1.前言

1.1.方案編寫(xiě)的背景

隨著銀行信息化的發(fā)展，銀行對(duì)信息系統(tǒng)的依賴程度也越來(lái)越高，從銀行的生產(chǎn)系統(tǒng)到內(nèi)部的OA系統(tǒng)，從個(gè)人存貸款到中間業(yè)務(wù)，從柜面業(yè)務(wù)到電子銀行，無(wú)一離不開(kāi)網(wǎng)絡(luò)和信息系統(tǒng)的支撐。為了保障業(yè)務(wù)數(shù)據(jù)的完整性、可用性，保障用戶帳戶信息的保密性，保障銀行業(yè)務(wù)的正常運(yùn)行，對(duì)網(wǎng)絡(luò)和信息系統(tǒng)的安全建設(shè)提出了新的要求。尤其是銀行業(yè)務(wù)數(shù)據(jù)的大集中同時(shí)也造成了安全風(fēng)險(xiǎn)的集中，相應(yīng)地對(duì)銀行網(wǎng)絡(luò)與信息安全保障工作也提出了更高的要求。因此，信息安全建設(shè)是金融電子化的關(guān)鍵環(huán)節(jié)，處理得不好，將嚴(yán)重制約銀行系統(tǒng)信息化建設(shè)的步伐。只有建立了完善的信息安全保障體系，才能有效防范和化解安全風(fēng)險(xiǎn)，確保銀行信息系統(tǒng)平穩(wěn)運(yùn)行和業(yè)務(wù)持續(xù)開(kāi)展。

1.2.安全建設(shè)的目標(biāo)

從戰(zhàn)略的角度，商業(yè)銀行通過(guò)信息安全體系建設(shè)，必須實(shí)現(xiàn)以下的基本目標(biāo)：

通過(guò)建立完善的信息安全管理制度和部署合理的技術(shù)解決方案，構(gòu)建一套管理手段與技術(shù)手段相結(jié)合的全方位、多層次、動(dòng)態(tài)發(fā)展的信息安全防護(hù)體系，來(lái)實(shí)現(xiàn)銀行信息系統(tǒng)的完整性、可用性、保密性、可控性和不可否認(rèn)性，為商業(yè)銀行業(yè)務(wù)的發(fā)展提供一個(gè)堅(jiān)實(shí)的信息系統(tǒng)基礎(chǔ)。該體系應(yīng)符合國(guó)家和行業(yè)監(jiān)管部門(mén)的相關(guān)要求。

2.銀行系統(tǒng)總體安全需求

根據(jù)天暢在類似行業(yè)中的成功建設(shè)經(jīng)驗(yàn)，和XX商業(yè)銀行信息網(wǎng)絡(luò)的現(xiàn)狀與規(guī)劃，我們認(rèn)為XX商業(yè)銀行的安全建設(shè)需求主要體現(xiàn)在以下幾個(gè)方面：

需要根據(jù)銀行的業(yè)務(wù)特點(diǎn)，參照國(guó)內(nèi)外銀行網(wǎng)絡(luò)結(jié)構(gòu)分層、區(qū)域劃分的最佳實(shí)踐，對(duì)目前的網(wǎng)絡(luò)進(jìn)行結(jié)構(gòu)優(yōu)化，對(duì)網(wǎng)絡(luò)進(jìn)行合理分層，并劃分不同的安全域，制訂合適的區(qū)域間訪問(wèn)控制策略。

在進(jìn)行結(jié)構(gòu)分層、區(qū)域劃分時(shí)，要重點(diǎn)保護(hù)生產(chǎn)業(yè)務(wù)系統(tǒng)，優(yōu)先滿足生產(chǎn)系統(tǒng)的安全需要，同時(shí)，要兼顧到將來(lái)部署的OA系統(tǒng)、VOIP及視頻會(huì)議系統(tǒng)，在保證生產(chǎn)業(yè)務(wù)不受影響的基礎(chǔ)上，來(lái)保證這些系統(tǒng)的正常運(yùn)行。

在正常情況下，生產(chǎn)網(wǎng)與辦公網(wǎng)的數(shù)據(jù)流量要跑在不同的廣域網(wǎng)線路上，必要時(shí)，辦公業(yè)務(wù)的線路可作為生產(chǎn)線路的備份。

節(jié)點(diǎn)終端的信息訪問(wèn)，需要采取加密的方式來(lái)傳遞數(shù)據(jù)，以確保信息的傳輸安全；

要保護(hù)的信息系統(tǒng)既包括重要的操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、應(yīng)用系統(tǒng)，也包括網(wǎng)絡(luò)基礎(chǔ)系統(tǒng)，包括：網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)鏈接、線路帶寬等。

網(wǎng)上銀行系統(tǒng)是當(dāng)前規(guī)劃中的重要業(yè)務(wù)，而網(wǎng)銀系統(tǒng)往往也是銀行信息系統(tǒng)中的安全薄弱環(huán)節(jié)，很容易被攻擊者利用成為攻擊銀行信息網(wǎng)絡(luò)的途徑，網(wǎng)銀系統(tǒng)的互聯(lián)網(wǎng)出口與目前的辦公業(yè)務(wù)的互聯(lián)網(wǎng)出口要分開(kāi)設(shè)置，在網(wǎng)銀的互聯(lián)網(wǎng)出口要進(jìn)行L3到L7的深度防御，抵御各種網(wǎng)絡(luò)攻擊和病毒入侵。網(wǎng)銀的WEB服務(wù)器與其它的應(yīng)用服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器要放置在不同的安全域內(nèi)，進(jìn)行縱深的防御部署。

建立CA認(rèn)證中心，建立一套完善的安全的身份識(shí)別體系，為XX商業(yè)銀行各類應(yīng)用系統(tǒng)提供身份識(shí)別認(rèn)證。

在全網(wǎng)范圍內(nèi)，要對(duì)端點(diǎn)接入內(nèi)網(wǎng)進(jìn)行控制，防止非授權(quán)機(jī)器、非法用戶、安全狀態(tài)不符合要求的系統(tǒng)接入內(nèi)網(wǎng)。

在全網(wǎng)范圍內(nèi)對(duì)內(nèi)網(wǎng)中PC的各種行為進(jìn)行監(jiān)控審計(jì)，發(fā)現(xiàn)不符合安全策略的行為進(jìn)行記錄，并及時(shí)報(bào)警，包括：?jiǎn)为?dú)撥號(hào)上網(wǎng)、向外發(fā)送包含商業(yè)機(jī)密的電子郵件、向外拷貝敏感的信息、訪問(wèn)一些不良網(wǎng)站等。

在全網(wǎng)進(jìn)行防病毒系統(tǒng)的部署，采用集中分級(jí)管理的模式。涵蓋范圍包括：總行、一級(jí)支行、網(wǎng)點(diǎn)等。要對(duì)病毒傳播進(jìn)行嚴(yán)格控制，防止病毒從互聯(lián)網(wǎng)或外網(wǎng)傳入內(nèi)網(wǎng)，防止病毒在內(nèi)網(wǎng)進(jìn)行大面積傳播。

要利用VPN技術(shù)，使得員工在外出時(shí)能夠登錄XX商業(yè)銀行的OA系統(tǒng)，滿足員工移動(dòng)辦公的需要。

安全系統(tǒng)中的系統(tǒng)軟件及相關(guān)數(shù)據(jù)庫(kù)，如：操作系統(tǒng)、病毒碼、攻擊特征庫(kù)等，要能夠及時(shí)更新，以不斷增強(qiáng)安全防護(hù)能力。

3.銀行安全建設(shè)方案規(guī)劃

針對(duì)XX商業(yè)銀行的網(wǎng)絡(luò)架構(gòu)，參考同行業(yè)的成功建設(shè)案例，本方案將從基礎(chǔ)防護(hù)措施、統(tǒng)一病毒防護(hù)平臺(tái)、統(tǒng)一認(rèn)證中心和安全集中管理中心四個(gè)角度，來(lái)構(gòu)建整體的安全防護(hù)系統(tǒng)，參考圖3，具體的防護(hù)系統(tǒng)規(guī)劃如下：

圖3 XX商業(yè)銀行安全防護(hù)措施部署示意圖

3.1.針對(duì)總行平臺(tái)

總行是XX商業(yè)銀行信息系統(tǒng)的核心，主要的應(yīng)用系統(tǒng)及管理系統(tǒng)都部署在總行平臺(tái)，同時(shí)在采取“數(shù)據(jù)大集中”模式后，使得總行平臺(tái)的重要性更加突出，因此對(duì)總行平臺(tái)的安全防護(hù)非常關(guān)鍵，總行平臺(tái)的安全建設(shè)也是本方案的重點(diǎn)，根據(jù)對(duì)XX商業(yè)銀行的區(qū)域劃分，銀行需要考慮的基礎(chǔ)性安全防護(hù)措施主要體現(xiàn)在以下五個(gè)方面：

3.1.1.辦公網(wǎng)與生產(chǎn)網(wǎng)的隔離

辦公網(wǎng)與生產(chǎn)網(wǎng)所承載的業(yè)務(wù)差距很大，兩網(wǎng)信息資產(chǎn)的重要性也不盡相同，因此兩網(wǎng)之間應(yīng)采取必要的隔離和控制措施，約束兩網(wǎng)之間的訪問(wèn)，確保生產(chǎn)網(wǎng)的安全和穩(wěn)定性。

辦公網(wǎng)與生產(chǎn)網(wǎng)之間通常采用防火墻技術(shù)實(shí)現(xiàn)邏輯隔離，通過(guò)強(qiáng)制的安全訪問(wèn)策略，限制兩網(wǎng)之間的訪問(wèn)行為，使得那些被認(rèn)為是可靠的訪問(wèn)，才能在兩網(wǎng)之間傳遞。

參考圖3，我們?cè)诤诵膮^(qū)域部署防火墻，從而可實(shí)現(xiàn)辦公網(wǎng)與生產(chǎn)網(wǎng)的隔離。

3.1.2.針對(duì)生產(chǎn)網(wǎng)

參考圖3，針對(duì)總行生產(chǎn)網(wǎng)，采取的基礎(chǔ)防護(hù)措施包括：

防火墻訪問(wèn)控制平臺(tái)的部署：這里部署的防火墻主要用于實(shí)現(xiàn)縱向辦公網(wǎng)的隔離，防火墻接入到核心交換機(jī)上，限制支行及營(yíng)業(yè)網(wǎng)點(diǎn)的業(yè)務(wù)終端只有通過(guò)訪問(wèn)總行的前置機(jī)，才能進(jìn)行正常的業(yè)務(wù)操作；

網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)：在總行的核心交換機(jī)上部署入侵檢測(cè)探測(cè)器（硬件），探測(cè)器采用旁路接入方式，對(duì)總行的訪問(wèn)數(shù)據(jù)包進(jìn)行實(shí)時(shí)監(jiān)測(cè)和記錄，尋找網(wǎng)絡(luò)違規(guī)模式和未授權(quán)的網(wǎng)絡(luò)訪問(wèn)嘗試，并且在數(shù)據(jù)中心部署控制臺(tái)（軟件），對(duì)探測(cè)器進(jìn)行管理和審計(jì)。網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)實(shí)時(shí)偵聽(tīng)進(jìn)出重要網(wǎng)段或主機(jī)的網(wǎng)絡(luò)數(shù)據(jù)流，當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)違規(guī)行為和未授權(quán)的網(wǎng)絡(luò)訪問(wèn)時(shí)，網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)能夠根據(jù)預(yù)置的安全策略做出反應(yīng)，包括實(shí)時(shí)報(bào)警、事件記錄、主動(dòng)響應(yīng)（阻斷、與防火墻聯(lián)動(dòng)等），或執(zhí)行其他用戶自定義的安全響應(yīng)動(dòng)作等。此外，網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)還可以形象地重現(xiàn)用戶網(wǎng)絡(luò)訪問(wèn)操作的全過(guò)程，可幫助安全管理員發(fā)現(xiàn)違規(guī)訪問(wèn)行為并記錄下來(lái)傳遞給安全集中管理中心，進(jìn)行進(jìn)一步的處理，并便于將來(lái)舉證。

安全隱患掃描系統(tǒng)：對(duì)生產(chǎn)網(wǎng)的終端、服務(wù)器及關(guān)鍵網(wǎng)絡(luò)設(shè)備進(jìn)行定期評(píng)估，發(fā)現(xiàn)異常給出解決方案，使銀行網(wǎng)絡(luò)管理人員能夠針對(duì)存在的安全隱患，進(jìn)行加固；

病毒防護(hù)系統(tǒng)：針對(duì)總行生產(chǎn)網(wǎng)的外聯(lián)網(wǎng)關(guān)、服務(wù)器、訪問(wèn)終端全面部署防病毒系統(tǒng)，并實(shí)現(xiàn)統(tǒng)一的管理；病毒系統(tǒng)的建設(shè)見(jiàn)6.2的描述；

內(nèi)網(wǎng)安全管理系統(tǒng)：針對(duì)總行內(nèi)網(wǎng)Windows終端，采用內(nèi)網(wǎng)安全管理平臺(tái)，該平臺(tái)通過(guò)策略配置，主要實(shí)現(xiàn)對(duì)終端接入的管理，防止非授權(quán)機(jī)器、非法用戶、安全狀態(tài)不符合要求的系統(tǒng)接入內(nèi)網(wǎng)。此外，利用內(nèi)網(wǎng)安全管理，還能夠?qū)崿F(xiàn)非法外聯(lián)監(jiān)控、終端補(bǔ)丁統(tǒng)一升級(jí)、非法進(jìn)程監(jiān)控等功能；這里在銀行部署的內(nèi)網(wǎng)安全管理平臺(tái)為二級(jí)結(jié)構(gòu)，總行為一級(jí)平臺(tái)；在一級(jí)支行將部署二級(jí)平臺(tái)，總行一級(jí)平臺(tái)主要負(fù)責(zé)對(duì)總行區(qū)域內(nèi)的終端進(jìn)行管理和監(jiān)控，同時(shí)一級(jí)平臺(tái)將制定好的策略下發(fā)給二級(jí)管理平臺(tái)；二級(jí)管理平臺(tái)在接收到安全策略后執(zhí)行該策略，并將各類事件上傳給總行一級(jí)管理平臺(tái)；

安全集中管理平臺(tái)：通過(guò)對(duì)網(wǎng)絡(luò)中各種設(shè)備和系統(tǒng)（包括網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)、安全設(shè)備等）所產(chǎn)生的安全信息進(jìn)行綜合管理和分析，對(duì)現(xiàn)有安全資源進(jìn)行有效管理和整合，從全局角度對(duì)網(wǎng)絡(luò)安全狀況進(jìn)行分析、評(píng)估與管理，獲得全局網(wǎng)絡(luò)安全視圖，通過(guò)制定安全策略指導(dǎo)或自動(dòng)完成安全設(shè)施的重新部署或響應(yīng)，從而全面提高整體網(wǎng)絡(luò)的安全防護(hù)能力，為網(wǎng)絡(luò)提供高效的安全管理手段。詳細(xì)內(nèi)容見(jiàn)6.4。

3.1.3.針對(duì)辦公網(wǎng)

針對(duì)辦公網(wǎng)，采取的防護(hù)措施主要是邊界隔離、移動(dòng)安全辦公、病毒防護(hù)、桌面安全。方法如下：

互聯(lián)網(wǎng)邊界防火墻：在辦公網(wǎng)的互聯(lián)網(wǎng)訪問(wèn)出口處，部署防火墻，防范互聯(lián)網(wǎng)攻擊者對(duì)總行終端的訪問(wèn)，或者以辦公網(wǎng)訪問(wèn)終端為跳板，發(fā)起對(duì)其他區(qū)域的攻擊；

IPSECVPN：針對(duì)辦公網(wǎng)的縱向通信，為保證其可用性，可考慮采用通過(guò)互聯(lián)網(wǎng)建立的IPSECVPN隧道作為備份方式，為確保通信安全還需要采取必要的加密和認(rèn)證措施，使縱向辦公業(yè)務(wù)的數(shù)據(jù)可以通過(guò)該隧道進(jìn)行安全的傳輸。該方案的優(yōu)點(diǎn)還在于，它很好的分離了辦公業(yè)務(wù)數(shù)據(jù)鏈路和生產(chǎn)業(yè)務(wù)數(shù)據(jù)鏈路，提升生產(chǎn)網(wǎng)的穩(wěn)定性和效率；

網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)：類似生產(chǎn)網(wǎng)，部署入侵檢測(cè)系統(tǒng)，能夠?qū)ο到y(tǒng)的訪問(wèn)數(shù)據(jù)包進(jìn)行深層次檢測(cè)，發(fā)現(xiàn)攻擊或異常給予報(bào)警，并與防火墻進(jìn)行聯(lián)動(dòng)，進(jìn)一步提升系統(tǒng)整體抗攻擊能力，并能夠有效記錄辦公網(wǎng)的活動(dòng)，對(duì)于違反安全策略的操作給出報(bào)警，并且針對(duì)安全事故，還能將訪問(wèn)過(guò)程進(jìn)行還原，使系統(tǒng)管理人員清楚的看到系統(tǒng)存在的安全隱患；

互聯(lián)網(wǎng)訪問(wèn)代理：為了能夠?qū)傂兴修k公用戶的互聯(lián)網(wǎng)訪問(wèn)行為進(jìn)行集中、有效的監(jiān)督和控制，可設(shè)置應(yīng)用代理服務(wù)器來(lái)控制和審計(jì)內(nèi)部用戶的互聯(lián)網(wǎng)訪問(wèn)行為，同時(shí)，也可以通過(guò)高速的WEB緩存提高網(wǎng)頁(yè)訪問(wèn)速率，用戶需要通過(guò)代理服務(wù)器的中轉(zhuǎn)才能訪問(wèn)互聯(lián)網(wǎng)資源。

移動(dòng)辦公用戶SSLVPN：針對(duì)移動(dòng)辦公的應(yīng)用，可采用在辦公網(wǎng)互聯(lián)網(wǎng)出口處部署SSLVPN的方式來(lái)進(jìn)行，移動(dòng)辦公終端上無(wú)需安裝客戶端軟件，通過(guò)IE瀏覽器，在INTERNET上建立的客戶端到網(wǎng)關(guān)的認(rèn)證和加密通信隧道就可完成對(duì)總行辦公網(wǎng)資源的安全訪問(wèn)，防止在訪問(wèn)過(guò)程中，數(shù)據(jù)被竊取或篡改；

安全隱患掃描：通過(guò)網(wǎng)絡(luò)掃描，及時(shí)發(fā)現(xiàn)系統(tǒng)存在的安全隱患，并給予加固；

病毒防護(hù)系統(tǒng)：在辦公網(wǎng)訪問(wèn)終端部署防病毒系統(tǒng)，抵抗病毒的攻擊行為，并通過(guò)部署在總行的病毒升級(jí)平臺(tái)實(shí)現(xiàn)病毒庫(kù)的統(tǒng)一升級(jí)；在互聯(lián)網(wǎng)邊界部署病毒過(guò)濾網(wǎng)關(guān)，采取“空中抓毒”的技術(shù)，防止病毒通過(guò)網(wǎng)絡(luò)傳播到銀行信息網(wǎng)絡(luò)中，造成破壞，并且病毒過(guò)濾模塊能夠有效阻擋蠕蟲(chóng)類病毒造成的大量無(wú)用數(shù)據(jù)包的傳播，防范類似數(shù)據(jù)包占用有限的帶寬資源；病毒系統(tǒng)的建設(shè)見(jiàn)6.2的描述；

垃圾郵件過(guò)濾系統(tǒng)：在總行辦公網(wǎng)Internet出口部署一套郵件過(guò)濾網(wǎng)關(guān)，用于防范互聯(lián)網(wǎng)垃圾郵件對(duì)辦公網(wǎng)的侵襲，工作在DMZ區(qū)郵件服務(wù)器前端（物理上并聯(lián)，邏輯上串聯(lián)），專門(mén)對(duì)郵件服務(wù)器提供防垃圾郵件保護(hù)；同時(shí)，對(duì)于包含病毒和各種惡意代碼的電子郵件，也應(yīng)當(dāng)在到達(dá)郵件服務(wù)器之前就能夠被檢測(cè)到和清除掉，因此郵件過(guò)濾網(wǎng)關(guān)需要具備病毒和惡意代碼過(guò)濾的功能。

內(nèi)網(wǎng)安全管理系統(tǒng)：在辦公網(wǎng)訪問(wèn)終端部署內(nèi)網(wǎng)安全管理套件（Agent），通過(guò)策略配置，主要實(shí)現(xiàn)對(duì)終端接入的管理，防止非授權(quán)機(jī)器、非法用戶、安全狀態(tài)不符合要求的系統(tǒng)接入內(nèi)網(wǎng)。此外，利用內(nèi)網(wǎng)安全管理，還能夠?qū)崿F(xiàn)非法外聯(lián)監(jiān)控、終端補(bǔ)丁統(tǒng)一升級(jí)、非法進(jìn)程監(jiān)控等功能；這里在銀行部署的內(nèi)網(wǎng)安全管理平臺(tái)為二級(jí)結(jié)構(gòu)，總行為一級(jí)平臺(tái)；在一級(jí)支行將部署二級(jí)平臺(tái)，總行一級(jí)平臺(tái)主要負(fù)責(zé)對(duì)總行區(qū)域內(nèi)的終端進(jìn)行管理和監(jiān)控，同時(shí)一級(jí)平臺(tái)將制定好的策略下發(fā)給二級(jí)管理平臺(tái)；二級(jí)管理平臺(tái)在接收到安全策略后執(zhí)行該策略，并將各類事件上傳給總行一級(jí)管理平臺(tái)；

安全集中管理平臺(tái)：通過(guò)對(duì)網(wǎng)絡(luò)中各種設(shè)備和系統(tǒng)（包括網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)、安全設(shè)備等）所產(chǎn)生的安全信息進(jìn)行綜合管理和分析，對(duì)現(xiàn)有安全資源進(jìn)行有效管理和整合，從全局角度對(duì)網(wǎng)絡(luò)安全狀況進(jìn)行分析、評(píng)估與管理，獲得全局網(wǎng)絡(luò)安全視圖，通過(guò)制定安全策略指導(dǎo)或自動(dòng)完成安全設(shè)施的重新部署或響應(yīng)，從而全面提高整體網(wǎng)絡(luò)的安全防護(hù)能力，為網(wǎng)絡(luò)提供高效的安全管理手段。詳細(xì)內(nèi)容見(jiàn)6.4。

3.1.4.針對(duì)網(wǎng)上銀行

網(wǎng)上銀行的安全防護(hù)方案設(shè)計(jì)如下：

圖3.1.1.4 XX商業(yè)銀行網(wǎng)上銀行結(jié)構(gòu)改造建議拓?fù)鋱D

入侵防御系統(tǒng)：在網(wǎng)上銀行（規(guī)劃中）的互聯(lián)網(wǎng)出口處，針對(duì)來(lái)自公網(wǎng)上的各種復(fù)雜的安全威脅，如非法入侵、DoS/DDoS攻擊、蠕蟲(chóng)、惡意代碼等，尤其是利用防火墻開(kāi)放的常規(guī)服務(wù)端口（TCP/80）進(jìn)行攻擊的蠕蟲(chóng)病毒，需要采用專門(mén)的安全機(jī)制來(lái)對(duì)其進(jìn)行有效的檢測(cè)和防御，可部署專業(yè)的入侵防御系統(tǒng)，避免網(wǎng)銀服務(wù)器因遭受外界網(wǎng)絡(luò)的惡意攻擊而導(dǎo)致正常的網(wǎng)絡(luò)通訊和業(yè)務(wù)服務(wù)中斷、計(jì)算機(jī)系統(tǒng)崩潰、數(shù)據(jù)泄密或丟失等等，影響業(yè)務(wù)服務(wù)和信息交互的正常進(jìn)行；

防火墻系統(tǒng)：在網(wǎng)銀Internet出口、網(wǎng)上銀行區(qū)域與總行生產(chǎn)網(wǎng)核心區(qū)域之間部署雙重防火墻設(shè)備，配置適當(dāng)?shù)脑L問(wèn)控制規(guī)則，保護(hù)網(wǎng)銀系統(tǒng)不受來(lái)自互聯(lián)網(wǎng)的非法訪問(wèn)和惡意攻擊，并限制網(wǎng)上銀行服務(wù)器與總行生產(chǎn)服務(wù)器區(qū)域之間的訪問(wèn)，確保只有許可的訪問(wèn)才能被防火墻轉(zhuǎn)發(fā)（通過(guò)IP地址、協(xié)議、端口、流量等信息進(jìn)行控制）；

病毒防護(hù)系統(tǒng)：網(wǎng)上銀行的主頁(yè)服務(wù)器通常采用WINDOWS平臺(tái)，通過(guò)IIS進(jìn)行主頁(yè)的發(fā)布并執(zhí)行網(wǎng)上銀行的各類業(yè)務(wù)，因此建議在主頁(yè)服務(wù)器上部署防病毒系統(tǒng)，提升系統(tǒng)的抗病毒能力。

3.1.5.針對(duì)外聯(lián)業(yè)務(wù)

外聯(lián)業(yè)務(wù)區(qū)域也需要通過(guò)防火墻進(jìn)行隔離和訪問(wèn)控制，由于外聯(lián)業(yè)務(wù)所連接的人行和銀聯(lián)網(wǎng)絡(luò)的不可信任性，采用防火墻將嚴(yán)格控制這些不可信任網(wǎng)絡(luò)對(duì)XX商業(yè)銀行總行平臺(tái)的訪問(wèn)，確?？傂衅脚_(tái)的安全；

此外，在邊界可部署防病毒網(wǎng)關(guān)，避免人行、銀聯(lián)、代理客戶網(wǎng)絡(luò)的病毒蔓延到XX商業(yè)銀行信息網(wǎng)絡(luò)中。

3.2.針對(duì)一級(jí)支行

一級(jí)支行的安全防護(hù)包括邊界防護(hù)、安全隱患掃描、病毒防護(hù)和內(nèi)網(wǎng)安全管理，與總行類似，參考圖3，針對(duì)一級(jí)支行將采取以下的基礎(chǔ)防護(hù)措施：

3.2.1.辦公網(wǎng)與生產(chǎn)網(wǎng)的隔離

類似總行的建設(shè)方案，針對(duì)一級(jí)支行，由于辦公網(wǎng)與生產(chǎn)網(wǎng)所承載的業(yè)務(wù)差距很大，兩網(wǎng)信息資產(chǎn)的重要性也不盡相同，因此兩網(wǎng)之間應(yīng)采取必要的隔離和控制措施，約束兩網(wǎng)之間的訪問(wèn)，確保生產(chǎn)網(wǎng)的安全和穩(wěn)定性。

辦公網(wǎng)與生產(chǎn)網(wǎng)之間通常采用防火墻技術(shù)實(shí)現(xiàn)邏輯隔離，通過(guò)強(qiáng)制的安全訪問(wèn)策略，限制兩網(wǎng)之間的訪問(wèn)行為，使得那些被認(rèn)為是可靠的訪問(wèn)，才能在兩網(wǎng)之間傳遞。

參考圖3，我們?cè)谝患?jí)支行核心區(qū)域部署防火墻，從而可實(shí)現(xiàn)辦公網(wǎng)與生產(chǎn)網(wǎng)的隔離

3.2.2.針對(duì)生產(chǎn)網(wǎng)

生產(chǎn)網(wǎng)的防護(hù)相對(duì)于總行的建設(shè)方案，由于其承載的應(yīng)用相對(duì)簡(jiǎn)單，因此采取的防護(hù)措施也相對(duì)簡(jiǎn)單，主要目的是保護(hù)保護(hù)本地生產(chǎn)應(yīng)用服務(wù)器的安全性，具體防護(hù)措施包括：

防火墻訪問(wèn)控制平臺(tái)的部署：這里部署的防火墻主要用于實(shí)現(xiàn)縱向辦公網(wǎng)的隔離，防火墻接入到核心交換機(jī)上，確保進(jìn)出一級(jí)支行網(wǎng)絡(luò)的信息和數(shù)據(jù)都能得到嚴(yán)格的控制和檢測(cè)，既要阻止來(lái)自外部非法用戶的訪問(wèn)，又要確保來(lái)自二級(jí)支行及營(yíng)業(yè)網(wǎng)點(diǎn)的合法業(yè)務(wù)終端在權(quán)限許可范圍內(nèi)的正常訪問(wèn)；

網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)：發(fā)現(xiàn)生產(chǎn)應(yīng)用服務(wù)器接受的訪問(wèn)數(shù)據(jù)包內(nèi)容的安全問(wèn)題，并給予報(bào)警；

病毒防護(hù)系統(tǒng)：針對(duì)一級(jí)支行生產(chǎn)網(wǎng)的外聯(lián)網(wǎng)關(guān)、服務(wù)器、訪問(wèn)終端全面部署防病毒系統(tǒng)，并實(shí)現(xiàn)統(tǒng)一的管理；病毒系統(tǒng)的建設(shè)見(jiàn)6.4的描述；

安全隱患掃描系統(tǒng)：對(duì)生產(chǎn)網(wǎng)的終端、服務(wù)器及關(guān)鍵網(wǎng)絡(luò)設(shè)備進(jìn)行定期評(píng)估，發(fā)現(xiàn)異常給出解決方案，使銀行網(wǎng)絡(luò)管理人員能夠針對(duì)存在的安全隱患，進(jìn)行加固；

內(nèi)網(wǎng)安全管理系統(tǒng)：針對(duì)一級(jí)支行Windows終端，采用內(nèi)網(wǎng)安全管理平臺(tái)，該平臺(tái)通過(guò)策略配置，主要實(shí)現(xiàn)對(duì)終端接入的管理，防止非授權(quán)機(jī)器、非法用戶、安全狀態(tài)不符合要求的系統(tǒng)接入內(nèi)網(wǎng)。此外，利用內(nèi)網(wǎng)安全管理，還能夠?qū)崿F(xiàn)非法外聯(lián)監(jiān)控、終端補(bǔ)丁統(tǒng)一升級(jí)、非法進(jìn)程監(jiān)控等功能；這里在銀行部署的內(nèi)網(wǎng)安全管理平臺(tái)為二級(jí)結(jié)構(gòu)，總行為一級(jí)平臺(tái)；在各一級(jí)支行部署二級(jí)平臺(tái)，總行一級(jí)平臺(tái)主要負(fù)責(zé)對(duì)總行區(qū)域內(nèi)的終端進(jìn)行管理和監(jiān)控，同時(shí)一級(jí)平臺(tái)將制定好的策略下發(fā)給二級(jí)管理平臺(tái)；二級(jí)管理平臺(tái)在接收到安全策略后執(zhí)行該策略，并將各類事件上傳給總行一級(jí)管理平臺(tái)；

安全集中管理平臺(tái)：通過(guò)對(duì)網(wǎng)絡(luò)中各種設(shè)備和系統(tǒng)（包括網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)、安全設(shè)備等）所產(chǎn)生的安全信息進(jìn)行綜合管理和分析，對(duì)現(xiàn)有安全資源進(jìn)行有效管理和整合，從全局角度對(duì)網(wǎng)絡(luò)安全狀況進(jìn)行分析、評(píng)估與管理，獲得全局網(wǎng)絡(luò)安全視圖，通過(guò)制定安全策略指導(dǎo)或自動(dòng)完成安全設(shè)施的重新部署或響應(yīng)，從而全面提高整體網(wǎng)絡(luò)的安全防護(hù)能力，為網(wǎng)絡(luò)提供高效的安全管理手段。詳細(xì)內(nèi)容見(jiàn)6.4。

3.2.3.針對(duì)辦公網(wǎng)

類似總行辦公網(wǎng)的安全建設(shè)方案，一級(jí)支行辦公網(wǎng)也通過(guò)邊界隔離、入侵檢測(cè)、安全隱患掃描病毒防護(hù)等措施，實(shí)現(xiàn)全面的安全防護(hù)，具體包括：

防火墻系統(tǒng)：在辦公網(wǎng)的互聯(lián)網(wǎng)訪問(wèn)出口處，部署防火墻，防范互聯(lián)網(wǎng)攻擊者對(duì)一級(jí)支行終端的訪問(wèn)，或者以辦公網(wǎng)訪問(wèn)終端為跳板，發(fā)起對(duì)其他區(qū)域的攻擊；

IPSECVPN：針對(duì)辦公網(wǎng)的縱向通信，為保證其可用性，可考慮采用通過(guò)互聯(lián)網(wǎng)建立的IPSECVPN隧道作為備份方式，為確保通信安全還需要采取必要的加密和認(rèn)證措施，使縱向辦公業(yè)務(wù)的數(shù)據(jù)可以通過(guò)該隧道進(jìn)行安全的傳輸。該方案的優(yōu)點(diǎn)還在于，它很好的分離了辦公業(yè)務(wù)數(shù)據(jù)鏈路和生產(chǎn)業(yè)務(wù)數(shù)據(jù)鏈路，提升生產(chǎn)網(wǎng)的穩(wěn)定性和效率；

網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)：通過(guò)在一級(jí)支行核心區(qū)域部署入侵檢測(cè)系統(tǒng)，對(duì)系統(tǒng)內(nèi)傳遞的數(shù)據(jù)包進(jìn)行深度檢測(cè)和判斷，發(fā)現(xiàn)異常給予報(bào)警，并且部署的入侵檢測(cè)系統(tǒng)能夠和防火墻進(jìn)行聯(lián)動(dòng)，從而進(jìn)一步提升系統(tǒng)的整體安全性；

互聯(lián)網(wǎng)訪問(wèn)代理：為了能夠?qū)Ρ局兴修k公用戶的互聯(lián)網(wǎng)訪問(wèn)行為進(jìn)行集中、有效的監(jiān)督和控制，可由一級(jí)支行信息中心提供統(tǒng)一的互聯(lián)網(wǎng)出口，并設(shè)置應(yīng)用代理服務(wù)器來(lái)控制和審計(jì)內(nèi)部用戶的互聯(lián)網(wǎng)訪問(wèn)行為，同時(shí)，也可以通過(guò)高速的WEB緩存提高網(wǎng)頁(yè)訪問(wèn)速率，對(duì)于一級(jí)支行和下屬二級(jí)支行、網(wǎng)點(diǎn)的辦公終端，只有通過(guò)一級(jí)支行辦公網(wǎng)的代理服務(wù)器的中轉(zhuǎn)才能訪問(wèn)互聯(lián)網(wǎng)資源。

安全隱患掃描系統(tǒng)：定期對(duì)一級(jí)支行辦公網(wǎng)的訪問(wèn)終端和網(wǎng)絡(luò)設(shè)備進(jìn)行掃描，針對(duì)發(fā)現(xiàn)的安全隱患給出解決方案，使銀行網(wǎng)絡(luò)管理人員能夠有針對(duì)性地進(jìn)行系統(tǒng)加固；

病毒防護(hù)系統(tǒng)：在辦公網(wǎng)訪問(wèn)終端部署防病毒系統(tǒng)，抵抗病毒的攻擊行為，并通過(guò)部署在一級(jí)支行的病毒升級(jí)平臺(tái)實(shí)現(xiàn)病毒庫(kù)的統(tǒng)一升級(jí)；在互聯(lián)網(wǎng)邊界部署病毒過(guò)濾網(wǎng)關(guān)，采取“空中抓毒”的技術(shù)，防止病毒通過(guò)網(wǎng)絡(luò)傳播到銀行信息網(wǎng)絡(luò)中，造成破壞，并且病毒過(guò)濾模塊能夠有效阻擋蠕蟲(chóng)類病毒造成的大量無(wú)用數(shù)據(jù)包的傳播，防范類似數(shù)據(jù)包占用有限的帶寬資源；病毒系統(tǒng)的建設(shè)見(jiàn)6.2的描述；

內(nèi)網(wǎng)安全管理：在辦公網(wǎng)訪問(wèn)終端部署內(nèi)網(wǎng)安全管理套件（Agent），通過(guò)策略配置，主要實(shí)現(xiàn)對(duì)終端接入的管理，防止非授權(quán)機(jī)器、非法用戶、安全狀態(tài)不符合要求的系統(tǒng)接入內(nèi)網(wǎng)。此外，利用內(nèi)網(wǎng)安全管理，還能夠?qū)崿F(xiàn)非法外聯(lián)監(jiān)控、終端補(bǔ)丁統(tǒng)一升級(jí)、非法進(jìn)程監(jiān)控等功能；這里在銀行部署的內(nèi)網(wǎng)安全管理平臺(tái)為二級(jí)結(jié)構(gòu)，總行為一級(jí)平臺(tái)；在各一級(jí)支行部署二級(jí)平臺(tái)，總行一級(jí)平臺(tái)主要負(fù)責(zé)對(duì)總行區(qū)域內(nèi)的終端進(jìn)行管理和監(jiān)控，同時(shí)一級(jí)平臺(tái)將制定好的策略下發(fā)給二級(jí)管理平臺(tái)；二級(jí)管理平臺(tái)在接收到安全策略后執(zhí)行該策略，并將各類事件上傳給總行一級(jí)管理平臺(tái)。

安全集中管理平臺(tái)：通過(guò)對(duì)網(wǎng)絡(luò)中各種設(shè)備和系統(tǒng)（包括網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)、安全設(shè)備等）所產(chǎn)生的安全信息進(jìn)行綜合管理和分析，對(duì)現(xiàn)有安全資源進(jìn)行有效管理和整合，從全局角度對(duì)網(wǎng)絡(luò)安全狀況進(jìn)行分析、評(píng)估與管理，獲得全局網(wǎng)絡(luò)安全視圖，通過(guò)制定安全策略指導(dǎo)或自動(dòng)完成安全設(shè)施的重新部署或響應(yīng)，從而全面提高整體網(wǎng)絡(luò)的安全防護(hù)能力，為網(wǎng)絡(luò)提供高效的安全管理手段。詳細(xì)內(nèi)容見(jiàn)6.4。

3.2.4.針對(duì)外聯(lián)業(yè)務(wù)

與總行類似，外聯(lián)業(yè)務(wù)區(qū)域也需要通過(guò)防火墻進(jìn)行隔離和訪問(wèn)控制，由于外聯(lián)業(yè)務(wù)所連接的客戶網(wǎng)絡(luò)的不可信任性，采用防火墻將嚴(yán)格控制這些不可信任網(wǎng)絡(luò)對(duì)一級(jí)支行平臺(tái)的訪問(wèn)，確保一級(jí)支行平臺(tái)的安全。

3.3.針對(duì)二級(jí)支行

二級(jí)支行的安全防護(hù)包括邊界防護(hù)、安全隱患掃描、病毒防護(hù)和內(nèi)網(wǎng)安全管理，與一級(jí)支行類似，參考圖3，針對(duì)二級(jí)支行將采取以下的基礎(chǔ)防護(hù)措施：

3.3.1.辦公網(wǎng)與生產(chǎn)網(wǎng)的隔離

類似一級(jí)支行的建設(shè)方案，針對(duì)二級(jí)支行，由于辦公網(wǎng)與生產(chǎn)網(wǎng)所承載的業(yè)務(wù)差距很大，兩網(wǎng)信息資產(chǎn)的重要性也不盡相同，因此兩網(wǎng)之間應(yīng)采取必要的隔離和控制措施，約束兩網(wǎng)之間的訪問(wèn)，確保生產(chǎn)網(wǎng)的安全和穩(wěn)定性。

辦公網(wǎng)與生產(chǎn)網(wǎng)之間通常采用防火墻技術(shù)實(shí)現(xiàn)邏輯隔離，通過(guò)強(qiáng)制的安全訪問(wèn)策略，限制兩網(wǎng)之間的訪問(wèn)行為，使得那些被認(rèn)為是可靠的訪問(wèn)，才能在兩網(wǎng)之間傳遞。

參考圖3，我們?cè)诙?jí)支行核心區(qū)域部署防火墻，從而可實(shí)現(xiàn)辦公網(wǎng)與生產(chǎn)網(wǎng)的隔離

3.3.2.針對(duì)生產(chǎn)網(wǎng)

生產(chǎn)網(wǎng)的防護(hù)相對(duì)于一級(jí)支行的建設(shè)方案，由于其承載的應(yīng)用相對(duì)簡(jiǎn)單，因此采取的防護(hù)措施也相對(duì)簡(jiǎn)單，主要目的是保護(hù)本地生產(chǎn)應(yīng)用服務(wù)器的安全性，具體防護(hù)措施包括：

網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)：發(fā)現(xiàn)生產(chǎn)應(yīng)用服務(wù)器接受的訪問(wèn)數(shù)據(jù)包內(nèi)容的安全問(wèn)題，并給予報(bào)警；

病毒防護(hù)系統(tǒng)：針對(duì)二級(jí)支行生產(chǎn)網(wǎng)的外聯(lián)網(wǎng)關(guān)、服務(wù)器、訪問(wèn)終端全面部署防病毒系統(tǒng)，并實(shí)現(xiàn)統(tǒng)一的管理；病毒系統(tǒng)的建設(shè)見(jiàn)6.4的描述；

安全隱患掃描系統(tǒng)：對(duì)生產(chǎn)網(wǎng)的終端、服務(wù)器及關(guān)鍵網(wǎng)絡(luò)設(shè)備進(jìn)行定期評(píng)估，發(fā)現(xiàn)異常給出解決方案，使銀行網(wǎng)絡(luò)管理人員能夠針對(duì)存在的安全隱患，進(jìn)行加固；

內(nèi)網(wǎng)安全管理系統(tǒng)：針對(duì)二級(jí)支行Windows終端，采用內(nèi)網(wǎng)安全管理平臺(tái)，該平臺(tái)通過(guò)策略配置，主要實(shí)現(xiàn)對(duì)終端接入的管理，防止非授權(quán)機(jī)器、非法用戶、安全狀態(tài)不符合要求的系統(tǒng)接入內(nèi)網(wǎng)。此外，利用內(nèi)網(wǎng)安全管理，還能夠?qū)崿F(xiàn)非法外聯(lián)監(jiān)控、終端補(bǔ)丁統(tǒng)一升級(jí)、非法進(jìn)程監(jiān)控等功能；二級(jí)支行不再設(shè)置本地的管理服務(wù)器，二級(jí)支行網(wǎng)絡(luò)終端接受上級(jí)一級(jí)支行二級(jí)管理中心的統(tǒng)一管理。

3.3.3.針對(duì)辦公網(wǎng)

對(duì)于本地有辦公應(yīng)用服務(wù)器的二級(jí)支行，也采用類似一級(jí)支行辦公網(wǎng)的安全建設(shè)方案，二級(jí)支行辦公網(wǎng)也通過(guò)邊界隔離、入侵檢測(cè)、安全隱患掃描病毒防護(hù)等措施，實(shí)現(xiàn)全面的安全防護(hù)，具體包括：

網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)：通過(guò)在二級(jí)支行核心區(qū)域部署入侵檢測(cè)系統(tǒng)，對(duì)系統(tǒng)內(nèi)傳遞的數(shù)據(jù)包進(jìn)行深度檢測(cè)和判斷，發(fā)現(xiàn)異常給予報(bào)警，并且部署的入侵檢測(cè)系統(tǒng)能夠和防火墻進(jìn)行聯(lián)動(dòng)，從而進(jìn)一步提升系統(tǒng)的整體安全性；

安全隱患掃描系統(tǒng)：定期對(duì)二級(jí)支行的訪問(wèn)終端和網(wǎng)絡(luò)設(shè)備進(jìn)行掃描，針對(duì)發(fā)現(xiàn)的安全隱患給出解決方案，使銀行網(wǎng)絡(luò)管理人員能夠有針對(duì)性地進(jìn)行系統(tǒng)加固；

病毒防護(hù)系統(tǒng)：對(duì)二級(jí)支行辦公訪問(wèn)終端進(jìn)行全面病毒防護(hù)，具體病毒防護(hù)的建設(shè)方案參考6.2的規(guī)劃；

內(nèi)網(wǎng)安全管理系統(tǒng)：針對(duì)二級(jí)支行辦公網(wǎng)終端，采用內(nèi)網(wǎng)安全管理平臺(tái)，該平臺(tái)通過(guò)策略配置，主要實(shí)現(xiàn)對(duì)終端接入的管理，防止非授權(quán)機(jī)器、非法用戶、安全狀態(tài)不符合要求的系統(tǒng)接入內(nèi)網(wǎng)。此外，利用內(nèi)網(wǎng)安全管理，還能夠?qū)崿F(xiàn)非法外聯(lián)監(jiān)控、終端補(bǔ)丁統(tǒng)一升級(jí)、非法進(jìn)程監(jiān)控等功能；二級(jí)支行不再設(shè)置本地的管理服務(wù)器，二級(jí)支行網(wǎng)絡(luò)終端接受上級(jí)一級(jí)支行二級(jí)管理中心的統(tǒng)一管理；

對(duì)于僅有辦公終端的二級(jí)支行，主要考慮病毒防護(hù)和內(nèi)網(wǎng)安全管理兩個(gè)方面。

3.3.4.針對(duì)外聯(lián)業(yè)務(wù)

與一級(jí)支行類似，外聯(lián)業(yè)務(wù)區(qū)域也需要通過(guò)防火墻進(jìn)行隔離和訪問(wèn)控制，由于外聯(lián)業(yè)務(wù)所連接的客戶網(wǎng)絡(luò)的不可信任性，采用防火墻將嚴(yán)格控制這些不可信任網(wǎng)絡(luò)對(duì)二級(jí)支行平臺(tái)的訪問(wèn)，確保二級(jí)支行平臺(tái)的安全。

3.4.針對(duì)網(wǎng)點(diǎn)

這里描述的網(wǎng)點(diǎn)包括營(yíng)業(yè)網(wǎng)點(diǎn)，網(wǎng)點(diǎn)主要包含生產(chǎn)終端和辦公終端，結(jié)構(gòu)簡(jiǎn)單，可以通過(guò)VLAN和訪問(wèn)控制列表進(jìn)行邏輯隔離，此外主要考慮如何防范節(jié)點(diǎn)生產(chǎn)終端安全訪問(wèn)前置機(jī)的問(wèn)題，這里我們建議從成本節(jié)約的角度，從應(yīng)用層進(jìn)行加密，確保傳遞的信息以密文的方式，從而提升系統(tǒng)訪問(wèn)的安全性。

應(yīng)用層加密可通過(guò)具體的軟件來(lái)實(shí)現(xiàn)，此處不再贅述。

此外，節(jié)點(diǎn)Windows終端的病毒防護(hù)也是一個(gè)需要考慮的內(nèi)容，常見(jiàn)的方案就是部署網(wǎng)絡(luò)版的防病毒系統(tǒng)，以提升節(jié)點(diǎn)終端的安全防護(hù)能力。