银行网络安全理平台技术方案.docx

Xxx银行网络安全管理平台技术方案　　　背景与现状　　银行网络简介　　银行网络始建于x年。经过多年的建设，目前已基本建成连接总行、各分行、各分理处的计算机主干网和各级局域网。各级主干网主要采用专线方式相连，带宽为1兆至千兆不等。联入xxx银行网络的计算机约有x万台。　　银行网络拓扑主要为树型结构。xxx网系x银行的内部专用网络，横向不与其它外部网络相联。全网采用统一的内部IP编址和计算机命名规范。　　……　　随着计算机应用规模的扩大和各种业务对计算机网络依赖程度的提高，网络安全管理工作已经引起各级领导和网络管理人员的重视，各地有关部门正在积极着手有关工作。　　建设xxx银行网络的必要性　　几年来，xxx银行网络建设虽然有了很大的发展，在现实服务中发挥了积极的作用。但该网络还很脆弱，安全性不够高，网络安全管理工作还处于刚刚起步的探索阶段，主要体现在以下一些方面：　　缺乏完整的安全防护体系。对内而言，xxx银行网络还处于基本不设防的状况，安全管理工作缺乏有效的手段。目前，除一些地区使用了网络防病毒产品外，其它网络安全产品，如网络管理系统、防火墙、入侵检测、漏洞扫描和网络审计等系统使用得还比较少。网络安全管理体系还未形成。一些单位虽然使用了一些安全产品，但各产品之间没有联系，给管理工作带来了一定的难度，难以发挥应有的整体效果。　　网络管理的基础工作薄弱，各类网络基础信息采集不全。目前，xxx银行网络大多数地区的IP地址是按段分配的，网管中心对IP地址等资源占用和用户情况难以掌握。存在网络IP地址和计算机名乱用、冒用现象，信息中心缺乏有效的监控手段，因此上网设备的IP地址冲突现象时有发生，致使合法设备无法正常工作，严重影响了业务工作的开展。　　对于安全隐患缺乏技术控制手段。目前，xxx银行网络在网络审计、入侵检测和病毒监测等网络管理工具的使用过程中，对发现的违规操作或感染病毒的计算机不能快速、准确定位，不能及时阻断有害侵袭并快速查出侵袭的设备和人员;对违反规定或不允许上网的计算机及网络设备，不能限制其上网;同时在网络侵害事件调查中，无记录日志，取证较为困难。　　设备管理困难。网管中心对网上的机器数量难以准确统计。一些实时运行的网络设备和重要服务器的运行状况不能集中监控，日常管理难度和工作量都很大。相关运行信息不能及时发送到网管中心，不便于大范围的统一管理和信息共享。　　存在上述问题的根本原因，是缺乏信息网络安全管理的完整体系结构和有效的管理手段。要解决这些问题，仅仅依靠相对单一的安全产品是不够的。　　银行网络安全管理平台的提出　　为了理清xxx银行网络安全建设的发展思路，为网络安全管理提供有效的技术手段，积极推动xxx银行网络安全管理工作的开展，xxx银行网络在多年网络建设和管理的基础上，提出以全网设备和用户信息管理为基础的，集各类网络产品管理为一体的信息网络安全管理平台的设想，最终实现xxx银行网络安全管理信息分级管理，全网实时监控，达到加强网络安全统一管理，确保网络安全畅通的目的。　　从目前网络安全管理领域的情况看，国外的一些网络安全公司针对本公司的安全产品开发了一些综合管理平台，但由于商业的原因，这些平台仅能管理本公司的产品。从国内的情况看，以天融信为首的多家知名的网络安全公司，提出了以天融信防火墙为中心，开发名为TOPSET的网络安全产品管理平台。　　银行网络安全管理平台的出发点与上述产品有本质不同。一是该平台根据内部网络安全管理的特点，从网络用户的基础信息管理入手，融合多种网络管理和网络安全管理的技术，可以将网络安全管理与用户管理紧密结合，突破了网络安全管理，仅仅依靠安全产品的局限;二是以用户为核心开发管理平台，可以较好地融入不同厂家的技术和产品。三是根据管理需要开发的管理平台，更贴近用户的管理需求，提高平台的可用性。　　该平台的使用，可以为xxx银行网络安全管理提供有效的手段，大大提高xxx银行网络的安全可靠性，降低系统管理难度。该平台具有广泛的实用面，可以在各级网络的管理部门安装，节省大量的经费。　　构建完整的xxx银行网络安全体系　　在xxx银行网络安全体系建设过程中，需要综合考虑各种安全要素，主要包含贯穿始终的安全策略、安全评估和安全管理;而在技术层面上需要考虑实体的物理安全包括网络的基础结构、网络层的安全，操作系统平台的安全，应用平台的安全以及在此基础之上的应用数据的安全。这几个方面，既是一种防护基础，也是相互促进的，同时，也是一个循环递进的工程，需要不断的自我完善和增强，才能够形成一套合理有效的整体安全防护系统。　　xxx银行网络的整体安全应该包括如下几个部分：　　策略安全，包括安全的范围、等级、管理政策和标准。　　安全评估，包括威胁评估、漏洞评估、制度评估。　　物理安全，包括门禁系统、防静电防磁、防火防盗、多路