一、项目背景：
        某国有商业银行，总部设在北京，在中国境内及各主要国际金融中心开展中长期信贷业务。该行设置多级分支机构，以省分行为例，下辖省分行直属支行、省分行营业部、省分行国际业务部、地市分行 、地区直管支行、行政县市支行、城区支行、分理处、储蓄所等， 机构网点设置覆盖全省，已建立起自己的多级业务Intranet。
        近年来，面对国内外银行系统的竞争，该行也将业务从原有的纵向系统逐步往横向发展，不断增加中间业务，增加服务功能。目前该行主要应用有：储蓄、对公、信用卡、储蓄卡、IC卡、代收费、国际业务、电子汇兑、电子邮件、电子公文、网上银行、网上交易系统、新的综合对公业务、国际业务信贷系统等。而在增加代收电话费、水电费、代收保险费、证券转账等业务的同时，也需要与电信运营商、自来水公司、电力行业、保险公司、证券交易所等单位的网络互联，形成庞大的合作伙伴Extranet。
       纵向与横向的结合，Intranet与Extranet的汇聚，也随之带来对网络安全的需求。

二、需求分析：

     该行与合作伙伴作为各自独立的单位，不可能是完全彻底信任的关系，因此，它们之间的互联，也使得该行网络系统面临着来自外单位的安全威胁。随着应用的不断增加，网络安全风险会不断暴露出来。原来由单个计算机安全事故引起的损害可能传播到其他系统和主机，引起大范围的瘫痪和损失。另外由于该行属于国有商业银行，其商业机密信息如果在网上传输过程中泄密，其造成的损失将是不可估量的。
     安全威胁可能引发的结果有非法使用资源、恶意破坏数据、数据窃取、数据篡改、假冒、伪造、欺骗、敲诈勒索等。上述这些结果对银行这样特殊性的行业来说，其损失都是不可估量的，我们必须将风险防患于未然。已有的Extranet接入链路和其他广域链路把该行网络系统各部分和其他业务单位连接起来，但却没有相应地提供访问控制设备，因此它不得不直接暴露在外部Extranet这个不可知、难以控制的外部系统面前。
    由于省行与总行、各地市支行等单位之间的网络连接没有有效访问控制措施，接入网络之间访问控制较为松散，在以省行网络为枢纽所连接的各网络范围内构成了一个单一的安全域后存在被直接扫描和攻击的风险。
    PSTN远程拨号为企业网络提供了灵活的接入方式，但是需要解决PPP和SLIP弱认证问题。同时管理员应当时刻掌握网络的使用情况，并且要及时、按时生成流量分布、内容监视、图文报表等各种资料、处理各种报警信息，因此应部署相关设备以实现该目的。
    该行业务系统中的很多数据需保密，如帐号信息、资金交易等等。由于IP协议栈的开放性，不法人员完全有可能在传输线路或网络上安装窃听装置，窃取网上传输的重要数据，再通过一些技术读出数据信息，造成信息泄漏或者做一些修改来破坏数据的完整性，如PSTN线路的简单录音还原窃听、DDN传输设备时隙通道复制窃听、交换机的端口镜像/流量复制等。以上的不安全因素都对业务安全构成了比较严重的威胁。对目前网络整体安全漏洞状况尚未有系统的认识和判知，因此需要专业化的评估设备来完成，这就需要引入专业的安全服务。

三、解决方案：
     根据对客户网络系统结构和应用的分析，结合风险评估及漏洞扫描，我们提供了以访问控制、加密传输以及系统监控为主要内容的综合安全解决方案。
在本项目第一期建设中，主要工作内容为：
    ⊙ 在该行全省范围内的整个大型网络中，按照地域、业务、隶属关系等多个条件划分出多层次的树状安全域；
   ⊙ 制定每个安全域之间的访问控制策略，如允许通过的信息类别与负载情况；
   ⊙ 关键服务器资源（如业务系统）提供用户的访问控制、数据加密和数字签名；对核心网络实施不间断的网络监控，实现对服务器所承受的每个访问请求进行入侵检测、命令监控和内容审计；
   ⊙ 确定数据机密性较为薄弱的链路，如各营业厅至支行的PSTN、ADSL链路，提供足够强度的商用密码系统；
   ⊙ 保持网络评估的周期性和网络系统变化后评估的及时性。

四、具体实施步骤：
1． 在以下的区域之间构筑访问控制点
        ·省行业务网与中间业务合作伙伴网络之间；
        ·省行与总行网络之间；
        ·省行业务网络与人行支付系统之间；
        ·城域网/广域网中业务网部分与省行业务网络之间；
       · 城域网/广域网中OA网部分与省行OA网之间；
        ·拨号网络与省行业务网络之间。
2． 部署访问控制设备
        在各访问控制点上，根据性能和功能等方面要求的不同，分别部署中华卫士高中低端防火墙（可选支持IPSec VPN）。在中华卫士N2（低端）、X3（中端）、A4（高端）系列防火墙上合理配置访问控制规则，可以有效保护省行、各支行、各中间业务伙伴、省行数据服务器网段等多个安全域之间的访问行为有序性和合法性，并建立起安全的隧道保证传输的安全。为保证传输安全，也可以选择在部署了中华卫士防火墙设备基础上同时部署中华卫士IPSec VPN设备。
3．部署SSL VPN
      在重要服务器群入口处，部署中华卫士安全接入网关（SSL VPN），实现用户的访问控制、数据加密和数字签名。
4．部署扫描、监控与审计设备
       按照最贴近扫描资源的原则，将漏洞扫描系统主机部署在省行业务系统交换机之上。在各个访问控制节点部署IDS系统，针对应用层的漏洞和攻击进行监控，配合中华卫士防火墙实现多层次的攻击防御和应用保护。在总行和省行中心网络中部署网络审计系统，监控网络中的访问行为和进行必要的内容审计。
5．部署安全管理平台
       以省行为核心，构建全省行系统分级的网络安全管理平台。实现对系统中安全设备的有效管理。省行作为管理树的根，地市支行为树的枝干（二级管理节点）。
解决方案示意图如下：

五、持续提供专业的安全服务：
        安全是一个动态过程，使用任何一种“静态”或者号称“动态”防范的产品都不能解决一直在发展的系统安全问题，因为在现实环境中还有很多其他因素影响着系统的整体防护效果。卫士通公司作为专业安全服务提供商，不仅仅局限于安全产品集成，更专注于提供专业的安全咨询服务，我们提供安全评估审计服务、系统加固服务、应急响应服务以及安全信息发布服务，可以有效解决日常运营维护中的问题，保障系统的持续安全可靠运行。