建設(shè)銀行安全解決方案

1、XX建設(shè)銀行安全解決方案XX數(shù)碼有限公司二OO一年五月一、XX數(shù)碼與網(wǎng)絡(luò)安全3二、沈陽建設(shè)銀行3業(yè)務(wù)分析3三、系統(tǒng)安全目的4四、用戶安全需求分析51安全性52高效性53可擴(kuò)展性55完善的服務(wù)體制6五、安全體系結(jié)構(gòu)6六、安全系統(tǒng)實(shí)施7附錄：產(chǎn)品介紹（請見相關(guān)文檔）XX數(shù)碼與網(wǎng)絡(luò)安全I(xiàn)nternet正在越來越多地離開原來單純的學(xué)術(shù)環(huán)境，融入到社會(huì)的各個(gè)方面。一方面，隨著網(wǎng)絡(luò)用戶成分越來越多樣化，出于各種目的的網(wǎng)絡(luò)入侵和攻擊越來越頻繁；另一方面，隨著Internet和以電子商務(wù)為代表的網(wǎng)絡(luò)應(yīng)用的日益發(fā)展，Internet越來越深地滲透到各行各業(yè)的關(guān)鍵要害領(lǐng)域。Internet的安全，包括其上的信息數(shù)

2、據(jù)安全，日益成為與國家、政府、企業(yè)、個(gè)人的利益休戚相關(guān)的“大事情”。為此XX數(shù)碼首先推出的就是SHARKS互聯(lián)網(wǎng)安全解決方案。SHARKS是在經(jīng)過一年多的大量投入和深入的研究后，提出的一套基于中國國情、全部自主開發(fā)、具有領(lǐng)先優(yōu)勢的解決方案。它是一套整體的集群平臺(tái)，可以解決互聯(lián)網(wǎng)運(yùn)營商最為關(guān)切的安全性、高可靠性、可擴(kuò)展性和易于遠(yuǎn)程管理的問題。目前這套方案已經(jīng)得到國家有關(guān)部門的大力支持，被國家經(jīng)貿(mào)委列為國家創(chuàng)新計(jì)劃項(xiàng)目之一，另外，還得到了國家”863計(jì)劃的支持”。XX數(shù)碼方御防火墻是SHARKS中的主要安全產(chǎn)品之一。方御防火墻實(shí)現(xiàn)了以橋方式接入的獨(dú)特技術(shù)，既提高了系統(tǒng)自身的安全性，又保證了其運(yùn)行效

3、率。方御防火墻中還融入了入侵檢測技術(shù)，可以有效地防范攻擊企圖的試探，另外利用先進(jìn)的III技術(shù)，方御防火墻可以有效濾除著名的DDoS攻擊，正是這種攻擊曾迫使包括美國雅虎在內(nèi)的若干世界最大的網(wǎng)站停止服務(wù)。在立身自主開發(fā)外，XX數(shù)碼還與ISS、Symantec等眾多國際知名的安全公司保持著良好的合作關(guān)系，集成國內(nèi)外最優(yōu)秀的公司安全產(chǎn)品，為國內(nèi)Internet的安全建設(shè)保駕護(hù)航。二、沈陽建設(shè)銀行業(yè)務(wù)分析1 .業(yè)務(wù)分析業(yè)務(wù)概況保護(hù)沈陽建行的網(wǎng)絡(luò)系統(tǒng)，保證各項(xiàng)業(yè)務(wù)正常運(yùn)行，防止非法行為的侵犯和病毒的破壞。由于目前沈陽建行沒有采取安全保護(hù)措施，使得自己的業(yè)務(wù)系統(tǒng)完全暴露在網(wǎng)絡(luò)環(huán)境中，因此容易受到黑客和不法人

4、員的侵害，所以應(yīng)該實(shí)施一套完整的安全方案來保護(hù)業(yè)務(wù)網(wǎng)絡(luò)，同時(shí)由于銀行每天都有大量的數(shù)據(jù)通過網(wǎng)絡(luò)，所以要保證網(wǎng)絡(luò)的流量，即新增的安全產(chǎn)品不能成為網(wǎng)絡(luò)的瓶頸。1.管理模式在管理上，使用集中式的管理可以方便快捷，并能夠簡化管理員的工作，提高工作效率。從安全的角度來看，復(fù)雜的，分散的管理方式在安全上是存在很大的隱患和漏洞的，使用集中管理也是提高安全等級的一項(xiàng)主要內(nèi)容2 .網(wǎng)絡(luò)主要的安全風(fēng)險(xiǎn)和漏洞數(shù)據(jù)庫數(shù)據(jù)會(huì)受到黑客的竊取、破壞以及病毒的破壞系統(tǒng)信息會(huì)受到黑客的竊取、破壞以及病毒的破壞服務(wù)的正常運(yùn)行會(huì)受到黑客的攻擊、破壞以及病毒的破壞3.網(wǎng)絡(luò)中心拓?fù)浣Y(jié)構(gòu):客戶也再息中心CahSSJOBHUB(T)DDN

5、/PSIN辦事處幅智所向事也愜市所沈陽建設(shè)銀行網(wǎng)絡(luò)拓?fù)鋱D或1玉網(wǎng)段 的客戶MESCOMSPLOOOA* 前通也通覽中心戶M金業(yè)羈F 250i5通過751翔茹同Mcdordl-i 口土業(yè)相務(wù)終 HUEC 鵬360（企皿周目前來局1VLAN 10 5500B Port. 2/1-2DVLAN 205500A RwtM以前k萬丈連樓的山盤班 通過7513c曲H以辛小方式連於鈍山畀軌 通過抬13A仿曰里土田七作或更快的山舞機(jī) 通過7513B中耕VLAN1: 5500BPart2/2-24生產(chǎn)機(jī)總助M自曲磯 斤篁加 21S921622240從上圖中可以看出，目前沈陽建行的網(wǎng)絡(luò)比較復(fù)雜，設(shè)備眾多，型號(hào)也非

6、常多，一方面在管理上很不方便，另一方面從安全性的角度講，它使得網(wǎng)絡(luò)的安全等級也降低了，因此我們需要簡化網(wǎng)絡(luò)結(jié)構(gòu)，并對網(wǎng)絡(luò)進(jìn)行集中的管理。三、系統(tǒng)安全目的通過以上的分析，安全目的是：保護(hù)沈陽建設(shè)銀行的內(nèi)部網(wǎng)絡(luò)的計(jì)算機(jī)系統(tǒng)正常運(yùn)轉(zhuǎn)，避免惡意的攻擊、破壞；重要數(shù)據(jù)庫的數(shù)據(jù)，防止被竊取、修改、破壞。四、用戶安全需求分析1 安全性網(wǎng)絡(luò)環(huán)境、操作系統(tǒng)與數(shù)據(jù)的安全性現(xiàn)在這個(gè)網(wǎng)絡(luò)環(huán)境直接暴露，是處在非常不安全的狀態(tài)，所以我們需要用防火墻來隔離沈陽建行的內(nèi)部生產(chǎn)網(wǎng)絡(luò)，保護(hù)各種業(yè)務(wù)的服務(wù)器，其中包括AS400等重要的業(yè)務(wù)機(jī)。由于防火墻能夠阻擋黑客的攻擊行為和異常的網(wǎng)絡(luò)事件，這樣可以保護(hù)我們的網(wǎng)絡(luò)環(huán)境、網(wǎng)絡(luò)中計(jì)算機(jī)

7、的操作系統(tǒng)和數(shù)據(jù)。防火墻是網(wǎng)絡(luò)安全的第一道屏障，單有防火墻是不能進(jìn)行全面保護(hù)的，我們還需要入侵監(jiān)測系統(tǒng)（IDS）來對黑客的攻擊進(jìn)行報(bào)警和自動(dòng)防范。2 高效性由于每天有大量的信息訪問要保護(hù)生產(chǎn)系統(tǒng)的服務(wù)器，這就要求網(wǎng)絡(luò)擁有很高的數(shù)據(jù)吞吐能力，也就意味著網(wǎng)絡(luò)的安全產(chǎn)品不能對網(wǎng)絡(luò)的流量造成影響。而現(xiàn)在傳統(tǒng)防火墻動(dòng)輒造成15%以上的效率損失相比，這就造成了一個(gè)矛盾。XX方御防火墻充分考慮了用戶對效率的重視性，擁有足以自豪的數(shù)據(jù)吞吐能力。在500條規(guī)則以下的應(yīng)用（占全部應(yīng)用的95%以上）中，基本不影響網(wǎng)絡(luò)傳輸，有絕對的優(yōu)勢。3 可擴(kuò)展性銀行是我國重要的金融機(jī)構(gòu)，新的業(yè)務(wù)會(huì)不斷的開展，同時(shí)也會(huì)應(yīng)用大量的新

8、技術(shù)新設(shè)備，同時(shí)網(wǎng)絡(luò)的發(fā)展日新月異，所以網(wǎng)絡(luò)的擴(kuò)展性好壞關(guān)系到日后企業(yè)的發(fā)展。這就要求在網(wǎng)絡(luò)建設(shè)時(shí)留余地。這樣不會(huì)因?yàn)楝F(xiàn)在的投資給將來網(wǎng)絡(luò)的發(fā)展和升級帶來影響。4 易用性（管理控制）不易使用的安全系統(tǒng)是不安全的。充斥著英文術(shù)語的管理界面會(huì)大大的增加系統(tǒng)管理人員的工作量，也容易導(dǎo)致不應(yīng)有的漏洞的出現(xiàn)或安全策略的僵化。易用性主要包括：要界面清晰易懂管理集中方便安全性的時(shí)實(shí)監(jiān)控5完善的服務(wù)體制網(wǎng)絡(luò)安全的實(shí)施還需要完善的服務(wù)體制來保障，一般的企業(yè)不是專業(yè)的網(wǎng)絡(luò)安全公司，安全是動(dòng)態(tài)的過程，今天安全的系統(tǒng)明天就可能不安全，這就要求提供安全方案的公司有優(yōu)秀的服務(wù)體制進(jìn)行跟蹤服務(wù)。這就需要有一支專業(yè)的網(wǎng)絡(luò)安全

9、隊(duì)伍來幫助企業(yè)解決有關(guān)安全問題。再嚴(yán)密的系統(tǒng)也可能出現(xiàn)漏洞，當(dāng)緊急事件發(fā)生時(shí)，能不能在最短時(shí)間內(nèi)獲得緊急響應(yīng)服務(wù)經(jīng)常決定了損失的大小，而且這種時(shí)候，需要的是極其專業(yè)的服務(wù)，沒有強(qiáng)大開發(fā)實(shí)力的公司是無法滿足這種需求的，而在國內(nèi)沒有開發(fā)部門的國外著名公司則往往鞭長莫及。五、安全體系結(jié)構(gòu)通過前面的分析，我們可以知道，首先需要使用防火墻作為網(wǎng)絡(luò)安全的屏障來與其他網(wǎng)絡(luò)進(jìn)行隔離，這樣能夠防止其他網(wǎng)絡(luò)的非法用戶的非法侵害，在這里我們建議使用XX數(shù)碼的XX方御防火墻。（有關(guān)方御防火墻的具體情況請見后面有關(guān)防火墻介紹的部分）作為網(wǎng)絡(luò)安全必備的第二道警戒線我們需要布置IDS（入侵監(jiān)測系統(tǒng)），IDS系統(tǒng)主要包括網(wǎng)絡(luò)

10、IDS、主機(jī)IDS等部分，對于IDS系統(tǒng)XX方御防火墻里已經(jīng)內(nèi)置了一套網(wǎng)絡(luò)IDS系統(tǒng)。同時(shí)要在網(wǎng)絡(luò)中布置一套網(wǎng)絡(luò)防病毒系統(tǒng)，已達(dá)到對病毒的防御。由于防火墻是網(wǎng)絡(luò)中的關(guān)鍵設(shè)備之一，由于有時(shí)候一些不可預(yù)見的因素可能會(huì)是防火墻出現(xiàn)故障的而造成網(wǎng)絡(luò)不暢通或安全性失效，所以我們要采取雙機(jī)熱備的方案，提高安全的可靠性。另外需要我們注意的是加入數(shù)據(jù)備份的產(chǎn)品，來保護(hù)我們的數(shù)據(jù)庫。安全體系結(jié)構(gòu)圖：安全解決方案體系所使用模塊：防火墻（XX方御防火墻）IDS（ISS產(chǎn)品）防病毒模塊（KiLL網(wǎng)絡(luò)防毒產(chǎn)品）網(wǎng)絡(luò)冗余數(shù)據(jù)備份整個(gè)安全系統(tǒng)結(jié)構(gòu)可以總結(jié)為：多層隔離、實(shí)時(shí)監(jiān)控、立體防護(hù)、集中管理。六、安全系統(tǒng)實(shí)施通過上面對

11、需求的分析，我們提出了解決需求所要使用到的安全模塊，主要由防火墻來對網(wǎng)絡(luò)上的入侵、攻擊以及異常的行為進(jìn)行阻擋。使用XX數(shù)碼的FireGate防火墻作為系統(tǒng)安全的屏障。具體實(shí)施如下圖所示：R EHL網(wǎng)給防再重洪沈陽市建設(shè)銀行 安全解決方案 柘撲圖安全模塊安之后的拓?fù)鋱D及其說明:拓?fù)浣庸┤缟蠄D所示，在訪問的線路上添加方御防火墻雙機(jī)熱備方案，防火墻設(shè)置為橋接模式，不需要給內(nèi)、外部接口配置IP地址，將防火墻的外部接口使用直連線與交換機(jī)連接，將防火墻的內(nèi)部接口使用直連線與相連接即可。防火墻的規(guī)則配置請參看方御防火墻使用說明書。在網(wǎng)絡(luò)的主交換機(jī)上安裝一臺(tái)帶有IDS系統(tǒng)的計(jì)算機(jī)，作為第二道安全防護(hù)屏障，同時(shí)在每臺(tái)計(jì)算機(jī)上安裝Kill網(wǎng)絡(luò)版防病毒模塊和E-trust單機(jī)版IDS模塊。作為防御病毒的屏障。對于數(shù)據(jù)的備分系統(tǒng)，