部門領導及管理員應當對緊急響應流程的演習與執行情況進行有效的監督與管

理.

建立應急響應組織

應急響應組織是為了有效處理安全事件，協調各有關部門與人員而成立的機構。

應急響應組織的組織結構如下圖所示：

應急響應組組長

執行組組長

應

數

知

系

網

業

急

識

據

文

培

統

絡

務

聯

安

庫

庫

檔

絡

訓

安

安

安

管

全

安

管其

員

人

全

全

全

理

管

全

理他

員

顧

顧

顧

員

員

理

顧

問

問

問

員

回

圖5.6應急響應組織結構

應急響應組織要素由應急響應組組長、執行組組長、常設應急響應崗位與應急崗位

等構成。

?應急響應組組長：可由山西網通的高管層擔任。

?執行組長：可由主管安全的部門負責人來擔任。

?應急崗位（即安全顧問）：發生緊急事件，需要臨時抽調的安全專家，熟知業

務流程并熟知系統及網絡結構的資深安全專家擔任，也能夠是外聘的專業安全

服務公司。

?常設崗位（安全管理員/文檔管理員/聯絡員）：由專門的應急響應技術人員擔

任，負責發現、預警、記錄、報告、響應安全事件。

職責劃分

?應急響應組組長

同意執行組長的報告，作決策

工作分配，協調整個事件的處理過程

?執行絹長

接收報告，推斷是安全問題抑或者安全事件

選擇人員建立緊急事件響應小組

制定應急響應計劃

應急響應驗收、監督

?常設崗位

系統、網絡、數據、業務方面的安仝專家在應急響應過程中，作為應急響應小構成

員，實施應急響應計劃。

?安全管理員

接收報告、采取初步行動，根據得到的報告推斷是一個安全問題還是一個安全事件,

評估事件緊急程度，確定響應策略，并將它提交高層；