金融行业网络解决方案Word格式文档下载.docx

1、2、1金融行业风险分析金融行业网络系统面临的风险复杂多样，既有来自外部的，也有来自内部的。可以概括为以下三个大的方面： 组织方面的风险。缺乏统一的安全规划和安全职责部门；技术方面的风险。安全保护措施不充分。尽管已经采用了一些安全技术和安全产品，但是目前安全技术的采用是不足的，存在大量这样、那样的风险和漏洞；管理方面的风险。安全管理有待提高，安全意识培训、安全策略和业务连续性计划都需要完善和加强；具体风险分析如下：缺乏对内部用户的行为控制和行为监管，表现在对内部人员的过分信任，没有可靠的管理手段往往是出现内部高科技犯罪的开始。虽然制定了一系列信息安全规定，但是没有一个科学的评估方法和管理手段，无

2、法对系统的安全状况进行量化的分析和科学的管理，结果往往是事与愿违。缺乏专业的安全组织结构和明确的管理流程（如应急响应流程）。业务系统操作人员安全管理薄弱，口令系统混乱，安全性差。部分同城清算、联行系统保护脆弱，可能被攻破和渗透。开放的TCP/IP协议的的先天设计缺陷，易于遭受IP欺骗攻击和各种拒绝服务攻击。 操作系统和应用软件系统存在大量安全漏洞。蠕虫、病毒、垃圾邮件、间谍软件带来的数据破坏和泄露风险。大量的、分散的安全资源的整合和集中管理问题，以及海量安全事件和告警需要的大量人力资源处理带来的管理和成本风险。2、2金融行业需求分析综合分析金融行业所面临的各种安全风险，安氏领信建议金融行业建设

3、一个包括安全组织体系、安全管理体系和安全技术体系的全面安全保障体系，包含贯穿始终的安全策略、风险评估、安全管理，以及终端用户行为监管；而在技术层面上需要考虑综合采取多种保护措施，保护网络和安全域边界、网络及基础设施、终端计算环境的安全、以及进行安全运行中心等支撑性安全设施的建设。总体来讲，金融行业的信息安全需求包括如下几个方面：策略安全，包括信息安全的范围、等级、政策、标准、规章制度、流程等等。系统安全，包括自动补丁管理、系统弱点评估、系统加固、系统入侵检测和响应、主机访问控制、网络准入控制和强制认证等等。l 网络安全，包括网络漏洞扫描、网络入侵检测和响应、路由器访问控制列表（ACL）、AAA

4、A、防火墙、VLAN、QoS等等。数据和内容安全，包括网络和网关防病毒、通信加密、内容过滤、防垃圾邮件等等。安全运行中心，覆盖资产管理、威胁管理、风险管理、问题管理、知识库管理等等方面，起到信息安全支撑性基础设施的作用。三、安氏领信为银行构筑全面安全保障体系建设目标：满足金融行业的机密性、完整性、可用性、可控性、不可否认性等安全需求； 建设原则：扩展性、前瞻性、先进性、整体性、标准性、主动性、投资保护、法律法规符合性原则；建设内容：1、安全管理和组织体系2、安全技术体系3、终端用户行为监管体系4、安全运行中心建设3、1安全管理和组织体系建设安全管理体系通过建立健全安全管理组织机构和人员配备，提

5、高安全管理人员的安全意识和技术水平，完善各种安全策略和安全机制，利用多种安全技术实施和网络安全管理实现对网络的多层保护，减小网络受到攻击的可能性，防范网络安全事件的发生，提高对安全事件的反应处理能力，并在网络安全事件发生时尽量减少事件造成的损失。安全组织体系主要包括组织的建立、组织和人员的管理制度、日常管理的运作流程、以及人员的筛选、教育培训等等。3、2安全技术体系建设安全技术体系的核心是构建一个主动防御、深层防御、立体防御的安全技术保障平台。通过综合采用世界领先的技术和产品，加强对风险的控制和管理，将保护对象分成网络基础设施、网络边界、终端计算环境、以及支撑性基础设施等多个防御领域，在这些领

6、域上综合实现预警、保护、检测、响应、恢复等多个安全环节，从而为网络及信息系统提供全方位、多层次的防护。即使在攻击者成功地破坏了某个保护机制的情况下，其它保护机制依然能够提供附加的保护，达到进不来、看不懂、改不了、拿不走、打不垮的效果。网络边界防御体系边界防护采用的主要产品和技术包括：访问控制入侵检测/入侵防御通信加密（VPN）网关防病毒流量整形反垃圾邮件内容过滤终端安全管理体系终端安全管理体系采用的主要产品和技术包括：终端资产管理，实时了解终端资产信息以及资产信息变动情况自动补丁管理，自动打补丁，修补系统漏洞，主动防御未知威胁；主机访问控制，对进出终端的流量进行严格的访问控制；主机入侵防护，检

7、测来自于网络内部和外部的入侵和攻击；3、3终端用户行为监管体系建设国际权威研究机构的调查表明，内部发生的安全事件占全部安全事件的70甚至更多，包括无意识的误操作，以及恶意的监听、嗅探、扫描等等行为，都给信息安全带来极大风险。由于金融行业的特殊性，对内部人员的行为控制和行为监管尤为重要，因此我们建议金融用户建设终端用户的行为监管控制体系，以规范和检查终端用户的行为与法律法规、内部策略和流程的符合程度，确保没有违规事件发生。终端用户行为监管体系采用的主要技术和产品包括：安全状态完整性检查和自动修复，对终端用户的安全策略符合性进行检查，对符合安全策略的用户可以接入网络进行后继的访问操作，对不符合安全

8、策略的用户（例如没有安装最新的系统补丁、没有升级病毒特征库）则可以进行自动修复，以提升其安全级别；网络准入控制和强制认证，确保用户终端在接入网络之前达到了目标网络安全策略规定的安全级别，不会在访问网络资源时引入潜在的安全风险；外设使用控制，对用户终端的外设使用进行控制，避免因使用外设可能引起的病毒感染以及数据泄漏的风险；终端用户行为审计，对终端用户的行为进行控制和审计，实时了解终端运行状况和安全状况；3、4安全运行中心建设传统的安全管理方式是将分散在各地、不同种类系统就近分别管理，这样导致安全信息互不相通，安全策略难以保持一致。这种传统的管理运行方式是许许多多安全隐患形成的根源。 安全运行中心

9、是针对传统管理方式的一种重大变革。它将关键设备的运行管理权利集中到一起，通过高度密集的管理产品和手段，将分散在各地区、不同业务网络上面的各种安全产品有机的结成一个整体。安全运行中心使全网的安全风险处于可管理、可控制状态下。对网络安全风险的不间断的评估和控制措施调整，使得全网的整体安全状况和风险情况以定性或定量的形式及时展现出来，给企业管理者和客户提供信心。我们建议金融网络系统建设安全运行中心（SOC），作为金融网络的一种支撑性基础设施，实现风险的集中管理和实时呈现，将信息安全管理融入企业的业务体系和运营流程之中，实现信息安全从成本中心到利润中心的转变，为企业的运营提供强有力的安全保障。安全运行

10、中心主要包括三个部分：安全风险管理中心、安全维护中心和安全知识中心，具体实现了以下的用户功能模块：风险查看 资产管理脆弱性管理安全事件管理安全任务单管理安全预警管理安全设备管理安全评价管理报表管理策略管理系统管理安全知识管理安全运行中心建议管理范围包括：所有的基于IP的网络设备和应用系统的安全：包括金融网络系统中包含的各个信息系统、相关的路由器、交换机等网络设备，以及重要的服务器和主机。所有安全产品组成的安全体系的实时管理和监控都应当受到集中安全管理平台的管理，管理对象包括防火墙，入侵检测系统，防病毒网关，终端安全管理系统、认证授权系统等等。所有非安全产品的关键应用系统均应该通过一定途径将安全相关信息输送到安全运行中心中，保证及时安全时间的发现、分析和响应。负责协同管理阶层，制定和实施金融网络系统的安全目标和策略，支持日常安全配置和维护。安全运行中心在技术方面，主要需要完成以下几个功能：基于资产的风险管理集中的安全策略管理集中的安全配置管理帮助实现全网实时各种安全事件的检测、相关分析和可视化作为全网安全体系的中枢，发挥宝贵的“专家智慧”资源，统一指挥各种安全事件下的响应和恢复