某建设银行安全应用实例XX数码有限公司二OO一年五月一、某建设银行业务分析1.业务分析业务概况保护某建行的网络系统,保证各项业务正常运行,防止非法行为的侵犯和病毒的破坏。由于目前某建行没有采取安全保护措施,使得自己的业务系统完全暴露在网络环境中,因此容易受到黑客和不法人员的侵害,所以应该实施一套完整的安全方案来保护业务网络,同时由于银行每天都有大量的数据通过网络,所以要保证网络的流量,即新增的安全产品不能成为网络的瓶颈。1.管理模式在管理上,使用集中式的管理可以方便快捷,并能够简化管理员的工作,提高工作效率。从安全的角度来看,复杂的,分散的管理方式在安全上是存在很大的隐患和漏洞的,使用集中管理也是提高安全等级的一项主要内容。2.网络主要的安全风险和漏洞数据库数据会受到黑客的窃取、破坏以及病毒的破坏系统信息会受到黑客的窃取、破坏以及病毒的破坏服务的正常运行会受到黑客的攻击、破坏以及病毒的破坏3.网络中心拓扑结构:从上图中可以看出,目前某建行的网络比较复杂,设备众多,型号也非常多,一方面在管理上很不方便,另一方面从安全性的角度讲,它使得网络的安全等级也降低了,因此我们需要简化网络结构,并对网络进行集中的管理。二、系统安全目的通过以上的分析,安全目的是:保护某建设银行的内部网络的计算机系统正常运转,避免恶意的攻击、破坏;重要数据库的数据,防止被窃取、修改、破坏。三、用户安全需求分析1.安全性网络环境、操作系统与数据的安全性现在这个网络环境直接暴露,是处在非常不安全的状态,所以我们需要用防火墙来隔离某建行的内部生产网络,保护各种业务的服务器,其中包括AS400等重要的业务机。由于防火墙能够阻挡黑客的攻击行为和异常的网络事件,这样可以保护我们的网络环境、网络中计算机的操作系统和数据。防火墙是网络安全的第一道屏障,单有防火墙是不能进行全面保护的,我们还需要入侵监测系统(IDS)来对黑客的攻击进行报警和自动防范。2.高效性由于每天有大量的信息访问要保护生产系统的服务器,这就要求网络拥有很高的数据吞吐能力,也就意味着网络的安全产品不能对网络的流量造成影响。而现在传统防火墙动辄造成15%以上的效率损失相比,这就造成了一个矛盾。方正方御防火墙充分考虑了用户对效率的重视性,拥有足以自豪的数据吞吐能力。在500条规则以下的应用(占全部应用的95%以上)中,基本不影响网络传输,有绝对的优势。3.可扩展性银行是我国重要的金融机构,新的业务会不断的开展,同时也会应用大量的新技术新设备,同时网络的发展日新月异,所以网络的扩展性好坏关系到日后企业的发展。这就要求在网络建设时留余地。这样不会因为现在的投资给将来网络的发展和升级带来影响。4.易用性(管理控制)不易使用的安全系统是不安全的。充斥着英文术语的管理界面会大大的增加系统管理人员的工作量,也容易导致不应有的漏洞的出现或安全策略的僵化。易用性主要包括:要界面清晰易懂管理集中方便安全性的时实监控5.完善的服务体制网络安全的实施还需要完善的服务体制来保障,一般的企业不是专业的网络安全公司,安全是动态的过程,今天安全的系统明天就可能不安全,这就要求提供安全方案的公司有优秀的服务体制进行跟踪服务。这就需要有一支专业的网络安全队伍来帮助企业解决有关安全问题。再严密的系统也可能出现漏洞,当紧急事件发生时,能不能在最短时间内获得紧急响应服务经常决定了损失的大小,而且这种时候,需要的是极其专业的服务,没有强大开发实力的公司是无法满足这种需求的,而在国内没有开发部门的国外著名公司则往往鞭长莫及。四、安全体系结构通过前面的分析,我们可以知道,首先需要使用防火墙作为网络安全的屏障来与其他网络进行隔离,这样能够防止其他网络的非法用户的非法侵害,在这里我们建议使用方正数码的方正方御防火墙。(有关方御防火墙的具体情况请见后面有关防火墙介绍的部分)作为网络安全必备的第二道警戒线我们需要布置IDS(入侵监测系统),IDS系统主要包括网络IDS、主机IDS等部分,对于IDS系统方正方御防火墙里已经内置了一套网络IDS系统...
