案例解析：银行互联网出口安全的保障

　　通过安全需求分析，本着适度建设的总体原则，Fortinet采用先进的安全技术和相应的安全产品，为某银行提出适合的网络安全解决方案。整个方案包括两部分，第一部分是为以银行总部为基础的互联网及办公网安全建设，第二部分是为以分行为例的业务网安全建

　　互联网和办公网物理上为同一个网络，通过接入路由器适当访问控制列表区分业务类型。业务网完全与其他两个网络保持物理隔离。整个网络采用星型结构，分别使用独立的专线系统连接各级分行和总行。在网络条件不具备的地区采用接入路由器区分不同的业务系统。同时，银行业务存在大量的外联系统，它们不直接与其他网络连接。

　　保护内部业务系统的安全是系统安全防护的重要环节。

　　安全目标

　　银行网络系统的安全风险主要来自网络设施物理特性的安全、网络系统平台的安全、网上交易的安全、数据存储的安全。而系统安全风险主要体现在网络系统、操作系统和应用系统三个方面。整个系统安全设计应该遵循安全性、整体性、先进性、实用性、可适应性、技术与管理相结合的原则。

　　该银行系统安全建设的目标是：

　　◆保护网络系统的可用性

　　◆保护网络资源的合法使用性

　　◆防范入侵者的恶意攻击与破坏

　　◆保护信息通过网上传输的机密性、完整性及不可抵赖性

　　◆防范病毒的侵害

　　◆防范垃圾邮件对内部邮件系统的侵害

　　◆防范来自网络内外的攻击

　　◆有效的日志管理为安全运维提供支持

　　解决方案和安全部署

　　本方案着重解决如何实现员工访问互联网的安全建设的技术问题。方案的选择首先要保证网络结构的安全，对银行系统业务网、办公网、与外单位互联的接口网络

某银行互联网出口安全建设部署拓扑图

　　安全网关的部署：互联网出口采用两层异构防火墙系统接口，外层防火墙为已经部署的安全设备，内层防火墙系统采用美国Fortinet公司FortiGate防病毒安全网关。所有安全网关均采用双机热备工作方式，即高可用性HA方式，任何一台设备出现问题，备机均可以迅速替换工作，网络仍能正常运转。在内层FortiGate防病毒安全网关上启用相应的安全策略，控制内部用户的对外访问，并开启防病毒功能以保证内部用户的对外访问不受病毒侵害。另外，启用反垃圾邮件技术，保护内部的邮件服务器免受垃圾邮件的攻击，并根据网络的具体应用在防病毒安全网关上启用防攻击IPS（入侵检测／阻挡）功能，保护互联网网关处系统免受来自系统内外的攻击。

　　总部安全代理的部署：内部用户对外访问使用内容代理，内容代理的流量经过两层异构安全系统进行相应的病毒和内容控制。外部用户对内访问使用SSL VPN安全代理，安全代理受两层安全系统的控制。 网银系统的业务相对独立，采用单独的安全系统加以保护。

　　日志管理：对所有安全设备进行统一管理，包括设备管理、日志管理。在总行和各级分行的网络中都部署FortiReporter日志管理分析系统，它采用分级管理的方式对安全网关的相关日志进行记录，可以定期为网络和安全管理人员提供相应的报表，保证系统日后审计和维护查询。同时，针对防病毒安全网关系统的病毒库及各种攻击事件库的升级维护，指定安全网关的相关升级维护策略，保证防病毒安全网关的时效工作。

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有