XXX银行生产网络安全规划建议书2006年6月目录1项目情况概述 (3)2网络结构调整与安全域划分 (5)3XXX银行网络需求分析 (7)3.1网上银行安全风险和安全需求 (8)3.2生产业务网络安全风险和安全需求 (9)4总体安全技术框架建议 (11)4.1网络层安全建议 (11)4.2系统层安全建议 (13)4.3管理层安全建议 (14)5详细网络架构及产品部署建议 (15)5.1网上银行安全建议 (15)5.2省联社生产网安全建议 (17)5.3地市联社生产网安全建议 (19)5.4区县联社生产网安全建议 (19)5.5全行网络防病毒系统建议 (20)5.6网络安全管理平台建议 (21)5.6.1部署网络安全管理平台的必要性 (21)5.6.2网络安全管理平台部署建议 (22)5.7建立专业的安全服务体系建议 (23)5.7.1现状调查和风险评估 (24)5.7.2安全策略制定及方案设计 (24)5.7.3安全应急响应方案 (25)6安全规划总结 (28)7产品配置清单 (29)1项目情况概述Xxx银行网络是一个正在进行改造的省级银行网络。

整个网络随着业务的不断扩展和应用的增加，已经形成了一个横纵联系，错综复杂的网络。

从纵向来看，目前XXX银行网络分为四层，第一层为省联社网络，第二层为地市联社网络，第三层为县（区）联社网络，第四层为分理处网络。

从横向来看，省及各地市的银行网络都按照应用划分为办公子网、生产子网和外联网络三个大子网。

而在省中心网上，还包括网上银行、测试子网和MIS子网三个单独的子网。

其整个网络的结构示意图如下：图1.1 XXX银行网络结构示意图XXX银行网络是一个正在新建的网络，目前业务系统刚刚上线运行，还没有进行信息安全方面的建设。

而对于XXX银行网络来说，生产网是网络中最重要的部分，所有的应用也业务系统都部署在生产网上。

一旦生产网出现问题，造成的损失和影响将是不可估量的。

因此现在急需解决生产网的安全问题。

本次对XXX银行网络的安全规划仅限于生产网以及与生产网安全相关的网络部分，因此下面我们着重对XXX银行的生产网构架做一个详细描述。

（一）省联社生产网络省联社网络生产网络是全行信息系统的核心，业务系统、网上银行系统及管理系统都集中在信息中心。

省联社网络生产网络负责与人行及其他单位中间业务的连接。

省联社网络生产网络负责建立和维护网上银行。

省联社网络生产网络中包含MIS系统和测试系统。

操作系统主要有：OS/400、AIX、Linux、Windows，以及其它设备的专用系统。

数据库系统包括：DB2、INFORMIX、SYBASE、ORACLE等。

业务应用包括：生产业务：一线业务：与客户直接关联的业务，如ATM、POS、柜员终端等二线业务：不直接与客户相关的业务，如管理流程、公文轮流转、监督、决策等，为一线业务的支撑。

（二）地市联社生产网络地市联社生产网络是二级网络，通过两条互为备份的专线与省联社中心网络互连。

操作系统主要有：UNIX、WINDOWS。

（三）区（县）联社生产网络区（县）联社生产网络是三级网络，通过2M SDH/或者10M光纤以太网（ISDN备份）等方式与管辖支行的网络连接。

操作系统主要有：UNIX、WINDOWS。

（四）分理处生产网分理处是四级网络，各个分理处通过2M SDH或者ISDN等方式与管辖区（县）联社的网络连接。

由于区县联社及分理处的网络目前还处在组网的初级阶段，网络构造简单且还没有能力进行完善的网络安全建设和管理，因此本次规划主要是对省及地市联社的网络安全部分。

当把省及地市部分的网络建成一个比较完善的安全防护体系之后，再逐步的将安全措施和手段应用于下层的区县联社及分理处。

从而实现整个网络的重点防护、分步实施策略。

2网络结构调整与安全域划分对于XXX银行生产网络来说，首要的一点就是应该根据国家有关部门对相关规定，将整个生产网络进行网络结构的优化和安全域的划分，从结构上实现对安全等级化保护。

根据《中国人民银行计算机安全管理暂行规定（试行）》的相关要求：“第六十一条联网上的所有计算机设备，不得直接或间接地与国际互联网相联接，必须实现与国际互联网的物理隔离。

”“第七十五条计算机信息系统的开发环境和现场应当与生产环境和现场隔离。

”因此我们有必要对现有网络环境进行改造，以将生产业务网络（包括一线业务和二线业务）与具有互联网连接的办公网络之间区分开来，通过强有力的安全控制机制最大化实现生产系统与其他业务系统之间的隔离。

同时，对XXX银行所有信息资源进行安全分级，根据不同业务和应用类型划分不同安全等级的安全域，并分别进行不同等级的隔离和保护。

初步规划将省联社生产网络划分成多个具备不同安全等级的区域，参考公安部发布的《信息系统安全保护等级定级指南》，我们对安全区域划分和定级的建议如下：对于各地市、区县联社和各营业网点也需要将生产业务和办公业务严格区分开，并进行逻辑隔离，确保生产区域具有较高安全级别。

由于部分办公业务用户需要访问生产业务中的特定数据，而部分生产应用也需要访问办公网中的特定数据，因此无法做到生产、办公之间彻底的物理隔离，建议在各级联社信息中心提供生产网与办公网之间的连接，并采用逻辑隔离手段进行控制，对于营业网点，由于作隔离投入太大，可暂时不考虑隔离。

改造后的总体逻辑结构如图所示：图2.1 XXX银行网络安全结构示意图网络改造后，全行办公系统将统一互联网出口，所有办公终端只允许在通信行为可控的情况下才能通过信息中心办公网络的互联网出口访问外界网络，生产业务服务器和终端不允许采取任何手段直接访问互联网或通过办公网间接访问互联网。

网上银行因业务需要必须连接互联网，但只允许互联网用户对网银门户的访问以及认证用户对网银WEB服务器的访问，生产业务服务器和终端不允许采取任何手段直接访问互联网或通过网银网络间接访问互联网。

3XXX银行网络需求分析随着XXX银行金融信息化的发展，信息系统已经成为银行赖以生存和发展的基本条件。

相应地，银行信息系统的安全问题也越来越突出，银行信息系统的安全问题主要包括两个方面：一是来自外界对银行系统的非法侵入，对信息系统的蓄意破坏和盗窃、篡改信息行为；二是来自银行部员工故意或无意的对信息系统管理的违反。

银行信息系统正在面临着严峻的挑战。

银行进行安全建设、加强安全管理已经成为当务之急，其必要性正在随着银行业务和信息系统如下的发展趋势而更加凸出：银行的关键业务系统层次丰富，操作环节多，风险也相对比较明显；随着电子银行和中间业务的广泛开展，银行的网络与Internet和其他组织机构的网络互联程度越来越高，使原本相对封闭的网络越来越开放，从而将外部网络的风险引入到银行部网络；随着银行业务集中化的趋势，银行业务系统对可靠性和无间断运行的要求也越来越高；随着WTO的到来和外资银行的进入，银行业竞争日益激烈，新的金融产品不断推出，从而使银行的应用系统处于快速的变化过程中，对银行的安全管理提出了更高的要求。

中国国各家银行也已经开始进行信息安体系建设，其中最主要的措施就是采购了大量安全产品，包括防火墙、入侵检测系统、防病毒和身份认证系统等。

这些安全产品在很大程度上提高了银行信息系统的安全水平，对保护银行信息安全起到了一定作用。

但是它们并没有从根本上降低安全风险，缓解安全问题，这主要是因为：●信息安全问题从来就不是单纯的技术问题，把防黑客入侵和病毒感染理解为信息安全问题的全部是片面的。

安全产品的功能相对比较狭窄，往往用于解决一类安全问题，因此仅仅通过部署安全产品很难完全覆盖银行信息安全问题；●信息安全问题不是静态的，它总是随着银行策略、组织架构、信息系统和操作流程的改变而改变。

部署安全产品是一种静态的解决办法。

一般来说，在产品安装和配置后较长一段时间，它们都无法动态调整以适应安全问题的变化。

所以，银行界的有识之士都意识到应从根本上改变应对信息安全问题的思路，建立更加全面的安全保障体系，在安全产品的辅助下，通过管理手段体系化地保障信息系统安全。

下面我们将通过分析XXX银行改造后的网络结构下可能面临的安全问题，对XXX银行（主要是生产网）目前的安全需求进行总体分析。

根据实际项目进度安排，我们将分别对网上银行系统、生产业务系统进行分析。

3.1网上银行安全风险和安全需求针对目前最常见的互联网攻击类型以及国外网上银行系统通常面临的安全威胁，结合XXX银行的实际情况，我们认为在XXX银行网上银行网络可能面临的安全风险和对应的安全需求如下：3.2生产业务网络安全风险和安全需求对于生产业务网络而言，可能存在的安全风险和对应的安全需求如下：4总体安全技术框架建议根据对XXX银行网络系统安全需求分析，我们提出了由多种安全技术和多层防护措施构成的一整套安全技术方案，具体包括：在网络层划分安全域，部署防火墙系统、防拒绝服务攻击系统、入侵检测系统、入侵防御系统和漏洞扫描系统；在系统层部署病毒防系统，提供系统安全评估和加固建议；在管理层制订安全管理策略，部署安全信息管理和分析系统，建立安全管理中心。

具体建议如下：4.1网络层安全建议1．网络访问控制●划分安全域为了提高银行网络的安全性和可靠性，在省联社总部、各地市联社、各区县联社、分理处对不同系统划分不同安全域。

●访问控制措施对安全等级较高的安全域，在其边界部署防火墙，对安全等级较低的安全域的边界则可以使用VLAN或访问控制列表来代替。

根据对XXX银行整体网络的区域划分，我们将在不同安全域边界采用不同的访问控制措施：◆在生产网与办公网之间采用防火墙提供访问控制，只允许业务相关的访问，拒绝其他所有访问；◆在生产网与网上银行网络之间采用防火墙提供访问控制，只允许业务相关的访问，拒绝其他所有访问；◆在生产网与相关单位网络之间采用防火墙提供访问控制，只允许业务相关的访问，拒绝其他所有访问；◆在网上银行网络与互联网之间采用防火墙提供访问控制，除允许互联网用户访问网银门户、允许互联网认证用户访问网银WEB及允许网银WEB服务器/SSL加速器访问互联网上的CFCA之外，拒绝其他所有访问；◆在生产网的生产区域（一线业务）与其他区域之间采用防火墙提供访问控制，只允许业务相关的访问，拒绝其他所有访问；◆在生产网的其他各区域之间利用三层交换机划分虚拟子网及进行简单包过滤，做到较简单的访问控制；2．防拒绝服务攻击在网上银行系统与Internet出口边界处，配备抗DoS攻击网关系统，以抵御来自互联网的各种拒绝服务攻击和分布式拒绝服务攻击。

3．网络入侵检测在网上银行系统和总行业务网络系统中部署入侵检测系统，实时检测、分析网络上的通讯数据流，尤其是对进出安全域边界或进出存放有涉密信息的关键网段、服务器主机的通讯数据流进行监控，及时发现违规行为和异常行为并进行处理。