某建设银行安全应用实例

1、.：.；某建立银行平安运用实例XX数码二OO一年五月一、某建立银行业务分析业务分析业务概略维护某建行的网络系统，保证各项业务正常运转，防止非法行为的进犯和病毒的破坏。由于目前某建行没有采取平安维护措施，使得本人的业务系统完全暴露在网络环境中，因此容易遭到黑客和不法人员的损害，所以应该实施一套完好的平安方案来维护业务网络，同时由于银行每天都有大量的数据经过网络，所以要保证网络的流量，即新增的平安产品不能成为网络的瓶颈。管理方式在管理上，运用集中式的管理可以方便快捷，并可以简化管理员的任务，提高任务效率。从平安的角度来看，复杂的，分散的管理方式在平安上是存在很大的隐患和破绽的，运用集中管理也是提高

2、平安等级的一项主要内容。网络主要的平安风险和破绽数据库数据会遭到黑客的窃取、破坏以及病毒的破坏系统信息会遭到黑客的窃取、破坏以及病毒的破坏效力的正常运转会遭到黑客的攻击、破坏以及病毒的破坏网络中心拓扑构造：从上图中可以看出，目前某建行的网络比较复杂，设备众多，型号也非常多，一方面在管理上很不方便，另一方面从平安性的角度讲，它使得网络的平安等级也降低了，因此我们需求简化网络构造，并对网络进展集中的管理。二、系统平安目的经过以上的分析，平安目的是：维护某建立银行的内部网络的计算机系统正常运转，防止恶意的攻击、破坏；重要数据库的数据，防止被窃取、修正、破坏。三、用户平安需求分析1平安性网络环境、操作

3、系统与数据的平安性如今这个网络环境直接暴露，是处在非常不平安的形状，所以我们需求用防火墙来隔离某建行的内部消费网络，维护各种业务的效力器，其中包括AS400等重要的业务机。由于防火墙可以阻挠黑客的攻击行为和异常的网络事件，这样可以维护我们的网络环境、网络中计算机的操作系统和数据。防火墙是网络平安的第一道屏障，单有防火墙是不能进展全面维护的，我们还需求入侵监测系统IDS来对黑客的攻击进展报警和自动防备。2高效性由于每天有大量的信息访问要维护消费系统的效力器，这就要求网络拥有很高的数据吞吐才干，也就意味着网络的平安产品不能对网络的流量呵斥影响。而如今传统防火墙动辄呵斥15%以上的效率损失相比，这就

4、呵斥了一个矛盾。方正方御防火墙充分思索了用户对效率的注重性，拥有足以骄傲的数据吞吐才干。在500条规那么以下的运用占全部运用的95%以上中，根本不影响网络传输，有绝对的优势。 3可扩展性银行是我国重要的金融机构，新的业务会不断的开展，同时也会运用大量的新技术新设备，同时网络的开展日新月异，所以网络的扩展性好坏关系到日后企业的开展。这就要求在网络建立时留余地。这样不会由于如今的投资给未来网络的开展和晋级带来影响。4易用性管理控制不易运用的平安系统是不平安的。充斥着英文术语的管理界面会大大的添加系统管理人员的任务量，也容易导致不应有的破绽的出现或平安战略的僵化。易用性主要包括：要界面明晰易懂管理集

5、中方便平安性的时实监控5完善的效力体制网络平安的实施还需求完善的效力体制来保证，普通的企业不是专业的网络平安公司，平安是动态的过程，今天平安的系统明天就能够不平安，这就要求提供平安方案的公司有优秀的效力体制进展跟踪效力。这就需求有一支专业的网络平安队伍来协助 企业处理有关平安问题。再严密的系统也能够出现破绽，当紧急事件发生时，能不能在最短时间内获得紧急呼应效力经常决议了损失的大小，而且这种时候，需求的是极其专业的效力，没有强大开发实力的公司是无法满足这种需求的，而在国内没有开发部门的国外著名公司那么往往鞭长莫及。四、平安体系构造经过前面的分析，我们可以知道，首先需求运用防火墙作为网络平安的屏障

6、来与其他网络进展隔离，这样可以防止其他网络的非法用户的非法损害，在这里我们建议运用方正数码的方正方御防火墙。有关方御防火墙的详细情况请见后面有关防火墙引见的部分作为网络平安必备的第二道警戒线我们需求布置IDS入侵监测系统，IDS系统主要包括网络IDS、主机IDS等部分，对于IDS系统方正方御防火墙里曾经内置了一套网络IDS系统。同时要在网络中布置一套网络防病毒系统，已到达对病毒的防御。由于防火墙是网络中的关键设备之一，由于有时候一些不可预见的要素能够会是防火墙出现缺点的而呵斥网络不畅通或平安性失效，所以我们要采取双机热备的方案，提高平安的可靠性。另外需求我们留意的是参与数据备份的产品，来维护我

7、们的数据库。平安体系构造图：平安处理方案体系所运用模块：防火墙方正方御防火墙IDSISS产品防病毒模块KiLL网络防毒产品网络冗余数据备份整个平安系统构造可以总结为：多层隔离、实时监控、立体防护、集中管理。五、平安系统实施经过上面对需求的分析，我们提出理处理需求所要运用到的平安模块，主要由防火墙来对网络上的入侵、攻击以及异常的行为进展阻挠。运用方正数码的FireGate防火墙作为系统平安的屏障。详细实施如以下图所示：平安模块安之后的拓扑图及其阐明：拓扑接供如上图所示，在访问的线路上添加方御防火墙双机热备方案，防火墙设置为桥接方式，不需求给内、外部接口配置IP地址，将防火墙的外部接口运用直连线与交换机衔接，将防火墙的内部接口运用直连线与相衔接即可。防火墙的规那么配置请参看方御防火墙运用阐明书。在网络的主交换机上安装一台带有IDS系统的计算机，作为第二道平安防护屏障，同时在每台计算机上安装Kill网络版防病毒模块和E-trust单机版IDS模块。作为防御病毒的屏障。对于数据的备分系统，相应的数据库都提供备份的方法，也可以运用磁带机等，这里就不多描画了。整个平安的实施，