商業(yè)銀行安全解決方案

1、天馬行空官方博客： ；QQ:1318241189；QQ群：175569632某商業(yè)銀行安全解決方案方正數(shù)碼有限公司一、方正數(shù)碼與網(wǎng)絡安全Internet正在越來越多地離開原來單純的學術環(huán)境，融入到社會的各個方面。一方面，隨著網(wǎng)絡用戶成分越來越多樣化，出于各種目的的網(wǎng)絡入侵和攻擊越來越頻繁；另一方面，隨著Internet和以電子商務為代表的網(wǎng)絡應用的日益發(fā)展，Internet越來越深地滲透到各行各業(yè)的關鍵要害領域。Internet的安全，包括其上的信息數(shù)據(jù)安全，日益成為與國家、政府、企業(yè)、個人的利益休戚相關的“大事情”。為此方正數(shù)碼首先推出的就是SHARKS互聯(lián)網(wǎng)安全解決方案。SHARKS是在經(jīng)

2、過一年多的大量投入和深入的研究后，提出的一套基于中國國情、全部自主開發(fā)、具有領先優(yōu)勢的解決方案。它是一套整體的集群平臺，可以解決互聯(lián)網(wǎng)運營商最為關切的安全性、高可靠性、可擴展性和易于遠程管理的問題。目前這套方案已經(jīng)得到國家有關部門的大力支持，被國家經(jīng)貿(mào)委列為國家創(chuàng)新計劃項目之一，另外，還得到了國家”863”計劃的支持。方正數(shù)碼方御防火墻是SHARKS中的主要安全產(chǎn)品之一。方御防火墻實現(xiàn)了以橋方式接入的獨特技術，既提高了系統(tǒng)自身的安全性，又保證了其運行效率。方御防火墻中還融入了入侵檢測技術，可以有效地防范攻擊企圖的試探，另外利用先進的III技術，方御防火墻可以有效濾除著名的DDoS攻擊，正是這種

3、攻擊曾迫使包括美國雅虎在內(nèi)的若干世界最大的網(wǎng)站停止服務。在立身自主開發(fā)外，方正數(shù)碼還與ISS、Symantec等眾多國際知名的安全公司保持著良好的合作關系，集成國內(nèi)外最優(yōu)秀的公司安全產(chǎn)品，為國內(nèi)Internet的安全建設保駕護航。二、某商業(yè)銀行業(yè)務分析1. 業(yè)務分析l 業(yè)務概況主要保護兩臺互為備份的RS/6000服務器和一臺Windows NT服務器。由于這兩臺互為備份的RS/6000服務器需要備用戶大量訪問，所以要保證網(wǎng)絡的流量，即新增的安全產(chǎn)品不能成為網(wǎng)絡的瓶頸。2 理模式在管理上，使用集中式的管理可以方便快捷，并能夠簡化管理員的工作，提高工作效率。從安全的角度來看，復雜的，分散的管理方式

4、在安全上是存在很大的隱患和漏洞的，使用集中管理也是提高安全等級的一項主要內(nèi)容。3 絡主要的安全風險和漏洞l 數(shù)據(jù)庫數(shù)據(jù)會受到黑客的竊取、破壞以及病毒的破壞l 系統(tǒng)信息會受到黑客的竊取、破壞以及病毒的破壞l 服務的正常運行會受到黑客的攻擊、破壞以及病毒的破壞4 網(wǎng)絡中心拓撲結(jié)構(gòu)：三、系統(tǒng)安全目的通過以上的分析，安全目的是：保護某商業(yè)銀行的RS/6000和NT服務器正常運轉(zhuǎn)，避免惡意的攻擊、破壞，重要數(shù)據(jù)庫的數(shù)據(jù)，防止被竊取、修改、破壞。四、用戶安全需求分析1安全性l 網(wǎng)絡環(huán)境、操作系統(tǒng)與數(shù)據(jù)的安全性如果這個網(wǎng)絡環(huán)境直接暴露，那么將是可怕的，所以我們需要用防火墻來隔離主要保護兩臺互為備份的RS/6

5、000服務器和一臺Windows NT服務器。由于防火墻能夠阻擋黑客的攻擊行為和異常的網(wǎng)絡事件，這樣可以保護我們的網(wǎng)絡環(huán)境、網(wǎng)絡中計算機的操作系統(tǒng)和數(shù)據(jù)。在這里我們主要使用包過濾防火墻過濾網(wǎng)上傳遞的信息包，防火墻是網(wǎng)絡安全的第一道屏障，單有防火墻是不能進行全面保護的，我們還需要入侵監(jiān)測系統(tǒng)（IDS）來對黑客的攻擊進行報警和自動防范。方正方御防火墻內(nèi)置了IDS系統(tǒng)，能夠?qū)W(wǎng)絡上的異常行為進行報警，并與防火墻連動，自動的防范各種異常的網(wǎng)絡行為。2高效性由于每天有大量的信息訪問要保護兩臺互為備份的RS/6000服務器和一臺Windows NT服務器，這就要求網(wǎng)絡擁有很高的數(shù)據(jù)吞吐能力，也就意味著網(wǎng)絡

6、的安全產(chǎn)品不能對網(wǎng)絡的流量造成影響。而現(xiàn)在傳統(tǒng)防火墻動輒造成15%以上的效率損失相比，這就造成了一個矛盾。方正方御防火墻充分考慮了用戶對效率的重視性，擁有足以自豪的數(shù)據(jù)吞吐能力。在500條規(guī)則以下的應用（占全部應用的95%以上）中，基本不影響網(wǎng)絡傳輸，有絕對的優(yōu)勢。3 3可擴展性網(wǎng)絡的發(fā)展日新月異，所以網(wǎng)絡的擴展性好壞關系到日后企業(yè)的發(fā)展。這就要求在網(wǎng)絡建設時留余地。這樣不會因為現(xiàn)在的投資給將來網(wǎng)絡的發(fā)展和升級帶來影響。4易用性（管理控制）不易使用的安全系統(tǒng)是不安全的。充斥著英文術語的管理界面會大大的增加系統(tǒng)管理人員的工作量，也容易導致不應有的漏洞的出現(xiàn)或安全策略的僵化。易用性主要包括：l 要

7、界面清晰易懂l 管理集中方便l 安全性的時實監(jiān)控5完善的服務體制網(wǎng)絡安全的實施還需要完善的服務體制來保障，一般的企業(yè)不是專業(yè)的網(wǎng)絡安全公司，安全是動態(tài)的過程，今天安全的系統(tǒng)明天就可能不安全，這就要求提供安全方案的公司有優(yōu)秀的服務體制進行跟蹤服務。這就需要有一支專業(yè)的網(wǎng)絡安全隊伍來幫助企業(yè)解決有關安全問題。再嚴密的系統(tǒng)也可能出現(xiàn)漏洞，當緊急事件發(fā)生時，能不能在最短時間內(nèi)獲得緊急響應服務經(jīng)常決定了損失的大小，而且這種時候，需要的是極其專業(yè)的服務，沒有強大開發(fā)實力的公司是無法滿足這種需求的，而在國內(nèi)沒有開發(fā)部門的國外著名公司則往往鞭長莫及。五、安全體系結(jié)構(gòu)通過前面的分析，我們可以知道，首先需要使用防

8、火墻作為網(wǎng)絡安全的屏障來與其他網(wǎng)絡進行隔離，這樣能夠防止其他網(wǎng)絡的非法用戶的非法侵害，在這里我們建議使用方正數(shù)碼的方正方御防火墻。（有關方御防火墻的具體情況請見后面有關防火墻介紹的部分）作為網(wǎng)絡安全必備的第二道警戒線我們需要布置IDS（入侵監(jiān)測系統(tǒng)），IDS系統(tǒng)主要包括網(wǎng)絡IDS、主機IDS等部分，對于IDS系統(tǒng)方正方御防火墻里已經(jīng)內(nèi)置了一套網(wǎng)絡IDS系統(tǒng)。安全解決方案體系所使用模塊：l 防火墻l IDS整個安全系統(tǒng)結(jié)構(gòu)可以總結(jié)為：多層隔離、實時監(jiān)控、立體防護、集中管理。六、安全系統(tǒng)實施通過上面對需求的分析，我們提出了解決需求所要使用到的安全模塊，主要由防火墻來對網(wǎng)絡上的入侵、攻擊以及異常的行

9、為進行阻擋。使用方正數(shù)碼的FireGate防火墻作為系統(tǒng)安全的屏障。具體實施如下圖所示：安全模塊安之后的拓撲圖及其說明：拓撲接供如上圖所示，在訪問的線路上添加方御防火墻，防火墻設置為交接模式，不需要給內(nèi)、外部接口配置IP地址，將防火墻的外部接口使用直連線與交換連接，將防火墻的內(nèi)部接口使用極連線（交叉線）與RS/6000和NT服務器相連接即可。防火墻的規(guī)則配置請參看方御防火墻使用說明書整個安全的實施，除了增加防火墻外，不需要在購置其他網(wǎng)絡設備，同時也不需要改動網(wǎng)絡的拓撲結(jié)構(gòu)，在實施上非常方便。附錄：服務條款如前所述，安全的長久之計在于安全產(chǎn)品與服務的有機結(jié)合，建立人與系統(tǒng)的攻防關系。方正數(shù)碼為網(wǎng)絡證券提供的安全服務分為兩種：基于產(chǎn)品的服務與增值安全服務?；景踩誰 基本售后服務：產(chǎn)品的安裝、調(diào)試、配置和維護等工作。l 安全培訓：分為針對各級領導的網(wǎng)絡安全培訓、針對網(wǎng)管及產(chǎn)品維護操作人員的安全產(chǎn)品培訓和網(wǎng)絡安全技術培訓。培訓內(nèi)容：安全產(chǎn)品培訓:網(wǎng)管、產(chǎn)品維