案例詳情
吉林銀行
1、項目背景
吉林銀行自正式成立以來,不斷擴展銀行業(yè)務(wù)種類和范圍,逐漸樹立起自己活躍的股份制商業(yè)銀行形象。順應(yīng) 時代和技術(shù)的發(fā)展,吉林銀行銀行決定逐步建立起基于IP技術(shù)的業(yè)務(wù)骨干網(wǎng),改進目前的網(wǎng)絡(luò)基礎(chǔ)平臺,選用國際最先進的網(wǎng)絡(luò)軟硬件產(chǎn)品。保證傳統(tǒng)業(yè)務(wù)和新興的服務(wù)渠道,如網(wǎng)絡(luò)銀行、新一代客戶服務(wù)中心等業(yè)務(wù)的穩(wěn)定、安全、高效的運行。面臨新技術(shù)、新理念,保證金融貿(mào)易順利實現(xiàn)電子化、自動化、網(wǎng)絡(luò)化,當然是銀行不可回絕的問題。提供面向客戶的高質(zhì)量的金融服務(wù)是吉林銀行銀行發(fā)展的必然趨勢。新的發(fā)展要求和契機無疑對銀行的軟硬件設(shè)施提出了新的挑戰(zhàn)。其中網(wǎng)絡(luò)的運行情況,尤其是網(wǎng)絡(luò)安全問題尤其突出。
2、網(wǎng)絡(luò)概況
吉林銀行銀行網(wǎng)絡(luò)總體是一個銀行內(nèi)部業(yè)務(wù)系統(tǒng),采取總行到省行及地市分行的三級網(wǎng)絡(luò)結(jié)構(gòu)。總行通過幀中繼與分行相連,分行與其它地市的分、支行通過DDN專線相連;。
3、安全體系
根據(jù)對系統(tǒng)威脅的分析,須建立以下安全體系:
防止黑客攻擊:防止來自外網(wǎng)黑客的攻擊、內(nèi)部網(wǎng)人員的惡意破壞;
對服務(wù)器的安全保護:對網(wǎng)絡(luò)中WWW服務(wù)器、Mail服務(wù)器、DNS服務(wù)器、代理服務(wù)器之外,其他單位的各種服務(wù)器必須進行安全保護。通過修改網(wǎng)絡(luò)操作系統(tǒng)內(nèi)核的相關(guān)參數(shù),增強操作系統(tǒng)內(nèi)核抵抗各種攻擊的自身能力;
對內(nèi)部非法用戶的防范:非法用戶從網(wǎng)絡(luò)內(nèi)部發(fā)起的攻擊次數(shù)遠比外部攻擊的成功可能性要大。因此,如何加強對內(nèi)部用戶的安全管理,是確保整個網(wǎng)絡(luò)安全的關(guān)鍵。對內(nèi)部用戶的安全管理分以下幾個方面:
用戶身份認證:確信該用戶是本網(wǎng)絡(luò)中的注冊用戶;
用戶權(quán)限管理:給用戶授權(quán),使其僅擁有與其身份相對應(yīng)的使用權(quán)限。
信息審計與日志記錄:對網(wǎng)絡(luò)的安全信息進行記錄和審計,幫助查找不友好的訪問。通過對安全日志進行分析,力求查找“黑客”的蹤跡,以便發(fā)現(xiàn)“黑客”,并找到相關(guān)的證據(jù);
病毒防護:提供全方位的病毒防治,包括外部網(wǎng)絡(luò)病毒的侵入和內(nèi)部網(wǎng)絡(luò)病毒的擴散,在工作站、服務(wù)器、網(wǎng)絡(luò)進出口(防火墻本身)進行全面的病毒防治;
入侵檢測和告警:對于攻擊的實時檢測和告警是網(wǎng)絡(luò)安全中的重要環(huán)節(jié)。它是在安全事件發(fā)生之前,就可以及時預警和采取相應(yīng)措施制止攻擊的有效工具。需求方應(yīng)該具備這種防護能力;
安全設(shè)備的雙機熱備份:為了保證網(wǎng)絡(luò)安全、不間斷地運行,必須考慮雙機熱備份的問題;
在重要節(jié)點部署防火墻作為的邊界安全防護的部署,在各區(qū)域部署深圳市齊普生科技股份有限公司的F1080下一代防火墻,對于各個區(qū)域進行安全隔離和防護。
針對吉林銀行金融網(wǎng)和呼叫中心本次網(wǎng)絡(luò)設(shè)計以高性能、高可靠性、高安全性、良好的可擴展性、可管理性為原則。支持SOP:1完全虛擬化技術(shù),為吉林銀行網(wǎng)絡(luò)提供強大的安全防護功能。整機吞吐量,新建連接數(shù)屬于業(yè)界領(lǐng)先,保障吉林銀行業(yè)務(wù)的高速傳輸及穩(wěn)定運行;