銀行網(wǎng)絡安全建設方案書

《銀行網(wǎng)絡安全建設方案書》由會員分享，可在線閱讀，更多相關《銀行網(wǎng)絡安全建設方案書（8頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、 銀行網(wǎng)絡安全建設方案書 1 資料內容僅供參考，如有不當或者侵權，請聯(lián)系本人改正或者刪除。 XXX 銀行生產網(wǎng)絡安全規(guī)劃建議書

2、 6 月 目錄 1 項目情況概述 .........................................................錯誤 !未定義書簽。 2 網(wǎng)絡結構調整與安全域劃分 ................................錯誤 !未定義書簽。 3 XXX 銀行網(wǎng)絡需求分析 ....................................... 錯誤 !未定義書簽。 3.1 網(wǎng)上銀行安全風險和安全需求

3、 ....................... 錯誤 !未定義書簽。 3.2 生產業(yè)務網(wǎng)絡安全風險和安全需求 ............... 錯誤 !未定義書簽。 4 總體安全技術框架建議 ........................................錯誤 !未定義書簽。 4.1 網(wǎng)絡層安全建議 ............................................... 錯誤 !未定義書簽。 4.2 系統(tǒng)層安全建議 ...............................

4、................ 錯誤 !未定義書簽。 4.3 管理層安全建議 ............................................... 錯誤 !未定義書簽。 5 詳細網(wǎng)絡架構及產品部署建議............................ 錯誤 !未定義書簽。 5.1 網(wǎng)上銀行安全建議 ........................................... 錯誤 !未定義書簽。 5.2 省聯(lián)社生產網(wǎng)安全建議 ...........................

5、........ 錯誤 !未定義書簽。 2 資料內容僅供參考，如有不當或者侵權，請聯(lián)系本人改正或者刪除。 5.3 地市聯(lián)社生產網(wǎng)安全建議 ............................... 錯誤 !未定義書簽。 5.4 區(qū)縣聯(lián)社生產網(wǎng)安全建議 ............................... 錯誤 !未定義書簽。 5.5 全行網(wǎng)絡防病毒系統(tǒng)建議 ............................... 錯誤 !未定義書簽。 5.6 網(wǎng)絡安全管理平臺建議 .....

6、.............................. 錯誤 !未定義書簽。 5.6.1 部署網(wǎng)絡安全管理平臺的必要性 ............. 錯誤! 未定義書簽。 5.6.2 網(wǎng)絡安全管理平臺部署建議 錯誤 未定義書簽。 ..................... ! 5.7 建立專業(yè)的安全服務體系建議 ....................... 錯誤 !未定義書簽。 5.7.1 現(xiàn)狀調查和風險評估 ................................. 錯誤! 未定義書簽。 5.

7、7.2 安全策略制定及方案設計 錯誤! 未定義書簽。 ......................... 5.7.3 安全應急響應方案 ..................................... 錯誤! 未定義書簽。 6 安全規(guī)劃總結 .........................................................錯誤 !未定義書簽。 7 產品配置清單 ......................................................

8、...錯誤 !未定義書簽。 3 資料內容僅供參考，如有不當或者侵權，請聯(lián)系本人改正或者刪除。 1 項目情況概述 Xxx 銀行網(wǎng)絡是一個正在進行改造的省級銀行網(wǎng)絡。整個網(wǎng)絡隨著業(yè)務的不斷擴 展和應用的增加 , 已經(jīng)形成了一個橫縱聯(lián)系 , 錯綜復雜的網(wǎng)絡。從縱向來看 , 當前 XXX 銀行網(wǎng)絡分為四層 , 第一層為省聯(lián)社網(wǎng)絡

9、 , 第二層為地市聯(lián)社網(wǎng)絡 , 第三層為縣 ( 區(qū) ) 聯(lián) 社網(wǎng)絡 , 第四層為分理處網(wǎng)絡。 從橫向來看 , 省及各地市的銀行網(wǎng)絡都按照應用劃分為辦公子網(wǎng)、 生產子網(wǎng)和外 聯(lián)網(wǎng)絡三個大子網(wǎng)。而在省中心網(wǎng)上 , 還包括網(wǎng)上銀行、 測試子網(wǎng)和 MIS 子網(wǎng)三個單 獨的子網(wǎng)。其整個網(wǎng)絡的結構示意圖如下 :

10、 圖 1.1 XXX 銀行網(wǎng)絡結構示意圖 XXX 銀行網(wǎng)絡是一個正在新建的網(wǎng)絡 , 當前業(yè)務系統(tǒng)剛剛上線運行 , 還沒有進行 4 資料內容僅供參考，如有不當或者侵權，請聯(lián)系本人改正或者刪除。 信息安全方面的建設。而對于 XXX 銀行網(wǎng)絡來說 , 生產網(wǎng)是網(wǎng)絡中最重要的部分 , 所 有的應用也業(yè)務系統(tǒng)都部署在生產網(wǎng)上。一旦生產網(wǎng)出現(xiàn)問題 , 造成的損失和影響將 是不可估量的。因此現(xiàn)在急需解決生產網(wǎng)的安全問題。 本次對 XXX 銀行網(wǎng)絡的安全規(guī)劃僅限于生產網(wǎng)以及與生產網(wǎng)安全相關的網(wǎng)絡部 分, 因此下面我們著重對

11、XXX 銀行的生產網(wǎng)構架做一個詳細描述。 ( 一 ) 省聯(lián)社生產網(wǎng)絡 省聯(lián)社網(wǎng)絡生產網(wǎng)絡是全行信息系統(tǒng)的核心 , 業(yè)務系統(tǒng)、 網(wǎng)上銀行系統(tǒng)及管理系統(tǒng)都集中在信息中心。 省聯(lián)社網(wǎng)絡生產網(wǎng)絡負責與人行及其它單位中間業(yè)務的連接。 省聯(lián)社網(wǎng)絡生產網(wǎng)絡負責建立和維護網(wǎng)上銀行。 省聯(lián)社網(wǎng)絡生產網(wǎng)絡中包含 MIS 系統(tǒng)和測試系統(tǒng)。 操作系統(tǒng)主要有 : OS/400、 AIX 、 Linux 、 Windows, 以及其它設備的專用 系統(tǒng)。 數(shù)據(jù)庫系統(tǒng)包括 : DB2 、 INFORMIX 、 SYBASE 、 ORACLE 等。

12、 業(yè)務應用包括 : 生產業(yè)務 : 一線業(yè)務 : 與客戶直接關聯(lián)的業(yè)務 , 如 ATM 、 POS、 柜員終端等 二線業(yè)務 : 不直接與客戶相關的業(yè)務 , 如管理流程、 公文輪流轉、 監(jiān)督、 決策等 , 為一線業(yè)務的支撐。 ( 二 ) 地市聯(lián)社生產網(wǎng)絡 地市聯(lián)社生產網(wǎng)絡是二級網(wǎng)絡 , 經(jīng)過兩條互為備份的專線與省聯(lián)社中心網(wǎng) 絡互連。 操作系統(tǒng)主要有 : UNIX 、 WINDOWS 。 5 資料內容僅供參考，如有不當或者侵權，請聯(lián)系本人改正或者刪除。 ( 三 ) 區(qū)( 縣 ) 聯(lián)社生產

13、網(wǎng)絡 區(qū) ( 縣 ) 聯(lián)社生產網(wǎng)絡是三級網(wǎng)絡 , 經(jīng)過 2M SDH/ 或者 10M 光纖以太網(wǎng) ( ISDN 備份 ) 等方式與管轄支行的網(wǎng)絡連接。 操作系統(tǒng)主要有 : UNIX 、 WINDOWS 。 ( 四 ) 分理處生產網(wǎng) 分理處是四級網(wǎng)絡 , 各個分理處經(jīng)過 2M SDH 或者 ISDN 等方式與管轄區(qū) ( 縣 ) 聯(lián)社的網(wǎng)絡連接。 由于區(qū)縣聯(lián)社及分理處的網(wǎng)絡當前還處在組網(wǎng)的初級階段 , 網(wǎng)絡構造簡單且還沒 有能力進行完善的網(wǎng)絡安全建設和管理 , 因此本次規(guī)劃主要是對省及地市聯(lián)社的網(wǎng)絡

14、 安全部分。當把省及地市部分的網(wǎng)絡建成一個比較完善的安全防護體系之后 , 再逐步 的將安全措施和手段應用于下層的區(qū)縣聯(lián)社及分理處。從而實現(xiàn)整個網(wǎng)絡的重點防 護、 分步實施策略。 6 資料內容僅供參考，如有不當或者侵權，請聯(lián)系本人改正或者刪除。 2 網(wǎng)絡結構調整與安全域劃分 對于 XXX 銀行生產網(wǎng)絡來說 , 首要的一點就是應該

15、根據(jù)國家有關部門對相關規(guī)定 , 將整個生產網(wǎng)絡進行網(wǎng)絡結構的優(yōu)化和安全域的劃分 , 從結構上實現(xiàn)對安全等級化保護。 根據(jù)《中國人民銀行計算機安全管理暫行規(guī)定 ( 試行 ) 》的相關要求 : ”第六十一條 內聯(lián)網(wǎng)上的所有計算機設備 , 不得直接或間接地與國際互聯(lián)網(wǎng)相聯(lián)接 , 必須實現(xiàn)與國際互聯(lián)網(wǎng)的物理隔離?！? ”第七十五條 計算機信息系統(tǒng)的開發(fā)環(huán)境和現(xiàn)場應當與生產環(huán)境和現(xiàn)場隔 離?！? 因此我們有必要對現(xiàn)有網(wǎng)絡環(huán)境進行改造 , 以將生產業(yè)務網(wǎng)絡 ( 包括一線業(yè)務和二 線業(yè)務 ) 與具有互聯(lián)網(wǎng)連接的辦公網(wǎng)絡之間區(qū)

16、分開來 , 經(jīng)過強有力的安全控制機制最大 化實現(xiàn)生產系統(tǒng)與其它業(yè)務系統(tǒng)之間的隔離。同時 , 對 XXX 銀行所有信息資源進行安 全分級 , 根據(jù)不同業(yè)務和應用類型劃分不同安全等級的安全域 , 并分別進行不同等級的 隔離和保護。 初步規(guī)劃將省聯(lián)社生產網(wǎng)絡劃分成多個具備不同安全等級的區(qū)域 , 參考公安部發(fā) 布的《信息系統(tǒng)安全保護等級定級指南》 , 我們對安全區(qū)域劃分和定級的建議如下 : 安全區(qū)域 說明 定級建議 生產區(qū)域 包含一線業(yè)務服務器主機 3 級 MIS 區(qū)域 包含二線業(yè)務服務器主機 2 級 網(wǎng)上銀行區(qū)域 包含網(wǎng)上銀行業(yè)務服務器主機 2 級 包含維護網(wǎng)絡信息系統(tǒng)有效運行的管理服務器主機 運行管理區(qū)域 和管理終端 2 級 包含新開發(fā)的生產應用的測試環(huán)境 , 可視為準生產 測試區(qū)域 環(huán)境 1 級 7