《銀行網(wǎng)絡安全建設方案書》由會員分享,可在線閱讀,更多相關《銀行網(wǎng)絡安全建設方案書(8頁珍藏版)》請在裝配圖網(wǎng)上搜索。
1、
銀行網(wǎng)絡安全建設方案書
1
資料內(nèi)容僅供參考,如有不當或者侵權,請聯(lián)系本人改正或者刪除。
XXX 銀行生產(chǎn)網(wǎng)絡安全規(guī)劃建議書
2、
6 月
目錄
1 項目情況概述 .........................................................錯誤 !未定義書簽。
2 網(wǎng)絡結構調(diào)整與安全域劃分 ................................錯誤 !未定義書簽。
3 XXX 銀行網(wǎng)絡需求分析 ....................................... 錯誤 !未定義書簽。
3.1
網(wǎng)上銀行安全風險和安全需求
3、 .......................
錯誤 !未定義書簽。
3.2
生產(chǎn)業(yè)務網(wǎng)絡安全風險和安全需求 ...............
錯誤 !未定義書簽。
4 總體安全技術框架建議
........................................錯誤 !未定義書簽。
4.1
網(wǎng)絡層安全建議 ...............................................
錯誤 !未定義書簽。
4.2
系統(tǒng)層安全建議 ...............................
4、................
錯誤 !未定義書簽。
4.3
管理層安全建議 ...............................................
錯誤 !未定義書簽。
5 詳細網(wǎng)絡架構及產(chǎn)品部署建議............................
錯誤 !未定義書簽。
5.1
網(wǎng)上銀行安全建議 ...........................................
錯誤 !未定義書簽。
5.2
省聯(lián)社生產(chǎn)網(wǎng)安全建議 ...........................
5、........
錯誤 !未定義書簽。
2
資料內(nèi)容僅供參考,如有不當或者侵權,請聯(lián)系本人改正或者刪除。
5.3
地市聯(lián)社生產(chǎn)網(wǎng)安全建議 ...............................
錯誤 !未定義書簽。
5.4
區(qū)縣聯(lián)社生產(chǎn)網(wǎng)安全建議 ...............................
錯誤 !未定義書簽。
5.5
全行網(wǎng)絡防病毒系統(tǒng)建議 ...............................
錯誤 !未定義書簽。
5.6
網(wǎng)絡安全管理平臺建議 .....
6、..............................
錯誤 !未定義書簽。
5.6.1
部署網(wǎng)絡安全管理平臺的必要性 .............
錯誤! 未定義書簽。
5.6.2
網(wǎng)絡安全管理平臺部署建議
錯誤
未定義書簽。
.....................
!
5.7
建立專業(yè)的安全服務體系建議 .......................
錯誤 !未定義書簽。
5.7.1
現(xiàn)狀調(diào)查和風險評估 .................................
錯誤! 未定義書簽。
5.
7、7.2
安全策略制定及方案設計
錯誤! 未定義書簽。
.........................
5.7.3
安全應急響應方案 .....................................
錯誤! 未定義書簽。
6 安全規(guī)劃總結
.........................................................錯誤 !未定義書簽。
7 產(chǎn)品配置清單 ......................................................
8、...錯誤 !未定義書簽。
3
資料內(nèi)容僅供參考,如有不當或者侵權,請聯(lián)系本人改正或者刪除。
1 項目情況概述
Xxx 銀行網(wǎng)絡是一個正在進行改造的省級銀行網(wǎng)絡。整個網(wǎng)絡隨著業(yè)務的不斷擴
展和應用的增加 , 已經(jīng)形成了一個橫縱聯(lián)系 , 錯綜復雜的網(wǎng)絡。從縱向來看 , 當前 XXX
銀行網(wǎng)絡分為四層 , 第一層為省聯(lián)社網(wǎng)絡
9、 , 第二層為地市聯(lián)社網(wǎng)絡 , 第三層為縣 ( 區(qū) ) 聯(lián)
社網(wǎng)絡 , 第四層為分理處網(wǎng)絡。
從橫向來看 , 省及各地市的銀行網(wǎng)絡都按照應用劃分為辦公子網(wǎng)、 生產(chǎn)子網(wǎng)和外
聯(lián)網(wǎng)絡三個大子網(wǎng)。而在省中心網(wǎng)上 , 還包括網(wǎng)上銀行、 測試子網(wǎng)和 MIS 子網(wǎng)三個單
獨的子網(wǎng)。其整個網(wǎng)絡的結構示意圖如下 :
10、
圖 1.1 XXX 銀行網(wǎng)絡結構示意圖
XXX 銀行網(wǎng)絡是一個正在新建的網(wǎng)絡 , 當前業(yè)務系統(tǒng)剛剛上線運行 , 還沒有進行
4
資料內(nèi)容僅供參考,如有不當或者侵權,請聯(lián)系本人改正或者刪除。
信息安全方面的建設。而對于 XXX 銀行網(wǎng)絡來說 , 生產(chǎn)網(wǎng)是網(wǎng)絡中最重要的部分 , 所
有的應用也業(yè)務系統(tǒng)都部署在生產(chǎn)網(wǎng)上。一旦生產(chǎn)網(wǎng)出現(xiàn)問題 , 造成的損失和影響將
是不可估量的。因此現(xiàn)在急需解決生產(chǎn)網(wǎng)的安全問題。
本次對 XXX 銀行網(wǎng)絡的安全規(guī)劃僅限于生產(chǎn)網(wǎng)以及與生產(chǎn)網(wǎng)安全相關的網(wǎng)絡部
分, 因此下面我們著重對
11、XXX 銀行的生產(chǎn)網(wǎng)構架做一個詳細描述。
( 一 ) 省聯(lián)社生產(chǎn)網(wǎng)絡
省聯(lián)社網(wǎng)絡生產(chǎn)網(wǎng)絡是全行信息系統(tǒng)的核心 , 業(yè)務系統(tǒng)、 網(wǎng)上銀行系統(tǒng)及管理系統(tǒng)都集中在信息中心。
省聯(lián)社網(wǎng)絡生產(chǎn)網(wǎng)絡負責與人行及其它單位中間業(yè)務的連接。
省聯(lián)社網(wǎng)絡生產(chǎn)網(wǎng)絡負責建立和維護網(wǎng)上銀行。
省聯(lián)社網(wǎng)絡生產(chǎn)網(wǎng)絡中包含 MIS 系統(tǒng)和測試系統(tǒng)。
操作系統(tǒng)主要有 : OS/400、 AIX 、 Linux 、 Windows, 以及其它設備的專用
系統(tǒng)。
數(shù)據(jù)庫系統(tǒng)包括 : DB2 、 INFORMIX 、 SYBASE 、 ORACLE 等。
12、
業(yè)務應用包括 :
生產(chǎn)業(yè)務 :
一線業(yè)務 : 與客戶直接關聯(lián)的業(yè)務 , 如 ATM 、 POS、 柜員終端等
二線業(yè)務 : 不直接與客戶相關的業(yè)務 , 如管理流程、 公文輪流轉(zhuǎn)、 監(jiān)督、
決策等 , 為一線業(yè)務的支撐。
( 二 ) 地市聯(lián)社生產(chǎn)網(wǎng)絡
地市聯(lián)社生產(chǎn)網(wǎng)絡是二級網(wǎng)絡 , 經(jīng)過兩條互為備份的專線與省聯(lián)社中心網(wǎng)
絡互連。
操作系統(tǒng)主要有 : UNIX 、 WINDOWS 。
5
資料內(nèi)容僅供參考,如有不當或者侵權,請聯(lián)系本人改正或者刪除。
( 三 ) 區(qū)( 縣 ) 聯(lián)社生產(chǎn)
13、網(wǎng)絡
區(qū) ( 縣 ) 聯(lián)社生產(chǎn)網(wǎng)絡是三級網(wǎng)絡 , 經(jīng)過 2M SDH/ 或者 10M 光纖以太網(wǎng)
( ISDN 備份 ) 等方式與管轄支行的網(wǎng)絡連接。
操作系統(tǒng)主要有 : UNIX 、 WINDOWS 。
( 四 ) 分理處生產(chǎn)網(wǎng)
分理處是四級網(wǎng)絡 , 各個分理處經(jīng)過 2M SDH 或者 ISDN 等方式與管轄區(qū)
( 縣 ) 聯(lián)社的網(wǎng)絡連接。
由于區(qū)縣聯(lián)社及分理處的網(wǎng)絡當前還處在組網(wǎng)的初級階段 , 網(wǎng)絡構造簡單且還沒
有能力進行完善的網(wǎng)絡安全建設和管理 , 因此本次規(guī)劃主要是對省及地市聯(lián)社的網(wǎng)絡
14、
安全部分。當把省及地市部分的網(wǎng)絡建成一個比較完善的安全防護體系之后 , 再逐步
的將安全措施和手段應用于下層的區(qū)縣聯(lián)社及分理處。從而實現(xiàn)整個網(wǎng)絡的重點防
護、 分步實施策略。
6
資料內(nèi)容僅供參考,如有不當或者侵權,請聯(lián)系本人改正或者刪除。
2 網(wǎng)絡結構調(diào)整與安全域劃分
對于 XXX 銀行生產(chǎn)網(wǎng)絡來說 , 首要的一點就是應該
15、根據(jù)國家有關部門對相關規(guī)定 ,
將整個生產(chǎn)網(wǎng)絡進行網(wǎng)絡結構的優(yōu)化和安全域的劃分 , 從結構上實現(xiàn)對安全等級化保護。
根據(jù)《中國人民銀行計算機安全管理暫行規(guī)定 ( 試行 ) 》的相關要求 :
”第六十一條 內(nèi)聯(lián)網(wǎng)上的所有計算機設備 , 不得直接或間接地與國際互聯(lián)網(wǎng)相聯(lián)接 , 必須實現(xiàn)與國際互聯(lián)網(wǎng)的物理隔離?!?
”第七十五條 計算機信息系統(tǒng)的開發(fā)環(huán)境和現(xiàn)場應當與生產(chǎn)環(huán)境和現(xiàn)場隔
離?!?
因此我們有必要對現(xiàn)有網(wǎng)絡環(huán)境進行改造 , 以將生產(chǎn)業(yè)務網(wǎng)絡 ( 包括一線業(yè)務和二
線業(yè)務 ) 與具有互聯(lián)網(wǎng)連接的辦公網(wǎng)絡之間區(qū)
16、分開來 , 經(jīng)過強有力的安全控制機制最大
化實現(xiàn)生產(chǎn)系統(tǒng)與其它業(yè)務系統(tǒng)之間的隔離。同時 , 對 XXX 銀行所有信息資源進行安
全分級 , 根據(jù)不同業(yè)務和應用類型劃分不同安全等級的安全域 , 并分別進行不同等級的
隔離和保護。
初步規(guī)劃將省聯(lián)社生產(chǎn)網(wǎng)絡劃分成多個具備不同安全等級的區(qū)域 , 參考公安部發(fā)
布的《信息系統(tǒng)安全保護等級定級指南》 , 我們對安全區(qū)域劃分和定級的建議如下 :
安全區(qū)域
說明
定級建議
生產(chǎn)區(qū)域
包含一線業(yè)務服務器主機
3 級
MIS 區(qū)域
包含二線業(yè)務服務器主機
2 級
網(wǎng)上銀行區(qū)域
包含網(wǎng)上銀行業(yè)務服務器主機
2 級
包含維護網(wǎng)絡信息系統(tǒng)有效運行的管理服務器主機
運行管理區(qū)域
和管理終端
2 級
包含新開發(fā)的生產(chǎn)應用的測試環(huán)境
, 可視為準生產(chǎn)
測試區(qū)域
環(huán)境
1 級
7