第一篇:某银行网络安全规划与实施
XXX银行的网络安全设计方案
项目概述:
银行作为国家的金融管理部门,对其信息的保密性以及网络资源的安全访问有其特殊的要求。因此,为了能够更好的利用 Internet 这个资源性工具,同时,对接入国际互联网的内部局域网进行有效的管理,就需要对整个网络搭建一个完整的,严密的,统一的管理体系结构。
在工作场合应用和连接互联网虽然高效、便利,而且帮助银行用户提高计算机在银行系统中的应用水平和实现金融电子信息化,但也迫使企业把自己毫无保留的暴露在互联网上。
成熟的互联网技术,包括WEB邮件、聊天室、即时通讯、文件共享的应用日渐狡猾和隐蔽,通常在网关处禁用服务的方法也已经不起任何作用,自然也增大了使用的风险;然而限制过于严格,又可能给日常的运营和生产率带来反作用。员工效率和法律责任以及信息不当使用的问题也都亟待解决。
一、银行基本情况
1、银行网络基本情况
随着信息技术的发展,社会的信息化程度提高了,网络银行、电子银行出现了,整个银行业、金融业都依赖于信息系统。交易网络化、系统化、快速化和货币数字经是当前金融业的特点,这对金融信息系统的安全保密性提出了严格的要求。金融信息系统必须保证金融交易的机密性、完整性、访问控制、鉴别、审计、追踪、可用性、抗抵赖性和可靠性。
为了适应金融业的需要,各家银行都投资建网。但是,由于各种因素的制约,网络的安全体系不完善,安全措施不完备,存在严重的 安全漏洞和安全隐患。这些安全漏洞和隐患有可能造成中国的金融风暴,给国家带来重大损失,因此必须采取强有力的措施,解决银行网络的安全问题。
2、银行背景介绍
某县城银行网络需要上线运行新的业务系统,还没有进行信息安全方面的建设。县城内有一处支行和一处分理处,县城中心的分理处网点提供个人业务服务;县城外些的支行同时为办公处和业务网点。如果内部主干网出现问题,造成的损失和影响将是不可估量的,因此现在急需解决内部主干网的安全问题。
3、银行网络需求分析
1)需要较完善的安全体系
没有较完善的安全体系,采取的安全措施不完备,不能防御所有的威胁和攻击。
2)完善的访问控制措施
对银行内部办公系统与Internet公网边界路由器之间安装防火墙系统,通过防火墙隔离和访问控制,并防范外部网络非法访问及恶意攻击。为了消除防火墙的单点故障和性能瓶颈,还可采用防火墙负载均衡技术。3)配备先进的硬件和软件加密技术和设备
先进的设备和技术可以在更大的程度上保护内部网络不被侵入。4)入侵检测系统
入侵检测技术是当今一种非常重要的动态安全技术,它可以很好的弥补防火墙安全防护的不足。入侵检测技术通过实时监测进出网络的数据流,一旦发现不安全的访问行为,并依据策略采取相应的处理手段(阻断、报警、分析等)。做到既防范外网的攻击,又能防范内部网发起的攻击,提供高效、有针对性的防御。5)风险评估系统
为了减少因系统存在的安全漏洞而造成受黑客的攻击,利用现有的网络安全扫描系统,分析网络系统结构、配置等是否存在安全漏洞,并根据所得结果采取相应的解决办法。同时利用系统安全扫描系统,以管理员的身份对使用的各种操作系统和数据库进行安全性扫描,依据结果,增加安全补丁及填补安全漏洞。易尚专业的安全评估服务,使整体运营系统更加安全。6)病毒防范系统
越是网络应用水平高,共享资源访问频繁的环境中,计算机病毒的蔓延速度就会越快。而银行网络的Intranet环境,Internet环境是病毒传播、生存最快、最好的温床。易尚防病毒网关,有效防止网络病毒的蔓延,确保网络设备和终端的正常运行。
第二篇:银行网络安全自查报告
银行网络安全自查报告范文
不经意间,工作已经告一段落,转眼回顾这段时间的工作,有得有失,是时候抽出时间写写自查报告了。那么好的自查报告是什么样的呢?下面是小编帮大家整理的银行网络安全自查报告范文,仅供参考,欢迎大家阅读。
银行网络安全自查报告1为认真贯彻关于州银监局转发的《开展银行业金融机构网络安全自查工作的通知》精神,我行专门召开了以网络安全为主题的会议,并草拟了网络安全责任制和有关规章制度,由我行科技部统一管理,各科室负责各自的网络安全工作。严格落实有关网络安全方面的各项规定,采取了多种措施防范安全有关事件的发生,总体上看,我行网络安全工作做得比较扎实,效果也比较好,近年来未发现泄密问题。
一、计算机涉密信息管理情况
今年以来,我行加强组织领导,强化宣传教育,落实工作责任,加强日常监督检查,将涉密计算机管理抓在手上。对于计算机磁介质(软盘、U盘、移动硬盘等)的管理,采取专人保管、涉密文件单独存放,严禁携带存在涉密内容的磁介质到上网的计算机上加工、贮存、传递处理文件,形成了良好的安全保密环境。对涉密计算机实行了与国际互联网及其他公共信息网物理隔离,并按照有关规定落实了安全措施,到目前为止,未发生一起计算机失密、泄密事故。
二、计算机和网络安全情况
一是网络安全方面。我行配备了防病毒软件、网络隔离卡,采用了强口令密码、数据库存储备份、移动存储设备管理、数据加密等安全防护措施,明确了网络安全责任,强化了网络安全工作。
二是日常管理方面切实抓好内网、外网和应用软件“五层管理”,确保“涉密计算机不上网,上网计算机不涉密”,严格按照要求处理光盘、硬盘、优盘、移动硬盘等管理、维修和销毁工作。重点抓好“三大安全”排查:一是硬件安全,包括防雷、防火、防盗和电源连接等;二是网络安全,包括网络结构、安全日志管理、密码管理、IP管理、互联网行为管理等;三是应用安全,包括邮件系统、资源库管理、软件管理等。
三、硬件设备使用合理,软件设置规范,设备运行状况良好。
我行每台终端机都安装了防病毒软件,系统相关设备的应用一直采取规范化管理,硬件设备的使用符合国家相关产品质量安全规定,单位硬件的运行环境符合要求,打印机配件、色带架等基本使用设备原装产品;防雷地线正常,对于有问题的防雷插座已进行更换,防雷设备运行基本稳定,没有出现雷击事故;UPS基本运转正常。网站系统安全有效,无任何安全隐患。
四、通讯设备运转正常
我行网络系统的组成结构及其配置合理,并符合有关的安全规定;网络使用的各种硬件设备、软件和网络接口是也过安全检验、鉴定合格后才投入使用的,自安装以来运转基本正常。
五、严格管理、规范设备维护
我行对电脑及其设备实行“谁使用、谁管理、谁负责”的管理制度。在管理方面我们一是坚持“制度管人”。二是强化信息安全教育、提高员工计算机技能。同时在行内开展网络安全知识宣传,使全体人员意识到了,计算机安全保护是“三防一保”工作的有机组成部分。而且在新形势下,计算机犯罪还将成为安全保卫工作的重要内容。在设备维护方面,专门设置了网络设备故障登记簿、计算机维护及维修表对于设备故障和维护情况属实登记,并及时处理。对外来维护人员,要求有相关人员陪同,并对其身份和处理情况进行登记,规范设备的维护和管理。
六、安全教育
为保证我行网络安全有效地运行,减少病毒侵入,我行就网络安全及系统安全的有关知识进行了培训。期间,大家对实际工作中遇到的计算机方面的有关问题进行了详细的咨询,并得到了满意的答复。
自查存在的问题及整改意见
我们在管理过程中发现了一些管理方面存在的薄弱环节,今后我们还要在以下几个方面进行改进。
(一)对于线路不整齐、暴露的,立即对线路进行限期整改,并做好防鼠、防火安全工作。
(二)加强设备维护,及时更换和维护好故障设备。
(三)自查中发现个别人员计算机安全意识不强。在以后的工作中,我们将继续加强计算机安全意识教育和防范技能训练,让员工充分认识到计算机案件的严重性。人防与技防结合,确实做好单位的网络安全工作。
银行网络安全自查报告2农业发展银行作为唯一家农业政策性金融机构是中国金融体系的重要组成部分,按照wto规划和中国金融对外开放步伐的加快,其业务范围将随其金融职能和政策性金融作用将全面凸现。农发行业务具有“双重性”,即政策性和经营性,这就对农发行的保密工作提出了更高的要求。现阶段农发行保密工作存在诸多隐患,主要表现在以下几个方面:
1、对保密工作必要性和重要性认识不足。
保密工作是基层农发行业务工作的重要组成部分,作为政策性银行必须确保执行政策的严肃性和时效性,保密工作必须提到我们工作的议事日程上。否则,将会出现政策执行不到位现象,其危害性从小的方面讲损坏了农发行的社会形象,可能恶化党群干部关系;从大的方面讲就有可能损害农民的利益,有可能影响国家货币政策的传导和宏观调控目标的实现,甚至关系到员工生命和财产安全,因此,保密工作时刻伴随着我们,要像安保工作一样警钟常常敲。
2、对保密工作的范围和职责不清。
大多数人认为保密工作就是保密部门和工作人员及领导们的事,与自己没有太大的关系;保密只不过对涉及国家机密的文件等按规定的范围和时间进行公布,对基层农发行及员工来说没有很大的必要;有的人认为只保密农发行有关信息,与自己有业务关联部门及企业的信息不在保密范围之内等等。这些观点都具有片面性,上述对保密工作的必要性和重要性已作了简单的介绍,实际上我们每个人的工作都涉及到保密问题,每个员工都有保密职责,凡是有可能对农发行业务开展和内部工作协调及其它部门、企业工作带来不利影响的信息都属于保密的范围。
3、对保密工作重视不够。
从现实状况来看,基层农发行保密工作做的怎样,似乎对各方面工作开展影响不大,对保密工作存在麻痹思想、重视不够。一是缺乏相应配套的保密设备等设施;二是保密规章制度体系不够健全和完善;三是基层行基本上没有配备专(兼)职保密人员,既使配备了专(兼)职工员也仅是应付检查等,没有切实有效地开展工作;四是对保密工作说起来重要,实际检查指导少,岗位工作职责不到位。
针对上述存在的问题和不足,要确保基层农发行各项工作顺利开展,形成大保密工作的'局面,对此谈一点肤浅的看法。
一、加强领导,统一思想,提高全员保密意识
为强化基层农发行的保密工作,应当在系统内自上而下成立“一把手”任组长,分管行长为副组长,有关部负责人为成员的保密工作领导小组,配备专(兼)职保密干部,使保密工作层层有人抓、事事有人管,形成网络管理状态。同时,要把保密工作纳入议事日程、纳入目标考核中,采取与责任人工资、政绩挂钩的办法,增强保密工作人员的责任感。为切实增强全体干部职工保密意识,一方面定期在全行开展保密工作重要性讨论会,并结合金融系统因发生失泄密而导致抢劫、诈骗案件接连多发的沉痛教训,使全行干部职工充分认识到“越是改革开放,越要加强保密工作”;另一方面要通过开展多样的保密知识宣传。如:利用黑板报等,切实搞好保密宣传;按照“三五”、“四五”普法规划,涉密人员要进行保密知识学习,每年举办保密知识培训班;组织涉密人员和全体员工学习好保密法规,要学习《保密法》、全国保密工作会议精神和江总书记讲话,使广大干部职工和涉密人员对基层农发行保密工作有更加明确认识,纠正“保密就是管好文件”的片面认识,树立保密工作需要全方位加强的新观念。
二、健全制度,细化职责,规范保密工作建设
首先要建立健全和完善各项保密工作制度。如:机要文件传阅制度、密押管理制度、出纳制度、保卫制度、档案管理保密制度、保密工作责任制等,并要将这些制度印成册子,分发到涉密人员手中,有些制度还可采取放大上墙的办法,使人人都能熟悉操作,为把这些制度落到实处,还应科学规定有关涉密部室的保密事项。如:办公室机要文件传阅、借阅;会计部门联行密押的使用和印章、重要空白凭证的管理、现金调运计划、运钞路线的管理;信贷计划部门的资金构成、资产质量、数据及传输等,这些都要求各专业操作履行岗位责任,遵守保密制度,使银行的保密工作步入规范化、制度化轨道。
三、加大投入,狠抓落实,促进各项工展开展
农发行作为政策性银行,担负着粮油收储企业收购资金安全高效运营的重任。在开展业务活动中,除接触到国家政策性收购资金的秘密外,自身还不断产生出大量的内部秘密,如稍有不慎都会给国家造成难以挽回的损失,怎样搞好保密工作,不但要采取一系列行之有效的措施,更重要的是抓好措施的落实。
即:一是机要文件的存放要实行“三铁”,即铁门、铁窗、铁柜;二是在机要文件的收发上要实行“三簿一卡”,即收文登记簿、发文登记簿、借阅登记簿、文件传阅卡,阅文、传文按保密程序办理;三是在机要文件的管理上要达到“三专”,即专人、专柜、专室管理;四是在安全保密工作中要落实“三个检查”,即保密领导小组对其成员进行定期检查,看保密制度是否贯彻落实;对涉密部门进行定期检查,看有无违背保密制度的行为;对基层营业网点进行定期检查,看有无违背操作制度的行为和失泄密漏洞,只有这样才能搞好基层农发行的保密工作,遏制各类泄密事件的发生,更好的服务于农发行业务发展。
第三篇:银行网络安全防范措施
银行网络安全防范措施
银行网络安全防范措施
□ 建行北京分行石景山支行郭亚力
随着金融业务的拓展与金融电子化进程的加快,计算机网络通信技术在金融领域中的应用越来越广。与此同时,金融电子化也带来了高科技下的新风险。计算机系统本身的不安全和人为的攻击破坏,以及计算机安全管理制度的不完善都潜伏着很多安全隐患,严重的可能导致计算机系统的瘫痪,影响银行的业务和声誉,造成巨大的经济损失和不良的社会影响。因此,加强银行网络系统安全体系的建设,保证其正常运行,防范犯罪分子对它的入侵,已成为金融电子化建设中极为重要的工作。
网络安全的基本要求是保密、完整、可用、可控和可审查。从技术角度讲,银行网络系统的安全体系应包括: 操作系统和数据库安全、加密技术、访问控制、身份认证、攻击监控、防火墙技术、防病毒技术、备份和灾难恢复等。从管理角度看,应着力健全计算机管理制度和运行规程,加强员工管理,不断提高员工的安全防范意识和责任感,杜绝内部作案的可能性,建立起良好的故障处理反应机制。
网络系统技术安全措施
1.操作系统及数据库
操作系统是计算机最重要的系统软件,它控制和管理着计算机系统的硬件和软件资源,是计算机的指挥中枢。目前银行网络系统常用的操作系统有Unix、Windows NT等,安全等级都是C2级,可以说是相对安全、严密的系统,但并非无懈可击。
许多银行业务系统使用Unix网络系统,黑客可利用网络监听工具截取重要数据;利用用户使用telnet、ftp、rlogin等服务时监听这些用户的明文形式的账户名和口令;利用具有suid权限的系统软件的安全漏洞;利用Unix平台提供的工具,如finger命令查找有关用户的信息,获得大部分的用户名;利用IP欺骗技术;利用exrc文件等获得对系统的控制权。针对这些安全缺陷,我们应定期检查日志文件;检查具有suid权限的文件;检查/etc/passwd是否被修改;检查系统网络配置中是否有非法项;检查系统上非正常的隐藏文件;检查/etc/inetd.conf和 /etc/rc2.d/*文件,并采取以下措施:
1)及时安装操作系统的补丁程序;2)将系统的安全级别设置为最高,停止不必要的服务,该关的功能关闭;3)安装过滤路由器;4)加强账号和口令的安全管理,定期检查/etc/passwd和/etc/shadow文件,经常更换各账号口令,查看su日志文件和拒绝登录消息日志文件。
对于Windows NT网络系统,可采取以下措施: 1)使用NTFS文件系统,它可以对文件和目录使用ACL存取控制表;2)将系统管理员账号由原先的“Administrator”改名,使非法登录用户不但要猜准口令,还要先猜出用户名;3)对于提供Internet公共服务的计算机,废止Guest账号,移走或限制所有的其他用户账号;4)打开审计系统,审计各种操作成功和失败的情况,及时发现问题前兆,定期备份日志文件;5)及时安装补丁程序。
数据库的安全就是要保证数据库信息的完整、保密和可用。通常用安全管理、存取控制和数据加密来实现。安全管理一般分为集中控制和分散控制两种方式。集中控制就是由单个授权者来控制系统的整个安全维护,分散控制则是采用不同的管理程序控制数据库的不同部分。存取控制包括最小特权策略(用户只能了解与自己工作有关的信息,其他信息被屏蔽)、最大共享策略(信息在保密控制条件下得到最大共享,并不是随意存取信息)、开放与封闭系统(开放: 不明确禁止,即可访问;封闭: 明确授权,才能访问)、按名存取策略、按上下文存取策略、按存取历史的存取策略等。数据加密可从三个方面进行,即库内加密(库内的一条记录或记录的某一属性作为文件被加密)、整库加密(整个数据库包括数据结构和内容作为文件被加密)和硬件加密。
2.网络加密技术
网络加密的目的是保护网上传输的数据、文件、口令和控制信息的安全。
(1)加密方式:
信息加密处理通常有两种方式: 链路加密和端到端加密。
链路加密是对两节点之间的链路上传送的数据进行加密,不适用于广播网。
端到端加密是对源节点和目的节点之间传送的数据所经历的各段链路和各个中间节点进行全程加密。端到端加密不仅适用于互联网,也适用于广播网。
基于链路加密和端到端加密各有特点,为提高网络的安全性,可综合使用这两种技术。具体说就是链路加密用来对控制信息进行加密,而端到端加密仅对数据提供全程加密。
(2)加密算法
如果按收发双方的密钥是否相同来分类,可将这些加密算法分为常规密码算法(对称型加密)和公钥密码算法(非对称型加密)。此外,还有一种加密算法是不可逆加密算法。
上述三种信息加密算法在实际工作中可单独或结合使用。物理层、链路层和网络层使用的加密设备一般运用常规加密算法(如DES);远程访问服务中使用的一次性口令技术和Cisco路由器的Enable Secret口令一般采用不可逆加密算法MD5;基于PKI认证技术和SET协议则综合采用了不可逆加密、非对称加密、对称加密和数字签名等多种技术。
3.网络安全访问控制
访问控制的主要任务是保证网络资源不被非法使用和非法访问,也是维护网络系统安全,保护网络资源的重要手段。通过对特定的网段和服务建立有效的访问控制体系,可在大多数的攻击到达之前进行阻止,从而达到限制非法访问的目的。这包括链路层和网络层的安全访问控制,以及远程用户访问的安全访问控制。可采取的安全措施有: VLAN划分、访问控制列表(ACL)、用户授权管理、TCP同步攻击拦截和路由欺骗防范等。
4.身份认证
5.网络入侵检测系统
入侵检测技术是近年出现的新型网络安全技术,是对入侵行为的监控,它通过对网络或计算机系统中的若干关键点收集信息并进行分析,从中发现网络或系统中是否有违反安全策略的行为或被攻击的迹象。利用实时入侵检测技术,可对特定网段、主机和服务建立攻击监控体系,有效阻止外部黑客的入侵和来自内部网络的攻击。
6.网络防火墙技术
防火墙就是在内部网与外部网之间建立的一种被动式防御的访问控制技术,它能够在网络的入口处,根据IP源地址、IP目标地址、协议端口以及数据包的状态等信息,对发送和接受的每一个数据包进行过滤监测,并根据用户事先定义好的过滤规则,拒绝或允许IP数据包的通过,在必要时将有关信息反馈给上层应用程序。
防火墙的主要技术类型包括网络级数据包过滤和应用代理服务(应用网关)。鉴于两种防火墙技术的优缺点,在实际构建防火墙系统时,常将两种技术配合使用,由过滤路由器提供第一级安全保护,主要用于防止IP欺骗攻击,再由代理服务器提供更高级的安全保护机制。
7.防病毒技术
8.备份和灾难恢复
备份和灾难恢复是对银行网络系统工作中可能出现的各种灾难情况(如计算机病毒、系统故障、自然灾害、人为破坏等)进行的保证系统及数据连续性和可靠性的一种防范措施。银行网络系统业务主机和服务器的备份方式一般可采取双机备份、磁盘镜像或容错等技术,备份机要远离生产机。可采用EMC智能存储系统的SRDF远程磁盘镜像技术等作为数据备份技术,生产中心和备份中心之间通过直连光缆实现数据备份通道。
数据备份包括系统数据、基础数据、应用数据等的备份,采用传统的磁盘、磁带、光盘作为介质,根据数据的重要程度和不同要求分不同的期限实行本地和异地双备份保存。
网络系统安全管理措施
银行网络系统的安全性不仅与硬件、网络、系统等技术方面有关,还与它的管理和使用有着极为密切的关系。
1. 加强基础设施和运行环境建设
计算机机房、配电室、交换机机房等计算机系统重要基础设施应严格管理,配备防盗、防火、防水等设备;安装电视监控系统、监控报警等装置;计算机设备采用UPS不间断电源供电(重要机房可采用双回路供电或配备发电机组);设备要可靠接地;供电、通信线路要布线整齐、规范、连接牢靠;机房环境要干净、整洁,保持特定的温度和湿度。
2. 加强设备管理和使用工作
建立包括设备购置管理、设备使用管理、设备维修管理和设备仓储管理等内容的规章制度。计算机管理部门要定期对设备运行环境、设备运行状况、各项规章制度、操作规程的执行情况进行检查,对发现的问题及时解决,确保计算机系统的安全、可靠运行。
3. 建立健全安全管理内控制度
建立业务部门计算机系统使用管理规定、部门主管和业务操作人员计算机密码管理规定、违反计算机管理规章制度处理办法等内控管理制度;严格实行运行、维护、开发分离的岗位责任制;禁止混岗和代岗,禁止公用和公开密码;对重要数据的改账处理要经过授权由专人负责,并登记日志;建立健全备份制度,核心程序及数据结构要严格保密,实行专人分工保管;对已制定的规章制度,要专人负责,真正落实,从根本上杜绝内部安全隐患。
4. 加强银行员工思想和安全意识教育
一方面对员工要进行经常的思想道德水平和法制观念教育,培养他们自觉抵制各种诱惑的能力,使他们不违法、不犯罪;另一方面要提高员工的安全防范意识和能力,不给犯罪分子以可乘之机。
第四篇:银行网络安全自查报告
XXXX银行网络安全自查报告
为认真贯彻落实上级转发的《关于开展银行保险机构网络安全检查工作的通知》文件精神,我行专门召开了以网络安全为主题的紧急会议,由我行科技部统一管理,各科室负责各自的网络安全工作。严格落实有关网络安全方面的各项规定,采取了多种措施防范安全有关事件的发生,总体上看,我行网络安全工作做得比较扎实,效果也比较好,近年来未发现泄密问题。
我行依托省联社的科技支撑,各项信息管理系统逐步完善,初步建成了信息科技支撑系统,由省联社提供的核心系统对日常业务进行集中处理,其中核心数据的备份、系统运行管理均由省联社统一管理,我行工作重点在于对网络设备、通讯线路及柜面终端设备的正常运行进行科技支撑,因此我行在信息科技风险管理方面的风险较少。
一、完善信息科技治理,大力开展信息科技风险管理制度建设。从只注重提高硬件配置水平逐步转变为同时注重软件投入和业务管理的综合管理。
二、我行在信息科技风险治理方面的措施主要包括三方面。
1、认真学习和领会银保监办对信息科技风险管理的要求,吸收借鉴同业经验,将监管要求和同业经验转化为行内工作规范,建立系统完善的信息科技风险管理组织架构和机制,建立以信息科技部、合规部、稽核部为主体的信息科技风险三道防线。
2、建立健全信息科技规章制度。为了做好制度建设,我行领导高度重视,以我行“双一流银行”建设为契机,完善了相关制度,理顺了相关制度的制定、修订、废止流程和审批制度流程,切实抓好制度建设。
3、采取有效的信息科技风险管理的制度,防范和化解信息安全风险。首先,完善基础设施建设,对中心机房进行改造,更换老旧的硬件设备,提高硬件设备防范风险的能力;二是改造电源环境,做好业务连续性建设,为基层网点更换UPS电源;三是提升运行管理的水平,推进运行流程化和集中化管理,防范操作风险,确保信息系统的安全稳定运行。四是完善应急预案,积极配合省联社开展应急演练,切实提高风险防控水平。
三、严格设备接入管理,提高设备管理水平。
四、软件正版化是今年我行信息科技工作的一项重点内容。市农信办及各家行社目前正版化工作均正在启动,目前杀毒软件使用的为卡巴斯基正版授权,覆盖部分网点终端、办公内网电脑;各县行社统一按照省联社软件正版化工作总体目标,2018年底前实现接入生产网络的服务器系统、数据库、等正版化100%,办公电脑、办公软件正版率达到90%以上。
信息科技风险防控是长期而艰巨的工作,我行将按照上级有关部门的要求,加强日常管理,提高业务水平,将信息科技风险防控作为工作的重中之重,保证各项业务的安全稳定运行。
第五篇:网络安全规划书
南通质监局网络安全规划书
一、功能需求、网络构架
在整个业务流程中我们根据功能需求,将网络分为互联网,政务外网,政务内网三部分:互联网负责与外部网络进行数据交换,政务外网包括各质监业务系统,政务内网负责与政府各部门的公文交换;内网与外部网络间设置防火墙,内外网数据通过数据交换平台进行交互;政务内网与其他网络物理隔离,通过专线连接政府网络,实现信息交换。
二、网络安全规划
(一)计算机系统安全级别
网络安全从本质上讲就是网络上的信息安全。计算机网络是由一个一个计算机系统节点组成,每个节点都是影响整个网络安全的重要环节。
质监网络系统应保护质监数据和质监信息的安全,对存取数据的权限进行控制,确保非授权用户无法访问数据,对用户进行多级授权。
(二)与外网数据交换安全规划
质监网络系统通过防火墙与互联网进行隔离,实现访问控制:互联网用户只允许访问浏览质监门户网和访问对外公开的业务系统;对非法用户进行过滤,避免非法用户通过数据
交换平台对内网访问。为了防止其它外网用户进入内部网络,采用SSL-VPN专用通道,对访问权限进行控制,更好的保护了内部的网络和系统安全。
(三)安全产品选型
网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,同时监视网络运行状态。
目前的防火墙产品主要有堡垒主机、包过滤路由器、应用层网关(代理服务器)以及电路层网关、屏蔽主机防火墙、双宿主机等类型。
包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。但它的缺陷也是明显的,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入。
代理型防火墙也可被称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展。代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基
于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响,而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。
监测型防火墙是新一代的产品, 不仅超越了传统防火墙的定义,而且在安全性上也超越了前两代产品。它能对各层的数据进行主动的、实时的监测,在对这些数据加以分析的基础上有效地判断出各层中的非法侵入,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用。其缺点是实现成本较高,不易管理。所以目前在实用中的防火墙产品仍然以第二代代理型产品为主,但在某些方面也已经开始使用监测型防火墙。
考虑到质监网络系统的安全性需求和成本因素,应选用综合性网络防火墙,外网采用包过滤及地址转换为主的防火墙;辅助于监测型技术,以减少成本,提高安全性需求。
为防止出现单点故障影响整个网络的连通性,采用双防火墙做虚拟化冗余的技术,既提高了防火墙的整体性能,避免出现访问瓶颈,又提高了系统的稳定性。
三、安全策略定制
(一)网络IP地址的分配
IP地址规划是TCP/IP网络规划中极其重要的组成部分。在网络系统安装调试前要做好需求分析,并以此做好IP地址规划和子网划分工作。
根据目前的网络规模以及今后预期网络发展方向,采用NIC(国际网络信息中心)定义的Internet保留IP地址中的C类网段IP地址作为内网私有IP地址。
市局内网采用的IP网段10.132.97.0,每个子网最多有254台主机。
10.132.97.0=Network address
255.255.255.0=Subnet Mask
(二)防火墙的关键配置
防火墙
对内以太网端口eth1:类型10/100M baseT;IP地址10.132.96.2 掩码255.255.255.0
对外以太网端口eth0:类型10/100M baseT;IP地址218.91.233.210 掩码255.255.255.248
包过滤
包过滤技术为防火墙提供最基本的安全保障,包过滤为所有进出网络的数据提供一个有用的阻塞点,通常在正常数据包通过时,他表现得同普通路由器一样,只有有些地址被禁入或禁出时,才表现出与普通路由器的不同。
包过滤技术可以允许或拒绝某些地址的数据包通过防火墙进入网络。对包过滤规则的设定依据有:数据包的源端,目的端地址;数据包的传送协议;每个包使用的端口;数据包的传输方向;数据包通过的网络接口;数据包通过的时间;用户身份是否通过认证。
(三)地址转换NAT
网络地址转换技术(Network Address Translation)的基本实现方法是进行IP地址的映射和端口转换。网络地址转换与包过滤一起使用,能起到更好的安全保障。
入侵监测
入侵防御(IPS)作为一种主动的安全防御技术,通过分析网络数据流实时发现和跟踪网络攻击和违规活动,对网络进行实时监测,提供对外部攻击、内部攻击、误操作的主动保护,是一个完整的安全体系中不可缺少的组成部分。通过对网络层、应用层的监测能够处理一些攻击及探测,如网络层的IP Fragment、ICMP Smurf攻击、端口扫描等;应用层ActiveX,JAVA,Cookies,JAVASCRIPT侵入等。
四、总结
网络安全是一个庞大而复杂的工程,安全和反安全就像矛盾的两个方面,总是不断攀升,所以网络安全也会随着新技术的产生而不断发展,是未来电子化、信息化所共同面临的问题。
点击咨询 