《銀行網(wǎng)絡(luò)安全建設(shè)方案書》由會員分享,可在線閱讀,更多相關(guān)《銀行網(wǎng)絡(luò)安全建設(shè)方案書(8頁珍藏版)》請在裝配圖網(wǎng)上搜索。
1、
銀行網(wǎng)絡(luò)安全建設(shè)方案書
1
資料內(nèi)容僅供參考,如有不當(dāng)或者侵權(quán),請聯(lián)系本人改正或者刪除。
XXX 銀行生產(chǎn)網(wǎng)絡(luò)安全規(guī)劃建議書
2、
6 月
目錄
1 項(xiàng)目情況概述 .........................................................錯誤 !未定義書簽。
2 網(wǎng)絡(luò)結(jié)構(gòu)調(diào)整與安全域劃分 ................................錯誤 !未定義書簽。
3 XXX 銀行網(wǎng)絡(luò)需求分析 ....................................... 錯誤 !未定義書簽。
3.1
網(wǎng)上銀行安全風(fēng)險和安全需求
3、 .......................
錯誤 !未定義書簽。
3.2
生產(chǎn)業(yè)務(wù)網(wǎng)絡(luò)安全風(fēng)險和安全需求 ...............
錯誤 !未定義書簽。
4 總體安全技術(shù)框架建議
........................................錯誤 !未定義書簽。
4.1
網(wǎng)絡(luò)層安全建議 ...............................................
錯誤 !未定義書簽。
4.2
系統(tǒng)層安全建議 ...............................
4、................
錯誤 !未定義書簽。
4.3
管理層安全建議 ...............................................
錯誤 !未定義書簽。
5 詳細(xì)網(wǎng)絡(luò)架構(gòu)及產(chǎn)品部署建議............................
錯誤 !未定義書簽。
5.1
網(wǎng)上銀行安全建議 ...........................................
錯誤 !未定義書簽。
5.2
省聯(lián)社生產(chǎn)網(wǎng)安全建議 ...........................
5、........
錯誤 !未定義書簽。
2
資料內(nèi)容僅供參考,如有不當(dāng)或者侵權(quán),請聯(lián)系本人改正或者刪除。
5.3
地市聯(lián)社生產(chǎn)網(wǎng)安全建議 ...............................
錯誤 !未定義書簽。
5.4
區(qū)縣聯(lián)社生產(chǎn)網(wǎng)安全建議 ...............................
錯誤 !未定義書簽。
5.5
全行網(wǎng)絡(luò)防病毒系統(tǒng)建議 ...............................
錯誤 !未定義書簽。
5.6
網(wǎng)絡(luò)安全管理平臺建議 .....
6、..............................
錯誤 !未定義書簽。
5.6.1
部署網(wǎng)絡(luò)安全管理平臺的必要性 .............
錯誤! 未定義書簽。
5.6.2
網(wǎng)絡(luò)安全管理平臺部署建議
錯誤
未定義書簽。
.....................
!
5.7
建立專業(yè)的安全服務(wù)體系建議 .......................
錯誤 !未定義書簽。
5.7.1
現(xiàn)狀調(diào)查和風(fēng)險評估 .................................
錯誤! 未定義書簽。
5.
7、7.2
安全策略制定及方案設(shè)計
錯誤! 未定義書簽。
.........................
5.7.3
安全應(yīng)急響應(yīng)方案 .....................................
錯誤! 未定義書簽。
6 安全規(guī)劃總結(jié)
.........................................................錯誤 !未定義書簽。
7 產(chǎn)品配置清單 ......................................................
8、...錯誤 !未定義書簽。
3
資料內(nèi)容僅供參考,如有不當(dāng)或者侵權(quán),請聯(lián)系本人改正或者刪除。
1 項(xiàng)目情況概述
Xxx 銀行網(wǎng)絡(luò)是一個正在進(jìn)行改造的省級銀行網(wǎng)絡(luò)。整個網(wǎng)絡(luò)隨著業(yè)務(wù)的不斷擴(kuò)
展和應(yīng)用的增加 , 已經(jīng)形成了一個橫縱聯(lián)系 , 錯綜復(fù)雜的網(wǎng)絡(luò)。從縱向來看 , 當(dāng)前 XXX
銀行網(wǎng)絡(luò)分為四層 , 第一層為省聯(lián)社網(wǎng)絡(luò)
9、 , 第二層為地市聯(lián)社網(wǎng)絡(luò) , 第三層為縣 ( 區(qū) ) 聯(lián)
社網(wǎng)絡(luò) , 第四層為分理處網(wǎng)絡(luò)。
從橫向來看 , 省及各地市的銀行網(wǎng)絡(luò)都按照應(yīng)用劃分為辦公子網(wǎng)、 生產(chǎn)子網(wǎng)和外
聯(lián)網(wǎng)絡(luò)三個大子網(wǎng)。而在省中心網(wǎng)上 , 還包括網(wǎng)上銀行、 測試子網(wǎng)和 MIS 子網(wǎng)三個單
獨(dú)的子網(wǎng)。其整個網(wǎng)絡(luò)的結(jié)構(gòu)示意圖如下 :
10、
圖 1.1 XXX 銀行網(wǎng)絡(luò)結(jié)構(gòu)示意圖
XXX 銀行網(wǎng)絡(luò)是一個正在新建的網(wǎng)絡(luò) , 當(dāng)前業(yè)務(wù)系統(tǒng)剛剛上線運(yùn)行 , 還沒有進(jìn)行
4
資料內(nèi)容僅供參考,如有不當(dāng)或者侵權(quán),請聯(lián)系本人改正或者刪除。
信息安全方面的建設(shè)。而對于 XXX 銀行網(wǎng)絡(luò)來說 , 生產(chǎn)網(wǎng)是網(wǎng)絡(luò)中最重要的部分 , 所
有的應(yīng)用也業(yè)務(wù)系統(tǒng)都部署在生產(chǎn)網(wǎng)上。一旦生產(chǎn)網(wǎng)出現(xiàn)問題 , 造成的損失和影響將
是不可估量的。因此現(xiàn)在急需解決生產(chǎn)網(wǎng)的安全問題。
本次對 XXX 銀行網(wǎng)絡(luò)的安全規(guī)劃僅限于生產(chǎn)網(wǎng)以及與生產(chǎn)網(wǎng)安全相關(guān)的網(wǎng)絡(luò)部
分, 因此下面我們著重對
11、XXX 銀行的生產(chǎn)網(wǎng)構(gòu)架做一個詳細(xì)描述。
( 一 ) 省聯(lián)社生產(chǎn)網(wǎng)絡(luò)
省聯(lián)社網(wǎng)絡(luò)生產(chǎn)網(wǎng)絡(luò)是全行信息系統(tǒng)的核心 , 業(yè)務(wù)系統(tǒng)、 網(wǎng)上銀行系統(tǒng)及管理系統(tǒng)都集中在信息中心。
省聯(lián)社網(wǎng)絡(luò)生產(chǎn)網(wǎng)絡(luò)負(fù)責(zé)與人行及其它單位中間業(yè)務(wù)的連接。
省聯(lián)社網(wǎng)絡(luò)生產(chǎn)網(wǎng)絡(luò)負(fù)責(zé)建立和維護(hù)網(wǎng)上銀行。
省聯(lián)社網(wǎng)絡(luò)生產(chǎn)網(wǎng)絡(luò)中包含 MIS 系統(tǒng)和測試系統(tǒng)。
操作系統(tǒng)主要有 : OS/400、 AIX 、 Linux 、 Windows, 以及其它設(shè)備的專用
系統(tǒng)。
數(shù)據(jù)庫系統(tǒng)包括 : DB2 、 INFORMIX 、 SYBASE 、 ORACLE 等。
12、
業(yè)務(wù)應(yīng)用包括 :
生產(chǎn)業(yè)務(wù) :
一線業(yè)務(wù) : 與客戶直接關(guān)聯(lián)的業(yè)務(wù) , 如 ATM 、 POS、 柜員終端等
二線業(yè)務(wù) : 不直接與客戶相關(guān)的業(yè)務(wù) , 如管理流程、 公文輪流轉(zhuǎn)、 監(jiān)督、
決策等 , 為一線業(yè)務(wù)的支撐。
( 二 ) 地市聯(lián)社生產(chǎn)網(wǎng)絡(luò)
地市聯(lián)社生產(chǎn)網(wǎng)絡(luò)是二級網(wǎng)絡(luò) , 經(jīng)過兩條互為備份的專線與省聯(lián)社中心網(wǎng)
絡(luò)互連。
操作系統(tǒng)主要有 : UNIX 、 WINDOWS 。
5
資料內(nèi)容僅供參考,如有不當(dāng)或者侵權(quán),請聯(lián)系本人改正或者刪除。
( 三 ) 區(qū)( 縣 ) 聯(lián)社生產(chǎn)
13、網(wǎng)絡(luò)
區(qū) ( 縣 ) 聯(lián)社生產(chǎn)網(wǎng)絡(luò)是三級網(wǎng)絡(luò) , 經(jīng)過 2M SDH/ 或者 10M 光纖以太網(wǎng)
( ISDN 備份 ) 等方式與管轄支行的網(wǎng)絡(luò)連接。
操作系統(tǒng)主要有 : UNIX 、 WINDOWS 。
( 四 ) 分理處生產(chǎn)網(wǎng)
分理處是四級網(wǎng)絡(luò) , 各個分理處經(jīng)過 2M SDH 或者 ISDN 等方式與管轄區(qū)
( 縣 ) 聯(lián)社的網(wǎng)絡(luò)連接。
由于區(qū)縣聯(lián)社及分理處的網(wǎng)絡(luò)當(dāng)前還處在組網(wǎng)的初級階段 , 網(wǎng)絡(luò)構(gòu)造簡單且還沒
有能力進(jìn)行完善的網(wǎng)絡(luò)安全建設(shè)和管理 , 因此本次規(guī)劃主要是對省及地市聯(lián)社的網(wǎng)絡(luò)
14、
安全部分。當(dāng)把省及地市部分的網(wǎng)絡(luò)建成一個比較完善的安全防護(hù)體系之后 , 再逐步
的將安全措施和手段應(yīng)用于下層的區(qū)縣聯(lián)社及分理處。從而實(shí)現(xiàn)整個網(wǎng)絡(luò)的重點(diǎn)防
護(hù)、 分步實(shí)施策略。
6
資料內(nèi)容僅供參考,如有不當(dāng)或者侵權(quán),請聯(lián)系本人改正或者刪除。
2 網(wǎng)絡(luò)結(jié)構(gòu)調(diào)整與安全域劃分
對于 XXX 銀行生產(chǎn)網(wǎng)絡(luò)來說 , 首要的一點(diǎn)就是應(yīng)該
15、根據(jù)國家有關(guān)部門對相關(guān)規(guī)定 ,
將整個生產(chǎn)網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)結(jié)構(gòu)的優(yōu)化和安全域的劃分 , 從結(jié)構(gòu)上實(shí)現(xiàn)對安全等級化保護(hù)。
根據(jù)《中國人民銀行計算機(jī)安全管理暫行規(guī)定 ( 試行 ) 》的相關(guān)要求 :
”第六十一條 內(nèi)聯(lián)網(wǎng)上的所有計算機(jī)設(shè)備 , 不得直接或間接地與國際互聯(lián)網(wǎng)相聯(lián)接 , 必須實(shí)現(xiàn)與國際互聯(lián)網(wǎng)的物理隔離?!?
”第七十五條 計算機(jī)信息系統(tǒng)的開發(fā)環(huán)境和現(xiàn)場應(yīng)當(dāng)與生產(chǎn)環(huán)境和現(xiàn)場隔
離?!?
因此我們有必要對現(xiàn)有網(wǎng)絡(luò)環(huán)境進(jìn)行改造 , 以將生產(chǎn)業(yè)務(wù)網(wǎng)絡(luò) ( 包括一線業(yè)務(wù)和二
線業(yè)務(wù) ) 與具有互聯(lián)網(wǎng)連接的辦公網(wǎng)絡(luò)之間區(qū)
16、分開來 , 經(jīng)過強(qiáng)有力的安全控制機(jī)制最大
化實(shí)現(xiàn)生產(chǎn)系統(tǒng)與其它業(yè)務(wù)系統(tǒng)之間的隔離。同時 , 對 XXX 銀行所有信息資源進(jìn)行安
全分級 , 根據(jù)不同業(yè)務(wù)和應(yīng)用類型劃分不同安全等級的安全域 , 并分別進(jìn)行不同等級的
隔離和保護(hù)。
初步規(guī)劃將省聯(lián)社生產(chǎn)網(wǎng)絡(luò)劃分成多個具備不同安全等級的區(qū)域 , 參考公安部發(fā)
布的《信息系統(tǒng)安全保護(hù)等級定級指南》 , 我們對安全區(qū)域劃分和定級的建議如下 :
安全區(qū)域
說明
定級建議
生產(chǎn)區(qū)域
包含一線業(yè)務(wù)服務(wù)器主機(jī)
3 級
MIS 區(qū)域
包含二線業(yè)務(wù)服務(wù)器主機(jī)
2 級
網(wǎng)上銀行區(qū)域
包含網(wǎng)上銀行業(yè)務(wù)服務(wù)器主機(jī)
2 級
包含維護(hù)網(wǎng)絡(luò)信息系統(tǒng)有效運(yùn)行的管理服務(wù)器主機(jī)
運(yùn)行管理區(qū)域
和管理終端
2 級
包含新開發(fā)的生產(chǎn)應(yīng)用的測試環(huán)境
, 可視為準(zhǔn)生產(chǎn)
測試區(qū)域
環(huán)境
1 級
7