《某建设银行安全应用实例》由会员分享,可在线阅读,更多相关《某建设银行安全应用实例(7页珍藏版)》请在金锄头文库上搜索。
1、某建设银行安全应用实例XX数码有限公司OO 一年五月、某建设银行业务分析1. 业务分析业务概况保护某建行的网络系统,保证各项业务正常运行, 防止非法行为的侵犯和病毒的破坏。由于目前某建行没有采取安全保护措施,使得自己的业务系统完全暴露在网络环境中, 因此容易受到黑客和不法人员的侵害,所以应该实施一套完整的安全方案来保护业务网 络,同时由于银行每天都有大量的数据通过网络,所以要保证网络的流量,即新增的安 全产品不能成为网络的瓶颈。1. 管理模式在管理上,使用集中式的管理可以方便快捷,并能够简化管理员的工作,提高工作 效率。从安全的角度来看,复杂的,分散的管理方式在安全上是存在很大的隐患和漏洞 的
2、,使用集中管理也是提高安全等级的一项主要内容。2. 网络主要的安全风险和漏洞数据库数据会受到黑客的窃取、破坏以及病毒的破坏系统信息会受到黑客的窃取、破坏以及病毒的破坏服务的正常运行会受到黑客的攻击、破坏以及病毒的破坏3. 网络中心拓扑结构:虫严宙範中心 凰台mcobiSP1000並去13】阳段 的窖户机Cbco340L is coC阮口 75131VLAN 20VLAN1:5500E Port 2/21-24热dl(斤式珪摄的业务轨通过托怜A厉日HUBll-a产HUB(T)VLAN 105500B Port. 2/1-20CiD 2515隹止斟I 办那购楂ISfi宝卢机吝盼忒蛊份机21E921
3、62224D 俞盘机9CucoO耳前未用)DD 卜PPSTN5500ACal55D0BCisca2J0E再扛中心HUBm 虫产二 窖户机Mofordl-i虽*dk才武建焼的业务机1过75133特河沈阳遂设银行网络拓扑图从上图中可以看出,目前某建行的网络比较复杂,设备众多,型号也非常多,一方面在管理上 很不方便,另一方面从安全性的角度讲,它使得网络的安全等级也降低了,因此我们需要简化 网络结构,并对网络进行集中的管理。1、系统安全目的通过以上的分析,安全目的是:保护某建设银行的内部网络的计算机系统正常运转,避免恶意 的攻击、破坏;重要数据库的数据,防止被窃取、修改、破坏。三、用户安全需求分析1
4、.安全性网络环境、操作系统与数据的安全性现在这个网络环境直接暴露,是处在非常不安全的状态,所以我们需要用防火墙来隔离某建行的内部生产网络,保护各种业务的服务器,其中包括 AS400等重要的业务机。由于防 火墙能够阻挡黑客的攻击行为和异常的网络事件, 这样可以保护我们的网络环境、 网络中计 算机的操作系统和数据。 防火墙是网络安全的第一道屏障, 单有防火墙是不能进行全面保护 的,我们还需要 入侵监测系统( IDS )来对黑客的攻击进行报警和自动防范。2高效性由于每天有大量的信息访问要保护生产系统的服务器, 这就要求网络拥有很高的数据吞吐能 力,也就意味着网络的安全产品不能对网络的流量造成影响。而
5、现在传统防火墙动辄造成 15% 以上的效率损失相比,这就造成了一个矛盾。 方正方御防火墙充分考虑了用户对效率的重视性, 拥有足以自豪的数据吞吐能力。在 500 条规则以下的应用(占全部应用的 95%以上)中,基本 不影响网络传输,有绝对的优势。3可扩展性银行是我国重要的金融机构,新的业务会不断的开展,同时也会应用大量的新技术新设备, 同时网络的发展日新月异,所以网络的扩展性好坏关系到日后企业的发展。这就要求在网络建 设时留余地。这样不会因为现在的投资给将来网络的发展和升级带来影响。4易用性 (管理控制)不易使用的安全系统是不安全的。充斥着英文术语的管理界面会大大的增加系统管理人员 的工作量,也
6、容易导致不应有的漏洞的出现或安全策略的僵化。易用性主要包括:要界面清晰易懂管理集中方便安全性的时实监控5完善的服务体制网络安全的实施还需要完善的服务体制来保障, 一般的企业不是专业的网络安全公司, 安全 是动态的过程,今天安全的系统明天就可能不安全,这就要求提供安全方案的公司有优秀的服 务体制进行跟踪服务。这就需要有一支专业的网络安全队伍来帮助企业解决有关安全问题。再严密的系统也可能出现漏洞, 当紧急事件发生时, 能不能在最短时间内获得紧急响应服务 经常决定了损失的大小,而且这种时候,需要的是极其专业的服务,没有强大开发实力的公司 是无法满足这种需求的,而在国内没有开发部门的国外著名公司则往往
7、鞭长莫及。四、安全体系结构通过前面的分析,我们可以知道,首先需要使用防火墙作为网络安全的屏障来与其他网络 进行隔离,这样能够防止其他网络的非法用户的非法侵害,在这里我们建议使用方正数码的方 正方御防火墙。(有关方御防火墙的具体情况请见后面有关防火墙介绍的部分)作为网络安全必备的第二道警戒线我们需要布置IDS (入侵监测系统),IDS系统主要包括网络IDS、主机IDS 等部分,对于IDS系统方正方御防火墙里已经内置了一套网络 IDS系统。同时要在网络中布置 一套网络防病毒系统,已达到对病毒的防御。由于防火墙是网络中的关键设备之一,由于有时 候一些不可预见的因素可能会是防火墙出现故障的而造成网络不
8、畅通或安全性失效,所以我们 要采取双机热备的方案,提高安全的可靠性。另外需要我们注意的是加入数据备份的产品,来 保护我们的数据库。安全体系结构图:用户方正方酌火电/IDStRS横块一阶携構疑安全解决方案体系所使用模块:防火墙(方正方御防火墙)IDS( ISS 产品)防病毒模块(KiLL网络防毒产品)网络冗余数据备份整个安全系统结构可以总结为: 多层隔离、实时监控、立体防护、集中管理。五、安全系统实施通过上面对需求的分析,我们提出了解决需求所要使用到的安全模块, 主要由防火墙来对网 络上的入侵、攻击以及异常的行为进行阻挡。使用方正数码的 FireGate防火墙作为系统安全的 屏障。具体实施如下图
9、所示:沈阳市建设银行 左全解决方案 拓朴图 Kiix网络防看摸映S号 箱盂观平台安全模块安之后的拓扑图及其说明:拓扑接供如上图所示,在访问的线路上添加方御防火墙双机热备方案,防火墙设置为桥接 模式,不需要给内、外部接口配置IP地址,将防火墙的外部接口使用直连线与交换机连接,将 防火墙的内部接口使用直连线与相连接即可。防火墙的规则配置请参看方御防火墙使用说明书。在网络的主交换机上安装一台带有IDS系统的计算机,作为第二道安全防护屏障,同时在 每台计算机上安装 Kill 网络版防病毒模块和 E-trust 单机版 IDS 模块。作为防御病毒的屏障。 对于数据的备分系统,相应的数据库都提供备份的办法,也可以使用磁带机等,这里就不 多描述了。整个安全的实施,除了增加防火墙和防病毒模块外,不需要在购置其他网络设备,在实施 上非常方便。上面提供的是一个概要的网络拓扑图,图中的 AS400 组里可以针对没台 AS400 的服务器在 加装移到防火墙方式同图中的红框里的一样。前置机平台则是一台或多台前置机的组合。
