某建設銀行安全解決方案.doc

XX 建設銀行安全解決方案建設銀行安全解決方案 XX 數(shù)碼有限公司 二二 OO 一年五月一年五月 一 一 XX 數(shù)碼與網(wǎng)絡安全數(shù)碼與網(wǎng)絡安全2 二 沈陽建設銀行二 沈陽建設銀行3 業(yè)務分析業(yè)務分析3 三 系統(tǒng)安全目的三 系統(tǒng)安全目的4 四 用戶安全需求分析四 用戶安全需求分析4 1 安全性 安全性4 2 高效性 高效性5 3 可擴展性 可擴展性5 5 完善的服務體制 完善的服務體制5 五 安全體系結構五 安全體系結構6 六 安全系統(tǒng)實施六 安全系統(tǒng)實施7 附錄 產(chǎn)品介紹 請見相關文檔 附錄 產(chǎn)品介紹 請見相關文檔 8 一 一 XX 數(shù)碼與網(wǎng)絡安全數(shù)碼與網(wǎng)絡安全 Internet 正在越來越多地離開原來單純的學術環(huán)境 融入到社會的各個方面 一方 面 隨著網(wǎng)絡用戶成分越來越多樣化 出于各種目的的網(wǎng)絡入侵和攻擊越來越頻繁 另 一方面 隨著 Internet 和以電子商務為代表的網(wǎng)絡應用的日益發(fā)展 Internet 越來越 深地滲透到各行各業(yè)的關鍵要害領域 Internet 的安全 包括其上的信息數(shù)據(jù)安全 日 益成為與國家 政府 企業(yè) 個人的利益休戚相關的 大事情 為此 XX 數(shù)碼首先推出的就是 SHARKS 互聯(lián)網(wǎng)安全解決方案 SHARKS 是在經(jīng)過 一年多的大量投入和深入的研究后 提出的一套基于中國國情 全部自主開發(fā) 具有領 先優(yōu)勢的解決方案 它是一套整體的集群平臺 可以解決互聯(lián)網(wǎng)運營商最為關切的安全 性 高可靠性 可擴展性和易于遠程管理的問題 目前這套方案已經(jīng)得到國家有關部門 的大力支持 被國家經(jīng)貿委列為國家創(chuàng)新計劃項目之一 另外 還得到了國家 863 計 劃的支持 XX 數(shù)碼方御防火墻是 SHARKS 中的主要安全產(chǎn)品之一 方御防火墻實現(xiàn)了以橋方 式接入的獨特技術 既提高了系統(tǒng)自身的安全性 又保證了其運行效率 方御防火墻中 還融入了入侵檢測技術 可以有效地防范攻擊企圖的試探 另外利用先進的 III 技術 方御防火墻可以有效濾除著名的 DDoS 攻擊 正是這種攻擊曾迫使包括美國雅虎在內的 若干世界最大的網(wǎng)站停止服務 在立身自主開發(fā)外 XX 數(shù)碼還與 ISS Symantec 等眾多國際知名的安全公司保持 著良好的合作關系 集成國內外最優(yōu)秀的公司安全產(chǎn)品 為國內 Internet 的安全建設保 駕護航 二 沈陽建設銀行二 沈陽建設銀行業(yè)務分析業(yè)務分析 1 業(yè)務分析 業(yè)務概況 保護沈陽建行的網(wǎng)絡系統(tǒng) 保證各項業(yè)務正常運行 防止非法行為的侵犯和 病毒的破壞 由于目前沈陽建行沒有采取安全保護措施 使得自己的業(yè)務系統(tǒng)完 全暴露在網(wǎng)絡環(huán)境中 因此容易受到黑客和不法人員的侵害 所以應該實施一套 完整的安全方案來保護業(yè)務網(wǎng)絡 同時由于銀行每天都有大量的數(shù)據(jù)通過網(wǎng)絡 所以要保證網(wǎng)絡的流量 即新增的安全產(chǎn)品不能成為網(wǎng)絡的瓶頸 1 管理模式 在管理上 使用集中式的管理可以方便快捷 并能夠簡化管理員的工作 提 高工作效率 從安全的角度來看 復雜的 分散的管理方式在安全上是存在很大 的隱患和漏洞的 使用集中管理也是提高安全等級的一項主要內容 2 網(wǎng)絡主要的安全風險和漏洞 數(shù)據(jù)庫數(shù)據(jù)會受到黑客的竊取 破壞以及病毒的破壞 系統(tǒng)信息會受到黑客的竊取 破壞以及病毒的破壞 服務的正常運行會受到黑客的攻擊 破壞以及病毒的破壞 3 網(wǎng)絡中心拓撲結構 從上圖中可以看出 目前沈陽建行的網(wǎng)絡比較復雜 設備眾多 型號也非常多 一方面 在管理上很不方便 另一方面從安全性的角度講 它使得網(wǎng)絡的安全等級也降低了 因 此我們需要簡化網(wǎng)絡結構 并對網(wǎng)絡進行集中的管理 三 系統(tǒng)安全目的三 系統(tǒng)安全目的 通過以上的分析 安全目的是安全目的是 保護沈陽建設銀行的內部網(wǎng)絡的計算機系統(tǒng)正常運轉 避免惡意的攻擊 破壞 重要數(shù)據(jù)庫的數(shù)據(jù) 防止被竊取 修改 破壞 四 用戶安全需求分析四 用戶安全需求分析 1 安全性 安全性 網(wǎng)絡環(huán)境 操作系統(tǒng)與數(shù)據(jù)的安全性 現(xiàn)在這個網(wǎng)絡環(huán)境直接暴露 是處在非常不安全的狀態(tài) 所以我們需要用防火墻防火墻來 隔離沈陽建行的內部生產(chǎn)網(wǎng)絡 保護各種業(yè)務的服務器 其中包括 AS400 等重要的 業(yè)務機 由于防火墻能夠阻擋黑客的攻擊行為和異常的網(wǎng)絡事件 這樣可以保護我 們的網(wǎng)絡環(huán)境 網(wǎng)絡中計算機的操作系統(tǒng)和數(shù)據(jù) 防火墻是網(wǎng)絡安全的第一道屏障 單有防火墻是不能進行全面保護的 我們還需要入侵監(jiān)測系統(tǒng) 入侵監(jiān)測系統(tǒng) IDS 來對黑客的 攻擊進行報警和自動防范 2 高效性 高效性 由于每天有大量的信息訪問要保護生產(chǎn)系統(tǒng)的服務器 這就要求網(wǎng)絡擁有很高的數(shù) 據(jù)吞吐能力 也就意味著網(wǎng)絡的安全產(chǎn)品不能對網(wǎng)絡的流量造成影響 而現(xiàn)在傳統(tǒng)防火 墻動輒造成 15 以上的效率損失相比 這就造成了一個矛盾 XX 方御防火墻充分考慮 了用戶對效率的重視性 擁有足以自豪的數(shù)據(jù)吞吐能力 在 500 條規(guī)則以下的應用 占 全部應用的 95 以上 中 基本不影響網(wǎng)絡傳輸 有絕對的優(yōu)勢 3 可擴展性 可擴展性 銀行是我國重要的金融機構 新的業(yè)務會不斷的開展 同時也會應用大量的新技術 新設備 同時網(wǎng)絡的發(fā)展日新月異 所以網(wǎng)絡的擴展性好壞關系到日后企業(yè)的發(fā)展 這 就要求在網(wǎng)絡建設時留余地 這樣不會因為現(xiàn)在的投資給將來網(wǎng)絡的發(fā)展和升級帶來影 響 4 易用性 易用性 管理控制 不易使用的安全系統(tǒng)是不安全的 充斥著英文術語的管理界面會大大的增加系統(tǒng)管 理人員的工作量 也容易導致不應有的漏洞的出現(xiàn)或安全策略的僵化 易用性主要包括 要界面清晰易懂 管理集中方便 安全性的時實監(jiān)控 5 完善的服務體制 完善的服務體制 網(wǎng)絡安全的實施還需要完善的服務體制來保障 一般的企業(yè)不是專業(yè)的網(wǎng)絡安全公 司 安全是動態(tài)的過程 今天安全的系統(tǒng)明天就可能不安全 這就要求提供安全方案的 公司有優(yōu)秀的服務體制進行跟蹤服務 這就需要有一支專業(yè)的網(wǎng)絡安全隊伍來幫助企業(yè) 解決有關安全問題 再嚴密的系統(tǒng)也可能出現(xiàn)漏洞 當緊急事件發(fā)生時 能不能在最短時間內獲得緊急 響應服務經(jīng)常決定了損失的大小 而且這種時候 需要的是極其專業(yè)的服務 沒有強大 開發(fā)實力的公司是無法滿足這種需求的 而在國內沒有開發(fā)部門的國外著名公司則往往 鞭長莫及 五 安全體系結構五 安全體系結構 通過前面的分析 我們可以知道 首先需要使用防火墻作為網(wǎng)絡安全的屏障來與其 他網(wǎng)絡進行隔離 這樣能夠防止其他網(wǎng)絡的非法用戶的非法侵害 在這里我們建議使用 XX 數(shù)碼的 XX 方御防火墻 有關方御防火墻的具體情況請見后面有關防火墻介紹的部 分 作為網(wǎng)絡安全必備的第二道警戒線我們需要布置 IDS 入侵監(jiān)測系統(tǒng) IDS 系統(tǒng)主 要包括網(wǎng)絡 IDS 主機 IDS 等部分 對于 IDS 系統(tǒng) XX 方御防火墻里已經(jīng)內置了一套網(wǎng) 絡 IDS 系統(tǒng) 同時要在網(wǎng)絡中布置一套網(wǎng)絡防病毒系統(tǒng) 已達到對病毒的防御 由于防 火墻是網(wǎng)絡中的關鍵設備之一 由于有時候一些不可預見的因素可能會是防火墻出現(xiàn)故 障的而造成網(wǎng)絡不暢通或安全性失效 所以我們要采取雙機熱備的方案 提高安全的可 靠性 另外需要我們注意的是加入數(shù)據(jù)備份的產(chǎn)品 來保護我們的數(shù)據(jù)庫 安全體系結構圖 安全解決方案體系所使用模塊 安全解決方案體系所使用模塊 防火墻 防火墻 XXXX 方御防火墻 方御防火墻 IDSIDS ISSISS 產(chǎn)品 產(chǎn)品 防病毒模塊 防病毒模塊 KiLLKiLL 網(wǎng)絡防毒產(chǎn)品 網(wǎng)絡防毒產(chǎn)品 網(wǎng)絡冗余網(wǎng)絡冗余 數(shù)據(jù)備份數(shù)據(jù)備份 整個安全系統(tǒng)結構可以總結為 多層隔離 實時監(jiān)控 立體防護 集中管理 多層隔離 實時監(jiān)控 立體防護 集中管理 六 安全系統(tǒng)實施六 安全系統(tǒng)實施 通過上面對需求的分析 我們提出了解決需求所要使用到的安全模塊 主要由防火 墻來對網(wǎng)絡上的入侵 攻擊以及異常的行為進行阻擋 使用 XX 數(shù)碼的 FireGate 防火墻 作為系統(tǒng)安全的屏障 具體實施如下圖所示 安全模塊安之后的拓撲圖及其說明 拓撲接供如上圖所示 在訪問的線路上添加方御防火墻雙機熱備方案 防火墻設置 為橋接模式 不需要給內 外部接口配置 IP 地址 將防火墻的外部接口使用直連線與 交換機連接 將防火墻的內部接口使用直連線與相連接即可 防火墻的規(guī)則配置請參看 方御防火墻使用說明書 在網(wǎng)絡的主交換機上安裝一臺帶有 IDS 系統(tǒng)的計算機 作為第二道安全防護屏障 同時在每臺計算機上安裝 Kill 網(wǎng)絡版防病毒模塊和 E trust 單機版 IDS 模塊 作為防御 病毒的屏障 對于數(shù)據(jù)的備分系統(tǒng) 相應的數(shù)據(jù)庫都提供備份的辦法