《某某银行安全应用实例(1)19915.docx》由会员分享,可在线阅读,更多相关《某某银行安全应用实例(1)19915.docx(7页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、某建设银银行安全应用用实例XX数码码有限公公司二OO一一年五月月一、某建建设银行行业务分析析1. 业务分析析l 业务概况况保护某建建行的网网络系统统,保证证各项业业务正常常运行,防防止非法法行为的的侵犯和和病毒的的破坏。由由于目前前某建行行没有采采取安全全保护措措施,使使得自己己的业务务系统完完全暴露露在网络络环境中中,因此此容易受受到黑客客和不法法人员的的侵害,所所以应该该实施一一套完整整的安全全方案来来保护业业务网络络,同时时由于银银行每天天都有大大量的数数据通过过网络,所所以要保保证网络络的流量量,即新新增的安安全产品品不能成成为网络络的瓶颈颈。2. 管理模式式在管理上上,使用用集中式式
2、的管理理可以方方便快捷捷,并能能够简化化管理员员的工作作,提高高工作效效率。从从安全的的角度来来看,复复杂的,分分散的管管理方式式在安全全上是存存在很大大的隐患患和漏洞洞的,使使用集中中管理也也是提高高安全等等级的一一项主要要内容。3. 网络主要要的安全全风险和和漏洞l 数据库数数据会受受到黑客客的窃取取、破坏坏以及病病毒的破破坏l 系统信息息会受到到黑客的的窃取、破破坏以及及病毒的的破坏l 服务的正正常运行行会受到到黑客的的攻击、破破坏以及及病毒的的破坏4. 网络中心心拓扑结结构:从上图中中可以看看出,目目前某建建行的网网络比较较复杂,设设备众多多,型号号也非常常多,一一方面在在管理上上很不
3、方方便,另另一方面面从安全全性的角角度讲,它它使得网网络的安安全等级级也降低低了,因因此我们们需要简简化网络络结构,并并对网络络进行集集中的管管理。二、系统统安全目目的通过以上上的分析析,安全全目的是是:保护某某建设银银行的内部网网络的计计算机系系统正常常运转,避避免恶意意的攻击击、破坏坏;重要要数据库库的数据据,防止止被窃取取、修改改、破坏坏。三、用户户安全需需求分析析1安全全性l 网络环境境、操作作系统与与数据的的安全性性现在这个个网络环环境直接接暴露,是是处在非非常不安安全的状状态,所所以我们们需要用用防火墙墙来隔离离某建行行的内部部生产网网络,保保护各种种业务的的服务器器,其中中包括A
4、AS4000等重重要的业业务机。由由于防火火墙能够够阻挡黑黑客的攻攻击行为为和异常常的网络络事件,这这样可以以保护我我们的网网络环境境、网络络中计算算机的操操作系统统和数据据。防火火墙是网网络安全全的第一一道屏障障,单有有防火墙墙是不能能进行全全面保护护的,我我们还需需要入侵侵监测系系统(IIDS)来对黑黑客的攻攻击进行行报警和和自动防防范。2高效效性由于每天天有大量量的信息息访问要要保护生生产系统统的服务务器,这这就要求求网络拥拥有很高高的数据据吞吐能能力,也也就意味味着网络络的安全全产品不不能对网网络的流流量造成成影响。而而现在传传统防火火墙动辄辄造成115%以以上的效效率损失失相比,这这
5、就造成成了一个个矛盾。方方正方御御防火墙墙充分考考虑了用用户对效效率的重重视性,拥拥有足以以自豪的的数据吞吞吐能力力。在5500条条规则以以下的应应用(占占全部应应用的995%以以上)中中,基本本不影响响网络传传输,有有绝对的的优势。3可扩扩展性银行是我我国重要要的金融融机构,新新的业务务会不断断的开展展,同时时也会应应用大量量的新技技术新设设备,同同时网络络的发展展日新月月异,所所以网络络的扩展展性好坏坏关系到到日后企企业的发发展。这这就要求求在网络络建设时时留余地地。这样样不会因因为现在在的投资资给将来来网络的的发展和和升级带带来影响响。4易用用性(管管理控制制)不易使用用的安全全系统是是
6、不安全全的。充充斥着英英文术语语的管理理界面会会大大的的增加系系统管理理人员的的工作量量,也容容易导致致不应有有的漏洞洞的出现现或安全全策略的的僵化。易易用性主主要包括括:l 要界面清清晰易懂懂l 管理集中中方便l 安全性的的时实监监控5完善善的服务务体制网络安全全的实施施还需要要完善的的服务体体制来保保障,一一般的企企业不是是专业的的网络安安全公司司,安全全是动态态的过程程,今天天安全的的系统明明天就可可能不安安全,这这就要求求提供安安全方案案的公司司有优秀秀的服务务体制进进行跟踪踪服务。这这就需要要有一支支专业的的网络安安全队伍伍来帮助助企业解解决有关关安全问问题。再严密的的系统也也可能出
7、出现漏洞洞,当紧紧急事件件发生时时,能不不能在最最短时间间内获得得紧急响响应服务务经常决决定了损损失的大大小,而而且这种种时候,需需要的是是极其专专业的服服务,没没有强大大开发实实力的公公司是无无法满足足这种需需求的,而而在国内内没有开开发部门门的国外外著名公公司则往往往鞭长长莫及。四、安全全体系结结构通过前面面的分析析,我们们可以知知道,首首先需要要使用防防火墙作作为网络络安全的的屏障来来与其他他网络进进行隔离离,这样样能够防防止其他他网络的的非法用用户的非非法侵害害,在这这里我们们建议使使用方正正数码的的方正方方御防火火墙。(有有关方御御防火墙墙的具体体情况请请见后面面有关防防火墙介介绍的
8、部部分)作作为网络络安全必必备的第第二道警警戒线我我们需要要布置IIDS(入入侵监测测系统),IDS系统主要包括网络IDS、主机IDS等部分,对于IDS系统方正方御防火墙里已经内置了一套网络IDS系统。同时要在网络中布置一套网络防病毒系统,已达到对病毒的防御。由于防火墙是网络中的关键设备之一,由于有时候一些不可预见的因素可能会是防火墙出现故障的而造成网络不畅通或安全性失效,所以我们要采取双机热备的方案,提高安全的可靠性。另外需要我们注意的是加入数据备份的产品,来保护我们的数据库。安全体系系结构图图:安全解决决方案体体系所使使用模块块:l 防火墙(方方正方御御防火墙墙)l IDS(IISS产产品
9、)l 防病毒模模块(KKiLLL网络防防毒产品品)l 网络冗余余l 数据备份份整个安全全系统结结构可以以总结为为:多层层隔离、实实时监控控、立体体防护、集集中管理理。五、安全全系统实实施通过上面面对需求求的分析析,我们们提出了了解决需需求所要要使用到到的安全全模块,主主要由防防火墙来来对网络络上的入入侵、攻攻击以及及异常的的行为进进行阻挡挡。使用用方正数数码的FFireeGatte防火火墙作为为系统安安全的屏屏障。具具体实施施如下图图所示:安全模块块安之后后的拓扑扑图及其其说明:拓扑接供供如上图图所示,在在访问的的线路上上添加方方御防火火墙双机机热备方方案,防防火墙设设置为桥桥接模式式,不需需
10、要给内内、外部部接口配配置IPP地址,将将防火墙墙的外部部接口使使用直连连线与交交换机连连接,将将防火墙墙的内部部接口使使用直连连线与相相连接即即可。防防火墙的的规则配配置请参参看方御御防火墙墙使用说说明书。在网络的的主交换换机上安安装一台台带有IIDS系系统的计计算机,作作为第二二道安全全防护屏屏障,同同时在每每台计算算机上安安装Kiill网网络版防防病毒模模块和EE-trrustt单机版版IDSS模块。作作为防御御病毒的的屏障。对于数据据的备分分系统,相相应的数数据库都都提供备备份的办办法,也也可以使使用磁带带机等,这这里就不不多描述述了。整个安全全的实施施,除了了增加防防火墙和和防病毒毒模块外外,不需需要在购购置其他他网络设设备,在在实施上上非常方方便。上面提供供的是一一个概要要的网络络拓扑图图,图中中的ASS4000组里可可以针对对没台AAS4000的服服务器在在加装移移到防火火墙方式式同图中中的红框框里的一一样。前前置机平平台则是是一台或或多台前前置机的的组合。