(金融保险)某建设银行安全应用实例

（金融保险）某建设银行安

全应用实例

某建设银行安全应用实例

XX数码有限公司

二OO一年五月

一、某建设银行业务分析

1.业务分析

●业务概况

保护某建行的网络系统，保证各项业务正常运行，防止非法行为的侵犯和病毒的破坏。由于目前某建行没有采取安全保护措施，使得自己的业务系统完全暴露在网络环境中，因此容易受到黑客和不法人员的侵害，所以应该实施一套完整的安全方案来保护业务网络，同时由于银行每天都有大量的数据通过网络，所以要保证网络的流量，即新增的安全产品不能成为网络的瓶颈。

1.管理模式

在管理上，使用集中式的管理可以方便快捷，并能够简化管理员的工作，提高工作效率。从安全的角度来看，复杂的，分散的管理方式在安全上是存在很大的隐患和漏洞的，使用集中管理也是提高安全等级的一项主要内容。

2.网络主要的安全风险和漏洞

●数据库数据会受到黑客的窃取、破坏以及病毒的破坏

●系统信息会受到黑客的窃取、破坏以及病毒的破坏

●服务的正常运行会受到黑客的攻击、破坏以及病毒的破坏

3.网络中心拓扑结构：

从上图中可以看出，目前某建行的网络比较复杂，设备众多，型号也非常多，一方面在管理上很不方便，另一方面从安全性的角度讲，它使得网络的安全等级也降低了，因此我们需要简化网络结构，并对网络进行集中的管理。

二、系统安全目的

通过以上的分析，安全目的是：保护某建设银行的内部网络的计算机系统正常运转，避免恶意的攻击、破坏；重要数据库的数据，防止被窃取、修改、破坏。

三、用户安全需求分析

1．安全性

●网络环境、操作系统与数据的安全性

现在这个网络环境直接暴露，是处在非常不安全的状态，所以我们需要用防火墙来隔离某建行的内部生产网络，保护各种业务的服务器，其中包括AS400等重要的业务机。由于防火墙能够阻挡黑客的攻击行为和异常的网络事件，这样可以保护我们的网络环境、网络中计算机的操作系统和数据。防火墙是网络安全的第一道屏障，单有防火墙是不能进行全面保护的，我们还需要入侵监测系统（IDS）来对黑客的攻击进行报警和自动防范。

2．高效性

由于每天有大量的信息访问要保护生产系统的服务器，这就要求网络拥有很高的数据吞吐能力，也就意味着网络的安全产品不能对网络的流量造成影响。而现在传统防火墙动辄造成15%以上的效率损失相比，这就造成了一个矛盾。方正方御防火墙充分考虑了用户对效率的重视性，拥有足以自豪的数据吞吐能力。在500条规则以下的应用（占全部应用的95%以上）中，基本不影响网络传输，有绝对的优势。

3．可扩展性

银行是我国重要的金融机构，新的业务会不断的开展，同时也会应用大量的新技术新设备，同时网络的发展日新月异，所以网络的扩展性好坏关系到日后企业的发展。这就要求在网络建设时留余地。这样不会因为现在的投资给将来网络的发展和升级带来影响。

4．易用性（管理控制）

不易使用的安全系统是不安全的。充斥着英文术语的管理界面会大大的增加系统管理人员的工作量，也容易导致不应有的漏洞的出现或安全策略的僵化。易用性主要包括：

●要界面清晰易懂

●管理集中方便

●安全性的时实监控

5．完善的服务体制

网络安全的实施还需要完善的服务体制来保障，一般的企业不是专业的网络安全公司，安全是动态的过程，今天安全的系统明天就可能不安全，这就要求提供安全方案的公司有优秀的服务体制进行跟踪服务。这就需要有一支专业的网络安全队伍来帮助企业解决有关安全问题。

再严密的系统也可能出现漏洞，当紧急事件发生时，能不能在最短时间内获得紧急响应服务经常决定了损失的大小，而且这种时候，需要的是极其专业的服务，没有强大开发实力的公司是无法满足这种需求的，而在国内没有开发部门的国外著名公司则往往鞭长莫及。

四、安全体系结构

通过前面的分析，我们可以知道，首先需要使用防火墙作为网络安全的屏障来与其他网络进行隔离，这样能够防止其他网络的非法用户的非法侵害，在这里我们建议使用方正数码的方正方御防火墙。（有关方御防火墙的具体情况请见后面有关防火墙介绍的部分）作为网络安全必备的第二道警戒线我们需要布置IDS （入侵监测系统），IDS系统主要包括网络IDS、主机IDS等部分，对于IDS系统方正方御防火墙里已经内置了一套网络IDS系统。同时要在网络中布置一套网络防病毒系统，已达到对病毒的防御。由于防火墙是网络中的关键设备之一，由于有时候一些不可预见的因素可能会是防火墙出现故障的而造成网络不畅通或安全性失效，所以我们要采取双机热备的方案，提高安全的可靠性。另外需要我

们注意的是加入数据备份的产品，来保护我们的数据库。

安全体系结构图：

安全解决方案体系所使用模块：

●防火墙（方正方御防火墙）

●IDS（ISS产品）

●防病毒模块（KiLL网络防毒产品）

●网络冗余

●数据备份

整个安全系统结构可以总结为：多层隔离、实时监控、立体防护、集中管理。

五、安全系统实施

通过上面对需求的分析，我们提出了解决需求所要使用到的安全模块，主要由防火墙来对网络上的入侵、攻击以及异常的行为进行阻挡。使用方正数码的FireGate防火墙作为系统安全的屏障。具体实施如下图所示：

安全模块安之后的拓扑图及其说明：

拓扑接供如上图所示，在访问的线路上添加方御防火墙双机热备方案，防火墙设置为桥接模式，不需要给内、外部接口配置IP地址，将防火墙的外部接口使用直连线与交换机连接，将防火墙的内部接口使用直连线与相连接即可。防火墙的规则配置请参看方御防火墙使用说明书。

在网络的主交换机上安装一台带有IDS系统的计算机，作为第二道安全防护屏障，同时在每台计算机上安装Kill网络版防病毒模块和E-trust单机版IDS模