建设银行安全解决方案样本.doc

XX建设银行 安全处理方案 XX数码 二OO十二个月五月 一、XX数码和网络安全 2 二、沈阳建设银行 3 业务分析 3 三、系统安全目标 4 四、用户安全需求分析 4 1．安全性 4 2．高效性 5 3．可扩展性 5 5．完善服务体制 5 五、安全体系结构 6 六、安全系统实施 7 附录：产品介绍（请见相关文档） 8 一、XX数码和网络安全 Internet正在越来越多地离开原来单纯学术环境，融入到社会各个方面。首先，伴随网络用户成份越来越多样化，出于多种目标网络入侵和攻击越来越频繁；其次，伴随Internet和以电子商务为代表网络应用日益发展，Internet越来越深地渗透到各行各业关键要害领域。Internet安全，包含其上信息数据安全，日益成为和国家、政府、企业、个人利益休戚相关“大事情”。 为此XX数码首先推出就是SHARKS互联网安全处理方案。SHARKS是在经过十二个月多大量投入和深入研究后，提出一套基于中国国情、全部自主开发、含有领先优势处理方案。它是一套整体集群平台，能够处理互联网运行商最为关切安全性、高可靠性、可扩展性和易于远程管理问题。现在这套方案已经得到国家相关部门大力支持，被国家经贸委列为国家创新计划项目之一，另外，还得到了国家”863”计划支持。 XX数码方御防火墙是SHARKS中关键安全产品之一。方御防火墙实现了以桥方法接入独特技术，既提升了系统本身安全性，又确保了其运行效率。方御防火墙中还融入了入侵检测技术，能够有效地防范攻击企图试探，另外利用优异III技术，方御防火墙能够有效滤除著名DDoS攻击，正是这种攻击曾迫使包含美国雅虎在内若干世界最大网站停止服务。 在立身自主开发外，XX数码还和ISS、Symantec等众多国际著名安全企业保持着良好合作关系，集成中国外最优异企业安全产品，为中国Internet安全建设保驾护航。 二、沈阳建设银行 业务分析 1. 业务分析 l 业务概况 保护沈阳建行网络系统，确保各项业务正常运行，预防非法行为侵犯和病毒破坏。因为现在沈阳建行没有采取安全保护方法，使得自己业务系统完全暴露在网络环境中，所以轻易受到黑客和不法人员侵害，所以应该实施一套完整安全方案来保护业务网络，同时因为银行天天全部有大量数据经过网络，所以要确保网络流量，即新增安全产品不能成为网络瓶颈。 1. 管理模式 在管理上，使用集中式管理能够方便快捷，并能够简化管理员工作，提升工作效率。从安全角度来看，复杂，分散管理方法在安全上是存在很大隐患和漏洞，使用集中管理也是提升安全等级一项关键内容。 2. 网络关键安全风险和漏洞 l 数据库数据会受到黑客窃取、破坏和病毒破坏 l 系统信息会受到黑客窃取、破坏和病毒破坏 l 服务正常运行会受到黑客攻击、破坏和病毒破坏 3. 网络中心拓扑结构： 从上图中能够看出，现在沈阳建行网络比较复杂，设备众多，型号也很多，首先在管理上很不方便，其次从安全性角度讲，它使得网络安全等级也降低了，所以我们需要简化网络结构，并对网络进行集中管理。 三、系统安全目标 经过以上分析，安全目标是：保护沈阳建设银行 内部网络计算机系统正常运转，避免恶意攻击、破坏；关键数据库数据，预防被窃取、修改、破坏。 四、用户安全需求分析 1．安全性 l 网络环境、操作系统和数据安全性 现在这个网络环境直接暴露，是处于很不安全状态，所以我们需要用防火墙来隔离沈阳建行内部生产网络，保护多种业务服务器，其中包含AS400等关键业务机。因为防火墙能够阻挡黑客攻击行为和异常网络事件，这么能够保护我们网络环境、网络中计算机操作系统和数据。防火墙是网络安全第一道屏障，单有防火墙是不能进行全方面保护，我们还需要入侵监测系统（IDS）来对黑客攻击进行报警和自动防范。 2．高效性 因为天天有大量信息访问要保护生产系统服务器，这就要求网络拥有很高数据吞吐能力，也就意味着网络安全产品不能对网络流量造成影响。而现在传统防火墙动辄造成15%以上效率损失相比，这就造成了一个矛盾。XX方御防火墙充足考虑了用户对效率重视性，拥有足以自豪数据吞吐能力。在500条规则以下应用（占全部应用95%以上）中，基础不影响网络传输，有绝正确优势。 3．可扩展性 银行是中国关键金融机构，新业务会不停开展，同时也会应用大量新技术新设备，同时网络发展日新月异，所以网络扩展性好坏关系到以后企业发展。这就要求在网络建设时留余地。这么不会因为现在投资给未来网络发展和升级带来影响。 4．易用性（管理控制） 不易使用安全系统是不安全。充斥着英文术语管理界面会大大增加系统管理人员工作量，也轻易造成不应有漏洞出现或安全策略僵化。易用性关键包含： l 要界面清楚易懂 l 管理集中方便 l 安全性时实监控 5．完善服务体制 网络安全实施还需要完善服务体制来保障，通常企业不是专业网络安全企业，安全是动态过程，今天安全系统明天就可能不安全，这就要求提供安全方案企业有优异服务体制进行跟踪服务。这就需要有一支专业网络安全队伍来帮助企业处理相关安全问题。 再严密系统也可能出现漏洞，当紧急事件发生时，能不能在最短时间内取得紧急响应服务常常决定了损失大小，而且这种时候，需要是极其专业服务，没有强大开发实力企业是无法满足这种需求，而在中国没有开发部门国外著名企业则往往鞭长莫及。 五、安全体系结构 经过前面分析，我们能够知道，首先需要使用防火墙作为网络安全屏障来和其它网络进行隔离，这么能够预防其它网络非法用户非法侵害，在这里我们提议使用XX数码XX方御防火墙。（相关方御防火墙具体情况请见后面相关防火墙介绍部分）作为网络安全必备第二道警戒线我们需要部署IDS（入侵监测系统），IDS系统关键包含网络IDS、主机IDS等部分，对于IDS系统XX方御防火墙里已经内置了一套网络IDS系统。同时要在网络中部署一套网络防病毒系统，已达成对病毒防御。因为防火墙是网络中关键设备之一，因为有时候部分不可预见原因可能会是防火墙出现故障而造成网络不通畅或安全性失效，所以我们要采取双机热备方案，提升安全可靠性。另外需要我们注意是加入数据备份产品，来保护我们数据库。 安全体系结构图： 安全处理方案体系所使用模块： l 防火墙（XX方御防火墙） l IDS（ISS产品） l 防病毒模块（KiLL网络防毒产品） l 网络冗余 l 数据备份 整个安全系统结构能够总结为：多层隔离、实时监控、立体防护、集中管理。 六、安全系统实施 经过上面对需求分析，我们提出了处理需求所要使用到安全模块，关键由防火墙来对网络上入侵、攻击和异常行为进行阻挡。使用XX数码FireGate防火墙作为系统安全屏障。具体实施以下图所表示： 安全模块安以后拓扑图及其说明： 拓扑接供如上图所表示，在访问线路上添加方御防火墙双机热备方案，防火墙设置为桥接模式，不需要给内、外部接口配置IP地址，将防火墙外部接口使用直连线和交换机连接，将防火墙内部接口使用直连线和相连接即可。防火墙规则配置请参看方御防火墙使用说明书。 在网络主交换机上安装一台带有IDS系统计算机，作为第二道安全防护屏障，同时在每台计算机上安装Kill网络版防病毒模块和E-trust单机版IDS模块。作为防御病毒屏障。 对于数据备分系统，对应数据库全部提供备份措施，也能够使用磁带机等，这里就不多描述了。 整个安全实施，除了增加防火墙和防病毒模块外，不需要在购置其它网络设备，在实施上很方便。 上面提供是一个概要网络拓扑图，图中AS400组里能够针对没台AS400服务器在加装移到防火墙方法同图中红框里一样。前置机平台则是一台或多台前置机组合。 附录：产品介绍（请见相关文档）