某建設(shè)銀行安全解決方案.doc

XX 建設(shè)銀行安全解決方案建設(shè)銀行安全解決方案 XX 數(shù)碼有限公司 二二 OO 一年五月一年五月 一 一 XX 數(shù)碼與網(wǎng)絡(luò)安全數(shù)碼與網(wǎng)絡(luò)安全2 二 沈陽(yáng)建設(shè)銀行二 沈陽(yáng)建設(shè)銀行3 業(yè)務(wù)分析業(yè)務(wù)分析3 三 系統(tǒng)安全目的三 系統(tǒng)安全目的4 四 用戶安全需求分析四 用戶安全需求分析4 1 安全性 安全性4 2 高效性 高效性5 3 可擴(kuò)展性 可擴(kuò)展性5 5 完善的服務(wù)體制 完善的服務(wù)體制5 五 安全體系結(jié)構(gòu)五 安全體系結(jié)構(gòu)6 六 安全系統(tǒng)實(shí)施六 安全系統(tǒng)實(shí)施7 附錄 產(chǎn)品介紹 請(qǐng)見相關(guān)文檔 附錄 產(chǎn)品介紹 請(qǐng)見相關(guān)文檔 8 一 一 XX 數(shù)碼與網(wǎng)絡(luò)安全數(shù)碼與網(wǎng)絡(luò)安全 Internet 正在越來(lái)越多地離開原來(lái)單純的學(xué)術(shù)環(huán)境 融入到社會(huì)的各個(gè)方面 一方 面 隨著網(wǎng)絡(luò)用戶成分越來(lái)越多樣化 出于各種目的的網(wǎng)絡(luò)入侵和攻擊越來(lái)越頻繁 另 一方面 隨著 Internet 和以電子商務(wù)為代表的網(wǎng)絡(luò)應(yīng)用的日益發(fā)展 Internet 越來(lái)越 深地滲透到各行各業(yè)的關(guān)鍵要害領(lǐng)域 Internet 的安全 包括其上的信息數(shù)據(jù)安全 日 益成為與國(guó)家 政府 企業(yè) 個(gè)人的利益休戚相關(guān)的 大事情 為此 XX 數(shù)碼首先推出的就是 SHARKS 互聯(lián)網(wǎng)安全解決方案 SHARKS 是在經(jīng)過 一年多的大量投入和深入的研究后 提出的一套基于中國(guó)國(guó)情 全部自主開發(fā) 具有領(lǐng) 先優(yōu)勢(shì)的解決方案 它是一套整體的集群平臺(tái) 可以解決互聯(lián)網(wǎng)運(yùn)營(yíng)商最為關(guān)切的安全 性 高可靠性 可擴(kuò)展性和易于遠(yuǎn)程管理的問題 目前這套方案已經(jīng)得到國(guó)家有關(guān)部門 的大力支持 被國(guó)家經(jīng)貿(mào)委列為國(guó)家創(chuàng)新計(jì)劃項(xiàng)目之一 另外 還得到了國(guó)家 863 計(jì) 劃的支持 XX 數(shù)碼方御防火墻是 SHARKS 中的主要安全產(chǎn)品之一 方御防火墻實(shí)現(xiàn)了以橋方 式接入的獨(dú)特技術(shù) 既提高了系統(tǒng)自身的安全性 又保證了其運(yùn)行效率 方御防火墻中 還融入了入侵檢測(cè)技術(shù) 可以有效地防范攻擊企圖的試探 另外利用先進(jìn)的 III 技術(shù) 方御防火墻可以有效濾除著名的 DDoS 攻擊 正是這種攻擊曾迫使包括美國(guó)雅虎在內(nèi)的 若干世界最大的網(wǎng)站停止服務(wù) 在立身自主開發(fā)外 XX 數(shù)碼還與 ISS Symantec 等眾多國(guó)際知名的安全公司保持 著良好的合作關(guān)系 集成國(guó)內(nèi)外最優(yōu)秀的公司安全產(chǎn)品 為國(guó)內(nèi) Internet 的安全建設(shè)保 駕護(hù)航 二 沈陽(yáng)建設(shè)銀行二 沈陽(yáng)建設(shè)銀行業(yè)務(wù)分析業(yè)務(wù)分析 1 業(yè)務(wù)分析 業(yè)務(wù)概況 保護(hù)沈陽(yáng)建行的網(wǎng)絡(luò)系統(tǒng) 保證各項(xiàng)業(yè)務(wù)正常運(yùn)行 防止非法行為的侵犯和 病毒的破壞 由于目前沈陽(yáng)建行沒有采取安全保護(hù)措施 使得自己的業(yè)務(wù)系統(tǒng)完 全暴露在網(wǎng)絡(luò)環(huán)境中 因此容易受到黑客和不法人員的侵害 所以應(yīng)該實(shí)施一套 完整的安全方案來(lái)保護(hù)業(yè)務(wù)網(wǎng)絡(luò) 同時(shí)由于銀行每天都有大量的數(shù)據(jù)通過網(wǎng)絡(luò) 所以要保證網(wǎng)絡(luò)的流量 即新增的安全產(chǎn)品不能成為網(wǎng)絡(luò)的瓶頸 1 管理模式 在管理上 使用集中式的管理可以方便快捷 并能夠簡(jiǎn)化管理員的工作 提 高工作效率 從安全的角度來(lái)看 復(fù)雜的 分散的管理方式在安全上是存在很大 的隱患和漏洞的 使用集中管理也是提高安全等級(jí)的一項(xiàng)主要內(nèi)容 2 網(wǎng)絡(luò)主要的安全風(fēng)險(xiǎn)和漏洞 數(shù)據(jù)庫(kù)數(shù)據(jù)會(huì)受到黑客的竊取 破壞以及病毒的破壞 系統(tǒng)信息會(huì)受到黑客的竊取 破壞以及病毒的破壞 服務(wù)的正常運(yùn)行會(huì)受到黑客的攻擊 破壞以及病毒的破壞 3 網(wǎng)絡(luò)中心拓?fù)浣Y(jié)構(gòu) 從上圖中可以看出 目前沈陽(yáng)建行的網(wǎng)絡(luò)比較復(fù)雜 設(shè)備眾多 型號(hào)也非常多 一方面 在管理上很不方便 另一方面從安全性的角度講 它使得網(wǎng)絡(luò)的安全等級(jí)也降低了 因 此我們需要簡(jiǎn)化網(wǎng)絡(luò)結(jié)構(gòu) 并對(duì)網(wǎng)絡(luò)進(jìn)行集中的管理 三 系統(tǒng)安全目的三 系統(tǒng)安全目的 通過以上的分析 安全目的是安全目的是 保護(hù)沈陽(yáng)建設(shè)銀行的內(nèi)部網(wǎng)絡(luò)的計(jì)算機(jī)系統(tǒng)正常運(yùn)轉(zhuǎn) 避免惡意的攻擊 破壞 重要數(shù)據(jù)庫(kù)的數(shù)據(jù) 防止被竊取 修改 破壞 四 用戶安全需求分析四 用戶安全需求分析 1 安全性 安全性 網(wǎng)絡(luò)環(huán)境 操作系統(tǒng)與數(shù)據(jù)的安全性 現(xiàn)在這個(gè)網(wǎng)絡(luò)環(huán)境直接暴露 是處在非常不安全的狀態(tài) 所以我們需要用防火墻防火墻來(lái) 隔離沈陽(yáng)建行的內(nèi)部生產(chǎn)網(wǎng)絡(luò) 保護(hù)各種業(yè)務(wù)的服務(wù)器 其中包括 AS400 等重要的 業(yè)務(wù)機(jī) 由于防火墻能夠阻擋黑客的攻擊行為和異常的網(wǎng)絡(luò)事件 這樣可以保護(hù)我 們的網(wǎng)絡(luò)環(huán)境 網(wǎng)絡(luò)中計(jì)算機(jī)的操作系統(tǒng)和數(shù)據(jù) 防火墻是網(wǎng)絡(luò)安全的第一道屏障 單有防火墻是不能進(jìn)行全面保護(hù)的 我們還需要入侵監(jiān)測(cè)系統(tǒng) 入侵監(jiān)測(cè)系統(tǒng) IDS 來(lái)對(duì)黑客的 攻擊進(jìn)行報(bào)警和自動(dòng)防范 2 高效性 高效性 由于每天有大量的信息訪問要保護(hù)生產(chǎn)系統(tǒng)的服務(wù)器 這就要求網(wǎng)絡(luò)擁有很高的數(shù) 據(jù)吞吐能力 也就意味著網(wǎng)絡(luò)的安全產(chǎn)品不能對(duì)網(wǎng)絡(luò)的流量造成影響 而現(xiàn)在傳統(tǒng)防火 墻動(dòng)輒造成 15 以上的效率損失相比 這就造成了一個(gè)矛盾 XX 方御防火墻充分考慮 了用戶對(duì)效率的重視性 擁有足以自豪的數(shù)據(jù)吞吐能力 在 500 條規(guī)則以下的應(yīng)用 占 全部應(yīng)用的 95 以上 中 基本不影響網(wǎng)絡(luò)傳輸 有絕對(duì)的優(yōu)勢(shì) 3 可擴(kuò)展性 可擴(kuò)展性 銀行是我國(guó)重要的金融機(jī)構(gòu) 新的業(yè)務(wù)會(huì)不斷的開展 同時(shí)也會(huì)應(yīng)用大量的新技術(shù) 新設(shè)備 同時(shí)網(wǎng)絡(luò)的發(fā)展日新月異 所以網(wǎng)絡(luò)的擴(kuò)展性好壞關(guān)系到日后企業(yè)的發(fā)展 這 就要求在網(wǎng)絡(luò)建設(shè)時(shí)留余地 這樣不會(huì)因?yàn)楝F(xiàn)在的投資給將來(lái)網(wǎng)絡(luò)的發(fā)展和升級(jí)帶來(lái)影 響 4 易用性 易用性 管理控制 不易使用的安全系統(tǒng)是不安全的 充斥著英文術(shù)語(yǔ)的管理界面會(huì)大大的增加系統(tǒng)管 理人員的工作量 也容易導(dǎo)致不應(yīng)有的漏洞的出現(xiàn)或安全策略的僵化 易用性主要包括 要界面清晰易懂 管理集中方便 安全性的時(shí)實(shí)監(jiān)控 5 完善的服務(wù)體制 完善的服務(wù)體制 網(wǎng)絡(luò)安全的實(shí)施還需要完善的服務(wù)體制來(lái)保障 一般的企業(yè)不是專業(yè)的網(wǎng)絡(luò)安全公 司 安全是動(dòng)態(tài)的過程 今天安全的系統(tǒng)明天就可能不安全 這就要求提供安全方案的 公司有優(yōu)秀的服務(wù)體制進(jìn)行跟蹤服務(wù) 這就需要有一支專業(yè)的網(wǎng)絡(luò)安全隊(duì)伍來(lái)幫助企業(yè) 解決有關(guān)安全問題 再嚴(yán)密的系統(tǒng)也可能出現(xiàn)漏洞 當(dāng)緊急事件發(fā)生時(shí) 能不能在最短時(shí)間內(nèi)獲得緊急 響應(yīng)服務(wù)經(jīng)常決定了損失的大小 而且這種時(shí)候 需要的是極其專業(yè)的服務(wù) 沒有強(qiáng)大 開發(fā)實(shí)力的公司是無(wú)法滿足這種需求的 而在國(guó)內(nèi)沒有開發(fā)部門的國(guó)外著名公司則往往 鞭長(zhǎng)莫及 五 安全體系結(jié)構(gòu)五 安全體系結(jié)構(gòu) 通過前面的分析 我們可以知道 首先需要使用防火墻作為網(wǎng)絡(luò)安全的屏障來(lái)與其 他網(wǎng)絡(luò)進(jìn)行隔離 這樣能夠防止其他網(wǎng)絡(luò)的非法用戶的非法侵害 在這里我們建議使用 XX 數(shù)碼的 XX 方御防火墻 有關(guān)方御防火墻的具體情況請(qǐng)見后面有關(guān)防火墻介紹的部 分 作為網(wǎng)絡(luò)安全必備的第二道警戒線我們需要布置 IDS 入侵監(jiān)測(cè)系統(tǒng) IDS 系統(tǒng)主 要包括網(wǎng)絡(luò) IDS 主機(jī) IDS 等部分 對(duì)于 IDS 系統(tǒng) XX 方御防火墻里已經(jīng)內(nèi)置了一套網(wǎng) 絡(luò) IDS 系統(tǒng) 同時(shí)要在網(wǎng)絡(luò)中布置一套網(wǎng)絡(luò)防病毒系統(tǒng) 已達(dá)到對(duì)病毒的防御 由于防 火墻是網(wǎng)絡(luò)中的關(guān)鍵設(shè)備之一 由于有時(shí)候一些不可預(yù)見的因素可能會(huì)是防火墻出現(xiàn)故 障的而造成網(wǎng)絡(luò)不暢通或安全性失效 所以我們要采取雙機(jī)熱備的方案 提高安全的可 靠性 另外需要我們注意的是加入數(shù)據(jù)備份的產(chǎn)品 來(lái)保護(hù)我們的數(shù)據(jù)庫(kù) 安全體系結(jié)構(gòu)圖 安全解決方案體系所使用模塊 安全解決方案體系所使用模塊 防火墻 防火墻 XXXX 方御防火墻 方御防火墻 IDSIDS ISSISS 產(chǎn)品 產(chǎn)品 防病毒模塊 防病毒模塊 KiLLKiLL 網(wǎng)絡(luò)防毒產(chǎn)品 網(wǎng)絡(luò)防毒產(chǎn)品 網(wǎng)絡(luò)冗余網(wǎng)絡(luò)冗余 數(shù)據(jù)備份數(shù)據(jù)備份 整個(gè)安全系統(tǒng)結(jié)構(gòu)可以總結(jié)為 多層隔離 實(shí)時(shí)監(jiān)控 立體防護(hù) 集中管理 多層隔離 實(shí)時(shí)監(jiān)控 立體防護(hù) 集中管理 六 安全系統(tǒng)實(shí)施六 安全系統(tǒng)實(shí)施 通過上面對(duì)需求的分析 我們提出了解決需求所要使用到的安全模塊 主要由防火 墻來(lái)對(duì)網(wǎng)絡(luò)上的入侵 攻擊以及異常的行為進(jìn)行阻擋 使用 XX 數(shù)碼的 FireGate 防火墻 作為系統(tǒng)安全的屏障 具體實(shí)施如下圖所示 安全模塊安之后的拓?fù)鋱D及其說(shuō)明 拓?fù)浣庸┤缟蠄D所示 在訪問的線路上添加方御防火墻雙機(jī)熱備方案 防火墻設(shè)置 為橋接模式 不需要給內(nèi) 外部接口配置 IP 地址 將防火墻的外部接口使用直連線與 交換機(jī)連接 將防火墻的內(nèi)部接口使用直連線與相連接即可 防火墻的規(guī)則配置請(qǐng)參看 方御防火墻使用說(shuō)明書 在網(wǎng)絡(luò)的主交換機(jī)上安裝一臺(tái)帶有 IDS 系統(tǒng)的計(jì)算機(jī) 作為第二道安全防護(hù)屏障 同時(shí)在每臺(tái)計(jì)算機(jī)上安裝 Kill 網(wǎng)絡(luò)版防病毒模塊和 E trust 單機(jī)版 IDS 模塊 作為防御 病毒的屏障 對(duì)于數(shù)據(jù)的備分系統(tǒng) 相應(yīng)的數(shù)據(jù)庫(kù)都提供備份的辦法