某市商业银行网络安全解决方案

经典word整理文档，仅参考，双击此处可删除页眉页脚。本资料属于网络整理，如有侵权，请联系删除，谢谢！某市商业银行网络安全解决方案某市商业银行经过多年的建设，已经形成比较完善的综合网络，整体结构是通过广域网连接的二级网络，在二级网络上运行着银行业务系统、办公自动化系统、代理业务系统等，由于应用系统的复杂化，网络安全体系的建立和网络安全的全面解决方案更是迫在眉睫。根据某市商业银行网络的实际情况，本方案从以下几个方面来解决某市商业银行网络的安全隐患。Internet接入安全中心生产网络的网络安全全网防病毒系统体系办公自动化系统的安全生产前置机安全办公网络与生产网络物理线路共享情况下保证生产网络的安全一、技术安全手段需求分析1.1、网络现状网络总体结构：生产网络是银行网络的最根本应用。某市商业银行生产网络分为3个大的部分：第一部分：中心生产网络核心包括以SNA网络为基础的生产机系统，以两台RS9000作为生产系统，且互相备份。所有对生产主机的访问均通过前置机群完成。第二部分：外联单位。外联单位是主要涉及到商业银行与银联之间的结算等业务，企业通过各种多样的方式接入商业银行网络，第三部分：支行及网点。某市商业银行目前有多个网点和支行。通过DDN接入中心网络。同时采用PSTN作为备份线路。由于目前办公网络虽然在逻辑上独立于生产网络，但是办公网络在物理线路上与生产网络共享，因此生产网络需要考虑来自办公网络的安全威胁。1.2、办公网络安全技术需求分析办公自动化系统是基于Unix平台的办公自动化系统，某市商业银行初步拟定采用LotusNotes作为办公自动化的开发与运行平台，利用LotusNotes自身提供的邮件服务功能，对办公自动化系统的用户提供内部办公自动化服务，同时利用LotusNotes系统自身提供的Web服务功能，由于管理的需要，办公系统要定期从生产主机上提取数据进行统计分析生成报表。其中，信贷业务、帐务查询数据要传往办公网上的服务器，数据在这两个网段上经过加工，供其他系统查询。因此，办公网要保持与生产网的连接，同时生产主机也要为其提供相应的服务。在办公网上还运行着许多与生产网无关的主机和工作站，结果造成生产网上的主机暴露于这些主机和工作站的直接访问之下，从而造成系统的安全隐患。办公自动化系统的安全技术需求如下：办公自动化服务器自身安全保证办公自动化系统的基础运行平台Unix操作系统的安全2.办公自动化系统平台自身安全保证办公自动化系统的基础开发运行平台LotusNotes系统的安全保证基于LotusNotes开发的办公自动化系统本身安全保证远程移动办公用户能够安全可靠的使用本系统Windows系统为主体的特点，需要建立全网统一的防病毒体系对内部办公自动化系统进行分布式入侵行为的实时检测，并实施统一集中管理6.表一办公自动化系统的安全需求1.3、生产网络安全技术需求分析某市商业银行生产网络是典型的银行生产系统，以大型Unix主机为核心，采用SNA网络；前置机围绕大型UnixIP网络或其他网络转换到SNA网络中。商业银行与传统银行多级网络的区别在于某市商业银行生产网络为二级网络，在支行、网点等的业务连接到中心，必须通过前置机访问中心网络，在支行、网点不存在二级的前置机直接访问核心网络。目前商业银行的生产网络在中心节点与二级节点之间的没有采用加密传输和认证机制。生产网络安全技术需求如下：目标生产机的安全需求内容保证生产系统主机的安全1.保证生产网络传输的安全建立网络安全审计与系统审计机制对生产网络进行分布式入侵行为的实时检测，并实施统一集中管理表二生产网络安全技术需求表1.4、网络互联安全某市商业银行网络互联安全分为三部分：第一部分：与外部网络的互联安全。某市商业银行网络与移动、银联系统、人行、医保和社保、电信等系统需要进行网络互联，这部分网络互联的需求如下：1.2.3.访问控制过滤机制地址转化过滤与前置机业务无关访问保证前置机与外部网络之间彼此隔离表三与外部网络的互联安全需求第二部分：内部办公网与生产网之间的互联安全。内部办公网与生产网之间共享物理线路，两个网络物理上彼此互联，这两个网互联的安全需求如下：即办公网络的安全事故不能影响生产网络的正常运行即从办公网络内部不能危害生产网络即保证生产网络在现有带宽需求中的服务质量，办公网络的应用带宽需求不应影响生产网络正常有序工作表四内部办公网与生产网之间互联的安全需求第三部分：与公共电话系统的互联安全。为了网上银行系统能够满足企业用户的需求，因此网上银行系统需要与公共电话连接，同时某市商业银行的信息网络建设规划中包括了通过Internet提供网上银行业务，对网上银行系统的互联安全需求如下：拨号访问路由接入的访问控制对来自公共电话网络的访问进行控制，对匿名用户的访问资源进行控制网上银行应用服务器的安全网上银行应用服务系统的安全实时网络入侵检测对针对网上银行前置业务的攻击进行入侵行为的实时检测，并实施统一集中管理表五网上银行的互联安全需求表Internet利用TCP/IP指纹识别确定操作系统类型利用Telnet旗标确定操作系统类型利用服务的旗标信息确定服务类型用专用工具进行服务类型探测利用rpc.mountd服务漏洞绑定Shell端口从AD上查找前置机主机蠕虫影响办公网内部邮件系统2.2、网络防病毒体系应用了网络防病毒技术之后，可以从三个层面有效防范病毒的传播和蔓延：Internet下载2.3、网络入侵检测技术利用rpc.mountd服务漏洞WindowsRPCDCOM远程溢出－MS026WindowsRPCDCOM远程溢出－MS039TCP登录会话劫持－发送一个伪造的报告到telnet/login/sh安装木马2.4、基于X.509证书的身份认证技术与SSL技术篡改公文内容网络窃听，获得更多广播信息2.5、网络安全审计技术获取内部公文获取口令文件的shadow，破解系统管理员口令2.