XX建设银行安全解决方案

XX建设银行安全解决方案

XX数码有限公司

二OO一年五月

一、XX数码与网络安全3

二、沈阳建设银行3业务分析3

三、系统安全目的4

四、用户安全需求分析5 1．安全性5 2．高效性5 3．可扩展性5 5．完善的服务体制6

五、安全体系结构6

六、安全系统实施7附录：产品介绍（请见相关文档）8

一、XX数码与网络安全

Internet正在越来越多地离开原来单纯的学术环境，融入到社会的各个方面。一方面，随着网络用户成分越来越多样化，出于各种目的的网络入侵和攻击越来越频繁；另一方面，随着Internet和以电子商务为代表的网络应用的日益发展，Internet越来越深地渗透到各行各业的关键要害领域。Internet的安全，包括其上的信息数据安全，日益成为与国家、政府、企业、个人的利益休戚相关的“大事情”。

为此XX数码首先推出的就是SHARKS互联网安全解决方案。SHARKS是在经过一年多的大量投入和深入的研究后，提出的一套基于中国国情、全部自主开发、具有领先优势的解决方案。它是一套整体的集群平台，可以解决互联网运营商最为关切的安全性、高可靠性、可扩展性和易于远程管理的问题。目前这套方案已经得到国家有关部门的大力支持，被国家经贸委列为国家创新计划项目之一，另外，还得到了国家”863”计划的支持。

XX数码方御防火墙是SHARKS中的主要安全产品之一。方御防火墙实现了以桥方式接入的独特技术，既提高了系统自身的安全性，又保证了其运行效率。方御防火墙中还融入了入侵检测技术，可以有效地防范攻击企图的试探，另外利用先进的III技术，方御防火墙可以有效滤除著名的DDoS攻击，正是这种攻击曾迫使包括美国雅虎在内的若干世界最大的网站停止服务。

在立身自主开发外，XX数码还与ISS、Symantec等众多国际知名的安全公司保持着良好的合作关系，集成国内外最优秀的公司安全产品，为国内Internet的安全建设保驾护航。

二、沈阳建设银行业务分析

1.业务分析

业务概况

保护沈阳建行的网络系统，保证各项业务正常运行，防止非法行为的侵犯和病毒的破坏。由于目前沈阳建行没有采取安全保护措施，使得自己的业务系统完全暴露在网络环境中，因此容易受到黑客和不法人员的侵害，所以应该实施一套完整的安全方案来保护业务网络，同时由于银行每天都有大量的数据通过网络，所以要保证网络的流量，即新增的安全产品不能成为网络的瓶颈。

1.管理模式

在管理上，使用集中式的管理可以方便快捷，并能够简化管理员的工作，提高工作效率。从安全的角度来看，复杂的，分散的管理方式在安全上是存在很大的隐患和漏洞的，使用集中管理也是提高安全等级的一项主要内容。

2.网络主要的安全风险和漏洞

●数据库数据会受到黑客的窃取、破坏以及病毒的破坏

●系统信息会受到黑客的窃取、破坏以及病毒的破坏

●服务的正常运行会受到黑客的攻击、破坏以及病毒的破坏

3.网络中心拓扑结构：

从上图中可以看出，目前沈阳建行的网络比较复杂，设备众多，型号也非常多，一方面在管理上很不方便，另一方面从安全性的角度讲，它使得网络的安全等级也降低了，因此我们需要简化网络结构，并对网络进行集中的管理。

三、系统安全目的

通过以上的分析，安全目的是：保护沈阳建设银行的内部网络的计算机系统正常运转，避免恶意的攻击、破坏；重要数据库的数据，防止被窃取、修改、破坏。

四、用户安全需求分析

1．安全性

网络环境、操作系统与数据的安全性

现在这个网络环境直接暴露，是处在非常不安全的状态，所以我们需要用防火墙来隔离沈阳建行的内部生产网络，保护各种业务的服务器，其中包括AS400等重要的业务机。由于防火墙能够阻挡黑客的攻击行为和异常的网络事件，这样可以保护我们的网络环境、网络中计算机的操作系统和数据。防火墙是网络安全的第一道屏障，单有防火墙是不能进行全面保护的，我们还需要入侵监测系统（IDS）来对黑客的攻击进行报警和自动防范。

2．高效性

由于每天有大量的信息访问要保护生产系统的服务器，这就要求网络拥有很高的数据吞吐能力，也就意味着网络的安全产品不能对网络的流量造成影响。而现在传统防火墙动辄造成15%以上的效率损失相比，这就造成了一个矛盾。XX 方御防火墙充分考虑了用户对效率的重视性，拥有足以自豪的数据吞吐能力。在500条规则以下的应用（占全部应用的95%以上）中，基本不影响网络传输，有绝对的优势。

3．可扩展性

银行是我国重要的金融机构，新的业务会不断的开展，同时也会应用大量的新技术新设备，同时网络的发展日新月异，所以网络的扩展性好坏关系到日后企业的发展。这就要求在网络建设时留余地。这样不会因为现在的投资给将来网络的发展和升级带来影响。

4．易用性（管理控制）

不易使用的安全系统是不安全的。充斥着英文术语的管理界面会大大的增加系统管理人员的工作量，也容易导致不应有的漏洞的出现或安全策略的僵化。易用性主要包括：

●要界面清晰易懂

●管理集中方便

●安全性的时实监控

5．完善的服务体制

网络安全的实施还需要完善的服务体制来保障，一般的企业不是专业的网络安全公司，安全是动态的过程，今天安全的系统明天就可能不安全，这就要求提供安全方案的公司有优秀的服务体制进行跟踪服务。这就需要有一支专业的网络安全队伍来帮助企业解决有关安全问题。

再严密的系统也可能出现漏洞，当紧急事件发生时，能不能在最短时间内获得紧急响应服务经常决定了损失的大小，而且这种时候，需要的是极其专业的服务，没有强大开发实力的公司是无法满足这种需求的，而在国内没有开发部门的国外著名公司则往往鞭长莫及。

五、安全体系结构

通过前面的分析，我们可以知道，首先需要使用防火墙作为网络安全的屏障来与其他网络进行隔离，这样能够防止其他网络的非法用户的非法侵害，在这里我们建议使用XX数码的XX方御防火墙。（有关方御防火墙的具体情况请见后面有关防火墙介绍的部分）作为网络安全必备的第二道警戒线我们需要布置IDS （入侵监测系统），IDS系统主要包括网络IDS、主机IDS等部分，对于IDS系统XX方御防火墙里已经内置了一套网络IDS系统。同时要在网络中布置一套网络防病毒系统，已达到对病毒的防御。由于防火墙是网络中的关键设备之一，由于有时候一些不可预见的因素可能会是防火墙出现故障的而造成网络不畅通或安全性失效，所以我们要采取双机热备的方案，提高安全的可靠性。另外需要我们注意的是加入数据备份的产品，来保护我们的数据库。

安全体系结构图：

安全解决方案体系所使用模块：