网新易尚银行整体网络安全解决方案-金融证券解决方案.doc
网新易尚银行整体网络安全解决方案 -金融证券解决方案 为银行网络、网上交易构建高安全的整体网络安全解决方案。 网新易尚根据银行网络系统安全架构和银行安全需求分析,提出了银行整体网络安全解决方案,具体包括 : 在网络层划分安全域,部署防火墙系统、入侵 检测系统、网络漏洞扫描系统、拨号监视器系统、防拒绝服务攻击系统;在系统层部署主机访问控制系统、系统漏洞扫描系统、病毒防范系统;在应用层采用一次性口令身份认证系统、 CA 认证中心;在管理层制订安全管理策略,部署日志分析系统,建立安全管理中心。 下面针对一个覆盖全国各省市、区县,同时还与许多单位连接的银行网络说明如何解决其网络安全问题。 1.网络访问控制系统 划分安全域 对安全系数要求高的安全域,在其边界部署防火墙,对安全系数要求较低的安全域的边界则可以使用 VLAN 或访问控制列表来代替。为了提高银行网络的安全性和可靠性,在总行、各省市行、区县行对不同系统划分不同安全域。 访问控制措施 根据安全域的划分,在不同安全域边界间采用不同的安全措施 : 各级银行内部办公系统与公网之间安装防火墙系统,业务网与 Internet 公网完全物 理隔离,内部办公系统中不同部门或不同安全级别的用户组利用交换机划分虚拟子网技术划分不同子网,做到较简单的访问控制。 2.入侵检测系统 在银行网络系统中,对不同安全域的边界或其他存放涉密信息的关键网段部署入侵检测系统,实时监测进出网络的数据流。 3.风险评估系统 利用现有的网络安全扫描系统,分析网络系统结构、配置等是否存在安全漏洞。依据结果,增加安全补丁及填补安全漏洞。 4.主机访问控制系统 采用主机访问控制系统加固 Unix 主机、 Windows NT/2000/XP、业务主机与备份主机、 PC 服务器,根据安全可靠性需求,增强操作系统的安全等级 (部分指标可达到安全 B 级 ),并分析提出加固措施。 5.病毒防范系统 在银行网络系统可能的病毒攻击点或通道中部署一套全方位的病毒防范系统,包括银行的生产系统、 OA 系统、中间业务系统中的客户端计算机、应用服务器、 Internet/外网网关边界处部署防病毒设备,并配置防病毒系统管理中心,对所有防病毒软件进行集中管理、监控、统一升级、集中查杀毒。 6.一次性口令身份认证系统 提供强大的动态口令牌身份认证工 具及认证服务器,确保企业用户访问企业内部