银行网络安全建设方案书.docx

1、银行网络安全建设方案书XXX银行生产网络安全规划建议书2006年6月目录1项目情况概述 222网络结构调整与安全域划分 443XXX银行网络需求分析 663.1网上银行安全风险和安全需求 773.2生产业务网络安全风险和安全需求 884总体安全技术框架建议 10104.1网络层安全建议 10104.2系统层安全建议 12124.3管理层安全建议 13135详细网络架构及产品部署建议 . 14145.1网上银行安全建议 14145.2省联社生产网安全建议 16165.3地市联社生产网安全建议 18185.4区县联社生产网安全建议 18185.5全行网络防病毒系统建议 19195.6网络安全管理平

2、台建议 20205.6.1部署网络安全管理平台的必要性 20205.6.2网络安全管理平台部署建议 . 21215.7建立专业的安全服务体系建议 22225.7.1现状调查和风险评估 . 23235.7.2安全策略制定及方案设计 23235.7.3安全应急响应方案 24246安全规划总结 2727石联社测试子网智联社生产子刚佶鱼业务In生产网幄.，网服工广网腋外J1业务公(OA)予网地市肉I办公(OA)于网 丿了网I I I I(o a)r网地市脈出1卢了网III；裁理处t产r财 I ;生产网町 ;1 项目情况概述Xxx银行网络是一个正在进行改造的省级银行网络。 整个网络随着业务的不断扩展和应

3、用的增加，已经形成了一个横纵联系，错综复杂的网络。从纵向来看，目前 XXX银行网络分为四层，第一层为省联社网络，第二层为地市联社网络，第三层为县(区)联社网络， 第四层为分理处网络。从横向来看，省及各地市的银行网络都按照应用划分为办公子网、生产子网和外联网络三个大子网。而在省中心网上，还包括网上银行、测试子网和MIS子网三个单独的子网其整个网络的结构示意图如下：XXX银行网络紳i示意图图1.1 XXX银行网络结构示意图xxx银行网络是一个正在新建的网络，目前业务系统刚刚上线运行，还没有进行信息安 全方面的建设。而对于 XXX银行网络来说，生产网是网络中最重要的部分，所有的应用也 业务系统都部署

4、在生产网上。一旦生产网出现问题，造成的损失和影响将是不可估量的。 因此现在急需解决生产网的安全问题。本次对XXX银行网络的安全规划仅限于生产网以及与生产网安全相关的网络部分，因 此下面我们着重对XXX银行的生产网构架做一个详细描述。（一） 省联社生产网络省联社网络生产网络是全行信息系统的核心，业务系统、网上银行系统及管理系统 都集中在信息中心。省联社网络生产网络负责与人行及其他单位中间业务的连接。省联社网络生产网络负责建立和维护网上银行。省联社网络生产网络中包含MIS系统和测试系统。操作系统主要有：OS/4O0 AIX、Linux、Windows以及其它设备的专用系统。数据库系统包括：DB2

5、INFORMIX SYBASE ORACL等。业务应用包括：生产业务：一线业务：与客户直接关联的业务，如 ATM POS柜员终端等二线业务：不直接与客户相关的业务，如管理流程、公文轮流转、监督、决策等， 为一线业务的支撑。（二） 地市联社生产网络地市联社生产网络是二级网络，通过两条互为备份的专线与省联社中心网络互连。操作系统主要有：UNIX WINDOWS（三） 区（县）联社生产网络区（县）联社生产网络是三级网络，通过2MSDH或者10M光纤以太网（ISDN备份） 等方式与管辖支行的网络连接。操作系统主要有：UNIX WINDOWS（四） 分理处生产网分理处是四级网络，各个分理处通过 2M S

6、DH或者ISDN等方式与管辖区（县）联社 的网络连接。由于区县联社及分理处的网络目前还处在组网的初级阶段，网络构造简单且还没有能 力进行完善的网络安全建设和管理，因此本次规划主要是对省及地市联社的网络安全部分。 当把省及地市部分的网络建成一个比较完善的安全防护体系之后，再逐步的将安全措施和 手段应用于下层的区县联社及分理处。从而实现整个网络的重点防护、分步实施策略。2 网络结构调整与安全域划分对于 XXX 银行生产网络来说，首要的一点就是应该根据国家有关部门对相关规定，将 整个生产网络进行网络结构的优化和安全域的划分，从结构上实现对安全等级化保护。 根据中国人民银行计算机安全管理暂行规定（试行

7、）的相关要求：“第六十一条 内联网上的所有计算机设备，不得直接或间接地与国际互联网相联接， 必须实现与国际互联网的物理隔离。”“第七十五条 计算机信息系统的开发环境和现场应当与生产环境和现场隔离。” 因此我们有必要对现有网络环境进行改造，以将生产业务网络（包括一线业务和二线 业务）与具有互联网连接的办公网络之间区分开来，通过强有力的安全控制机制最大化实 现生产系统与其他业务系统之间的隔离。同时，对 XXX 银行所有信息资源进行安全分级， 根据不同业务和应用类型划分不同安全等级的安全域，并分别进行不同等级的隔离和保护。初步规划将省联社生产网络划分成多个具备不同安全等级的区域，参考公安部发布的 信

8、息系统安全保护等级定级指南，我们对安全区域划分和定级的建议如下：安全区域说明定级建议生产区域包含一线业务服务器主机3级MIS区域包含二线业务服务器主机2级网上银行区域包含网上银行业务服务器主机2级运行管理区域包含维护网络信息系统有效运行的管理服务器主机和管理终端2级测试区域包含新开发的生产应用的测试环境， 可视为准生产环 境1级办公服务器区域包含办公业务系统服务器主机2级对于各地市、区县联社和各营业网点也需要将生产业务和办公业务严格区分开，并进 行逻辑隔离，确保生产区域具有较高安全级别。由于部分办公业务用户需要访问生产业务中的特定数据，而部分生产应用也需要访问 办公网中的特定数据，因此无法做到

9、生产、办公之间彻底的物理隔离，建议在各级联社信 息中心提供生产网与办公网之间的连接，并采用逻辑隔离手段进行控制，对于营业网点， 由于作隔离投入太大，可暂时不考虑隔离。改造后的总体逻辑结构如图所示：三缰安全威省轶牡生产子网生产网观耳抵社迎试干兩阳上银厅县 区、戰社生产 子网IOA子网二粗穽全对生产崩戯务器县（宴联社办公8A子同甘市欣社办拙子网非宜拿遇分理处生业子网生产网強XXX银行网络安全结构示意图图2.1 XXX银行网络安全结构示意图网络改造后，全行办公系统将统一互联网出口，所有办公终端只允许在通信行为可控 的情况下才能通过信息中心办公网络的互联网出口访问外界网络，生产业务服务器和终端 不允许

10、采取任何手段直接访问互联网或通过办公网间接访问互联网。网上银行因业务需要必须连接互联网，但只允许互联网用户对网银门户网站的访问以 及认证用户对网银WEB服务器的访问，生产业务服务器和终端不允许采取任何手段直接访 问互联网或通过网银网络间接访问互联网。3 XXX银行网络需求分析随着XXX银行金融信息化的发展，信息系统已经成为银行赖以生存和发展的基本条件。相应地，银行信息系统的安全问题也越来越突出，银行信息系统的安全问题主要包括两个 方面：一是来自外界对银行系统的非法侵入，对信息系统的蓄意破坏和盗窃、篡改信息行 为；二是来自银行内部员工故意或无意的对信息系统管理的违反。银行信息系统正在面临 着严峻

11、的挑战。银行进行安全建设、加强安全管理已经成为当务之急，其必要性正在随着银行业务和 信息系统如下的发展趋势而更加凸出：银行的关键业务系统层次丰富，操作环节多，风险也相对比较明显； 随着电子银行和中间业务的广泛开展，银行的网络与 Internet 和其他组织机构的网络 互联程度越来越高，使原本相对封闭的网络越来越开放，从而将外部网络的风险引入到银 行内部网络；随着银行业务集中化的趋势，银行业务系统对可靠性和无间断运行的要求也越来越高； 随着WTO的到来和外资银行的进入，银行业竞争日益激烈，新的金融产品不断推出， 从而使银行的应用系统处于快速的变化过程中，对银行的安全管理提出了更高的要求。中国国内

12、各家银行也已经开始进行信息安体系建设，其中最主要的措施就是采购了大 量安全产品，包括防火墙、入侵检测系统、防病毒和身份认证系统等。这些安全产品在很 大程度上提高了银行信息系统的安全水平，对保护银行信息安全起到了一定作用。但是它 们并没有从根本上降低安全风险，缓解安全问题，这主要是因为： 信息安全问题从来就不是单纯的技术问题，把防范黑客入侵和病毒感染理解为信 息安全问题的全部是片面的。安全产品的功能相对比较狭窄，往往用于解决一类安 全问题，因此仅仅通过部署安全产品很难完全覆盖银行信息安全问题； 信息安全问题不是静态的，它总是随着银行策略、组织架构、信息系统和操作流 程的改变而改变。部署安全产品是

13、一种静态的解决办法。一般来说，在产品安装和 配置后较长一段时间内，它们都无法动态调整以适应安全问题的变化。所以，银行界的有识之士都意识到应从根本上改变应对信息安全问题的思路，建立更 加全面的安全保障体系， 在安全产品的辅助下， 通过管理手段体系化地保障信息系统安全。下面我们将通过分析 XXX银行改造后的网络结构下可能面临的安全问题，对 XXX银行（主要是生产网）目前的安全需求进行总体分析。根据实际项目进度安排，我们将分别对网上银行系统、生产业务系统进行分析 3.1 网上银行安全风险和安全需求针对目前最常见的互联网攻击类型以及国内外网上银行系统通常面临的安全威胁，结合XXX银行的实际情况，我们认

14、为在 XXX银行网上银行网络可能面临的安全风险和对应的码破解工具和远程控制程序安全需求评估、加固（打补丁，安装加固软件）打补丁，安装防篡改软件，内容过滤 培训客户的安全防护意识 （安装 IE 反钓鱼 插件；认清银行网站，不在虚假站点中填 写ID和密码；采用CA认证和SSL加密） 客户端：建议或强制安装防病毒软件 / 插件 服务器：安装相应平台防病毒软件 网银WEB区域与互联网之间：防病毒网关 网银与核心层之间：防病毒网关防火墙、IDS （需检测应用级攻击及SSL加 密攻击）抗DOS攻击产品培训客户的安全防护意识（在计算机上安 装防病毒工具并及时更新；采用相对安全 的浏览器或在 IE 中安装各类

15、安全控件； 对 不明邮件不要打开，并及时删除；提高对 个人资料、账户、密码的保护意识；及时 修改银行帐户的原始密码；不要采用身份 证号码、生日、手机号码及过分简单的数 字作为密码；不要在网吧等公共场所操作（DDOS垃圾邮安全的主机可能件、网页仿冒、 成为僵尸，被利用 通过上述手段加强自身防护 网页攻击的被 来 向网 银进行攻 动发起者） 击3.2 生产业务网络安全风险和安全需求对于生产业务网络而言，可能存在的安全风险和对应的安全需求如下：操作系统，数 评估、加固（打补丁，安装加固1 漏洞 自身 据库系统，应 软件）用软件客户端/ 服务器：安装相应平台防毒网关所有需要访非 法 访 非生产人员5

16、问 、越 权访问 非管理人员放在客户端本地的业务数据生产应用系统身份认证、访问授权和业务数据操作系统、数身份认证、访问授权据库系统4 总体安全技术框架建议根据对 XXX 银行网络系统安全需求分析，我们提出了由多种安全技术和多层防护措施 构成的一整套安全技术方案，具体包括：在网络层划分安全域，部署防火墙系统、防拒绝 服务攻击系统、入侵检测系统、入侵防御系统和漏洞扫描系统；在系统层部署病毒防范系 统，提供系统安全评估和加固建议；在管理层制订安全管理策略，部署安全信息管理和分 析系统，建立安全管理中心。具体建议如下：4.1 网络层安全建议1网络访问控制划分安全域为了提高银行网络的安全性和可靠性，在省

17、联社总部、各地市联社、各区县联社、 分理处对不同系统划分不同安全域。访问控制措施对安全等级较高的安全域， 在其边界部署防火墙， 对安全等级较低的安全域的边界 则可以使用VLAN或访问控制列表来代替。根据对XXX银行整体网络的区域划分，我们将在不同安全域边界采用不同的访问控制措施： 在生产网与办公网之间采用防火墙提供访问控制，只允许业务相关的访问，拒 绝其他所有访问； 在生产网与网上银行网络之间采用防火墙提供访问控制，只允许业务相关的访 问，拒绝其他所有访问； 在生产网与相关单位网络之间采用防火墙提供访问控制，只允许业务相关的访 问，拒绝其他所有访问；在网上银行网络与互联网之间采用防火墙提供访问

18、控制，除允许互联网用户访 问网银门户网站、允许互联网认证用户访问网银 WE及允许网银WE服务器/SSL 加速器访问互联网上的CFCA之外，拒绝其他所有访问； 在生产网的生产区域（一线业务）与其他区域之间采用防火墙提供访问控制， 只允许业务相关的访问，拒绝其他所有访问；在生产网的其他各区域之间利用三层交换机划分虚拟子网及进行简单包过滤，做到较简单的访问控制；2防拒绝服务攻击在网上银行系统与In ternet出口边界处，配备抗DoS攻击网关系统，以抵御来自互联网的各种拒绝服务攻击和分布式拒绝服务攻击。3网络入侵检测 在网上银行系统和总行业务网络系统中部署入侵检测系统，实时检测、分析网络上的 通讯数

19、据流，尤其是对进出安全域边界或进出存放有涉密信息的关键网段、服务器主机的 通讯数据流进行监控，及时发现违规行为和异常行为并进行处理。网络入侵检测系统可实 现如下功能：网络信息包嗅探。以旁路监听方式秘密运行，使攻击者无法感知到。黑客常常在没 有觉察的情况下被抓获，因为他们不知道他们一直受到密切监视。网络访问监控。根据实际业务需要定制相关规则，可以定义哪些主机或网段可以或不可以访问网络上的特定资源，可以定义访问时间段，对特定的非法访问行为或除特定合法访问行为之外的所有访问行为进行监控，一旦发现违规行为则根据事先定义的响应策略进行报警、阻断或联动的相应，以保证只有授权用户才可以访问特定 网络资源。应

20、用层攻击特征检测。提供详尽、细粒度的应用协议分析技术，实现应用层攻击检 测，可自动检测网络实时数据流中符合特征的攻击行为，系统维护一个强大的攻击 特征库，用户可以定期更新，确保能够检测到最新的攻击事件。蠕虫检测。实时跟踪当前最新的蠕虫事件，针对已经发现的蠕虫攻击及时提供相关 事件规则。系统维护一个强大的蠕虫特征库，用户可以定期更新，确保能够检测到 最新的蠕虫事件。对于存在系统漏洞但尚未发现相关蠕虫事件的情况，通过分析漏 洞来提供相关的入侵事件规则，最大限度地解决蠕虫发现滞后的问题。可疑网络活动检测。即异常检测，包括通过对在特定时间间隔内超流量、超连接的数据包进行检测等方式，实现对 DoS扫描等

21、攻击事件的检测。检测隐藏在SSL加密通讯中的攻击。通过解码基于 SSL加密的通讯数据，分析、检 测基于SSL加密通讯的攻击行为，从而可以保护提供 SSL加密访问的网银WE曲艮务 器的安全性。 日志审计。提供入侵日志和网络流量日志记录和综合分析功能，并提供详细的分析 报告，使网络管理员可以跟踪用户、应用程序等对网络的使用情况，帮助管理员改 进网络安全策略的规划，并提供更精确的网络安全控制。通过详尽的审计记录，可 以在系统遭到恶意攻击后，提供证据以提起法律诉讼。多网段同时监控。入侵探测器支持多个网络监听口，可以连接到多个网段中进行实 时监控，我们也可以在不同的网段分别部署多个探测引擎，管理员可以通

22、过集中的 管理控制台对探测器上传的信息进行统一查看，通过管理器进行综合分析，并生成 报表。4入侵防御系统 在生产网与网上银行网络之间、办公网与互联网之间分别部署入侵防御系统，对外界 网络黑客利用防火墙为合法的用户访问而开放的端口穿透防火墙对内网发起的各种高级、 复杂的攻击行为进行检测和阻断。 IPS 系统工作在第二层到第七层， 通常使用特征匹配和异 常分析的方法来识别各种网络攻击行为，因其是以在线串联方式部署的，对检测到的各种 攻击行为均可直接阻断并生成日志报告和报警信息。5漏洞扫描系统 在生产网上部署一套漏洞扫描系统，定期对整个网络，特别是关键主机及网络设备进 行漏洞扫描。这样才能及时发现网

23、络中存在的漏洞和弱点，及时根据漏洞扫描系统提出的 解决方案进行系统加固或安全策略调整。以实现防患于未然的目的。同时得到的扫描日志 还可以提供给安全管理中心，作为对整个网络健康状况评估的一部分，使得管理员能够机 制准确的把握网络的运行状况。4.2 系统层安全建议6病毒防范系统在 XXX 银行网络系统可能的病毒攻击点或通道中部署全方位的病毒防范系统，包括在 网上银行互联网出口、网上银行区域与业务区域之间、办公区域的互联网出口处部署网关 级防病毒设备，在整个网络中的所有 WINDOW服务器和客户端计算机上部署相应平台的网 络版防病毒软件并配置防病毒系统管理中心对所有主机上的防病毒软件进行集中管理、监

24、控、统一升级、集中查杀毒。4.3 管理层安全建议7综合安全管理平台和安全运营中心 部署一套有效的网络安全管理体系，采用集中的安全管理平台，来对全网进行统一的 安全管理和网络管理，同时借助专业的第三方服务，在安全管理平台的基础上建立 XXX 银 行安全运营中心，对 XXX银行安全保障体系的建设起到推动作用，确保 XXX银行信息网络信息系统内部不发生安全事件、少发生安全事件或者发生安全事件时能够及时处理减少由 于安全事件带来的损失。根据XXX银行的网络结构和区域划分，我们将分别针对网上银行、省和地市生产业务 网络进行安全体系设计。5 详细网络架构及产品部署建议5.1网上银行安全建议网上银行的安全防

25、护方案具体设计如下：1、 在网银区域与In ternet之间插入一套抗DoS攻击系统，对来自互联网的 DDoS攻击 流量进行清除，同时保证正常访问流量的通过。2、 网银区域与 Internet 之间设置一套防火墙系统（外层防火墙），采用双机热备结 构，通过二层交换机连接抗 DoS攻击设备，将网银 WE曲艮务器保护在防火墙的一个单独的 安全区域中，并通过两台三层交换机连接内部网络。外层防火墙的主要作用是控制来自外网的访问，只允许授权用户访问网银服务的特定 IP和端口，并通过NAT屏蔽服务器真实地址。防火墙采用透明工作模式。三层交换机提供缺省网关和局域网路由功能。3、 使用一台网络入侵检测设备，提

26、供双引擎，分别连接到网银 WEE区域和网银DB区 域的两台交换机上进行监控，对网络上传输的敏感数据包（包括 SSL 加密数据）进行深层 分析，可有效地发现防火墙无法识别的特殊的应用层攻击行为。4、 网银 WEB区域与后台数据库/应用服务器区域及信息中心网络之间设置一套防火墙 系统（内层防火墙），一方面控制网银 WE服务区与后台APP服务区之间的访问，只允许 来自网银 WE区服务器发起的特定访问，禁止其他一切数据通讯；另一方面控制网银DB/APP 服务区与内部生产区域之间的访问， 只允许应用相关的特定访问， 禁止其他一切数据通讯； 采用与外部防火墙异构的防火墙产品，即使攻击者成功获得外墙的控制权

27、，也不能轻易攻 入业务网络。5、 在内层防火墙与内网核心交换机之间串联一组 UTM设备，启用IPS功能和防病毒功 能，抵御来自互联网及网银区域的病毒、蠕虫、恶意代码及其他攻击，双机热备。部署方式如下图所示：IsI为;i ii iiiI I(OA)网牛网 新羽啊恤齐钢|丈孩札IH轉妙前p I丄/ 恤B区Ii /AN/ H蒯j lltt 财SSLlJ lc图5.1网上银行安全解决方案部署图5.2省联社生产网安全建议1、将信息中心按不同业务划分多个网络区域。2、总行管理中心网络与核心交换机之间不署一套防火墙系统，提供安全控制。对管理 区域的访问进行行为控制。3、总行生产业务网络与企业客户、协作单位网

28、络的互联出口采用一套双机防火墙系统 提供安全控制，对来自外单位网络的访问行为进行控制。4、在总行生产业务网络与办公业务网络核心交换机之间设置一套双机防火墙系统，对 从办公网络特定用户到生产网络特定区域上特定主机的访问行为进行控制，同时除必须开 放的连接外，禁止任何从生产网主动向办公网发起的访问请求。5、采用千兆 IDS 设备，分别连接到总行生产网两台核心交换机上，监视和防范内网上的违规访问行为，主要监听进出生产区域及来自办公网、下级单位和协作单位的流量。6、各地市生产网到总行生产网之间采用一套双机防火墙系统提供安全控制。对来自各 分支机构网络的访问行为进行控制。7、区县生产网、分理处等营业网点

29、分别通过上级联社生产网的转发实现对总部数据中 心系统的访问。8、网上银行网络与生产网络之间的访问通过两台互备的 UTM设备进行监控。网络结构及安全设备部署方式如下图：安仝产晶團例杵韭朴和关业务M u网眼知n仪 Jf削癖社宓,（0A）网SCA.IWNER満洞扫誉阳火堵泮円机.FI蛊*网论服务將图5.2省联社生产网安全解决方案部署图5.3地市联社生产网安全建议1、 地市联社生产业务网络与企业客户、协作单位网络的互联出口采用一套双机防火墙 系统提供安全控制，对来自外单位网络的访问行为进行控制。2、 在地市生产业务网络与办公业务网络核心交换机之间设置一套双机防火墙系统，对 从办公网络特定用户到生产网络

30、特定区域上特定主机的访问行为进行控制，同时除必须开 放的连接外，禁止任何从生产网主动向办公网发起的访问请求。3、 采用IDS设备，分别连接到地市生产网两台核心交换机上，监视和防范内网上的违 规访问行为，主要监听进出生产区域及来自办公网、下级单位和协作单位的流量。4、 各地市生产网到总行生产网以及区县生产网、分理处等营业网点之间采用一套双机防火墙系统提供安全控制。对来自总行和各分支机构网络的访问行为进行控制 网络结构及安全设备部署方式如下图：了嵐乔越ST 飞图5.3地市联社生产网安全解决方案部署图5.4区县联社生产网安全建议1、区县联社生产业务网络与办公业务网络核心交换机之间设置一套防火墙系统，

31、对从 办公网络特定用户到生产网络特定区域上特定主机的访问行为进行控制，同时除必须开放的连接外，禁止任何从生产网主动向办公网发起的访问请求。2、各区县联社生产网到上级分行生产网以及分理处等营业网点之间采用一套双机防火 墙系统提供安全控制。对来自上级分行和各分支机构网络的访问行为进行控制。网络结构及安全设备部署方式如下图：龙县牛.产业务网（夕卜联业务网 : |核卍交换聲r r爾炜图5.4区县联社生产网安全解决方案部署图5.5全行网络防病毒系统建议具体的部署建议如下：1、 在XXX银行各级单位所有 Windows服务器上部署服务器防毒系统，确保服务器系统 不会成为病毒驻留的平台，提高整个服务器系统的高可靠性；2、 在