银行网络安全建设方案书
XXX银行生产网络安全规划建议书
2006年6月
目录
1项目情况概述 (3)
2网络结构调整与安全域划分 (5)
3XXX银行网络需求分析 (7)
3.1网上银行安全风险和安全需求 (8)
3.2生产业务网络安全风险和安全需求 (9)
4总体安全技术框架建议 (11)
4.1网络层安全建议 (11)
4.2系统层安全建议 (13)
4.3管理层安全建议 (14)
5详细网络架构及产品部署建议 (15)
5.1网上银行安全建议 (15)
5.2省联社生产网安全建议 (17)
5.3地市联社生产网安全建议 (19)
5.4区县联社生产网安全建议 (19)
5.5全行网络防病毒系统建议 (20)
5.6网络安全管理平台建议 (21)
5.6.1部署网络安全管理平台的必要性 (21)
5.6.2网络安全管理平台部署建议 (22)
5.7建立专业的安全服务体系建议 (23)
5.7.1现状调查和风险评估 (24)
5.7.2安全策略制定及方案设计 (24)
5.7.3安全应急响应方案 (25)
6安全规划总结 (28)
7产品配置清单 (29)
1项目情况概述
Xxx银行网络是一个正在进行改造的省级银行网络。整个网络随着业务的不断扩展和应用的增加,已经形成了一个横纵联系,错综复杂的网络。从纵向来看,目前XXX银行网络分为四层,第一层为省联社网络,第二层为地市联社网络,第三层为县(区)联社网络,第四层为分理处网络。
从横向来看,省及各地市的银行网络都按照应用划分为办公子网、生产子网和外联网络三个大子网。而在省中心网上,还包括网上银行、测试子网和MIS子网三个单独的子网。其整个网络的结构示意图如下:
图1.1 XXX银行网络结构示意图
XXX银行网络是一个正在新建的网络,目前业务系统刚刚上线运行,还没有进行信息安全方面的建设。而对于XXX银行网络来说,生产网是网络中最重要的部分,所有的应用也业务系统都部署在生产网上。一旦生产网出现问题,造成的损失和影响将是不可估量的。因此现在急需解决生产网的安全问题。
本次对XXX银行网络的安全规划仅限于生产网以及与生产网安全相关的网络部分,因此下面我们着重对XXX银行的生产网构架做一个详细描述。
(一)省联社生产网络
省联社网络生产网络是全行信息系统的核心,业务系统、网上银行系统及管理系统都集中在信
息中心。
省联社网络生产网络负责与人行及其他单位中间业务的连接。
省联社网络生产网络负责建立和维护网上银行。
省联社网络生产网络中包含MIS系统和测试系统。
操作系统主要有:OS/400、AIX、Linux、Windows,以及其它设备的专用系统。
数据库系统包括:DB2、INFORMIX、SYBASE、ORACLE等。
业务应用包括:
生产业务:
一线业务:与客户直接关联的业务,如ATM、POS、柜员终端等
二线业务:不直接与客户相关的业务,如管理流程、公文轮流转、监督、决策等,为一线业务的支撑。
(二)地市联社生产网络
地市联社生产网络是二级网络,通过两条互为备份的专线与省联社中心网络互连。
操作系统主要有:UNIX、WINDOWS。
(三)区(县)联社生产网络
区(县)联社生产网络是三级网络,通过2M SDH/或者10M光纤以太网(ISDN备份)等方式与管辖支行的网络连接。
操作系统主要有:UNIX、WINDOWS。
(四)分理处生产网
分理处是四级网络,各个分理处通过2M SDH或者ISDN等方式与管辖区(县)联社的网络连接。
由于区县联社及分理处的网络目前还处在组网的初级阶段,网络构造简单且还没有能力进行完善的网络安全建设和管理,因此本次规划主要是对省及地市联社的网络安全部分。当把省及地市部分的网络建成一个比较完善的安全防护体系之后,再逐步的将安全措施和手段应用于下层的区县联社及分理处。从而实现整个网络的重点防护、分步实施策略。
2网络结构调整与安全域划分
对于XXX银行生产网络来说,首要的一点就是应该根据国家有关部门对相关规定,将整个生产网络进行网络结构的优化和安全域的划分,从结构上实现对安全等级化保护。
根据《中国人民银行计算机安全管理暂行规定(试行)》的相关要求:
“第六十一条内联网上的所有计算机设备,不得直接或间接地与国际互联网相联接,必须实现与国际互联网的物理隔离。”
“第七十五条计算机信息系统的开发环境和现场应当与生产环境和现场隔离。”
因此我们有必要对现有网络环境进行改造,以将生产业务网络(包括一线业务和二线业务)与具有互联网连接的办公网络之间区分开来,通过强有力的安全控制机制最大化实现生产系统与其他业务系统之间的隔离。同时,对XXX银行所有信息资源进行安全分级,根据不同业务和应用类型划分不同安全等级的安全域,并分别进行不同等级的隔离和保护。
初步规划将省联社生产网络划分成多个具备不同安全等级的区域,参考公安部发布的《信息系统安全保护等级定级指南》,我们对安全区域划分和定级的建议如下:
对于各地市、区县联社和各营业网点也需要将生产业务和办公业务严格区分开,并进行逻辑隔离,确保生产区域具有较高安全级别。
由于部分办公业务用户需要访问生产业务中的特定数据,而部分生产应用也需要访问办公网中的特定数据,因此无法做到生产、办公之间彻底的物理隔离,建议在各级联社信息中心提供生产网与办公网之间的连接,并采用逻辑隔离手段进行控制,对于营业网点,由于作隔离投入太大,可暂时不考虑隔离。
改造后的总体逻辑结构如图所示:
图2.1 XXX银行网络安全结构示意图
网络改造后,全行办公系统将统一互联网出口,所有办公终端只允许在通信行为可控的情况下才能通过信息中心办公网络的互联网出口访问外界网络,生产业务服务器和终端不允许采取任何手段直接访问互联网或通过办公网间接访问互联网。
网上银行因业务需要必须连接互联网,但只允许互联网用户对网银门户网站的访问以及认证用户对网银WEB服务器的访问,生产业务服务器和终端不允许采取任何手段直接访问互联网或通过网银网络间接访问互联网。
3XXX银行网络需求分析
随着XXX银行金融信息化的发展,信息系统已经成为银行赖以生存和发展的基本条件。相应地,银行信息系统的安全问题也越来越突出,银行信息系统的安全问题主要包括两个方面:一是来自外界对银行系统的非法侵入,对信息系统的蓄意破坏和盗窃、篡改信息行为;二是来自银行内部员工故意或无意的对信息系统管理的违反。银行信息系统正在面临着严峻的挑战。
银行进行安全建设、加强安全管理已经成为当务之急,其必要性正在随着银行业务和信息系统如下的发展趋势而更加凸出:
银行的关键业务系统层次丰富,操作环节多,风险也相对比较明显;
随着电子银行和中间业务的广泛开展,银行的网络与Internet和其他组织机构的网络互联程度越来越高,使原本相对封闭的网络越来越开放,从而将外部网络的风险引入到银行内部网络;
随着银行业务集中化的趋势,银行业务系统对可靠性和无间断运行的要求也越来越高;
随着WTO的到来和外资银行的进入,银行业竞争日益激烈,新的金融产品不断推出,从而使银行的应用系统处于快速的变化过程中,对银行的安全管理提出了更高的要求。
中国国内各家银行也已经开始进行信息安体系建设,其中最主要的措施就是采购了大量安全产品,包括防火墙、入侵检测系统、防病毒和身份认证系统等。这些安全产品在很大程度上提高了银行信息系统的安全水平,对保护银行信息安全起到了一定作用。但是它们并没有从根本上降低安全风险,缓解安全问题,这主要是因为:
●信息安全问题从来就不是单纯的技术问题,把防范黑客入侵和病毒感染理解为信息安全问题的
全部是片面的。安全产品的功能相对比较狭窄,往往用于解决一类安全问题,因此仅仅通过部署安全产品很难完全覆盖银行信息安全问题;
●信息安全问题不是静态的,它总是随着银行策略、组织架构、信息系统和操作流程的改变而改
变。部署安全产品是一种静态的解决办法。一般来说,在产品安装和配置后较长一段时间内,它们都无法动态调整以适应安全问题的变化。
所以,银行界的有识之士都意识到应从根本上改变应对信息安全问题的思路,建立更加全面的安全保障体系,在安全产品的辅助下,通过管理手段体系化地保障信息系统安全。
下面我们将通过分析XXX银行改造后的网络结构下可能面临的安全问题,对XXX银行(主要是生产网)目前的安全需求进行总体分析。根据实际项目进度安排,我们将分别对网上银行系统、生产业务系统进行分析。
3.1 网上银行安全风险和安全需求
针对目前最常见的互联网攻击类型以及国内外网上银行系统通常面临的安全威胁,结合XXX银行的
实际情况,我们认为在XXX银行网上银行网络可能面临的安全风险和对应的安全需求如下:
3.2 生产业务网络安全风险和安全需求
对于生产业务网络而言,可能存在的安全风险和对应的安全需求如下:
4总体安全技术框架建议
根据对XXX银行网络系统安全需求分析,我们提出了由多种安全技术和多层防护措施构成的一整套安全技术方案,具体包括:在网络层划分安全域,部署防火墙系统、防拒绝服务攻击系统、入侵检测系统、入侵防御系统和漏洞扫描系统;在系统层部署病毒防范系统,提供系统安全评估和加固建议;在管理层制订安全管理策略,部署安全信息管理和分析系统,建立安全管理中心。
具体建议如下:
4.1 网络层安全建议
1.网络访问控制
●划分安全域
为了提高银行网络的安全性和可靠性,在省联社总部、各地市联社、各区县联社、分理处对不同系统划分不同安全域。
●访问控制措施
对安全等级较高的安全域,在其边界部署防火墙,对安全等级较低的安全域的边界则可以使用VLAN或访问控制列表来代替。
根据对XXX银行整体网络的区域划分,我们将在不同安全域边界采用不同的访问控制措施:
◆在生产网与办公网之间采用防火墙提供访问控制,只允许业务相关的访问,拒绝其他所有访
问;
◆在生产网与网上银行网络之间采用防火墙提供访问控制,只允许业务相关的访问,拒绝其他
所有访问;
◆在生产网与相关单位网络之间采用防火墙提供访问控制,只允许业务相关的访问,拒绝其他
所有访问;
◆在网上银行网络与互联网之间采用防火墙提供访问控制,除允许互联网用户访问网银门户网
站、允许互联网认证用户访问网银WEB及允许网银WEB服务器/SSL加速器访问互联网上的
CFCA之外,拒绝其他所有访问;
◆在生产网的生产区域(一线业务)与其他区域之间采用防火墙提供访问控制,只允许业务相
关的访问,拒绝其他所有访问;
◆在生产网的其他各区域之间利用三层交换机划分虚拟子网及进行简单包过滤,做到较简单的
访问控制;
2.防拒绝服务攻击
在网上银行系统与Internet出口边界处,配备抗DoS攻击网关系统,以抵御来自互联网的各种拒绝服务攻击和分布式拒绝服务攻击。
3.网络入侵检测
在网上银行系统和总行业务网络系统中部署入侵检测系统,实时检测、分析网络上的通讯数据流,尤其是对进出安全域边界或进出存放有涉密信息的关键网段、服务器主机的通讯数据流进行监控,及时发现违规行为和异常行为并进行处理。网络入侵检测系统可实现如下功能:
?网络信息包嗅探。以旁路监听方式秘密运行,使攻击者无法感知到。黑客常常在没有觉察的情
况下被抓获,因为他们不知道他们一直受到密切监视。
?网络访问监控。根据实际业务需要定制相关规则,可以定义哪些主机或网段可以或不可以访问
网络上的特定资源,可以定义访问时间段,对特定的非法访问行为或除特定合法访问行为之外的所有访问行为进行监控,一旦发现违规行为则根据事先定义的响应策略进行报警、阻断或联动的相应,以保证只有授权用户才可以访问特定网络资源。
?应用层攻击特征检测。提供详尽、细粒度的应用协议分析技术,实现应用层攻击检测,可自动
检测网络实时数据流中符合特征的攻击行为,系统维护一个强大的攻击特征库,用户可以定期更新,确保能够检测到最新的攻击事件。
?蠕虫检测。实时跟踪当前最新的蠕虫事件,针对已经发现的蠕虫攻击及时提供相关事件规则。
系统维护一个强大的蠕虫特征库,用户可以定期更新,确保能够检测到最新的蠕虫事件。对于存在系统漏洞但尚未发现相关蠕虫事件的情况,通过分析漏洞来提供相关的入侵事件规则,最大限度地解决蠕虫发现滞后的问题。
?可疑网络活动检测。即异常检测,包括通过对在特定时间间隔内超流量、超连接的数据包进行
检测等方式,实现对DoS、扫描等攻击事件的检测。
?检测隐藏在SSL加密通讯中的攻击。通过解码基于SSL加密的通讯数据,分析、检测基于SSL
加密通讯的攻击行为,从而可以保护提供SSL加密访问的网银WEB服务器的安全性。
?日志审计。提供入侵日志和网络流量日志记录和综合分析功能,并提供详细的分析报告,使网
络管理员可以跟踪用户、应用程序等对网络的使用情况,帮助管理员改进网络安全策略的规划,并提供更精确的网络安全控制。通过详尽的审计记录,可以在系统遭到恶意攻击后,提供证据以提起法律诉讼。
?多网段同时监控。入侵探测器支持多个网络监听口,可以连接到多个网段中进行实时监控,我
们也可以在不同的网段分别部署多个探测引擎,管理员可以通过集中的管理控制台对探测器上传的信息进行统一查看,通过管理器进行综合分析,并生成报表。
4.入侵防御系统
在生产网与网上银行网络之间、办公网与互联网之间分别部署入侵防御系统,对外界网络黑客利用防火墙为合法的用户访问而开放的端口穿透防火墙对内网发起的各种高级、复杂的攻击行为进行检测和阻断。IPS系统工作在第二层到第七层,通常使用特征匹配和异常分析的方法来识别各种网络攻击行为,因其是以在线串联方式部署的,对检测到的各种攻击行为均可直接阻断并生成日志报告和报警信息。
5.漏洞扫描系统
在生产网上部署一套漏洞扫描系统,定期对整个网络,特别是关键主机及网络设备进行漏洞扫描。这样才能及时发现网络中存在的漏洞和弱点,及时根据漏洞扫描系统提出的解决方案进行系统加固或安全策略调整。以实现防患于未然的目的。同时得到的扫描日志还可以提供给安全管理中心,作为对整个网络健康状况评估的一部分,使得管理员能够机制准确的把握网络的运行状况。
4.2 系统层安全建议
6.病毒防范系统
在XXX银行网络系统可能的病毒攻击点或通道中部署全方位的病毒防范系统,包括在网上银行互联网出口、网上银行区域与业务区域之间、办公区域的互联网出口处部署网关级防病毒设备,在整个网络中的所有WINDOWS服务器和客户端计算机上部署相应平台的网络版防病毒软件并配置防病毒系统管理中心对所有主机上的防病毒软件进行集中管理、监控、统一升级、集中查杀毒。
4.3 管理层安全建议
7.综合安全管理平台和安全运营中心
部署一套有效的网络安全管理体系,采用集中的安全管理平台,来对全网进行统一的安全管理和网络管理,同时借助专业的第三方服务,在安全管理平台的基础上建立XXX银行安全运营中心,对XXX银行安全保障体系的建设起到推动作用,确保XXX银行信息网络信息系统内部不发生安全事件、少发生安全事件或者发生安全事件时能够及时处理减少由于安全事件带来的损失。
根据XXX银行的网络结构和区域划分,我们将分别针对网上银行、省和地市生产业务网络进行安全体系设计。
5详细网络架构及产品部署建议
5.1 网上银行安全建议
网上银行的安全防护方案具体设计如下:
1、在网银区域与Internet之间插入一套抗DoS攻击系统,对来自互联网的DDoS攻击流量进行清除,同时保证正常访问流量的通过。
2、网银区域与Internet之间设置一套防火墙系统(外层防火墙),采用双机热备结构,通过二层交换机连接抗DoS攻击设备,将网银WEB服务器保护在防火墙的一个单独的安全区域中,并通过两台三层交换机连接内部网络。外层防火墙的主要作用是控制来自外网的访问,只允许授权用户访问网银服务的特定IP和端口,并通过NAT屏蔽服务器真实地址。防火墙采用透明工作模式。三层交换机提供缺省网关和局域网路由功能。
3、使用一台网络入侵检测设备,提供双引擎,分别连接到网银WEB区域和网银DB区域的两台交换机上进行监控,对网络上传输的敏感数据包(包括SSL加密数据)进行深层分析,可有效地发现防火墙无法识别的特殊的应用层攻击行为。
4、网银WEB区域与后台数据库/应用服务器区域及信息中心网络之间设置一套防火墙系统(内层防火墙),一方面控制网银WEB服务区与后台APP服务区之间的访问,只允许来自网银WEB区服务器发起的特定访问,禁止其他一切数据通讯;另一方面控制网银DB/APP服务区与内部生产区域之间的访问,只允许应用相关的特定访问,禁止其他一切数据通讯;采用与外部防火墙异构的防火墙产品,即使攻击者成功获得外墙的控制权,也不能轻易攻入业务网络。
5、在内层防火墙与内网核心交换机之间串联一组UTM设备,启用IPS功能和防病毒功能,抵御来自互联网及网银区域的病毒、蠕虫、恶意代码及其他攻击,双机热备。
部署方式如下图所示:
图5.1 网上银行安全解决方案部署图
5.2 省联社生产网安全建议
1、将信息中心按不同业务划分多个网络区域。
2、总行管理中心网络与核心交换机之间不署一套防火墙系统,提供安全控制。对管理区域的访问进行行为控制。
3、总行生产业务网络与企业客户、协作单位网络的互联出口采用一套双机防火墙系统提供安全控制,对来自外单位网络的访问行为进行控制。
4、在总行生产业务网络与办公业务网络核心交换机之间设置一套双机防火墙系统,对从办公网络特定用户到生产网络特定区域上特定主机的访问行为进行控制,同时除必须开放的连接外,禁止任何从生产网主动向办公网发起的访问请求。
5、采用千兆IDS设备,分别连接到总行生产网两台核心交换机上,监视和防范内网上的违规访问行为,主要监听进出生产区域及来自办公网、下级单位和协作单位的流量。
6、各地市生产网到总行生产网之间采用一套双机防火墙系统提供安全控制。对来自各分支机构网络的访问行为进行控制。
7、区县生产网、分理处等营业网点分别通过上级联社生产网的转发实现对总部数据中心系统的访问。
8、网上银行网络与生产网络之间的访问通过两台互备的UTM设备进行监控。
网络结构及安全设备部署方式如下图:
图5.2 省联社生产网安全解决方案部署图
5.3 地市联社生产网安全建议
1、地市联社生产业务网络与企业客户、协作单位网络的互联出口采用一套双机防火墙系统提供安全控制,对来自外单位网络的访问行为进行控制。
2、在地市生产业务网络与办公业务网络核心交换机之间设置一套双机防火墙系统,对从办公网络特定用户到生产网络特定区域上特定主机的访问行为进行控制,同时除必须开放的连接外,禁止任何从生产网主动向办公网发起的访问请求。
3、采用IDS设备,分别连接到地市生产网两台核心交换机上,监视和防范内网上的违规访问行为,主要监听进出生产区域及来自办公网、下级单位和协作单位的流量。
4、各地市生产网到总行生产网以及区县生产网、分理处等营业网点之间采用一套双机防火墙系统提供安全控制。对来自总行和各分支机构网络的访问行为进行控制。
网络结构及安全设备部署方式如下图:
图5.3 地市联社生产网安全解决方案部署图
5.4 区县联社生产网安全建议
1、区县联社生产业务网络与办公业务网络核心交换机之间设置一套防火墙系统,对从办公网络特定用户到生产网络特定区域上特定主机的访问行为进行控制,同时除必须开放的连接外,禁止任何从生产网主动向办公网发起的访问请求。
2、各区县联社生产网到上级分行生产网以及分理处等营业网点之间采用一套双机防火墙系统提供
安全控制。对来自上级分行和各分支机构网络的访问行为进行控制。
网络结构及安全设备部署方式如下图:
图5.4 区县联社生产网安全解决方案部署图
5.5 全行网络防病毒系统建议
具体的部署建议如下:
1、在XXX银行各级单位所有Windows服务器上部署服务器防毒系统,确保服务器系统不会成为病毒驻留的平台,提高整个服务器系统的高可靠性;
2、在XXX银行各级单位所有Windows客户端上部署客户端防毒系统,一方面增强客户端的防毒能力,另一方面保证客户端不为因为病毒问题而带给管理员极大的工作量;
3、防病毒系统采用集中和分布相结合的管理模式,总行办公网服务器区域中设置一台防病毒管理中心服务器,提供集中的策略制定和下发,管理总行办公网的所有防病毒客户端;生产网运行管理区域中设置一台防病毒管理分中心服务器,管理生产网的所有防病毒客户端(包括总部、支行、网点),以及与上级管理中心进行通信;各管辖支行办公网中分别设置一台防病毒管理分中心服务器,管理本网的所有防病毒客户端,以及与上级管理中心进行通信;这样做的好处是防止了因软件或策略下发时带来的带宽消耗和减小安全隐患;
4、办公网防病毒管理中心服务器定期从互联网进行升级,生产网防病毒管理分中心服务器、各支行防病毒管理分中心服务器均从管理中心服务器获得升级码;各防毒服务器负责向所管辖范围内所有防病毒客户端分发升级码。
5、在XXX银行各互联网出口处,生产网络与网银网络之间分别部署病毒过滤网关(通过UTM设备实现),消除来自互联网的病毒威胁。
5.6 网络安全管理平台建议
5.6.1部署网络安全管理平台的必要性
传统安全技术和产品集成的有如下缺点:
?需要大量人为参与的判断。
比如一个报警事件是否准确需要人为的判断。
?存在信息淹没的可能性
大量安全产品的报警信息导致管理员无法一一察看和分析,从而导致信息淹没。
同时大量的垃圾报警信息,也加重了管理员的工作负担,导致管理员容易疏忽很多真正有用的信息,这也导致信息淹没。
?需要专业安全人员的分析
大多数安全产品对报警事件的语言描述都是专业安全技术性的描述,对管理员的专业技能要求很高。
?需要安全维护人员高度的责任心的协助
管理员需要积极主动的去查看各类安全产品的报警信息,才能及时地发现安全事件,并着手去解决。
?止步于安全事件的报警,而没有完善的事件处理监督考核措施
传统的安全产品集成在向管理员报告安全事件后,安全系统的功用便宣告结束,后续的所有的工作完全依靠管理员去完成,管理员是否去解决这些安全问题,无从考据和监控。
应该说,传统的安全产品和技术的集成只能够部分的实现安全的“可见性”和“可控性”。
出于上述原因,我们认为在未来的信息安全建设中,综合安全监控和管理平台将倍受尊崇,真正让安全建设做到完善的“可见、可控、可管理”。
而对于XXX银行来说,我们必须在网络内部署大量的安全产品。因此,我们急需一个真正的综合性安全管理平台来使得整个网络的安全建设实现可见、可控和可管理。
集成安全监控管理技术的优点:
?延伸了传统安全产品集成的功能,充分让每一条有效的安全报警信息得到完善的分析和处理;
?融合网络管理、安全管理、运维管理思想于一体,充分发挥各类安全技术的功效;
?实现安全事件的闭环管理,最强有力的实现安全管理的技术辅助手段。
5.6.2网络安全管理平台部署建议
对于XXX银行网络来说,我们应该本着重点防护,分步实施的策略来进行我们的安全建设。因此我们应该首先将省联社网络建设成为一个高度安全,高度可管理的安全网络。我们建议在第一阶段只在省中心部署一套网络安全管理平台。当这套安全管理平台成功运行并积累一定经验后,可以很灵活的扩展到各个地市以及更低一级的网络中去。
我们所部署的网络安全管理平台应该具备以下一些功能:
◆管理对象
被监控管理的目标包括:网络系统、服务器主机、数据库、安全产品、业务应用。按照不同的KBP关键业务点来划分进行资产管理。
◆运维管理
网络安全的最重要目标就是保障系统的安全、可靠的运行,也就是保障业务的连续运行,这也是我们所熟知的安全三性中的可用性。对系统进行基于业务的监控管理,包括:资产管理、流程管理、知识管理等。
◆网络管理
网络系统作为业务应用的载体,对其的监控管理也非常重要,我们采用网管技术对网络系统进行监控管理。内容包括:拓扑展示、设备发现、管理工具
◆安全管理
网络安全运行管理中心的核心内容,从安全策略管理、事件管理、脆弱性管理、风险管理、配置管理等方面,实现安全管理。
◆输出
通过报表、报警、工单的方式,得出相应的输出。包括:KBDP视图、资产报表、风险报告、安全状态、趋势分析、脆弱性报告、知识库、专家建议等。
5.7 建立专业的安全服务体系建议
在前面的管理层安全建议中我们已经提出,应该“借助专业的第三方服务,在安全管理平台的基础上建立XXX银行安全运营中心,对XXX银行安全保障体系的建设起到推动作用,确保XXX银行信息网络信息系统内部不发生安全事件、少发生安全事件或者发生安全事件时能够及时处理减少由于安全事件带来的损失”。
专业的安全服务是建立一个能够持续运行,动态更新的网络安全体系的技术保障。和关键环节。
信息安全建设工程建议书
信息网络安全功能的增强信息安全状况的全面改善信息安全建设的
效果检验
微弱风险
逐步积累
图5.5 动态信息安全体系建设过程
动态信息安全体系建设是一个周期性的循环过程,每个建设周期都是以安全策略为核心,以风
险评估为开端,通过需求确认、网络安全功能建设、完善信息安全管理/策略、风险复审、风险积累
的过程,建立信息安全体系。
对于现阶段的XXX 银行网络来说,我们建议通过以下的步骤来实现这个动态的信息安全体系建
设过程。
5.7.1 现状调查和风险评估
现状调查和风险评估是建立安全农行计算机安全体系的基础和关键,在整个XXX 银行网络安全
建设项目过程中,现状调查和风险评估的工作量占了很大比例,现状调查和风险评估的深度直接影
响安全体系能否与XXX 银行实际情况相一致且具有可操作性。
现状调查和风险评估的主要目标包括对XXX 银行计算机系统进行全面的现状调查、建立保护对
象框架和根据保护对象框架进行风险评估。
? 全面的现状调查
全面现状调查是本项目十分关键的步骤,现状调查的广度和深度将对保护对象框架的建立和风
险评估带来非常十分重要的作用。在全面现状调查中,XXX 银行的计算机系统的场所、环境、网络、
网络设备、主机、操作系统、数据库、中间件、应用软件、业务流程、管理制度和组织机构将得到
全面的调研。
? 风险评估
风险评估的目的是了解XXX 银行计算机系统的安全现状,以便在安全体系的实施过程进行需求
分析和解决方案设计。风险评估过程包括对XXX 银行计算机系统的资产安全价值、弱点严重性、威
胁可能性和现有安全措施等进行估值,并通过这些因素计算风险值。
商业银行网络安全解决方案
Bri ng 安全白皮书 商业银行网络安全解决方案 版本:1.0 北京博睿勤技术发展有限公司 日期:2010/6/22 商业银行网络安全解决方案 目录 1概述 (1) 1.1网络安全概述 (1) 1.2目前网络安全技术 (1) 1.2.1国内网络安全技术 (1) 1.2.2网络安全的理解的误区 (2) 1.2.3网络安全概念 (2) 2商业银行安全需求分析 (3) 2.1商业银行的业务安全分析 (3) 2.1.1公共信息发布 (4)
2.1.2完善安全管理策略 (4) 2.1.3 增加防火墙防护 (7) 2.1.4 配置入侵检测模块 (8) 2.1.5 帐户查询 (8) 2.1.6 身份验证 (9) 2.1.7 数据加密 (11) 2.1.8 网上支付和转账 (12) 2.1.9 数据完整性 (13) 2.1.10 不可否认性 (13) 2.1.11 网络结构安全 (14) 2.1.12 加强访问控制 (14) 2.1.13 安全检测 (15) 2.1.14 网络安全评估 (15) 2.1.15 安全认证 (16) 2.1.16 病毒防护 (16) 3商业银行网络安全解决方案 (16) 3.1 网络管理 (17)
3.1.1 网络行为管理 (17) 3.1.2 灵活的IP 管理与用户管理 (18) 3.1.3 统计报表 (18) 3.2 终端安全防护 (18) 3.2.1 登陆控制 (18) 3.2.2 本地文件加密 (18) 3.2.3 文件粉碎机 (19) 3.2.4 非法外联 (19) 3.2.5 移动存储设备管理 (19) 3.3 桌面安全系统 (19) 3.3.1 定向访问控制 (19) 3.3.2 虚拟安全域管理 (20) 3.3.3 策略优先级管理 (20) 3.3.4 多元化的管理模式 (20) 4商业银行解决方案特性分析 (20) 5银行业成功典型案例 (21)
网络安全攻防实验室实施方案
网络安全攻防实验室 建设方案 XXXX信息科学与工程学院 2020/2/28
目录 第一章网络安全人才需求 (3) 1.1网络安全现状 (3) 1.2国家正式颁布五级安全等级保护制度 (3) 1.3网络安全技术人才需求猛增 (4) 第二章网络安全技术教学存在的问题 (4) 2.1网络安全实验室的建设误区 (4) 2.2缺乏网络安全的师资力量 (4) 2.3缺乏实用性强的安全教材 (5) 第三章安全攻防实验室特点 (5) 3.1安全攻防实验室简介 (5) 第四章安全攻防实验室方案 (6) 4.1安全攻防实验室设备选型 (6) 4.1.1 传统安全设备 (6) 4.1.2 安全沙盒——使实验室具有攻防教学功能的独特产品 (6) 4.2安全攻防实验室拓扑图 (8) 4.3安全攻防实验室课程体系 (9) 4.3.1 初级DCNSA网络安全管理员课程 (9) 4.3.2 中级DCNSE网络安全工程师课程 (10) 4.4高级安全攻防实验室实验项目 (12) 4.4.1基本实验 (12) 4.4.1扩展实验 (14) 第七章网络实验室布局设计 (25) 7.1 实验室布局平面图 (25) 7.2 实验室布局效果图 (25) 7.3 机柜摆放位置的选择 (26)
第一章网络安全人才需求 1.1网络安全现状 信息技术飞速发展,各行各业对信息系统的依赖程度越来越高,建立持续、稳定、安全的网络是保障用户业务发展的前提。 近年来,安全问题却日益严重:病毒、木马、黑客攻击、网络钓鱼、DDOS 等安全威胁层出不穷,而且技术越来越复杂,病毒、木马及黑客技术等融合造成了网络安全的巨大危机。 用户都已经认识到了安全的重要性。纷纷采用防火墙、加密、身份认证、访问控制,备份等保护手段来保护信息系统的安全。 但是网络安全的技术支持以及安全管理人才极度缺乏。 1.2国家正式颁布五级安全等级保护制度 2007年7月24日,公安部、国家保密局、国家密码管理局、国务院信息工作办公室正式上线颁布了信息安全等级保护规定,信息安全等级保护管理办法及实施指南,颁布了《信息安全等级保护管理办法》、《信息系统安全等级保护定级指南》、《信息安全技术信息系统安全等级保护实施指南》、《信息安全技术信息系统安全等级保护基本要求》等办法。 办法明确规定,信息系统的安全保护等级分为五级,不同等级的信息系统应具备的基本安全保护能力如下: 第一级安全保护能力:应能够防护系统免受来自个人的、拥有很少资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的关键资源损害,在系统遭到损害后,能够恢复部分功能。 第二级安全保护能力:应能够防护系统免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的重要资源损害,能够发现重要的安全漏洞和安全事件,在系统遭到损害后,能够在一段时间内恢复部分功能。 第三级安全保护能力:应能够在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难、以及其他相当危害程度的威胁所造成的主要资源损害,能够发现安全漏洞和安全事件,在系统遭到损害后,能够较快恢复绝大部分功能。 第四级安全保护能力:应能够在统一安全策略下防护系统免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难、以及其他相当危害程度
网络安全体系建设方案(2018)
网络安全体系建设方案(2018) 编制: 审核: 批准: 2018-xx-xx
目录 1 安全体系发布令 (2) 2 安全体系设计 (3) 2.1 总体策略 (4) 2.1.1 安全方针 (4) 2.1.2 安全目标 (4) 2.1.3 总体策略 (4) 2.1.4 实施原则 (4) 2.2 安全管理体系 (4) 2.2.1 组织机构 (5) 2.2.2 人员安全 (5) 2.2.3 制度流程 (5) 2.3 安全技术体系 (6) 2.3.1 物理安全 (6) 2.3.2 网络安全 (8) 2.3.3 主机安全 (11) 2.4.4 终端安全 (14) 2.4.5 应用安全 (15) 2.4.6 数据安全 (18) 2.4 安全运行体系 (19) 2.4.1 系统建设 (19) 2.4.2 系统运维 (22)
1 安全体系发布令 根据《网络安全法》《信息安全等级保护管理办法》的相关规及指导要求,参照GB/T22080-2008idtISO27001:2005《信息技术-安全技术-信息安全管理体系要求》,为进一步加强公司运营系统及办公系统的安全运行及防护,避免公司核心业务系统及日常办公系统遭受到病毒、木马、黑客攻击等网络安全威胁,防止因网络安全事件(系统中断、数据丢失、敏感信息泄密)导致公司和客户的损失,制定本网络安全体系。 本网络安全体系是公司的法规性文件,是指导公司各部门建立并实施信息安全管理、技术、运行体系的纲领和行动准则,用于贯彻公司的网络安全管理方针、目标,实现网络安全体系有效运行、持续改进,体现公司对社会的承诺,现正式批准发布,自 2018年 XX月 XX 日起实施。 全体员工必须严格按照本网络安全体系的要求,自觉遵循信息安全管理方针,贯彻实施本安全体系的各项要求,努力实现公司信息安全管理方针和目标。 总经理: 批准日期:2018-xx-xx
天融信攻防演练平台及安全实验室建设的解决方案-通用-20130421.docx
天融信攻防演练平台&安全实验室建设方案 北京天融信科技有限公司 2013-04-19
目录 第1章综述 (4) 第2章实验室需求分析 (5) 2.1人才需求 (5) 2.2攻防需求 (5) 2.3研究需求 (5) 第3章实验室概述 (6) 3.1实验室网络结构 (6) 3.2实验室典型配置 (6) 第4章攻防演练系统系统介绍 (8) 4.1攻防演练系统系统概述 (8) 4.2攻防演练系统系统体系 (9) 第5章信息安全演练平台介绍 (10) 5.1应急响应流程 (10) 5.2演练事件 (11) 5.3.1信息篡改事件 (11) 5.3.2拒绝服务 (13) 5.3.3DNS劫持 (14) 5.3.4恶意代码 (15) 第6章信息安全研究实验室介绍 (18) 6.1渗透平台 (18) 6.2靶机平台 (19) 6.3监控平台 (20) 第7章方案优势和特点 (22) 7.1实验室优势 (22) 7.2实验室特点 (23) 7.3安全研究能力 (23) 7.4培训服务及认证 (24)
第8章电子政务网站检测案例.................................................................................... 错误!未定义书签。第9章实验室建设建议.. (26) 9.1实验室建设步骤 (26) 9.2实验室设备清单 (27)
第1章综述 为满足电信、军工、航天、网监、教育等行业对信息安全人才培养、攻防演练、安全研究等需求,北京天融信科技有限公司基于虚拟化技术开发了安全实训系统,并以此系统为核心打造了信息安全实验室。以下是系统主要特点: ?通过虚拟化模板快速模拟真实系统环境 通过融合虚拟网络和真实物理网络,简单拖拽即可快速搭建模拟业务系统环境,并在拓扑及配置出现问题时,方便快速恢复。 ?通过监控平台可实时观察测试情况 可通过实训系统监控平台、在线或远程的方式对所模拟的网络测试环境进行监控。 ?多种虚拟化主机和网络模板 ?网络拓扑所见即所得拖拽模式 ?和真实的网络可互通 ?整体测试环境可快速恢复 ?监控主机服务、进程及资源状态 ?监控网络协议 ?定义和捕获攻击行为 ?针对攻击行为报警
某银行网络安全规划建议书
XXX银行生产网络安全规划建议书 2006年6月
目录 1项目情况概述 (3) 2网络结构调整与安全域划分 (5) 3XXX银行网络需求分析 (7) 3.1网上银行安全风险和安全需求 (8) 3.2生产业务网络安全风险和安全需求 (9) 4总体安全技术框架建议 (11) 4.1网络层安全建议 (11) 4.2系统层安全建议 (13) 4.3管理层安全建议 (14) 5详细网络架构及产品部署建议 (15) 5.1网上银行安全建议 (15) 5.2省联社生产网安全建议 (17) 5.3地市联社生产网安全建议 (19) 5.4区县联社生产网安全建议 (19) 5.5全行网络防病毒系统建议 (20) 5.6网络安全管理平台建议 (21) 5.6.1部署网络安全管理平台的必要性 (21) 5.6.2网络安全管理平台部署建议 (22) 5.7建立专业的安全服务体系建议 (23) 5.7.1现状调查和风险评估 (24) 5.7.2安全策略制定及方案设计 (24) 5.7.3安全应急响应方案 (25) 6安全规划总结 (28) 7产品配置清单 (29)
1项目情况概述 Xxx银行网络是一个正在进行改造的省级银行网络。整个网络随着业务的不断扩展和应用的增加,已经形成了一个横纵联系,错综复杂的网络。从纵向来看,目前XXX银行网络分为四层,第一层为省联社网络,第二层为地市联社网络,第三层为县(区)联社网络,第四层为分理处网络。 从横向来看,省及各地市的银行网络都按照应用划分为办公子网、生产子网和外联网络三个大子网。而在省中心网上,还包括网上银行、测试子网和MIS子网三个单独的子网。其整个网络的结构示意图如下: 图1.1 XXX银行网络结构示意图 XXX银行网络是一个正在新建的网络,目前业务系统刚刚上线运行,还没有进行信息安全方面的建设。而对于XXX银行网络来说,生产网是网络中最重要的部分,所有的应用也业务系统都部署在生产网上。一旦生产网出现问题,造成的损失和影响将是不可估量的。因此现在急需解决生产网的安全问题。
信息系统网络安全设计方案
内外网安全等级保护建设项目初步设计方案 编制单位:
编制时间:二〇一五年三月
目录 1.信息安全概述 (77) 什么是信息安全? (77) 为什么需要信息安全 (77) 1.1 安全理念 (88) 1.1.1系统生命周期与安全生命周期 (88) 1.1.2 ..........................3S安全体系-以客户价值为中心88 1.1.3关注资产的安全风险 (99) 1.1.4安全统一管理 (1010) 1.1.5安全 = 管理 + 技术 (1010) 1.2 计算机系统安全问题 (1010) 1.2.1 从计算机系统的发展看安全问题 (1111) 1.2.2 从计算机系统的特点看安全问题 (1111) 2.物理安全 (1212) 2.1 设备的安全 (1212) 3.访问控制 (1515) 3.1访问控制的业务需求 (1616) 3.2用户访问的管理 (1616) 3.3用户责任 (1818) 3.4网络访问控制 (2020) 3.5操作系统的访问控制 (2323) 3.6应用系统的访问控制 (2727) 3.7系统访问和使用的监控 (2727)
3.8移动操作及远程办公 (3030) 4.网络与通信安全 (3131) 4.1网络中面临的威胁 (3232) 5.系统安全设计方案............ 错误!未定义书签。错误!未定义书签。 5.1系统安全设计原则........... 错误!未定义书签。错误!未定义书签。 5.2建设目标................... 错误!未定义书签。错误!未定义书签。 5.3总体方案................... 错误!未定义书签。错误!未定义书签。 5.4总体设计思想............... 错误!未定义书签。错误!未定义书签。 5.4.1内网设计原则..... 错误!未定义书签。错误!未定义书签。 5.4.2有步骤、分阶段实现安全建设错误!未定义书签。错误!未定义书签。 5.4.3完整的安全生命周期错误!未定义书签。错误!未定义书签。 5.5网络区域划分与安全隐患.. 错误!未定义书签。错误!未定义书签。 6.0网络安全部署............... 错误!未定义书签。错误!未定义书签。 保护目标.............. 错误!未定义书签。错误!未定义书签。 威胁来源.............. 错误!未定义书签。错误!未定义书签。 安全策略.............. 错误!未定义书签。错误!未定义书签。 6.1防火墙系统................. 错误!未定义书签。错误!未定义书签。 6.1.1防火墙系统的设计思想错误!未定义书签。错误!未定义书签。 6.1.2 防火墙的目的.... 错误!未定义书签。错误!未定义书签。 6.1.3 防火墙的控制能力错误!未定义书签。错误!未定义书签。 6.1.4 防火墙特征...... 错误!未定义书签。错误!未定义书签。 6.1.5 第四代防火墙的抗攻击能力错误!未定义书签。错误!未定义书签。 6.1.6 防火墙产品的选型与推荐错误!未定义书签。错误!未定义书签。
银行网络安全设计
目录 1 银行系统的安全设计 1 1.1 非法访问 (1) 1.2 窃取PIN/密钥等敏感数据 (1) 1.3 假冒终端/操作员 (1) 1.4 截获和篡改传输数据 (1) 1.5 网络系统可能面临病毒的侵袭和扩散的威胁 (1) 1.6 其他安全风险 (1) 2 银行系统的网络拓扑图及说明 (2) 3 银行系统的网络安全部署图及说明 (3) 3.1 敏感数据区的保护 (3) 3.2 通迅线路数据加密 (3) 3.3 防火墙自身的保护 (4) 4 系统的网络设备选型及说明 (5) 4.1 核心层交换机 (5) 4.2 汇聚层交换机 (5) 4.3 接入层交换机 (6) 4.4 路由器 (6) 4.5 服务器 (7) 5 安全配置说明 (8) 5.1 防火墙技术 (8) 5.2 网络防病毒体系 (8) 5.3 网络入侵检测技术 (8) 5.4 网络安全审计技术 (9) 5.5 VPN技术 (9) 总结 (10) 一.银行系统的安全设计
银行网络作为一个金融网络系统,由于涉及信息的敏感性自然会成为内部和外部黑客攻击的目标,当前银行面临的主要风险和威胁有: 1.1非法访问:银行网络是一个远程互连的金融网络系统。现有网络系统利用操作系统网络设备进行访问控制,而这些访问控制强度较弱,攻击者可以在任一终端利用现有的大量攻击工具发起攻击;由于整个网络通过公用网络互连同样存在终端进行攻击的可能;另一方面银行开发的很多增值业务、代理业务,存在大量与外界互连的接口这些接口现在没有强的安全保护措施存在外部网络通过这些接口攻击银行,可能造成巨大损失。 1.2窃取PIN/密钥等敏感数据:银行信用卡系统和柜台系统采用的是软件加密的形式保护关键数据,软件加密采用的是公开加密算法(DES),因此安全的关键是对加密密钥的保护,而软件加密最大的安全隐患是无法安全保存加密密钥,程序员可修改程序使其运行得到密钥从而得到主机中敏感数据。 1.3假冒终端/操作员:银行网络中存在大量远程终端通过公网与银行业务前置机相连国内银行以出现多起在传输线路上搭接终端的案例。银行网络同样存在大量类似安全隐患。现有操作员身份识别唯一,但口令的安全性非常弱因此存在大量操作员假冒的安全风险。 1.4截获和篡改传输数据:银行现有网络系统通过公网传输大量的数据没有加密,由于信息量大且采用的是开放的TCP/IP,现有的许多工具可以很容易的截获、分析甚至修改信息,主机系统很容易成为被攻击对象。 1.5网络系统可能面临病毒的侵袭和扩散的威胁: (1)黑客侵扰类似于网络间谍,但前者没有政治和经济目的,利用自己精通计算机知识,利用他人编程的漏洞,侵入金融信息系统,调阅各种资料,篡改他人的资料,将机密信息在公用网上散发广播等。 (2)计算机病毒是一种依附在各种计算机程序中的一段具有破坏性、能自我繁衍的计算机程序,它通过软盘、终端或其它方式进入计算机系统或计算机网络,引起整个系统或网络紊乱,甚至造成瘫痪。 1.6其他安全风险:主要有系统安全(主要有操作系统、数据库的安全配置)以及系统的安全备份等。 二.银行系统的网络拓扑图及说明 随着信息技术的发展,社会的信息化程度提高了,网络银行、电子银行出现了,整个银行业、金融业都依赖于信息系统。交易网络化、系统化、快速化和货币数字经是当前金融业的特点,这对金融信息系统的安全保密性提出了严格的要求。金融信息系统必须保证
信息与工业控制安全实验室规划方案
信息与工控系统安全实验室 规划方案 目录 1.术语、定义和缩略语 (1) 2.信息与工控系统安全实验室概述 (1) 2.1信息与工控系统安全实验室建设背景 (1) 2.1.1 信息系统现状及主要威胁 (1) 2.1.2 工控系统现状及主要威胁 (2) 2.1.3信息与工控系统安全实验室建设目的及意义 (4) 3.信息与工控系统安全实验室主要研究方向和实验内容 (5) 3.1信息安全实验室主要研究方向和实验内容 (5) 3.1.1 操作系统安全研究方向和实验内容 (5)
3.1.2 数据库安全机制研究方向和实验内容 (6) 3.1.3 身份认证研究方向和实验内容 (7) 3.1.4 计算机病毒攻防研究方向和实验内容 (7) 3.2网络安全主要研究方向和实验内容 (7) 3.2.1 入侵检测与攻防研究方向和实验内容 (8) 3.2.2 防火墙研究方向和实验内容 (8) 3.2.3 漏洞扫描研究方向和实验内容 (9) 3.2.4 WEB攻防研究方向和实验内容 (9) 3.2.5 无线攻防研究方向和实验内容 (9) 3.3工控安全研究方向和实验内容 (10) 3.3.1 工控系统漏洞挖掘研究方向和实验内容 (10) 3.3.2 工控系统攻防研究方向和实验内容 (11) 3.3.3 安全DCS、PLC、SCADA系统研究方向和实验内容 (11) 3.3.4 企业工控安全咨询评估 (12) 3.3.5企业工控安全培训 (12) 3.3.6 对外交流和联合研究 (12) 4.信息与工控系统安全实验室组织与运行 (13) 5.信息与工控系统安全实验室建设计划.................................................................... 错误!未定义书签。
网络安全设计方案87894
1.1 某市政府网络系统现状分析 《某市电子政务工程总体规划方案》主要建设内容为:一个专网(政务通信专网),一个平台(电子政务基础平台),一个中心(安全监控和备份中心),七大数据库(经济信息数据库、法人单位基础信息数据库、自然资源和空间地理信息数据库、人口基础信息库、社会信用数据库、海洋经济信息数据库、政务动态信息数据库),十二大系统(政府办公业务资源系统、经济管理信息系统、政务决策服务信息系统、社会信用信息系统、城市通卡信息系统、多媒体增值服务信息系统、综合地理信息系统、海洋经济信息系统、金农信息系统、金水信息系统、金盾信息系统、社会保障信息系统)。主要包括: 政务通信专网 电子政务基础平台 安全监控和备份中心 政府办公业务资源系统 政务决策服务信息系统 综合地理信息系统 多媒体增值服务信息系统
某市政府中心网络安全方案设计 1.2 安全系统建设目标 本技术方案旨在为某市政府网络提供全面的网络系统安全解决方案,包括安全管理制度策略的制定、安全策略的实施体系结构的设计、安全产品的选择和部署实施,以及长期的合作和技术支持服务。系统建设目标是在不影响当前业务的前提下,实现对网络的全面安全管理。 1) 将安全策略、硬件及软件等方法结合起来,构成一个统一的防御系统,有效阻止非法用户进入网络,减少网络的安全风险; 2) 通过部署不同类型的安全产品,实现对不同层次、不同类别网络安全问题的防护; 3) 使网络管理者能够很快重新组织被破坏了的文件或应用。使系统重新恢复到破坏前的状态。最大限度地减少损失。 具体来说,本安全方案能够实现全面网络访问控制,并能够对重要控制点进行细粒度的访问控制; 其次,对于通过对网络的流量进行实时监控,对重要服务器的运行状况进行全面监控。 1.2.1 防火墙系统设计方案 1.2.1.1 防火墙对服务器的安全保护 网络中应用的服务器,信息量大、处理能力强,往往是攻击的主要对象。另外,服务器提供的各种服务本身有可能成为"黑客"攻击的突破口,因此,在实施方案时要对服务器的安全进行一系列安全保护。 如果服务器没有加任何安全防护措施而直接放在公网上提供对外服务,就会面临着"黑客"各种方式的攻击,安全级别很低。因此当安装防火墙后,所有访问服务器的请求都要经过防火墙安全规则的详细检测。只有访问服务器的请求符合防火墙安全规则后,才能通过防火墙到达内部服务器。防火墙本身抵御了绝大部分对服务器的攻击,外界只能接触到防火墙上的特定服务,从而防止了绝大部分外界攻击。 1.2.1.2 防火墙对内部非法用户的防范 网络内部的环境比较复杂,而且各子网的分布地域广阔,网络用户、设备接入的可控性比较差,因此,内部网络用户的可靠性并不能得到完全的保证。特别是对于存放敏感数据的主机的攻击往往发自内部用户,如何对内部用户进行访问控制和安全防范就显得特别重要。为了保障内部网络运行的可靠性和安全性,我们必须要对它进行详尽的分析,尽可能防护到网络的每一节点。 对于一般的网络应用,内部用户可以直接接触到网络内部几乎所有的服务,网络服务器对于内部用户缺乏基本的安全防范,特别是在内部网络上,大部分的主机没有进行基本的安
高校网络安全存储实验室方案书
X X X职业技术学院 网络安全与服务器存储实训平台方案 xxxx通信技术有限公司 2011年5月
目录 一、概述 (2) 二、方案介绍 (3) 1.实验系统构架 (5) 2.实验平台及组网 (5) 3.实验管理软件 (8) 4.实验控制平台 (8) 5.实验平台模块 (9) 6.实验室建设特点 (70) 三、网络安全存储实验室建设 (71) 1.平台的建设 (71) 2.师资队伍建设 (74) 3.专业课程建设 (74) 四、校企合作介绍 (77) 1.培训认证体系介绍 .................................................... 错误!未定义书签。 2.华赛网络安全存储学院合作模式及合作策略 (79) 五、校企联合办学 (96)
一、概述 信息安全保障能力和专业服务能力不足成为国民经济和社会信息化发展的严重制约因素。我国政府高度重视在信息安全人才培养等方面公共服务能力建设。但是,目前在信息安全专业人才实践教学环节,缺乏能支持信息安全各专项技术的综合实验环境;另外,政府和社会上数量庞大的在职人员对信息安全继续教育的需求与支持大规模在职人员安全技能实训服务能力不足的矛盾也日益突出;同时,在面向企业的信息安全服务和支持企业间科研协作的服务手段和服务能力建设上也急需加强。因此,如何构筑能够支持信息安全高级专业人才培养、大规模社会继续教育实训、企业间安全服务与科研协作支持的国家信息安全公共服务支撑环境,成为重要的战略任务。 结合学校在信息安全学科及实践教学环境建设的需要,围绕国家加快发展现代服务业和提升国家信息安全保障能力的战略要求,建设面向计算机专业、信息工程专业、通信、密码等相关专业的全体师生的多层次、全方位、可扩展的信息安全综合实践教学环境。同时实验室建设具有服务于国家信息安全公共服务的综合能力: ?面向信息安全高级专业人才培养的工程实践服务能力 ?面向政府和社会的大规模继续教育实训服务能力 ?面向企业的信息安全增值服务能力 ?以及大规模科研协作支持服务能力 建设总目标:是通过与华为赛门铁克(xxxx)共建“信息安全与数据存储实验室”,达到共同建立“信息安全实践教学基地”的目的,该实验室体现信息安全保障体系架构,涵盖信息安全所有专项技术和方向,提供多层次、全方位及综合化的信息安全实验与实践环境,支持信息安全专业人才培养、社会化培训以及信息咨询、方案优化、产品研发与仿真测试等服务。 网络安全技术是在计算机网络技术发展到一定程度,其应用渗透到各个领域、各个日常应用后,出现一系列安全问题和风险后,逐步发展起来的。其技术人才积累往往是和技术发展相辅相成的,由于安全经验需要时间积累的缘故,目前网络安全工程师远远满足不了业务发展需求。据计算机世界资讯发布的相关研
XXX学校信息安全实验室建设方案
XXX学校信息安全实验室 设计方案 北京网御星云信息技术有限公司 2014-03-30
目录 一、概述................................................................................................ - 3 - 二、设计目的........................................................................................... - 4 - 三、总体架构........................................................................................... - 4 - 3.1、所需软硬件................................................................................ - 5 - 3.2、培训 ......................................................................................... - 6 - 3.3、实验教材................................................................................... - 6 - 3.4、产品报价................................................................................... - 6 - 四、实验和演练........................................................................................ - 6 - 4.1、网御安全综合网关技术实验.......................................................... - 6 - 4.2、网御入侵检测技术实验 ................................................................ - 7 - 4.3、网御漏洞扫描系统实验 ................................................................ - 7 -
网络安全设计方案完整版
网络安全设计方案 HEN system office room 【HEN16H-HENS2AHENS8Q8-HENH1688】
目录 1、网络安全问题 (3) 2、设计的安全性 (3) 可用性 (3) 机密性 (3) 完整性 (3) 可控性 (3) 可审查性 (3) 访问控制 (3) 数据加密 (3) 安全审计 (3) 3、安全设计方案 (5) 设备选型 (5) 网络安全 (7) 访问控制 (9) 入侵检测 (10) 4、总结 (11) 1、网络安全问题 随着互联网的飞速发展,网络安全逐渐成为一个潜在的巨大问题。网络安全性是一个涉及面很广泛的问题,其中也会涉及到是否构成犯罪行为的问题。在其最简单的形式中,它主要关心的是确保无关人员不能读取,更不能修改传送给其他接收者的信息。此时,它关心的对象是那些无权使用,但却试图获得远程服务的人。安全性也处理合法消息被截获和重播的问题,以及发送者是否曾发送过该条消息的问题。 大多数安全性问题的出现都是由于有恶意的人试图获得某种好处或损害某些人而故意引起的。可以看出保证网络安全不仅仅是使它没有编程错误。它包括要防范那些聪明的,通常也是狡猾的、专业的,并且在时间和金钱上是很充足、富有的人。同时,必须清楚地认识到,能够制止偶然实施破坏行为的敌人的方法对那些惯于作案的老手来说,收效甚微。 网络安全性可以被粗略地分为4个相互交织的部分:保密、鉴别、反拒认以及完整性控制。保密是保护信息不被未授权者访问,这是人们提到的网络安全性时最常想到的内容。鉴别主要指在揭示敏感信息或进行事务处理之前先确认对方的身份。反拒认主要与签名有关。保密和完整性通过使用注册过的邮件和文件锁来 2、设计的安全性 通过对网络系统的风险分析及需要解决的安全问题,我们需要制定合理的安全策略及安全方案来确保网络系统的机密性、完整性、可用性、可控性与可审查性。即,
网络安全实验室方案书上课讲义
网络安全实验室方案 书
网络安全实验室方案书 一、认证课程与学校网络安全实验室建立的关系: 学校建立网络安全实验室的同时,即可引进TCSE课程,实验室与网络安全相关课程紧密结合,构建完善的网络安全教学体系。 趋势科技网络安全实验室参照学校网络专业的建设要求,结合学校认同的趋势科技TCSP-TCSE认证课程体系的专业教学要求,严格把关,层层审核,使用我们公司的最新硬件设备及软件产品来搭建而成。认证课程方案授权范围内包含我们的专业实验设备(具体产品可根据实际需要调节)。 若学校有一定的网络安全实验室建设需要,完整的趋势科技实验室设备随时恭候您的选购,并在专业领域权威性的技术带领下,提供学校一套完善而优秀的实验课程认证体系,附赠免费的全套技术支持。倘若学校有其他实验室教学要求没有采纳我们整体TCSP-TCSER 认证课程体系,也可以单独采购部分硬件设备。 二、搭建网络实验室的重要性 1、实际的动手操作能力 随着就业竞争力的不断加大,各高校不断加强学生的专业知识训练。对于计算机专业的学生,他们更需要“强理论知识+动手实践”的训练方式,单一的理论知识已不足已他们在职场上占据竞争优势。现在有的培训机构由于没有整体的教学实验环境或实验设备不足,学生毕业后匆匆来到相关企业实习,发现“信息系统”早已演变为企业的命脉,这时他们正想投身回报社会,不巧被高级网管叫“停”,由于信息的安全性和敏感性,网络系统通常有层层密码保护,不仅企业内部的一般网管无法进入运行中的重要系统,外来实习人员更无法接触到运行中的关键设备和整个网络系统的核心技术。正常运行中的网络系统不可能让实习生当成训练场,结局自然就只能远远看着机房……为了扭转这种局势,高校必须配备同比企业的项目和工程的实验环境,使学生有充分动手的机会,占据就业竞争优势。
银行互联网出口安全的保障
银行互联网出口安全的保障 通过安全需求分析,本着适度建设的总体原则,Fortinet采用先进的安全技术和相应的安全产品,为某银行提出适合的网络安全解决方案。整个方案包括两部分,第一部分是为以银行总部为基础的互联网及办公网安全建设,第二部分是为以分行为例的业务网安全建设。 本方案在允许员工访问互联网的情况下,有效防范了来自外部和内部的安全威胁,建立一个完整、动态的互联网安全防御体系。 网络组成 该银行的网络由三个独立网络组成,即互联网业务、银行内部办公网和业务网。其中,互联网业务主要以内部员工上网获取信息和网上银行及企业邮件系统为主,办公网以内部OA和内部办公业务系统为主,业务网则以目前银行主营业务和A TM系统为主。 互联网和办公网物理上为同一个网络,通过接入路由器适当访问控制列表区分业务类型。业务网完全与其他两个网络保持物理隔离。整个网络采用星型结构,分别使用独立的专线系统连接各级分行和总行。在网络条件不具备的地区采用接入路由器区分不同的业务系统。同时,银行业务存在大量的外联系统,它们不直接与其他网络连接。 保护内部业务系统的安全是系统安全防护的重要环节。 安全目标 银行网络系统的安全风险主要来自网络设施物理特性的安全、网络系统平台的安全、网上交易的安全、数据存储的安全。而系统安全风险主要体现在网络系统、操作系统和应用系统三个方面。整个系统安全设计应该遵循安全性、整体性、先进性、实用性、可适应性、技术与管理相结合的原则。 该银行系统安全建设的目标是: ◆保护网络系统的可用性 ◆保护网络资源的合法使用性 ◆防范入侵者的恶意攻击与破坏 ◆保护信息通过网上传输的机密性、完整性及不可抵赖性 ◆防范病毒的侵害 ◆防范垃圾邮件对内部邮件系统的侵害 ◆防范来自网络内外的攻击 ◆有效的日志管理为安全运维提供支持 解决方案和安全部署 本方案着重解决如何实现员工访问互联网的安全建设的技术问题。方案的选择首先要保证网络结构的安全,对银行系统业务网、办公网、与外单位互联的接口网络之间必须按各自的应用范围、安全保密程度进行合理分布,以免局部安全性较低的网络系统造成的威胁传播到整个网络系统。 在总行和省行进行安全产品的部署,当地支行通过省行出口访问互联网资源,目前各省行采取的接入方式是专线接入当地ISP或通过ADSL接入互联网。这样的设计既方便集中管理,又能节约建设成本,也符合银行未来的网络整体规划。 该银行总部互联网出口安全产品部署如图所示。 某银行互联网出口安全建设部署拓扑图 安全网关的部署:互联网出口采用两层异构防火墙系统接口,外层防火墙为已经部署的安全设备,内层防火墙系统采用美国Fortinet公司FortiGate防病毒安全网关。所有安全网关均采用双机热备工作方式,即高可用性HA方式,任何一台设备出现问题,备机均可以迅速替换工作,网络仍能正常运转。在内层FortiGate防病毒安全网关上启用相应的安全策略,
面向攻防实战的信息安全实验室建设方案详细
面向攻防实战的信息安全实验室建设方案 引言Introduction 为满足军工、航天、网警、电信、教育等行业对信息安全人才培养、攻防演练、安全研究等需求,天融信科技基于虚拟化技术开发了攻防演练系统,并以此系统为核心打造了面向攻防实战的信息安全实验室。 需求分析Needs Analysis 安全研究:以行业信息化、网络安全、为主要出发点、重点研究信息管理和安全应用,建设新技术开发与验证平台,研究信息安全取证、破译、解密等技术。并负责对电子数据证据进行取证和技术鉴定。 安全研究实验室示意图 应急演练:随着信息安全的日益发展,网络新型攻击和病毒形式日益恶化,因此以安全运维、快速响应为目标,以信息网络技术为主要手段,提高在网络空间开展信息监察、预防、提高突发事件的处理能力。
攻防演练实验室示意图 人才培养:近年来,信息技术已在人类的生产生活中发挥至关重要的作用,随之而来的信息安全问题也已成为关系国家安全、经济发展和社会稳定的关键性问题。但由于国专门从事信息安全工作技术人才严重短缺,阻碍了我国信息安全 事业的发展 信息安全实验室示意图 解决方案Solution 天融信基于攻防演练系统和在信息安全技术方面的研究,全力打造出基于安全研究、应急演练、人才培养所需要的信息安全实验室,实验室分为5 个区域:信息安全研究区域、信息安全演练区域、信息安全设备接入区域、竞赛与管理区域和远程接入区域。
实验室网络拓扑结构 信息安全攻防演练系统(Topsec-SP):是通过多台专用信息安全虚拟化设备,虚拟出信息安全所需的场景,例如WEB 攻防平台、应用攻防平台、威胁分析平台、数据挖掘平台、基线扫描平台、漏洞分析平台、木马分析平台等等。同时系统提供相实验指导书和实验环境场景。 信息安全研究平台(Topsec-CP):是通过智能信息安全靶机系统、信息安全智能渗透系统和信息安全监控系统实现红、蓝对战实战。并对实战过程进行监控,实现测试过程和结果动态显示。 实验室设备接入区:是能够满足用户在演练和实战时通过接入特殊设备来完成用户自定义的实验需求,例如UTM、IDS、漏扫、AIX、HP-Unix 等通过虚拟化技术无法完成的设备。 测试、培训、研究和管理区:相关人员通过B/S 做培训、研究和管理所用。 远程接入区:能够满足用户通过远程接入到信息安全实验室,进行7*24 小时的测试和研究。
网络安全设计方案
网络安全设计方案文档编制序号:[KK8UY-LL9IO69-TTO6M3-MTOL89-FTT688]
1.1?某市政府网络系统现状分析 《某市电子政务工程总体规划方案》主要建设内容为:一个专网(政务通信专网),一个平台(电子政务基础平台),一个中心(安全监控和备份中心),七大数据库(经济信息数据库、法人单位基础信息数据库、自然资源和空间地理信息数据库、人口基础信息库、社会信用数据库、海洋经济信息数据库、政务动态信息数据库),十二大系统(政府办公业务资源系统、经济管理信息系统、政务决策服务信息系统、社会信用信息系统、城市通卡信息系统、多媒体增值服务信息系统、综合地理信息系统、海洋经济信息系统、金农信息系统、金水信息系统、金盾信息系统、社会保障信息系统)。主要包括: 政务通信专网 电子政务基础平台 安全监控和备份中心 政府办公业务资源系统 政务决策服务信息系统 综合地理信息系统 多媒体增值服务信息系统 某市政府中心网络安全方案设计 1.2?安全系统建设目标 本技术方案旨在为某市政府网络提供全面的网络系统安全解决方案,包括安全管理制度策略的制定、安全策略的实施体系结构的设计、安全产品的选择和部署实施,以及长期的合作和技术支持服务。系统建设目标是在不影响当前业务的前提下,实现对网络的全面安全管理。
1)?将安全策略、硬件及软件等方法结合起来,构成一个统一的防御系统,有效阻止非法用户进入网络,减少网络的安全风险; 2)?通过部署不同类型的安全产品,实现对不同层次、不同类别网络安全问题的防护; 3)?使网络管理者能够很快重新组织被破坏了的文件或应用。使系统重新恢复到破坏前的状态。最大限度地减少损失。 具体来说,本安全方案能够实现全面网络访问控制,并能够对重要控制点进行细粒度的访问控制; 其次,对于通过对网络的流量进行实时监控,对重要服务器的运行状况进行全面监控。 1.2.1?防火墙系统设计方案 1.2.1.1?防火墙对服务器的安全保护 网络中应用的服务器,信息量大、处理能力强,往往是攻击的主要对象。另外,服务器提供的各种服务本身有可能成为"黑客"攻击的突破口,因此,在实施方案时要对服务器的安全进行一系列安全保护。 如果服务器没有加任何安全防护措施而直接放在公网上提供对外服务,就会面临着"黑客"各种方式的攻击,安全级别很低。因此当安装防火墙后,所有访问服务器的请求都要经过防火墙安全规则的详细检测。只有访问服务器的请求符合防火墙安全规则后,才能通过防火墙到达内部服务器。防火墙本身抵御了绝大部分对服务器的攻击,外界只能接触到防火墙上的特定服务,从而防止了绝大部分外界攻击。 1.2.1.2?防火墙对内部非法用户的防范 网络内部的环境比较复杂,而且各子网的分布地域广阔,网络用户、设备接入的可控性比较差,因此,内部网络用户的可靠性并不能得到完全的保证。特别是对于存放敏感数
银行业网络安全现状审批稿
银行业网络安全现状 YKK standardization office【 YKK5AB- YKK08- YKK2C- YKK18】
一.银行业信息化现状 21世纪的今天,信息技术的发展完全改变了人们传统的生活方式和生活观念,在以网络应用为核心的数字化时代到来之际,金融界率先引进了电子信息和网络技术,计算机网络与信息技术不仅深入了金融企业的内部管理体系,也使我们在注入银行卡、网上交易等业务中,越来越多的享受到了信息化所带来的高效和便利。网络银行的出现,使得银行客户在任何地方和任何时候都能得到银行的服务,它拓展了银行的业务发展空间,使用因特网进行的商务活动突破了时间与空间的限制。 目前,全球发达国家大约有85%的主要银行已经建有自己的业务网站,中国银行,,%)界实现银行机构信誉化的进程也在不断地加快,可以说开拓数字化、网络化的电子金融业业务,已经成为国内金融界发展的战略重点。据报道,中国银行业金融电子化建设已经具有相当的规模,计算机和通信网络在银行已经得到普遍的应用,银行系统的存款贷款、代理、结算,ATM,信用卡同城清算,已经基本实现了计算机和网络化,据不完全统计,中国银行、中国交通银行,计算机化已经达到了100%,中国建设银行达到了90%以上,中国交通银行达到了85%以上,农业银行也达到了80%以上。 我国金融业拥有世界先进水平的大型计算机、小型计算机、PC 服务器、刀片服务器等各类计算机,建立了覆盖全国的网络通信系统,开发了大量金融信息和业务处理系统,形成了比较完整的金融信息基础设施体系。数据集中工程基本完成。以国有商业银行为代
表的各金融机构实现了业务数据的集中处理,统一、规范了业务操作流程,重新设计了营运流程。建立了集中式的数据中心,有效提高了数据处理能力和整体可靠性,为管理信息系统提供了基础数据,为下一步实现经营集约化、管理信息化、决策智能化奠定了基础。 核心业务系统成功投产。以数据集中为依托,部分商业银行研制开发了涵盖全行业务处理、经营管理、决策分析和服务渠道的全功能银行业务系统。部分保险公司陆续启动了“集中的财务系统”、“保险数据仓库”、“集中的IT运行平台”、和“网络安全系统”等信息化建设项目,提高了信息系统的整合应用能力,为业务发展提供了有力的支撑。 二.未来几年我国银行业信息化发展的趋势 1.加强IT治理,提高信息化管理水平。未来几年,银行业要建立起适应数据大集中技术环境和银行组织变革要求的信息组织体系,合理配置科技资源,努力构建面向业务、服务导向、分工合理、协作紧密、运作高效的专业信息化组织架构。 要建立IT战略和计划的流程,保证IT战略与企业战略的一致性,确保IT技术投资决策符合本行远景。建立统一的项目管控组织和制度流程,加强项目协调和管控,加强需求、方案设计、投产验证等关键阶段的管理,确保项目过程的有效控制。建立统一的IT策略,推进企业IT技术标准化,统一IT架构、规范IT技术采用,提高效率、降低成本。进一步完善供应商管理机制,加强供应商的有效控制,为银行信息化发展提供安全高效的外部资源支持。