通过安全需求分析,本着适度建设的总体原则,Fortinet采用先进的安全技术和相应的安全产品,为某银行提出适合的网络安全解决方案。整个方案包括两部分,第一部分是为以银行总部为基础的互联网及办公网安全建设,第二部分是为以分行为例的业务网安全建
互联网和办公网物理上为同一个网络,通过接入路由器适当访问控制列表区分业务类型。业务网完全与其他两个网络保持物理隔离。整个网络采用星型结构,分别使用独立的专线系统连接各级分行和总行。在网络条件不具备的地区采用接入路由器区分不同的业务系统。同时,银行业务存在大量的外联系统,它们不直接与其他网络连接。 解决方案和安全部署 安全网关的部署:互联网出口采用两层异构防火墙系统接口,外层防火墙为已经部署的安全设备,内层防火墙系统采用美国Fortinet公司FortiGate防病毒安全网关。所有安全网关均采用双机热备工作方式,即高可用性HA方式,任何一台设备出现问题,备机均可以迅速替换工作,网络仍能正常运转。在内层FortiGate防病毒安全网关上启用相应的安全策略,控制内部用户的对外访问,并开启防病毒功能以保证内部用户的对外访问不受病毒侵害。另外,启用反垃圾邮件技术,保护内部的邮件服务器免受垃圾邮件的攻击,并根据网络的具体应用在防病毒安全网关上启用防攻击IPS(入侵检测/阻挡)功能,保护互联网网关处系统免受来自系统内外的攻击。
文章整理:西部数码--专业提供域名注册、虚拟主机服务
保护内部业务系统的安全是系统安全防护的重要环节。
银行网络系统的安全风险主要来自网络设施物理特性的安全、网络系统平台的安全、网上交易的安全、数据存储的安全。而系统安全风险主要体现在网络系统、操作系统和应用系统三个方面。整个系统安全设计应该遵循安全性、整体性、先进性、实用性、可适应性、技术与管理相结合的原则。
该银行系统安全建设的目标是:
◆保护网络系统的可用性
◆保护网络资源的合法使用性
◆防范入侵者的恶意攻击与破坏
◆保护信息通过网上传输的机密性、完整性及不可抵赖性
◆防范病毒的侵害
◆防范垃圾邮件对内部邮件系统的侵害
◆防范来自网络内外的攻击
◆有效的日志管理为安全运维提供支持
本方案着重解决如何实现员工访问互联网的安全建设的技术问题。方案的选择首先要保证网络结构的安全,对银行系统业务网、办公网、与外单位互联的接口网络
某银行互联网出口安全建设部署拓扑图
总部安全代理的部署:内部用户对外访问使用内容代理,内容代理的流量经过两层异构安全系统进行相应的病毒和内容控制。外部用户对内访问使用SSL VPN安全代理,安全代理受两层安全系统的控制。 网银系统的业务相对独立,采用单独的安全系统加以保护。
日志管理:对所有安全设备进行统一管理,包括设备管理、日志管理。在总行和各级分行的网络中都部署FortiReporter日志管理分析系统,它采用分级管理的方式对安全网关的相关日志进行记录,可以定期为网络和安全管理人员提供相应的报表,保证系统日后审计和维护查询。同时,针对防病毒安全网关系统的病毒库及各种攻击事件库的升级维护,指定安全网关的相关升级维护策略,保证防病毒安全网关的时效工作。
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
