[優(yōu)秀畢業(yè)設(shè)計(jì)]基于浙江信用社網(wǎng)絡(luò)安全建設(shè)方案設(shè)計(jì)

1、目 錄 TOC o 1-3 h z u HYPERLINK l _Toc295461695 第1章 項(xiàng)目情況概述 PAGEREF _Toc295461695 h 1 HYPERLINK l _Toc295461696 第2章 網(wǎng)絡(luò)結(jié)構(gòu)調(diào)整與安全域劃分 PAGEREF _Toc295461696 h 3 HYPERLINK l _Toc295461697 第3章 信用社網(wǎng)絡(luò)需求分析 PAGEREF _Toc295461697 h 5 HYPERLINK l _Toc295461698 網(wǎng)上銀行安全風(fēng)險(xiǎn)和安全需求 PAGEREF _Toc295461698 h 6 HYPERLINK l _Toc

2、295461699 生產(chǎn)業(yè)務(wù)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和安全需求 PAGEREF _Toc295461699 h 7 HYPERLINK l _Toc295461700 第4章 總體安全技術(shù)框架建議 PAGEREF _Toc295461700 h 9 HYPERLINK l _Toc295461701 網(wǎng)絡(luò)層安全建議 PAGEREF _Toc295461701 h 9 HYPERLINK l _Toc295461702 系統(tǒng)層安全建議 PAGEREF _Toc295461702 h 12 HYPERLINK l _Toc295461703 管理層安全建議 PAGEREF _Toc295461703 h 12

3、 HYPERLINK l _Toc295461704 第5章 詳細(xì)網(wǎng)絡(luò)架構(gòu)及產(chǎn)品部署建議 PAGEREF _Toc295461704 h 13 HYPERLINK l _Toc295461705 網(wǎng)上銀行安全建議 PAGEREF _Toc295461705 h 13 HYPERLINK l _Toc295461706 省聯(lián)社生產(chǎn)網(wǎng)安全建議 PAGEREF _Toc295461706 h 14 HYPERLINK l _Toc295461707 地市聯(lián)社生產(chǎn)網(wǎng)安全建議 PAGEREF _Toc295461707 h 15 HYPERLINK l _Toc295461708 區(qū)縣聯(lián)社生產(chǎn)網(wǎng)安全建議

4、 PAGEREF _Toc295461708 h 16 HYPERLINK l _Toc295461709 全行網(wǎng)絡(luò)防病毒系統(tǒng)建議 PAGEREF _Toc295461709 h 17 HYPERLINK l _Toc295461710 網(wǎng)絡(luò)安全管理平臺(tái)建議 PAGEREF _Toc295461710 h 18 HYPERLINK l _Toc295461711 部署網(wǎng)絡(luò)安全管理平臺(tái)的必要性 PAGEREF _Toc295461711 h 18 HYPERLINK l _Toc295461712 網(wǎng)絡(luò)安全管理平臺(tái)部署建議 PAGEREF _Toc295461712 h 19 HYPERLINK

5、 l _Toc295461713 建立專(zhuān)業(yè)的安全服務(wù)體系建議 PAGEREF _Toc295461713 h 20 HYPERLINK l _Toc295461714 現(xiàn)狀調(diào)查和風(fēng)險(xiǎn)評(píng)估 PAGEREF _Toc295461714 h 21 HYPERLINK l _Toc295461715 安全策略制定及方案設(shè)計(jì) PAGEREF _Toc295461715 h 22 HYPERLINK l _Toc295461716 安全應(yīng)急響應(yīng)方案 PAGEREF _Toc295461716 h 22 HYPERLINK l _Toc295461717 第6章 安全規(guī)劃總結(jié) PAGEREF _Toc295

6、461717 h 26 HYPERLINK l _Toc295461718 產(chǎn)品配置清單 PAGEREF _Toc295461718 h 27第1章 項(xiàng)目情況概述信用社網(wǎng)絡(luò)是一個(gè)正在進(jìn)行改造的省級(jí)銀行網(wǎng)絡(luò)。整個(gè)網(wǎng)絡(luò)隨著業(yè)務(wù)的不斷擴(kuò)展和應(yīng)用的增加，已經(jīng)形成了一個(gè)橫縱聯(lián)系，錯(cuò)綜復(fù)雜的網(wǎng)絡(luò)。從縱向來(lái)看，目前XXX銀行網(wǎng)絡(luò)分為四層，第一層為省聯(lián)社網(wǎng)絡(luò)，第二層為地市聯(lián)社網(wǎng)絡(luò)，第三層為縣（區(qū)）聯(lián)社網(wǎng)絡(luò)，第四層為分理處網(wǎng)絡(luò)。從橫向來(lái)看，省及各地市的銀行網(wǎng)絡(luò)都按照應(yīng)用劃分為辦公子網(wǎng)、生產(chǎn)子網(wǎng)和外聯(lián)網(wǎng)絡(luò)三個(gè)大子網(wǎng)。而在省中心網(wǎng)上，還包括網(wǎng)上銀行、測(cè)試子網(wǎng)和MIS子網(wǎng)三個(gè)單獨(dú)的子網(wǎng)。其整個(gè)網(wǎng)絡(luò)的結(jié)構(gòu)示意圖如下：圖

7、 信用社網(wǎng)絡(luò)結(jié)構(gòu)示意圖信用社網(wǎng)絡(luò)是一個(gè)正在新建的網(wǎng)絡(luò)，目前業(yè)務(wù)系統(tǒng)剛剛上線(xiàn)運(yùn)行，還沒(méi)有進(jìn)行信息安全方面的建設(shè)。而對(duì)于信用社網(wǎng)絡(luò)來(lái)說(shuō)，生產(chǎn)網(wǎng)是網(wǎng)絡(luò)中最重要的部分，所有的應(yīng)用也業(yè)務(wù)系統(tǒng)都部署在生產(chǎn)網(wǎng)上。一旦生產(chǎn)網(wǎng)出現(xiàn)問(wèn)題，造成的損失和影響將是不可估量的。因此現(xiàn)在急需解決生產(chǎn)網(wǎng)的安全問(wèn)題。本次對(duì)信用社網(wǎng)絡(luò)的安全規(guī)劃僅限于生產(chǎn)網(wǎng)以及與生產(chǎn)網(wǎng)安全相關(guān)的網(wǎng)絡(luò)部分，因此下面我們著重對(duì)信用社的生產(chǎn)網(wǎng)構(gòu)架做一個(gè)詳細(xì)描述。（一）省聯(lián)社生產(chǎn)網(wǎng)絡(luò)省聯(lián)社網(wǎng)絡(luò)生產(chǎn)網(wǎng)絡(luò)是全行信息系統(tǒng)的核心，業(yè)務(wù)系統(tǒng)、網(wǎng)上銀行系統(tǒng)及管理系統(tǒng)都集中在信息中心。省聯(lián)社網(wǎng)絡(luò)生產(chǎn)網(wǎng)絡(luò)負(fù)責(zé)與人行及其他單位中間業(yè)務(wù)的連接。省聯(lián)社網(wǎng)絡(luò)生產(chǎn)網(wǎng)絡(luò)負(fù)責(zé)建立和維

8、護(hù)網(wǎng)上銀行。省聯(lián)社網(wǎng)絡(luò)生產(chǎn)網(wǎng)絡(luò)中包含MIS系統(tǒng)和測(cè)試系統(tǒng)。操作系統(tǒng)主要有：OS/400、AIX、Linux、Windows，以及其它設(shè)備的專(zhuān)用系統(tǒng)。數(shù)據(jù)庫(kù)系統(tǒng)包括：DB2、INFORMIX、SYBASE、ORACLE等。業(yè)務(wù)應(yīng)用包括：生產(chǎn)業(yè)務(wù)： 一線(xiàn)業(yè)務(wù)：與客戶(hù)直接關(guān)聯(lián)的業(yè)務(wù)，如ATM、POS、柜員終端等二線(xiàn)業(yè)務(wù)：不直接與客戶(hù)相關(guān)的業(yè)務(wù)，如管理流程、公文輪流轉(zhuǎn)、監(jiān)督、決策等，為一線(xiàn)業(yè)務(wù)的支撐。（二）地市聯(lián)社生產(chǎn)網(wǎng)絡(luò)地市聯(lián)社生產(chǎn)網(wǎng)絡(luò)是二級(jí)網(wǎng)絡(luò)，通過(guò)兩條互為備份的專(zhuān)線(xiàn)與省聯(lián)社中心網(wǎng)絡(luò)互連。操作系統(tǒng)主要有：UNIX、WINDOWS。（三）區(qū)（縣）聯(lián)社生產(chǎn)網(wǎng)絡(luò)區(qū)（縣）聯(lián)社生產(chǎn)網(wǎng)絡(luò)是三級(jí)網(wǎng)絡(luò)，通過(guò)2M

9、SDH/或者10M光纖以太網(wǎng)（ISDN備份）等方式與管轄支行的網(wǎng)絡(luò)連接。操作系統(tǒng)主要有：UNIX、WINDOWS。（四）分理處生產(chǎn)網(wǎng)分理處是四級(jí)網(wǎng)絡(luò)，各個(gè)分理處通過(guò)2M SDH或者ISDN等方式與管轄區(qū)（縣）聯(lián)社的網(wǎng)絡(luò)連接。 由于區(qū)縣聯(lián)社及分理處的網(wǎng)絡(luò)目前還處在組網(wǎng)的初級(jí)階段，網(wǎng)絡(luò)構(gòu)造簡(jiǎn)單且還沒(méi)有能力進(jìn)行完善的網(wǎng)絡(luò)安全建設(shè)和管理，因此本次規(guī)劃主要是對(duì)省及地市聯(lián)社的網(wǎng)絡(luò)安全部分。當(dāng)把省及地市部分的網(wǎng)絡(luò)建成一個(gè)比較完善的安全防護(hù)體系之后，再逐步的將安全措施和手段應(yīng)用于下層的區(qū)縣聯(lián)社及分理處。從而實(shí)現(xiàn)整個(gè)網(wǎng)絡(luò)的重點(diǎn)防護(hù)、分步實(shí)施策略。第2章 網(wǎng)絡(luò)結(jié)構(gòu)調(diào)整與安全域劃分對(duì)于信用社生產(chǎn)網(wǎng)絡(luò)來(lái)說(shuō)，首要的一點(diǎn)

10、就是應(yīng)該根據(jù)國(guó)家有關(guān)部門(mén)對(duì)相關(guān)規(guī)定，將整個(gè)生產(chǎn)網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)結(jié)構(gòu)的優(yōu)化和安全域的劃分，從結(jié)構(gòu)上實(shí)現(xiàn)對(duì)安全等級(jí)化保護(hù)。根據(jù)中國(guó)人民銀行計(jì)算機(jī)安全管理暫行規(guī)定（試行）的相關(guān)要求：“第六十一條內(nèi)聯(lián)網(wǎng)上的所有計(jì)算機(jī)設(shè)備，不得直接或間接地與國(guó)際互聯(lián)網(wǎng)相聯(lián)接，必須實(shí)現(xiàn)與國(guó)際互聯(lián)網(wǎng)的物理隔離?！薄暗谄呤鍡l計(jì)算機(jī)信息系統(tǒng)的開(kāi)發(fā)環(huán)境和現(xiàn)場(chǎng)應(yīng)當(dāng)與生產(chǎn)環(huán)境和現(xiàn)場(chǎng)隔離。”因此我們有必要對(duì)現(xiàn)有網(wǎng)絡(luò)環(huán)境進(jìn)行改造，以將生產(chǎn)業(yè)務(wù)網(wǎng)絡(luò)（包括一線(xiàn)業(yè)務(wù)和二線(xiàn)業(yè)務(wù)）與具有互聯(lián)網(wǎng)連接的辦公網(wǎng)絡(luò)之間區(qū)分開(kāi)來(lái)，通過(guò)強(qiáng)有力的安全控制機(jī)制最大化實(shí)現(xiàn)生產(chǎn)系統(tǒng)與其他業(yè)務(wù)系統(tǒng)之間的隔離。同時(shí)，對(duì)信用社所有信息資源進(jìn)行安全分級(jí)，根據(jù)不同業(yè)務(wù)和應(yīng)用類(lèi)型

11、劃分不同安全等級(jí)的安全域，并分別進(jìn)行不同等級(jí)的隔離和保護(hù)。初步規(guī)劃將省聯(lián)社生產(chǎn)網(wǎng)絡(luò)劃分成多個(gè)具備不同安全等級(jí)的區(qū)域，參考公安部發(fā)布的信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南，我們對(duì)安全區(qū)域劃分和定級(jí)的建議如下：表2.1 安全區(qū)域劃分和定級(jí)的建議安全區(qū)域說(shuō)明定級(jí)建議生產(chǎn)區(qū)域包含一線(xiàn)業(yè)務(wù)服務(wù)器主機(jī)3級(jí)MIS區(qū)域包含二線(xiàn)業(yè)務(wù)服務(wù)器主機(jī)2級(jí)網(wǎng)上銀行區(qū)域包含網(wǎng)上銀行業(yè)務(wù)服務(wù)器主機(jī)2級(jí)運(yùn)行管理區(qū)域包含維護(hù)網(wǎng)絡(luò)信息系統(tǒng)有效運(yùn)行的管理服務(wù)器主機(jī)和管理終端2級(jí)測(cè)試區(qū)域包含新開(kāi)發(fā)的生產(chǎn)應(yīng)用的測(cè)試環(huán)境，可視為準(zhǔn)生產(chǎn)環(huán)境1級(jí)辦公服務(wù)器區(qū)域包含辦公業(yè)務(wù)系統(tǒng)服務(wù)器主機(jī)2級(jí)對(duì)于各地市、區(qū)縣聯(lián)社和各營(yíng)業(yè)網(wǎng)點(diǎn)也需要將生產(chǎn)業(yè)務(wù)和辦公業(yè)務(wù)嚴(yán)格

12、區(qū)分開(kāi)，并進(jìn)行邏輯隔離，確保生產(chǎn)區(qū)域具有較高安全級(jí)別。由于部分辦公業(yè)務(wù)用戶(hù)需要訪(fǎng)問(wèn)生產(chǎn)業(yè)務(wù)中的特定數(shù)據(jù)，而部分生產(chǎn)應(yīng)用也需要訪(fǎng)問(wèn)辦公網(wǎng)中的特定數(shù)據(jù)，因此無(wú)法做到生產(chǎn)、辦公之間徹底的物理隔離，建議在各級(jí)聯(lián)社信息中心提供生產(chǎn)網(wǎng)與辦公網(wǎng)之間的連接，并采用邏輯隔離手段進(jìn)行控制，對(duì)于營(yíng)業(yè)網(wǎng)點(diǎn)，由于作隔離投入太大，可暫時(shí)不考慮隔離。改造后的總體邏輯結(jié)構(gòu)如圖所示：圖 信用社網(wǎng)絡(luò)安全結(jié)構(gòu)示意圖網(wǎng)絡(luò)改造后，全行辦公系統(tǒng)將統(tǒng)一互聯(lián)網(wǎng)出口，所有辦公終端只允許在通信行為可控的情況下才能通過(guò)信息中心辦公網(wǎng)絡(luò)的互聯(lián)網(wǎng)出口訪(fǎng)問(wèn)外界網(wǎng)絡(luò)，生產(chǎn)業(yè)務(wù)服務(wù)器和終端不允許采取任何手段直接訪(fǎng)問(wèn)互聯(lián)網(wǎng)或通過(guò)辦公網(wǎng)間接訪(fǎng)問(wèn)互聯(lián)網(wǎng)。網(wǎng)上銀行

13、因業(yè)務(wù)需要必須連接互聯(lián)網(wǎng)，但只允許互聯(lián)網(wǎng)用戶(hù)對(duì)網(wǎng)銀門(mén)戶(hù)網(wǎng)站的訪(fǎng)問(wèn)以及認(rèn)證用戶(hù)對(duì)網(wǎng)銀WEB服務(wù)器的訪(fǎng)問(wèn)，生產(chǎn)業(yè)務(wù)服務(wù)器和終端不允許采取任何手段直接訪(fǎng)問(wèn)互聯(lián)網(wǎng)或通過(guò)網(wǎng)銀網(wǎng)絡(luò)間接訪(fǎng)問(wèn)互聯(lián)網(wǎng)。第3章 信用社網(wǎng)絡(luò)需求分析隨著信用社金融信息化的發(fā)展，信息系統(tǒng)已經(jīng)成為銀行賴(lài)以生存和發(fā)展的基本條件。相應(yīng)地，銀行信息系統(tǒng)的安全問(wèn)題也越來(lái)越突出，銀行信息系統(tǒng)的安全問(wèn)題主要包括兩個(gè)方面：一是來(lái)自外界對(duì)銀行系統(tǒng)的非法侵入，對(duì)信息系統(tǒng)的蓄意破壞和盜竊、篡改信息行為；二是來(lái)自銀行內(nèi)部員工故意或無(wú)意的對(duì)信息系統(tǒng)管理的違反。銀行信息系統(tǒng)正在面臨著嚴(yán)峻的挑戰(zhàn)。銀行進(jìn)行安全建設(shè)、加強(qiáng)安全管理已經(jīng)成為當(dāng)務(wù)之急，其必要性正在隨著銀行

14、業(yè)務(wù)和信息系統(tǒng)如下的發(fā)展趨勢(shì)而更加凸出：銀行的關(guān)鍵業(yè)務(wù)系統(tǒng)層次豐富，操作環(huán)節(jié)多，風(fēng)險(xiǎn)也相對(duì)比較明顯；隨著電子銀行和中間業(yè)務(wù)的廣泛開(kāi)展，銀行的網(wǎng)絡(luò)與Internet和其他組織機(jī)構(gòu)的網(wǎng)絡(luò)互聯(lián)程度越來(lái)越高，使原本相對(duì)封閉的網(wǎng)絡(luò)越來(lái)越開(kāi)放，從而將外部網(wǎng)絡(luò)的風(fēng)險(xiǎn)引入到銀行內(nèi)部網(wǎng)絡(luò)；隨著銀行業(yè)務(wù)集中化的趨勢(shì)，銀行業(yè)務(wù)系統(tǒng)對(duì)可靠性和無(wú)間斷運(yùn)行的要求也越來(lái)越高；隨著WTO的到來(lái)和外資銀行的進(jìn)入，銀行業(yè)競(jìng)爭(zhēng)日益激烈，新的金融產(chǎn)品不斷推出，從而使銀行的應(yīng)用系統(tǒng)處于快速的變化過(guò)程中，對(duì)銀行的安全管理提出了更高的要求。中國(guó)國(guó)內(nèi)各家銀行也已經(jīng)開(kāi)始進(jìn)行信息安體系建設(shè)，其中最主要的措施就是采購(gòu)了大量安全產(chǎn)品，包括防火墻、入

15、侵檢測(cè)系統(tǒng)、防病毒和身份認(rèn)證系統(tǒng)等。這些安全產(chǎn)品在很大程度上提高了銀行信息系統(tǒng)的安全水平，對(duì)保護(hù)銀行信息安全起到了一定作用。但是它們并沒(méi)有從根本上降低安全風(fēng)險(xiǎn)，緩解安全問(wèn)題，這主要是因?yàn)椋?信息安全問(wèn)題從來(lái)就不是單純的技術(shù)問(wèn)題，把防范黑客入侵和病毒感染理解為信息安全問(wèn)題的全部是片面的。安全產(chǎn)品的功能相對(duì)比較狹窄，往往用于解決一類(lèi)安全問(wèn)題，因此僅僅通過(guò)部署安全產(chǎn)品很難完全覆蓋銀行信息安全問(wèn)題； 信息安全問(wèn)題不是靜態(tài)的，它總是隨著銀行策略、組織架構(gòu)、信息系統(tǒng)和操作流程的改變而改變。部署安全產(chǎn)品是一種靜態(tài)的解決辦法。一般來(lái)說(shuō)，在產(chǎn)品安裝和配置后較長(zhǎng)一段時(shí)間內(nèi)，它們都無(wú)法動(dòng)態(tài)調(diào)整以適應(yīng)安全問(wèn)題的變化。

16、所以，銀行界的有識(shí)之士都意識(shí)到應(yīng)從根本上改變應(yīng)對(duì)信息安全問(wèn)題的思路，建立更加全面的安全保障體系，在安全產(chǎn)品的輔助下，通過(guò)管理手段體系化地保障信息系統(tǒng)安全。下面我們將通過(guò)分析信用社改造后的網(wǎng)絡(luò)結(jié)構(gòu)下可能面臨的安全問(wèn)題，對(duì)信用社（主要是生產(chǎn)網(wǎng)）目前的安全需求進(jìn)行總體分析。根據(jù)實(shí)際項(xiàng)目進(jìn)度安排，我們將分別對(duì)網(wǎng)上銀行系統(tǒng)、生產(chǎn)業(yè)務(wù)系統(tǒng)進(jìn)行分析。網(wǎng)上銀行安全風(fēng)險(xiǎn)和安全需求針對(duì)目前最常見(jiàn)的互聯(lián)網(wǎng)攻擊類(lèi)型以及國(guó)內(nèi)外網(wǎng)上銀行系統(tǒng)通常面臨的安全威脅，結(jié)合信用社的實(shí)際情況，我們認(rèn)為在信用社網(wǎng)上銀行網(wǎng)絡(luò)可能面臨的安全風(fēng)險(xiǎn)和對(duì)應(yīng)的安全需求如下： 可能面臨的安全風(fēng)險(xiǎn)和對(duì)應(yīng)的安全需求序號(hào)風(fēng)險(xiǎn)名稱(chēng)受影響對(duì)象安全需求1漏洞操

17、作系統(tǒng)，數(shù)據(jù)庫(kù)系統(tǒng)，應(yīng)用軟件評(píng)估、加固（打補(bǔ)丁，安裝加固軟件）2網(wǎng)頁(yè)篡改網(wǎng)銀WEB和門(mén)戶(hù)WEB服務(wù)器打補(bǔ)丁，安裝防篡改軟件，內(nèi)容過(guò)濾3網(wǎng)絡(luò)仿冒網(wǎng)銀客戶(hù)培訓(xùn)客戶(hù)的安全防護(hù)意識(shí)（安裝IE反釣魚(yú)插件；認(rèn)清銀行網(wǎng)站，不在虛假站點(diǎn)中填寫(xiě)ID和密碼；采用CA認(rèn)證和SSL加密）4蠕蟲(chóng)和病毒所有windows和linux平臺(tái)客戶(hù)端：建議或強(qiáng)制安裝防病毒軟件/插件服務(wù)器：安裝相應(yīng)平臺(tái)防病毒軟件網(wǎng)銀WEB區(qū)域與互聯(lián)網(wǎng)之間：防病毒網(wǎng)關(guān)網(wǎng)銀與核心層之間：防病毒網(wǎng)關(guān)5非法入侵和攻擊（網(wǎng)絡(luò)級(jí)、應(yīng)用級(jí)）所有網(wǎng)段防火墻、IDS（需檢測(cè)應(yīng)用級(jí)攻擊及SSL加密攻擊）6拒絕服務(wù)攻擊網(wǎng)銀WEB區(qū)域抗DOS攻擊產(chǎn)品7網(wǎng)頁(yè)惡意代碼（木馬

18、、間諜軟件、廣告軟件、撥號(hào)器（dialers）、key logger、密碼破解工具和遠(yuǎn)程控制程序等）網(wǎng)銀客戶(hù)windows，ie瀏覽器（linux不受影響）培訓(xùn)客戶(hù)的安全防護(hù)意識(shí)（在計(jì)算機(jī)上安裝防病毒工具并及時(shí)更新；采用相對(duì)安全的瀏覽器或在IE中安裝各類(lèi)安全控件；對(duì)不明郵件不要打開(kāi)，并及時(shí)刪除；提高對(duì)個(gè)人資料、賬戶(hù)、密碼的保護(hù)意識(shí)；及時(shí)修改銀行帳戶(hù)的原始密碼；不要采用身份證號(hào)碼、生日、 號(hào)碼及過(guò)分簡(jiǎn)單的數(shù)字作為密碼；不要在網(wǎng)吧等公共場(chǎng)所操作網(wǎng)上銀行業(yè)務(wù)。）8僵尸網(wǎng)絡(luò)（DDOS、垃圾郵件、網(wǎng)頁(yè)仿冒、網(wǎng)頁(yè)攻擊的被動(dòng)發(fā)起者）互聯(lián)網(wǎng)上大量不安全的主機(jī)可能成為僵尸，被利用來(lái)向網(wǎng)銀進(jìn)行攻擊通過(guò)上述手段加強(qiáng)

19、自身防護(hù)生產(chǎn)業(yè)務(wù)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和安全需求對(duì)于生產(chǎn)業(yè)務(wù)網(wǎng)絡(luò)而言，可能存在的安全風(fēng)險(xiǎn)和對(duì)應(yīng)的安全需求如下：序號(hào)風(fēng)險(xiǎn)名稱(chēng)風(fēng)險(xiǎn)來(lái)源受影響對(duì)象安全需求1漏洞自身操作系統(tǒng)，數(shù)據(jù)庫(kù)系統(tǒng)，應(yīng)用軟件評(píng)估、加固（打補(bǔ)丁，安裝加固軟件）2蠕蟲(chóng)和病毒移動(dòng)存儲(chǔ)介質(zhì)、網(wǎng)絡(luò)通訊所有windows和linux平臺(tái)客戶(hù)端/服務(wù)器：安裝相應(yīng)平臺(tái)防病毒軟件網(wǎng)銀與生產(chǎn)業(yè)務(wù)網(wǎng)絡(luò)之間：防病毒網(wǎng)關(guān)3非法入侵和攻擊（網(wǎng)絡(luò)級(jí)、應(yīng)用級(jí)）所有需要訪(fǎng)問(wèn)或可能訪(fǎng)問(wèn)到一線(xiàn)業(yè)務(wù)的用戶(hù)一線(xiàn)業(yè)務(wù)生產(chǎn)主機(jī)防火墻、入侵檢測(cè)網(wǎng)上銀行區(qū)域生產(chǎn)業(yè)務(wù)網(wǎng)絡(luò)防火墻、入侵防御網(wǎng)上銀行區(qū)域、相關(guān)外部單位網(wǎng)絡(luò)、辦公業(yè)務(wù)網(wǎng)絡(luò)生產(chǎn)業(yè)務(wù)網(wǎng)絡(luò)防火墻、入侵檢測(cè)4數(shù)據(jù)竊密、篡改非法闖入者在局域

20、網(wǎng)或廣域網(wǎng)上傳輸?shù)臉I(yè)務(wù)數(shù)據(jù)，存放在客戶(hù)端本地的業(yè)務(wù)數(shù)據(jù)網(wǎng)絡(luò)準(zhǔn)入控制、桌面安全控制5非法訪(fǎng)問(wèn)、越權(quán)訪(fǎng)問(wèn)非生產(chǎn)人員生產(chǎn)應(yīng)用系統(tǒng)和業(yè)務(wù)數(shù)據(jù)身份認(rèn)證、訪(fǎng)問(wèn)授權(quán)非管理人員操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)身份認(rèn)證、訪(fǎng)問(wèn)授權(quán) 第4章 總體安全技術(shù)框架建議根據(jù)對(duì)信用社網(wǎng)絡(luò)系統(tǒng)安全需求分析，我們提出了由多種安全技術(shù)和多層防護(hù)措施構(gòu)成的一整套安全技術(shù)方案，具體包括：在網(wǎng)絡(luò)層劃分安全域，部署防火墻系統(tǒng)、防拒絕服務(wù)攻擊系統(tǒng)、入侵檢測(cè)系統(tǒng)、入侵防御系統(tǒng)和漏洞掃描系統(tǒng)；在系統(tǒng)層部署病毒防范系統(tǒng)，提供系統(tǒng)安全評(píng)估和加固建議；在管理層制訂安全管理策略，部署安全信息管理和分析系統(tǒng)，建立安全管理中心。具體建議如下：網(wǎng)絡(luò)層安全建議1網(wǎng)絡(luò)訪(fǎng)問(wèn)控

21、制 劃分安全域 為了提高銀行網(wǎng)絡(luò)的安全性和可靠性，在省聯(lián)社總部、各地市聯(lián)社、各區(qū)縣聯(lián)社、分理處對(duì)不同系統(tǒng)劃分不同安全域。 訪(fǎng)問(wèn)控制措施 對(duì)安全等級(jí)較高的安全域，在其邊界部署防火墻，對(duì)安全等級(jí)較低的安全域的邊界則可以使用VLAN或訪(fǎng)問(wèn)控制列表來(lái)代替。根據(jù)對(duì)信用社整體網(wǎng)絡(luò)的區(qū)域劃分，我們將在不同安全域邊界采用不同的訪(fǎng)問(wèn)控制措施：在生產(chǎn)網(wǎng)與辦公網(wǎng)之間采用防火墻提供訪(fǎng)問(wèn)控制，只允許業(yè)務(wù)相關(guān)的訪(fǎng)問(wèn)，拒絕其他所有訪(fǎng)問(wèn)；在生產(chǎn)網(wǎng)與網(wǎng)上銀行網(wǎng)絡(luò)之間采用防火墻提供訪(fǎng)問(wèn)控制，只允許業(yè)務(wù)相關(guān)的訪(fǎng)問(wèn)，拒絕其他所有訪(fǎng)問(wèn)；在生產(chǎn)網(wǎng)與相關(guān)單位網(wǎng)絡(luò)之間采用防火墻提供訪(fǎng)問(wèn)控制，只允許業(yè)務(wù)相關(guān)的訪(fǎng)問(wèn)，拒絕其他所有訪(fǎng)問(wèn)；在網(wǎng)上銀行

22、網(wǎng)絡(luò)與互聯(lián)網(wǎng)之間采用防火墻提供訪(fǎng)問(wèn)控制，除允許互聯(lián)網(wǎng)用戶(hù)訪(fǎng)問(wèn)網(wǎng)銀門(mén)戶(hù)網(wǎng)站、允許互聯(lián)網(wǎng)認(rèn)證用戶(hù)訪(fǎng)問(wèn)網(wǎng)銀WEB及允許網(wǎng)銀WEB服務(wù)器/SSL加速器訪(fǎng)問(wèn)互聯(lián)網(wǎng)上的CFCA之外，拒絕其他所有訪(fǎng)問(wèn)；在生產(chǎn)網(wǎng)的生產(chǎn)區(qū)域（一線(xiàn)業(yè)務(wù)）與其他區(qū)域之間采用防火墻提供訪(fǎng)問(wèn)控制，只允許業(yè)務(wù)相關(guān)的訪(fǎng)問(wèn)，拒絕其他所有訪(fǎng)問(wèn)；在生產(chǎn)網(wǎng)的其他各區(qū)域之間利用三層交換機(jī)劃分虛擬子網(wǎng)及進(jìn)行簡(jiǎn)單包過(guò)濾，做到較簡(jiǎn)單的訪(fǎng)問(wèn)控制；2防拒絕服務(wù)攻擊在網(wǎng)上銀行系統(tǒng)與Internet出口邊界處，配備抗DoS攻擊網(wǎng)關(guān)系統(tǒng)，以抵御來(lái)自互聯(lián)網(wǎng)的各種拒絕服務(wù)攻擊和分布式拒絕服務(wù)攻擊。 3網(wǎng)絡(luò)入侵檢測(cè)在網(wǎng)上銀行系統(tǒng)和總行業(yè)務(wù)網(wǎng)絡(luò)系統(tǒng)中部署入侵檢測(cè)系統(tǒng)，實(shí)時(shí)

23、檢測(cè)、分析網(wǎng)絡(luò)上的通訊數(shù)據(jù)流，尤其是對(duì)進(jìn)出安全域邊界或進(jìn)出存放有涉密信息的關(guān)鍵網(wǎng)段、服務(wù)器主機(jī)的通訊數(shù)據(jù)流進(jìn)行監(jiān)控，及時(shí)發(fā)現(xiàn)違規(guī)行為和異常行為并進(jìn)行處理。網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)可實(shí)現(xiàn)如下功能： 網(wǎng)絡(luò)信息包嗅探。以旁路監(jiān)聽(tīng)方式秘密運(yùn)行，使攻擊者無(wú)法感知到。黑客常常在沒(méi)有覺(jué)察的情況下被抓獲，因?yàn)樗麄儾恢浪麄円恢笔艿矫芮斜O(jiān)視。網(wǎng)絡(luò)訪(fǎng)問(wèn)監(jiān)控。根據(jù)實(shí)際業(yè)務(wù)需要定制相關(guān)規(guī)則，可以定義哪些主機(jī)或網(wǎng)段可以或不可以訪(fǎng)問(wèn)網(wǎng)絡(luò)上的特定資源，可以定義訪(fǎng)問(wèn)時(shí)間段，對(duì)特定的非法訪(fǎng)問(wèn)行為或除特定合法訪(fǎng)問(wèn)行為之外的所有訪(fǎng)問(wèn)行為進(jìn)行監(jiān)控，一旦發(fā)現(xiàn)違規(guī)行為則根據(jù)事先定義的響應(yīng)策略進(jìn)行報(bào)警、阻斷或聯(lián)動(dòng)的相應(yīng)，以保證只有授權(quán)用戶(hù)才可以訪(fǎng)

24、問(wèn)特定網(wǎng)絡(luò)資源。應(yīng)用層攻擊特征檢測(cè)。提供詳盡、細(xì)粒度的應(yīng)用協(xié)議分析技術(shù)，實(shí)現(xiàn)應(yīng)用層攻擊檢測(cè)，可自動(dòng)檢測(cè)網(wǎng)絡(luò)實(shí)時(shí)數(shù)據(jù)流中符合特征的攻擊行為，系統(tǒng)維護(hù)一個(gè)強(qiáng)大的攻擊特征庫(kù)，用戶(hù)可以定期更新，確保能夠檢測(cè)到最新的攻擊事件。蠕蟲(chóng)檢測(cè)。實(shí)時(shí)跟蹤當(dāng)前最新的蠕蟲(chóng)事件，針對(duì)已經(jīng)發(fā)現(xiàn)的蠕蟲(chóng)攻擊及時(shí)提供相關(guān)事件規(guī)則。系統(tǒng)維護(hù)一個(gè)強(qiáng)大的蠕蟲(chóng)特征庫(kù)，用戶(hù)可以定期更新，確保能夠檢測(cè)到最新的蠕蟲(chóng)事件。對(duì)于存在系統(tǒng)漏洞但尚未發(fā)現(xiàn)相關(guān)蠕蟲(chóng)事件的情況，通過(guò)分析漏洞來(lái)提供相關(guān)的入侵事件規(guī)則，最大限度地解決蠕蟲(chóng)發(fā)現(xiàn)滯后的問(wèn)題?？梢删W(wǎng)絡(luò)活動(dòng)檢測(cè)。即異常檢測(cè)，包括通過(guò)對(duì)在特定時(shí)間間隔內(nèi)超流量、超連接的數(shù)據(jù)包進(jìn)行檢測(cè)等方式，實(shí)現(xiàn)對(duì)DoS

25、、掃描等攻擊事件的檢測(cè)。檢測(cè)隱藏在SSL加密通訊中的攻擊。通過(guò)解碼基于SSL加密的通訊數(shù)據(jù)，分析、檢測(cè)基于SSL加密通訊的攻擊行為，從而可以保護(hù)提供SSL加密訪(fǎng)問(wèn)的網(wǎng)銀WEB服務(wù)器的安全性。日志審計(jì)。提供入侵日志和網(wǎng)絡(luò)流量日志記錄和綜合分析功能，并提供詳細(xì)的分析報(bào)告，使網(wǎng)絡(luò)管理員可以跟蹤用戶(hù)、應(yīng)用程序等對(duì)網(wǎng)絡(luò)的使用情況，幫助管理員改進(jìn)網(wǎng)絡(luò)安全策略的規(guī)劃，并提供更精確的網(wǎng)絡(luò)安全控制。通過(guò)詳盡的審計(jì)記錄，可以在系統(tǒng)遭到惡意攻擊后，提供證據(jù)以提起法律訴訟。 多網(wǎng)段同時(shí)監(jiān)控。入侵探測(cè)器支持多個(gè)網(wǎng)絡(luò)監(jiān)聽(tīng)口，可以連接到多個(gè)網(wǎng)段中進(jìn)行實(shí)時(shí)監(jiān)控，我們也可以在不同的網(wǎng)段分別部署多個(gè)探測(cè)引擎，管理員可以通過(guò)集中的

26、管理控制臺(tái)對(duì)探測(cè)器上傳的信息進(jìn)行統(tǒng)一查看，通過(guò)管理器進(jìn)行綜合分析，并生成報(bào)表。4入侵防御系統(tǒng)在生產(chǎn)網(wǎng)與網(wǎng)上銀行網(wǎng)絡(luò)之間、辦公網(wǎng)與互聯(lián)網(wǎng)之間分別部署入侵防御系統(tǒng)，對(duì)外界網(wǎng)絡(luò)黑客利用防火墻為合法的用戶(hù)訪(fǎng)問(wèn)而開(kāi)放的端口穿透防火墻對(duì)內(nèi)網(wǎng)發(fā)起的各種高級(jí)、復(fù)雜的攻擊行為進(jìn)行檢測(cè)和阻斷。IPS系統(tǒng)工作在第二層到第七層，通常使用特征匹配和異常分析的方法來(lái)識(shí)別各種網(wǎng)絡(luò)攻擊行為，因其是以在線(xiàn)串聯(lián)方式部署的，對(duì)檢測(cè)到的各種攻擊行為均可直接阻斷并生成日志報(bào)告和報(bào)警信息。5漏洞掃描系統(tǒng)在生產(chǎn)網(wǎng)上部署一套漏洞掃描系統(tǒng)，定期對(duì)整個(gè)網(wǎng)絡(luò)，特別是關(guān)鍵主機(jī)及網(wǎng)絡(luò)設(shè)備進(jìn)行漏洞掃描。這樣才能及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中存在的漏洞和弱點(diǎn)，及時(shí)根據(jù)漏

27、洞掃描系統(tǒng)提出的解決方案進(jìn)行系統(tǒng)加固或安全策略調(diào)整。以實(shí)現(xiàn)防患于未然的目的。同時(shí)得到的掃描日志還可以提供給安全管理中心，作為對(duì)整個(gè)網(wǎng)絡(luò)健康狀況評(píng)估的一部分，使得管理員能夠機(jī)制準(zhǔn)確的把握網(wǎng)絡(luò)的運(yùn)行狀況。系統(tǒng)層安全建議6病毒防范系統(tǒng) 在信用社網(wǎng)絡(luò)系統(tǒng)可能的病毒攻擊點(diǎn)或通道中部署全方位的病毒防范系統(tǒng)，包括在網(wǎng)上銀行互聯(lián)網(wǎng)出口、網(wǎng)上銀行區(qū)域與業(yè)務(wù)區(qū)域之間、辦公區(qū)域的互聯(lián)網(wǎng)出口處部署網(wǎng)關(guān)級(jí)防病毒設(shè)備，在整個(gè)網(wǎng)絡(luò)中的所有WINDOWS服務(wù)器和客戶(hù)端計(jì)算機(jī)上部署相應(yīng)平臺(tái)的網(wǎng)絡(luò)版防病毒軟件并配置防病毒系統(tǒng)管理中心對(duì)所有主機(jī)上的防病毒軟件進(jìn)行集中管理、監(jiān)控、統(tǒng)一升級(jí)、集中查殺毒。 管理層安全建議7綜合安全管理平

28、臺(tái)和安全運(yùn)營(yíng)中心部署一套有效的網(wǎng)絡(luò)安全管理體系，采用集中的安全管理平臺(tái)，來(lái)對(duì)全網(wǎng)進(jìn)行統(tǒng)一的安全管理和網(wǎng)絡(luò)管理，同時(shí)借助專(zhuān)業(yè)的第三方服務(wù)，在安全管理平臺(tái)的基礎(chǔ)上建立信用社安全運(yùn)營(yíng)中心，對(duì)信用社安全保障體系的建設(shè)起到推動(dòng)作用，確保信用社信息網(wǎng)絡(luò)信息系統(tǒng)內(nèi)部不發(fā)生安全事件、少發(fā)生安全事件或者發(fā)生安全事件時(shí)能夠及時(shí)處理減少由于安全事件帶來(lái)的損失。根據(jù)信用社的網(wǎng)絡(luò)結(jié)構(gòu)和區(qū)域劃分，我們將分別針對(duì)網(wǎng)上銀行、省和地市生產(chǎn)業(yè)務(wù)網(wǎng)絡(luò)進(jìn)行安全體系設(shè)計(jì)。第5章 詳細(xì)網(wǎng)絡(luò)架構(gòu)及產(chǎn)品部署建議網(wǎng)上銀行安全建議網(wǎng)上銀行的安全防護(hù)方案具體設(shè)計(jì)如下：1、在網(wǎng)銀區(qū)域與Internet之間插入一套抗DoS攻擊系統(tǒng)，對(duì)來(lái)自互聯(lián)網(wǎng)的DD

29、oS攻擊流量進(jìn)行清除，同時(shí)保證正常訪(fǎng)問(wèn)流量的通過(guò)。2、網(wǎng)銀區(qū)域與Internet之間設(shè)置一套防火墻系統(tǒng)（外層防火墻），采用雙機(jī)熱備結(jié)構(gòu)，通過(guò)二層交換機(jī)連接抗DoS攻擊設(shè)備，將網(wǎng)銀WEB服務(wù)器保護(hù)在防火墻的一個(gè)單獨(dú)的安全區(qū)域中，并通過(guò)兩臺(tái)三層交換機(jī)連接內(nèi)部網(wǎng)絡(luò)。外層防火墻的主要作用是控制來(lái)自外網(wǎng)的訪(fǎng)問(wèn)，只允許授權(quán)用戶(hù)訪(fǎng)問(wèn)網(wǎng)銀服務(wù)的特定IP和端口，并通過(guò)NAT屏蔽服務(wù)器真實(shí)地址。防火墻采用透明工作模式。三層交換機(jī)提供缺省網(wǎng)關(guān)和局域網(wǎng)路由功能。3、使用一臺(tái)網(wǎng)絡(luò)入侵檢測(cè)設(shè)備，提供雙引擎，分別連接到網(wǎng)銀WEB區(qū)域和網(wǎng)銀DB區(qū)域的兩臺(tái)交換機(jī)上進(jìn)行監(jiān)控，對(duì)網(wǎng)絡(luò)上傳輸?shù)拿舾袛?shù)據(jù)包（包括SSL加密數(shù)據(jù)）進(jìn)行深層

30、分析，可有效地發(fā)現(xiàn)防火墻無(wú)法識(shí)別的特殊的應(yīng)用層攻擊行為。4、網(wǎng)銀WEB區(qū)域與后臺(tái)數(shù)據(jù)庫(kù)/應(yīng)用服務(wù)器區(qū)域及信息中心網(wǎng)絡(luò)之間設(shè)置一套防火墻系統(tǒng)（內(nèi)層防火墻），一方面控制網(wǎng)銀WEB服務(wù)區(qū)與后臺(tái)APP服務(wù)區(qū)之間的訪(fǎng)問(wèn)，只允許來(lái)自網(wǎng)銀WEB區(qū)服務(wù)器發(fā)起的特定訪(fǎng)問(wèn)，禁止其他一切數(shù)據(jù)通訊；另一方面控制網(wǎng)銀DB/APP服務(wù)區(qū)與內(nèi)部生產(chǎn)區(qū)域之間的訪(fǎng)問(wèn)，只允許應(yīng)用相關(guān)的特定訪(fǎng)問(wèn)，禁止其他一切數(shù)據(jù)通訊；采用與外部防火墻異構(gòu)的防火墻產(chǎn)品，即使攻擊者成功獲得外墻的控制權(quán)，也不能輕易攻入業(yè)務(wù)網(wǎng)絡(luò)。5、在內(nèi)層防火墻與內(nèi)網(wǎng)核心交換機(jī)之間串聯(lián)一組UTM設(shè)備，啟用IPS功能和防病毒功能，抵御來(lái)自互聯(lián)網(wǎng)及網(wǎng)銀區(qū)域的病毒、蠕蟲(chóng)、惡意

31、代碼及其他攻擊，雙機(jī)熱備。部署方式如下圖所示： 圖5.1 網(wǎng)上銀行安全解決方案部署圖省聯(lián)社生產(chǎn)網(wǎng)安全建議1、將信息中心按不同業(yè)務(wù)劃分多個(gè)網(wǎng)絡(luò)區(qū)域。2、總行管理中心網(wǎng)絡(luò)與核心交換機(jī)之間不署一套防火墻系統(tǒng)，提供安全控制。對(duì)管理區(qū)域的訪(fǎng)問(wèn)進(jìn)行行為控制。3、總行生產(chǎn)業(yè)務(wù)網(wǎng)絡(luò)與企業(yè)客戶(hù)、協(xié)作單位網(wǎng)絡(luò)的互聯(lián)出口采用一套雙機(jī)防火墻系統(tǒng)提供安全控制，對(duì)來(lái)自外單位網(wǎng)絡(luò)的訪(fǎng)問(wèn)行為進(jìn)行控制。4、在總行生產(chǎn)業(yè)務(wù)網(wǎng)絡(luò)與辦公業(yè)務(wù)網(wǎng)絡(luò)核心交換機(jī)之間設(shè)置一套雙機(jī)防火墻系統(tǒng)，對(duì)從辦公網(wǎng)絡(luò)特定用戶(hù)到生產(chǎn)網(wǎng)絡(luò)特定區(qū)域上特定主機(jī)的訪(fǎng)問(wèn)行為進(jìn)行控制，同時(shí)除必須開(kāi)放的連接外，禁止任何從生產(chǎn)網(wǎng)主動(dòng)向辦公網(wǎng)發(fā)起的訪(fǎng)問(wèn)請(qǐng)求。5、采用千兆IDS

32、設(shè)備，分別連接到總行生產(chǎn)網(wǎng)兩臺(tái)核心交換機(jī)上，監(jiān)視和防范內(nèi)網(wǎng)上的違規(guī)訪(fǎng)問(wèn)行為，主要監(jiān)聽(tīng)進(jìn)出生產(chǎn)區(qū)域及來(lái)自辦公網(wǎng)、下級(jí)單位和協(xié)作單位的流量。6、各地市生產(chǎn)網(wǎng)到總行生產(chǎn)網(wǎng)之間采用一套雙機(jī)防火墻系統(tǒng)提供安全控制。對(duì)來(lái)自各分支機(jī)構(gòu)網(wǎng)絡(luò)的訪(fǎng)問(wèn)行為進(jìn)行控制。7、區(qū)縣生產(chǎn)網(wǎng)、分理處等營(yíng)業(yè)網(wǎng)點(diǎn)分別通過(guò)上級(jí)聯(lián)社生產(chǎn)網(wǎng)的轉(zhuǎn)發(fā)實(shí)現(xiàn)對(duì)總部數(shù)據(jù)中心系統(tǒng)的訪(fǎng)問(wèn)。8、網(wǎng)上銀行網(wǎng)絡(luò)與生產(chǎn)網(wǎng)絡(luò)之間的訪(fǎng)問(wèn)通過(guò)兩臺(tái)互備的UTM設(shè)備進(jìn)行監(jiān)控。網(wǎng)絡(luò)結(jié)構(gòu)及安全設(shè)備部署方式如下圖： 圖5.2 省聯(lián)社生產(chǎn)網(wǎng)安全解決方案部署圖地市聯(lián)社生產(chǎn)網(wǎng)安全建議1、地市聯(lián)社生產(chǎn)業(yè)務(wù)網(wǎng)絡(luò)與企業(yè)客戶(hù)、協(xié)作單位網(wǎng)絡(luò)的互聯(lián)出口采用一套雙機(jī)防火墻系統(tǒng)提供安全控制，對(duì)來(lái)

33、自外單位網(wǎng)絡(luò)的訪(fǎng)問(wèn)行為進(jìn)行控制。2、在地市生產(chǎn)業(yè)務(wù)網(wǎng)絡(luò)與辦公業(yè)務(wù)網(wǎng)絡(luò)核心交換機(jī)之間設(shè)置一套雙機(jī)防火墻系統(tǒng)，對(duì)從辦公網(wǎng)絡(luò)特定用戶(hù)到生產(chǎn)網(wǎng)絡(luò)特定區(qū)域上特定主機(jī)的訪(fǎng)問(wèn)行為進(jìn)行控制，同時(shí)除必須開(kāi)放的連接外，禁止任何從生產(chǎn)網(wǎng)主動(dòng)向辦公網(wǎng)發(fā)起的訪(fǎng)問(wèn)請(qǐng)求。3、采用IDS設(shè)備，分別連接到地市生產(chǎn)網(wǎng)兩臺(tái)核心交換機(jī)上，監(jiān)視和防范內(nèi)網(wǎng)上的違規(guī)訪(fǎng)問(wèn)行為，主要監(jiān)聽(tīng)進(jìn)出生產(chǎn)區(qū)域及來(lái)自辦公網(wǎng)、下級(jí)單位和協(xié)作單位的流量。4、各地市生產(chǎn)網(wǎng)到總行生產(chǎn)網(wǎng)以及區(qū)縣生產(chǎn)網(wǎng)、分理處等營(yíng)業(yè)網(wǎng)點(diǎn)之間采用一套雙機(jī)防火墻系統(tǒng)提供安全控制。對(duì)來(lái)自總行和各分支機(jī)構(gòu)網(wǎng)絡(luò)的訪(fǎng)問(wèn)行為進(jìn)行控制。網(wǎng)絡(luò)結(jié)構(gòu)及安全設(shè)備部署方式如下圖：圖5.3 地市聯(lián)社生產(chǎn)網(wǎng)安全

34、解決方案部署圖區(qū)縣聯(lián)社生產(chǎn)網(wǎng)安全建議1、區(qū)縣聯(lián)社生產(chǎn)業(yè)務(wù)網(wǎng)絡(luò)與辦公業(yè)務(wù)網(wǎng)絡(luò)核心交換機(jī)之間設(shè)置一套防火墻系統(tǒng)，對(duì)從辦公網(wǎng)絡(luò)特定用戶(hù)到生產(chǎn)網(wǎng)絡(luò)特定區(qū)域上特定主機(jī)的訪(fǎng)問(wèn)行為進(jìn)行控制，同時(shí)除必須開(kāi)放的連接外，禁止任何從生產(chǎn)網(wǎng)主動(dòng)向辦公網(wǎng)發(fā)起的訪(fǎng)問(wèn)請(qǐng)求。2、各區(qū)縣聯(lián)社生產(chǎn)網(wǎng)到上級(jí)分行生產(chǎn)網(wǎng)以及分理處等營(yíng)業(yè)網(wǎng)點(diǎn)之間采用一套雙機(jī)防火墻系統(tǒng)提供安全控制。對(duì)來(lái)自上級(jí)分行和各分支機(jī)構(gòu)網(wǎng)絡(luò)的訪(fǎng)問(wèn)行為進(jìn)行控制。網(wǎng)絡(luò)結(jié)構(gòu)及安全設(shè)備部署方式如下圖：圖5.4 區(qū)縣聯(lián)社生產(chǎn)網(wǎng)安全解決方案部署圖全行網(wǎng)絡(luò)防病毒系統(tǒng)建議具體的部署建議如下：1、在信用社各級(jí)單位所有Windows服務(wù)器上部署服務(wù)器防毒系統(tǒng)，確保服務(wù)器系統(tǒng)不會(huì)成為病毒

35、駐留的平臺(tái)，提高整個(gè)服務(wù)器系統(tǒng)的高可靠性；2、在信用社各級(jí)單位所有Windows客戶(hù)端上部署客戶(hù)端防毒系統(tǒng)，一方面增強(qiáng)客戶(hù)端的防毒能力，另一方面保證客戶(hù)端不為因?yàn)椴《締?wèn)題而帶給管理員極大的工作量；3、防病毒系統(tǒng)采用集中和分布相結(jié)合的管理模式，總行辦公網(wǎng)服務(wù)器區(qū)域中設(shè)置一臺(tái)防病毒管理中心服務(wù)器，提供集中的策略制定和下發(fā)，管理總行辦公網(wǎng)的所有防病毒客戶(hù)端；生產(chǎn)網(wǎng)運(yùn)行管理區(qū)域中設(shè)置一臺(tái)防病毒管理分中心服務(wù)器，管理生產(chǎn)網(wǎng)的所有防病毒客戶(hù)端（包括總部、支行、網(wǎng)點(diǎn)），以及與上級(jí)管理中心進(jìn)行通信；各管轄支行辦公網(wǎng)中分別設(shè)置一臺(tái)防病毒管理分中心服務(wù)器，管理本網(wǎng)的所有防病毒客戶(hù)端，以及與上級(jí)管理中心進(jìn)行通信；這

36、樣做的好處是防止了因軟件或策略下發(fā)時(shí)帶來(lái)的帶寬消耗和減小安全隱患；4、辦公網(wǎng)防病毒管理中心服務(wù)器定期從互聯(lián)網(wǎng)進(jìn)行升級(jí)，生產(chǎn)網(wǎng)防病毒管理分中心服務(wù)器、各支行防病毒管理分中心服務(wù)器均從管理中心服務(wù)器獲得升級(jí)碼；各防毒服務(wù)器負(fù)責(zé)向所管轄范圍內(nèi)所有防病毒客戶(hù)端分發(fā)升級(jí)碼。5、在信用社各互聯(lián)網(wǎng)出口處，生產(chǎn)網(wǎng)絡(luò)與網(wǎng)銀網(wǎng)絡(luò)之間分別部署病毒過(guò)濾網(wǎng)關(guān)（通過(guò)UTM設(shè)備實(shí)現(xiàn)），消除來(lái)自互聯(lián)網(wǎng)的病毒威脅。網(wǎng)絡(luò)安全管理平臺(tái)建議部署網(wǎng)絡(luò)安全管理平臺(tái)的必要性傳統(tǒng)安全技術(shù)和產(chǎn)品集成的有如下缺點(diǎn)：需要大量人為參與的判斷。比如一個(gè)報(bào)警事件是否準(zhǔn)確需要人為的判斷。存在信息淹沒(méi)的可能性大量安全產(chǎn)品的報(bào)警信息導(dǎo)致管理員無(wú)法一一察看和分

37、析，從而導(dǎo)致信息淹沒(méi)。同時(shí)大量的垃圾報(bào)警信息，也加重了管理員的工作負(fù)擔(dān)，導(dǎo)致管理員容易疏忽很多真正有用的信息，這也導(dǎo)致信息淹沒(méi)。需要專(zhuān)業(yè)安全人員的分析大多數(shù)安全產(chǎn)品對(duì)報(bào)警事件的語(yǔ)言描述都是專(zhuān)業(yè)安全技術(shù)性的描述，對(duì)管理員的專(zhuān)業(yè)技能要求很高。 需要安全維護(hù)人員高度的責(zé)任心的協(xié)助管理員需要積極主動(dòng)的去查看各類(lèi)安全產(chǎn)品的報(bào)警信息，才能及時(shí)地發(fā)現(xiàn)安全事件，并著手去解決。止步于安全事件的報(bào)警，而沒(méi)有完善的事件處理監(jiān)督考核措施傳統(tǒng)的安全產(chǎn)品集成在向管理員報(bào)告安全事件后，安全系統(tǒng)的功用便宣告結(jié)束，后續(xù)的所有的工作完全依靠管理員去完成，管理員是否去解決這些安全問(wèn)題，無(wú)從考據(jù)和監(jiān)控。應(yīng)該說(shuō)，傳統(tǒng)的安全產(chǎn)品和技術(shù)的

38、集成只能夠部分的實(shí)現(xiàn)安全的“可見(jiàn)性”和“可控性”。出于上述原因，我們認(rèn)為在未來(lái)的信息安全建設(shè)中，綜合安全監(jiān)控和管理平臺(tái)將倍受尊崇，真正讓安全建設(shè)做到完善的“可見(jiàn)、可控、可管理”。而對(duì)于信用社來(lái)說(shuō)，我們必須在網(wǎng)絡(luò)內(nèi)部署大量的安全產(chǎn)品。因此，我們急需一個(gè)真正的綜合性安全管理平臺(tái)來(lái)使得整個(gè)網(wǎng)絡(luò)的安全建設(shè)實(shí)現(xiàn)可見(jiàn)、可控和可管理。集成安全監(jiān)控管理技術(shù)的優(yōu)點(diǎn)：延伸了傳統(tǒng)安全產(chǎn)品集成的功能，充分讓每一條有效的安全報(bào)警信息得到完善的分析和處理；融合網(wǎng)絡(luò)管理、安全管理、運(yùn)維管理思想于一體，充分發(fā)揮各類(lèi)安全技術(shù)的功效；實(shí)現(xiàn)安全事件的閉環(huán)管理，最強(qiáng)有力的實(shí)現(xiàn)安全管理的技術(shù)輔助手段。網(wǎng)絡(luò)安全管理平臺(tái)部署建議對(duì)于信用社

39、網(wǎng)絡(luò)來(lái)說(shuō)，我們應(yīng)該本著重點(diǎn)防護(hù)，分步實(shí)施的策略來(lái)進(jìn)行我們的安全建設(shè)。因此我們應(yīng)該首先將省聯(lián)社網(wǎng)絡(luò)建設(shè)成為一個(gè)高度安全，高度可管理的安全網(wǎng)絡(luò)。我們建議在第一階段只在省中心部署一套網(wǎng)絡(luò)安全管理平臺(tái)。當(dāng)這套安全管理平臺(tái)成功運(yùn)行并積累一定經(jīng)驗(yàn)后，可以很靈活的擴(kuò)展到各個(gè)地市以及更低一級(jí)的網(wǎng)絡(luò)中去。我們所部署的網(wǎng)絡(luò)安全管理平臺(tái)應(yīng)該具備以下一些功能：管理對(duì)象被監(jiān)控管理的目標(biāo)包括：網(wǎng)絡(luò)系統(tǒng)、服務(wù)器主機(jī)、數(shù)據(jù)庫(kù)、安全產(chǎn)品、業(yè)務(wù)應(yīng)用。按照不同的KBP關(guān)鍵業(yè)務(wù)點(diǎn)來(lái)劃分進(jìn)行資產(chǎn)管理。運(yùn)維管理網(wǎng)絡(luò)安全的最重要目標(biāo)就是保障系統(tǒng)的安全、可靠的運(yùn)行，也就是保障業(yè)務(wù)的連續(xù)運(yùn)行，這也是我們所熟知的安全三性中的可用性。對(duì)系統(tǒng)進(jìn)行基

40、于業(yè)務(wù)的監(jiān)控管理，包括：資產(chǎn)管理、流程管理、知識(shí)管理等。網(wǎng)絡(luò)管理網(wǎng)絡(luò)系統(tǒng)作為業(yè)務(wù)應(yīng)用的載體，對(duì)其的監(jiān)控管理也非常重要，我們采用網(wǎng)管技術(shù)對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行監(jiān)控管理。內(nèi)容包括：拓?fù)湔故尽⒃O(shè)備發(fā)現(xiàn)、管理工具安全管理網(wǎng)絡(luò)安全運(yùn)行管理中心的核心內(nèi)容，從安全策略管理、事件管理、脆弱性管理、風(fēng)險(xiǎn)管理、配置管理等方面，實(shí)現(xiàn)安全管理。輸出通過(guò)報(bào)表、報(bào)警、工單的方式，得出相應(yīng)的輸出。包括：KBDP視圖、資產(chǎn)報(bào)表、風(fēng)險(xiǎn)報(bào)告、安全狀態(tài)、趨勢(shì)分析、脆弱性報(bào)告、知識(shí)庫(kù)、專(zhuān)家建議等。建立專(zhuān)業(yè)的安全服務(wù)體系建議在前面的管理層安全建議中我們已經(jīng)提出，應(yīng)該“借助專(zhuān)業(yè)的第三方服務(wù)，在安全管理平臺(tái)的基礎(chǔ)上建立信用社安全運(yùn)營(yíng)中心，對(duì)信用社

41、安全保障體系的建設(shè)起到推動(dòng)作用，確保信用社信息網(wǎng)絡(luò)信息系統(tǒng)內(nèi)部不發(fā)生安全事件、少發(fā)生安全事件或者發(fā)生安全事件時(shí)能夠及時(shí)處理減少由于安全事件帶來(lái)的損失”。專(zhuān)業(yè)的安全服務(wù)是建立一個(gè)能夠持續(xù)運(yùn)行，動(dòng)態(tài)更新的網(wǎng)絡(luò)安全體系的技術(shù)保障。和關(guān)鍵環(huán)節(jié)。圖5.5 動(dòng)態(tài)信息安全體系建設(shè)過(guò)程動(dòng)態(tài)信息安全體系建設(shè)是一個(gè)周期性的循環(huán)過(guò)程，每個(gè)建設(shè)周期都是以安全策略為核心，以風(fēng)險(xiǎn)評(píng)估為開(kāi)端，通過(guò)需求確認(rèn)、網(wǎng)絡(luò)安全功能建設(shè)、完善信息安全管理/策略、風(fēng)險(xiǎn)復(fù)審、風(fēng)險(xiǎn)積累的過(guò)程，建立信息安全體系。對(duì)于現(xiàn)階段的信用社網(wǎng)絡(luò)來(lái)說(shuō)，我們建議通過(guò)以下的步驟來(lái)實(shí)現(xiàn)這個(gè)動(dòng)態(tài)的信息安全體系建設(shè)過(guò)程。現(xiàn)狀調(diào)查和風(fēng)險(xiǎn)評(píng)估現(xiàn)狀調(diào)查和風(fēng)險(xiǎn)評(píng)估是建立安全

42、農(nóng)行計(jì)算機(jī)安全體系的基礎(chǔ)和關(guān)鍵，在整個(gè)信用社網(wǎng)絡(luò)安全建設(shè)項(xiàng)目過(guò)程中，現(xiàn)狀調(diào)查和風(fēng)險(xiǎn)評(píng)估的工作量占了很大比例，現(xiàn)狀調(diào)查和風(fēng)險(xiǎn)評(píng)估的深度直接影響安全體系能否與信用社實(shí)際情況相一致且具有可操作性?，F(xiàn)狀調(diào)查和風(fēng)險(xiǎn)評(píng)估的主要目標(biāo)包括對(duì)信用社計(jì)算機(jī)系統(tǒng)進(jìn)行全面的現(xiàn)狀調(diào)查、建立保護(hù)對(duì)象框架和根據(jù)保護(hù)對(duì)象框架進(jìn)行風(fēng)險(xiǎn)評(píng)估。全面的現(xiàn)狀調(diào)查全面現(xiàn)狀調(diào)查是本項(xiàng)目十分關(guān)鍵的步驟，現(xiàn)狀調(diào)查的廣度和深度將對(duì)保護(hù)對(duì)象框架的建立和風(fēng)險(xiǎn)評(píng)估帶來(lái)非常十分重要的作用。在全面現(xiàn)狀調(diào)查中，信用社的計(jì)算機(jī)系統(tǒng)的場(chǎng)所、環(huán)境、網(wǎng)絡(luò)、網(wǎng)絡(luò)設(shè)備、主機(jī)、操作系統(tǒng)、數(shù)據(jù)庫(kù)、中間件、應(yīng)用軟件、業(yè)務(wù)流程、管理制度和組織機(jī)構(gòu)將得到全面的調(diào)研。風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)

43、評(píng)估的目的是了解信用社計(jì)算機(jī)系統(tǒng)的安全現(xiàn)狀，以便在安全體系的實(shí)施過(guò)程進(jìn)行需求分析和解決方案設(shè)計(jì)。風(fēng)險(xiǎn)評(píng)估過(guò)程包括對(duì)信用社計(jì)算機(jī)系統(tǒng)的資產(chǎn)安全價(jià)值、弱點(diǎn)嚴(yán)重性、威脅可能性和現(xiàn)有安全措施等進(jìn)行估值，并通過(guò)這些因素計(jì)算風(fēng)險(xiǎn)值。風(fēng)險(xiǎn)評(píng)估的具體目標(biāo)包括：準(zhǔn)確地獲得信用社計(jì)算機(jī)系統(tǒng)安全現(xiàn)狀；獲得信用社計(jì)算機(jī)系統(tǒng)風(fēng)險(xiǎn)現(xiàn)狀，為安全對(duì)策框架設(shè)計(jì)提供依據(jù)。安全策略制定及方案設(shè)計(jì)為迎接信用社業(yè)務(wù)的飛速發(fā)展而帶來(lái)信息安全方面的挑戰(zhàn)，規(guī)范信用社信息系統(tǒng)的安全維護(hù)管理，促進(jìn)安全維護(hù)和管理工作體系化、規(guī)范化，提高信息和網(wǎng)絡(luò)服務(wù)質(zhì)量，提高網(wǎng)絡(luò)維護(hù)隊(duì)伍的整體安全素質(zhì)和水平，需要制定安全方針和系列安全制度和規(guī)范。安全方針的目標(biāo)是

44、為信息安全管理提供清晰的策略方向，闡明信息安全建設(shè)和管理的重要原則，闡明信息安全的所需支持和承諾。安全策略是指導(dǎo)信用社信息系統(tǒng)維護(hù)管理工作的基本依據(jù)，安全管理和維護(hù)管理人員必須認(rèn)真執(zhí)行本規(guī)程，并根據(jù)工作實(shí)際情況，制定并遵守相應(yīng)的安全標(biāo)準(zhǔn)、流程和安全制度實(shí)施細(xì)則，做好安全維護(hù)管理工作。安全策略的適用范圍是信用社信息系統(tǒng)擁有的、控制和管理的所有信息系統(tǒng)、數(shù)據(jù)和網(wǎng)絡(luò)環(huán)境，適用于屬于信用社信息系統(tǒng)范圍內(nèi)的所有部門(mén)。對(duì)人員的適用范圍包括所有與信用社信息系統(tǒng)的各方面相關(guān)聯(lián)的人員，它適用于全部應(yīng)用信用社的員工，全部信用社范圍內(nèi)容的維護(hù)人員，集成商，軟件開(kāi)發(fā)商，產(chǎn)品提供商，顧問(wèn)，臨時(shí)工，商務(wù)伙伴和使用農(nóng)行信息

45、系統(tǒng)的其他第三方。安全策略體系建立的價(jià)值在于：推進(jìn)信息安全管理體系的建立安全策略和制度體系的建設(shè)安全組織體系的建設(shè)安全運(yùn)作體系的建設(shè)規(guī)范信息安全規(guī)劃、采購(gòu)、建設(shè)、維護(hù)和管理工作，推進(jìn)信息安全的規(guī)范化和制度化建設(shè)在前面的章節(jié)中，我們已經(jīng)對(duì)信用社的網(wǎng)絡(luò)進(jìn)行了安全策略制定以及方案設(shè)計(jì)的詳細(xì)描述，因此在這里就不做過(guò)多地闡述。安全應(yīng)急響應(yīng)方案安全事件響應(yīng)的概念和基本流程應(yīng)急響應(yīng)也叫緊急響應(yīng)，是安全事件發(fā)生后迅速采取的措施和行動(dòng)，它是安全事件響應(yīng)的一種快速實(shí)現(xiàn)方式 。應(yīng)急響應(yīng)是解決網(wǎng)絡(luò)系統(tǒng)安全問(wèn)題的有效安全服務(wù)手段之一。其目的就是最快速度恢復(fù)系統(tǒng)的保密性、完整性和可用性，阻止和減小安全事件帶來(lái)的影響。識(shí)別

46、出現(xiàn)安全事件的場(chǎng)景包括：非授權(quán)訪(fǎng)問(wèn)，通過(guò)入侵的方式進(jìn)入到未被授權(quán)訪(fǎng)問(wèn)的網(wǎng)絡(luò)中，而導(dǎo)致數(shù)據(jù)信息泄漏；信息泄密，數(shù)據(jù)在傳輸中因數(shù)據(jù)被截取、篡改、分析等而造成信息的泄漏；拒絕服務(wù)，正常用戶(hù)不能正常訪(fǎng)問(wèn)服務(wù)器提供的相關(guān)服務(wù)；系統(tǒng)性能?chē)?yán)重下降，有不明的進(jìn)程運(yùn)行并占用大量的CPU處理時(shí)間；在系統(tǒng)日志中發(fā)現(xiàn)非法登錄者；發(fā)現(xiàn)系統(tǒng)感染計(jì)算機(jī)病毒；發(fā)現(xiàn)有人在不斷強(qiáng)行嘗試登錄系統(tǒng)；系統(tǒng)中出現(xiàn)不明的新用戶(hù)賬號(hào)；管理員收到來(lái)自其它站點(diǎn)系統(tǒng)管理員的警告信，指出系統(tǒng)可能被威脅；文件的訪(fǎng)問(wèn)權(quán)限被修改；因安全漏洞導(dǎo)致的系統(tǒng)問(wèn)題；其它的入侵行為。信用社要制訂應(yīng)急響應(yīng)演練計(jì)劃，明確應(yīng)急響應(yīng)組織、響應(yīng)人員、人員職責(zé)、響應(yīng)方式、工作內(nèi)

47、容，定期對(duì)相關(guān)人員進(jìn)行應(yīng)急響應(yīng)培訓(xùn)，定期組織應(yīng)急響應(yīng)演練。各部門(mén)領(lǐng)導(dǎo)及管理員應(yīng)當(dāng)對(duì)緊急響應(yīng)流程的演習(xí)和執(zhí)行情況進(jìn)行有效的監(jiān)督和管理。建立應(yīng)急響應(yīng)組織應(yīng)急響應(yīng)組織是為了有效處理安全事件，協(xié)調(diào)各相關(guān)部門(mén)和人員而成立的機(jī)構(gòu)。應(yīng)急響應(yīng)組織的組織結(jié)構(gòu)如下圖所示：圖5.6 應(yīng)急響應(yīng)組織結(jié)構(gòu)應(yīng)急響應(yīng)組織主要由應(yīng)急響應(yīng)組組長(zhǎng)、執(zhí)行組組長(zhǎng)、常設(shè)應(yīng)急響應(yīng)崗位和應(yīng)急崗位等組成。應(yīng)急響應(yīng)組組長(zhǎng)：可由山西網(wǎng)通的高管層擔(dān)任。執(zhí)行組長(zhǎng)：可由主管安全的部門(mén)負(fù)責(zé)人來(lái)?yè)?dān)任。應(yīng)急崗位（即安全顧問(wèn)）：發(fā)生緊急事件，需要臨時(shí)抽調(diào)的安全專(zhuān)家，精通業(yè)務(wù)流程并熟知系統(tǒng)及網(wǎng)絡(luò)結(jié)構(gòu)的資深安全專(zhuān)家擔(dān)任，也可以是外聘的專(zhuān)業(yè)安全服務(wù)公司。常設(shè)崗位（安

48、全管理員/文檔管理員/聯(lián)絡(luò)員）：由專(zhuān)門(mén)的應(yīng)急響應(yīng)技術(shù)人員擔(dān)任，負(fù)責(zé)發(fā)現(xiàn)、預(yù)警、記錄、報(bào)告、響應(yīng)安全事件。職責(zé)劃分應(yīng)急響應(yīng)組組長(zhǎng)接受執(zhí)行組長(zhǎng)的報(bào)告，作決策工作分配，協(xié)調(diào)整個(gè)事件的處理過(guò)程執(zhí)行組長(zhǎng)接收?qǐng)?bào)告，判斷是安全問(wèn)題抑或安全事件選擇人員建立緊急事件響應(yīng)小組制定應(yīng)急響應(yīng)計(jì)劃應(yīng)急響應(yīng)驗(yàn)收、監(jiān)督常設(shè)崗位系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)、業(yè)務(wù)方面的安全專(zhuān)家在應(yīng)急響應(yīng)過(guò)程中，作為應(yīng)急響應(yīng)小組成員，實(shí)施應(yīng)急響應(yīng)計(jì)劃。安全管理員接收?qǐng)?bào)告、采取初步行動(dòng)，根據(jù)得到的報(bào)告判斷是一個(gè)安全問(wèn)題還是一個(gè)安全事件，評(píng)估事件緊急程度，確定響應(yīng)策略，并將它提交高層；參與決策過(guò)程，根據(jù)自己對(duì)IT應(yīng)用要求的保護(hù)程度評(píng)估選擇措施；報(bào)告安全問(wèn)題和安

49、全事件；按照應(yīng)急響應(yīng)策略實(shí)施應(yīng)急措施。文檔管理人員收集匯總應(yīng)急響應(yīng)相關(guān)報(bào)告、文檔應(yīng)急響應(yīng)事件知識(shí)庫(kù)維護(hù)知識(shí)庫(kù)管理員負(fù)責(zé)維護(hù)應(yīng)急響應(yīng)體系知識(shí)庫(kù)聯(lián)絡(luò)員負(fù)責(zé)與各部門(mén)之間的聯(lián)系負(fù)責(zé)與相關(guān)機(jī)構(gòu)（中國(guó)病毒應(yīng)急響應(yīng)中心、CVE、CNCERT、病毒廠(chǎng)商、國(guó)內(nèi)專(zhuān)業(yè)安全廠(chǎng)商）的聯(lián)系接收?qǐng)?bào)警事件培訓(xùn)人員負(fù)責(zé)日常的安全意識(shí)、技能的培訓(xùn)第6章 安全規(guī)劃總結(jié)通過(guò)以上的信用社網(wǎng)絡(luò)安全規(guī)劃建議，我們能夠在信用社的生產(chǎn)網(wǎng)初步建立一個(gè)信息安全保障體系。本次的安全體系建設(shè)包括的范圍為：省聯(lián)社生產(chǎn)網(wǎng)，包括省聯(lián)社網(wǎng)上銀行網(wǎng)絡(luò)和生產(chǎn)業(yè)務(wù)網(wǎng)絡(luò)。地市聯(lián)社生產(chǎn)網(wǎng)整個(gè)信息安全體系從三個(gè)層次進(jìn)行了建設(shè)：首先通過(guò)安全域的劃分明確了信息安全保障的重點(diǎn)和層次；其次通過(guò)必要的網(wǎng)絡(luò)結(jié)構(gòu)調(diào)整和產(chǎn)品部署，建立了生產(chǎn)網(wǎng)的網(wǎng)絡(luò)邊界訪(fǎng)問(wèn)控制體系，網(wǎng)絡(luò)抗攻擊和入侵深層防護(hù)體系，漏洞防護(hù)體系和網(wǎng)絡(luò)防病毒體系等基礎(chǔ)防護(hù)體系。在此基礎(chǔ)上通過(guò)安全管理平臺(tái)的建設(shè)建立獨(dú)立的安全管理中心。將所部屬的安全設(shè)備結(jié)合起來(lái)進(jìn)行有效的管理并實(shí)現(xiàn)互動(dòng)，發(fā)揮所有設(shè)備的最大功效并使得用戶(hù)能夠隨時(shí)掌握網(wǎng)絡(luò)安全狀況。通過(guò)建立完善的，符合用戶(hù)實(shí)際情況的安全管理制度，保障整個(gè)安全管理中心的順利運(yùn)行。最后通過(guò)專(zhuān)業(yè)的安全服務(wù)體系，以強(qiáng)大的專(zhuān)家技術(shù)保障為后盾，實(shí)現(xiàn)對(duì)整個(gè)網(wǎng)絡(luò)的動(dòng)態(tài)監(jiān)控和應(yīng)急響應(yīng)。通過(guò)這一整套信息安全體系建設(shè)，我們