《银行网络安全建设方案书》由会员分享,可在线阅读,更多相关《银行网络安全建设方案书(37页珍藏版)》请在金锄头文库上搜索。
1、XXX 银行生产网络安全规划建议书2006 年 6 月目录1项目情况概述 32网络结构调整与安全域划分 53XXX 银行网络需求分析 73.1网上银行安全风险和安全需求 83.2生产业务网络安全风险和安全需求 94总体安全技术框架建议 114.1网络层安全建议 114.2系统层安全建议 134.3管理层安全建议 145详细网络架构及产品部署建议 155.1网上银行安全建议 155.2省联社生产网安全建议 175.3地市联社生产网安全建议 195.4区县联社生产网安全建议 195.5全行网络防病毒系统建议 205.6网络安全管理平台建议 215.6.1 部署网络安全管理平台的必要性 215.6.
2、2 网络安全管理平台部署建议 225.7建立专业的安全服务体系建议 235.7.1 现状调查和风险评估 245.7.2 安全策略制定及方案设计 245.7.3 安全应急响应方案 256安全规划总结 287产品配置清单 29县冋处0A)产网地M联社办处3)子网1项目情况概述Xxx银行网络是一个正在进行改造的省级银行网络。整个网络随着业务的不断扩展和应 用的增加,已经形成了一个横纵联系,错综复杂的网络。从纵向来看,目前XXX银行网络分 为四层,第一层为省联社网络,第二层为地市联社网络,第三层为县(区)联社网络,第四 层为分理处网络。从横向来看,省及各地市的银行网络都按照应用划分为办公子网、生产子网
3、和外联网络 三个大子网。而在省中心网上,还包括网上银行、测试子网和MIS子网三个单独的子网。其 整个网络的结构示意图如下:r地市联社上产两Ii厂工产网服I务器 厂县【区)联补工产、II生产网服I备器JXXX银行网络结构示总图图1.1 XXX银行网络结构示意图XXX银行网络是一个正在新建的网络,目前业务系统刚刚上线运行,还没有进行信息安 全方面的建设。而对于XXX银行网络来说,生产网是网络中最重要的部分,所有的应用也业 务系统都部署在生产网上。一旦生产网出现问题,造成的损失和影响将是不可估量的。因此 现在急需解决生产网的安全问题。本次对XXX银行网络的安全规划仅限于生产网以及与生产网安全相关的网
4、络部分,因此 下面我们着重对XXX银行的生产网构架做一个详细描述。(一)省联社生产网络省联社网络生产网络是全行信息系统的核心,业务系统、网上银行系统及管理系统都集中在信息中心。省联社网络生产网络负责与人行及其他单位中间业务的连接。省联社网络生产网络负责建立和维护网上银行。省联社网络生产网络中包含MIS系统和测试系统。操作系统主要有:0S/400、AIX、Linux、Windows,以及其它设备的专用系统。数据库系统包括:DB2、INFORMIX、SYBASE、ORACLE 等。业务应用包括:生产业务:一线业务:与客户直接关联的业务,如ATM、POS、柜员终端等二线业务:不直接与客户相关的业务,
5、如管理流程、公文轮流转、监督、决策等,为一线业务的支撑。(二)地市联社生产网络地市联社生产网络是二级网络,通过两条互为备份的专线与省联社中心网络互连。 操作系统主要有:UNIX、WINDOWS。(三)区(县)联社生产网络区(县)联社生产网络是三级网络,通过2MSDH/或者10M光纤以太网(ISDN备份)等方式与管辖支行的网络连接。操作系统主要有:UNIX、WINDOWS。(四)分理处生产网分理处是四级网络,各个分理处通过2MSDH或者ISDN等方式与管辖区(县)联社 的网络连接。由于区县联社及分理处的网络目前还处在组网的初级阶段,网络构造简单且还没有能力 进行完善的网络安全建设和管理,因此本次
6、规划主要是对省及地市联社的网络安全部分。当 把省及地市部分的网络建成一个比较完善的安全防护体系之后,再逐步的将安全措施和手段 应用于下层的区县联社及分理处。从而实现整个网络的重点防护、分步实施策略。2 网络结构调整与安全域划分对于 XXX 银行生产网络来说,首要的一点就是应该根据国家有关部门对相关规定,将整 个生产网络进行网络结构的优化和安全域的划分,从结构上实现对安全等级化保护。 根据中国人民银行计算机安全管理暂行规定(试行)的相关要求:“第六十一条 内联网上的所有计算机设备,不得直接或间接地与国际互联网相联接 必须实现与国际互联网的物理隔离。”“第七十五条 计算机信息系统的开发环境和现场应
7、当与生产环境和现场隔离。”因此我们有必要对现有网络环境进行改造,以将生产业务网络(包括一线业务和二线业 务)与具有互联网连接的办公网络之间区分开来,通过强有力的安全控制机制最大化实现生 产系统与其他业务系统之间的隔离。同时,对XXX银行所有信息资源进行安全分级,根据不 同业务和应用类型划分不同安全等级的安全域,并分别进行不同等级的隔离和保护。初步规划将省联社生产网络划分成多个具备不同安全等级的区域,参考公安部发布的信息系统安全保护等级定级指南,我们对安全区域划分和定级的建议如下:安全区域说明定级建议生产区域包含一线业务服务器主机3级MIS区域包含二线业务服务器主机2级网上银行区域包含网上银行业
8、务服务器主机2级运行管理区域包含维护网络信息系统有效运行的管理服务器主机和管理 终端2级测试区域包含新开发的生产应用的测试环境,可视为准生产环境1级办公服务器区域包含办公业务系统服务器主机2级对于各地市、区县联社和各营业网点也需要将生产业务和办公业务严格区分开,并进行逻辑隔离,确保生产区域具有较高安全级别。由于部分办公业务用户需要访问生产业务中的特定数据,而部分生产应用也需要访问办 公网中的特定数据,因此无法做到生产、办公之间彻底的物理隔离,建议在各级联社信息中 心提供生产网与办公网之间的连接,并采用逻辑隔离手段进行控制,对于营业网点,由于作 隔离投入太大,可暂时不考虑隔离。改造后的总体逻辑结
9、构如图所示:倉联社测试乎网人民银行汇餐理很联业勞生产网册屈上银行省联社办製子网地市联社办公(0A子网三级安全磁县(E)联社生产子网生产网朋务器县(笆)联社办咗(0A)于网二级安全城-级安全咸非穽全域、 丿分理处生产子网主产网服XXX银行网络安全结构示意图中帆业黃图2.1 XXX银行网络安全结构示意图网络改造后,全行办公系统将统一互联网出口,所有办公终端只允许在通信行为可控的 情况下才能通过信息中心办公网络的互联网出口访问外界网络,生产业务服务器和终端不允 许采取任何手段直接访问互联网或通过办公网间接访问互联网。网上银行因业务需要必须连接互联网,但只允许互联网用户对网银门户网站的访问以及 认证用
10、户对网银WEB服务器的访问,生产业务服务器和终端不允许采取任何手段直接访问互 联网或通过网银网络间接访问互联网。3 XXX 银行网络需求分析随着 XXX 银行金融信息化的发展,信息系统已经成为银行赖以生存和发展的基本条件。 相应地,银行信息系统的安全问题也越来越突出,银行信息系统的安全问题主要包括两个方 面:一是来自外界对银行系统的非法侵入,对信息系统的蓄意破坏和盗窃、篡改信息行为; 二是来自银行内部员工故意或无意的对信息系统管理的违反。银行信息系统正在面临着严峻 的挑战。银行进行安全建设、加强安全管理已经成为当务之急,其必要性正在随着银行业务和信 息系统如下的发展趋势而更加凸出:银行的关键业
11、务系统层次丰富,操作环节多,风险也相对比较明显;随着电子银行和中间业务的广泛开展,银行的网络与Internet和其他组织机构的网络 互联程度越来越高,使原本相对封闭的网络越来越开放,从而将外部网络的风险引入到银行 内部网络;随着银行业务集中化的趋势,银行业务系统对可靠性和无间断运行的要求也越来越高; 随着WTO的到来和外资银行的进入,银行业竞争日益激烈,新的金融产品不断推出,从 而使银行的应用系统处于快速的变化过程中,对银行的安全管理提出了更高的要求。中国国内各家银行也已经开始进行信息安体系建设,其中最主要的措施就是采购了大量 安全产品,包括防火墙、入侵检测系统、防病毒和身份认证系统等。这些安
12、全产品在很大程 度上提高了银行信息系统的安全水平,对保护银行信息安全起到了一定作用。但是它们并没 有从根本上降低安全风险,缓解安全问题,这主要是因为: 信息安全问题从来就不是单纯的技术问题,把防范黑客入侵和病毒感染理解为信 息安全问题的全部是片面的。安全产品的功能相对比较狭窄,往往用于解决一类安 全问题,因此仅仅通过部署安全产品很难完全覆盖银行信息安全问题; 信息安全问题不是静态的,它总是随着银行策略、组织架构、信息系统和操作流 程的改变而改变。部署安全产品是一种静态的解决办法。一般来说,在产品安装和 配置后较长一段时间内,它们都无法动态调整以适应安全问题的变化。所以,银行界的有识之士都意识到
13、应从根本上改变应对信息安全问题的思路,建立更加 全面的安全保障体系,在安全产品的辅助下,通过管理手段体系化地保障信息系统安全。F面我们将通过分析xxx银行改造后的网络结构下可能面临的安全问题,对xxx银行(主要是生产网)目前的安全需求进行总体分析。根据实际项目进度安排,我们将分别对网上银 行系统、生产业务系统进行分析。3.1 网上银行安全风险和安全需求针对目前最常见的互联网攻击类型以及国内外网上银行系统通常面临的安全威胁,结合XXX银行的实际情况,我们认为在XXX银行网上银行网络可能面临的安全风险和对应的安全需求如下:序号风险名称受影响对象安全需求1漏洞操作系统,数据库系统,应用软件评估、加固
14、(打补丁,安装加固软件)2网页篡改网银WEB和门户WEB服务器打补丁,安装防篡改软件,内容过滤3网络仿冒网银客户培训客户的安全防护意识(安装IE反钓鱼插 件;认清银行网站,不在虚假站点中填写ID 和密码;采用CA认证和SSL加密)4蠕虫和病毒所有 windows 和linux平台客户端:建议或强制安装防病毒软件/插件 服务器:安装相应平台防病毒软件 网银WEB区域与互联网之间:防病毒网关 网银与核心层之间:防病毒网关5非法入侵和攻击(网络级、应用级)所有网段防火墙、IDS (需检测应用级攻击及SSL加密攻击)6拒绝服务攻击网银WEB区域抗DOS攻击产品7网页恶意代码(木马、间谍 软件、广告软
15、件、拨号器(dialers)、 key logger、网银客户windows, ie浏览器(linux 不受影响)培训客户的安全防护意识(在计算机上安装 防病毒工具并及时更新;采用相对安全的浏 览器或在IE中安装各类安全控件;对不明邮 件不要打开,并及时删除;提高对个人资料、 账户、密码的保护意识;及时修改银行帐户 的原始密码;不要采用身份证号码、生日、密码破解工具和远程控制程序等)手机号码及过分简单的数字作为密码;不要在网吧等公共场所操作网上银行业务。8僵尸网络(DDOS、垃圾 邮件、网页仿 冒、网页攻击 的被动发起 者)互联网上大量不安 全的主机可能成为 僵尸,被利用来向网银进行攻击通过上述手段加强自身防护3.2 生产业务网络
