银行网络安全建设方案书

银行网络安全建设方案书1资料内容仅供参考，如有不当或者侵权，请联系本人改正或者删除。XXX 银行生产网络安全规划建议书6 月目录1项目情况概述 .错误 !未定义书签。2网络结构调整与安全域划分.错误 !未定义书签。3XXX 银行网络需求分析. 错误 !未定义书签。3.1网上银行安全风险和安全需求 .错误 !未定义书签。3.2生产业务网络安全风险和安全需求 .错误 !未定义书签。4 总体安全技术框架建议.错误 !未定义书签。4.1网络层安全建议 .错误 !未定义书签。4.2系统层安全建议 .错误 !未定义书签。4.3管理层安全建议 .错误 !未定义书签。5 详细网络架构及产品部署建议.错误 !未定义书签。5.1网上银行安全建议 .错误 !未定义书签。5.2省联社生产网安全建议 .错误 !未定义书签。2资料内容仅供参考，如有不当或者侵权，请联系本人改正或者删除。5.3地市联社生产网安全建议 .错误 !未定义书签。5.4区县联社生产网安全建议 .错误 !未定义书签。5.5全行网络防病毒系统建议 .错误 !未定义书签。5.6网络安全管理平台建议 .错误 !未定义书签。5.6.1部署网络安全管理平台的必要性 .错误! 未定义书签。5.6.2网络安全管理平台部署建议错误未定义书签。.!5.7建立专业的安全服务体系建议 .错误 !未定义书签。5.7.1现状调查和风险评估 .错误! 未定义书签。5.7.2安全策略制定及方案设计错误! 未定义书签。.5.7.3安全应急响应方案 .错误! 未定义书签。6 安全规划总结.错误 !未定义书签。7产品配置清单 .错误 !未定义书签。3资料内容仅供参考，如有不当或者侵权，请联系本人改正或者删除。1 项目情况概述Xxx 银行网络是一个正在进行改造的省级银行网络。整个网络随着业务的不断扩展和应用的增加, 已经形成了一个横纵联系, 错综复杂的网络。从纵向来看, 当前 XXX银行网络分为四层, 第一层为省联社网络, 第二层为地市联社网络, 第三层为县 ( 区 ) 联社网络 , 第四层为分理处网络。从横向来看 , 省及各地市的银行网络都按照应用划分为办公子网、生产子网和外联网络三个大子网。而在省中心网上, 还包括网上银行、测试子网和MIS 子网三个单独的子网。其整个网络的结构示意图如下:图 1.1 XXX 银行网络结构示意图XXX 银行网络是一个正在新建的网络 , 当前业务系统刚刚上线运行 , 还没有进行4资料内容仅供参考，如有不当或者侵权，请联系本人改正或者删除。信息安全方面的建设。而对于XXX银行网络来说 , 生产网是网络中最重要的部分, 所有的应用也业务系统都部署在生产网上。一旦生产网出现问题, 造成的损失和影响将是不可估量的。因此现在急需解决生产网的安全问题。本次对XXX银行网络的安全规划仅限于生产网以及与生产网安全相关的网络部分, 因此下面我们着重对XXX 银行的生产网构架做一个详细描述。( 一 ) 省联社生产网络省联社网络生产网络是全行信息系统的核心 , 业务系统、 网上银行系统及管理系统都集中在信息中心。省联社网络生产网络负责与人行及其它单位中间业务的连接。省联社网络生产网络负责建立和维护网上银行。省联社网络生产网络中包含MIS 系统和测试系统。操作系统主要有: OS/400、 AIX 、 Linux 、 Windows, 以及其它设备的专用系统。数据库系统包括: DB2 、 INFORMIX 、 SYBASE 、 ORACLE 等。业务应用包括 :生产业务 :一线业务 : 与客户直接关联的业务, 如 ATM 、 POS、 柜员终端等二线业务 : 不直接与客户相关的业务, 如管理流程、公文轮流转、监督、决策等 , 为一线业务的支撑。( 二 ) 地市联社生产网络地市联社生产网络是二级网络, 经过两条互为备份的专线与省联社中心网络互连。操作系统主要有: UNIX 、 WINDOWS 。5资料内容仅供参考，如有不当或者侵权，请联系本人改正或者删除。( 三 ) 区( 县 ) 联社生产网络区 ( 县 ) 联社生产网络是三级网络, 经过2M SDH/ 或者10M 光纤以太网( ISDN 备份 ) 等方式与管辖支行的网络连接。操作系统主要有: UNIX 、 WINDOWS 。( 四 ) 分理处生产网分理处是四级网络, 各个分理处经过2M SDH 或者 ISDN 等方式与管辖区( 县 ) 联社的网络连接。由于区县联社及分理处的网络当前还处在组网的初级阶段, 网络构造简单且还没有能力进行完善的网络安全建设和管理, 因此本次规划主要是对省及地市联社的网络安全部分。当把省及地市部分的网络建成一个比较完善的安全防护体系之后, 再逐步的将安全措施和手段应用于下层的区县联社及分理处。从而实现整个网络的重点防护、 分步实施策略。6资料内容仅供参考，如有不当或者侵权，请联系本人改正或者删除。2 网络结构调整与安全域划分对于 XXX 银行生产网络来说, 首要的一点就是应该根据国家有关部门对相关规定,将整个生产网络进行网络结构的优化和安全域的划分 , 从结构上实现对安全等级化保护。根据中国人民银行计算机安全管理暂行规定( 试行 ) 的相关要求 :”第六十一条 内联网上的所有计算机设备 , 不得直接或间接地与国际互联网相联接 , 必须实现与国际互联网的物理隔离。”第七十五条计算机信息系统的开发环境和现场应当与生产环境和现场隔离。”因此我们有必要对现有网络环境进行改造, 以将生产业务网络( 包括一线业务和二线业务 ) 与具有互联网连接的办公网络之间区分开来, 经过强有力的安全控制机制最大化实现生产系统与其它业务系统之间的隔离。同时, 对 XXX 银行所有信息资源进行安全分级 , 根据不同业务和应用类型划分不同安全等级的安全域, 并分别进行不同等级的隔离和保护。初步规划将省联社生产网络划分成多个具备不同安全等级的区域, 参考公安部发布的信息系统安全保护等级定级指南, 我们对安全区域划分和定级的建议如下:安全区域说明定级建议生产区域包含一线业务服务器主机3 级MIS 区域包含二线业务服务器主机2 级网上银行区域包含网上银行业务服务器主机2 级包含维护网络信息系统有效运行的管理服务器主机运行管理区域和管理终端2 级包含新开发的生产应用的测试环境, 可视为准生产测试区域环境1 级7