資源描述:
《商業(yè)銀行網(wǎng)站安全防護方案new》由會員上傳分享,免費在線閱讀,更多相關內(nèi)容在教育資源-天天文庫�。
1����、商業(yè)銀行網(wǎng)站安全防護方案■文檔編號NSF-FNC-20110313■密級商業(yè)機密■版本編號V1.0■日期2011-03-25?2021綠盟科技-II-目錄一.概述1二.銀行網(wǎng)站安全需求分析12.1兩個目標:安全保障與合規(guī)12.2安全保障要求22.3合規(guī)要求2三.銀行網(wǎng)站安全防護53.1常見銀行網(wǎng)站拓撲圖53.2對現(xiàn)有環(huán)境進行防護6四.安全防護措施說明74.1網(wǎng)絡層安全防護74.1.1網(wǎng)絡安全域訪問控制74.1.2拒絕服務攻擊防護74.2系統(tǒng)層安全建設84.2.1系統(tǒng)漏洞發(fā)現(xiàn)與管理84.2.2系統(tǒng)安全加固84.3應用層安全建設94.3.1WEB應用防護94.3.2頁面防篡改防護1
2、04.3.3網(wǎng)站安全監(jiān)測服務10五.安全設備及服務投入?yún)R總11附錄A綠盟科技公司簡介12A.1公司技術團隊及分支機構12A.2領先的專業(yè)安全廠商12A.3安全基礎研究實力13A.4專業(yè)安全服務實力14A.5安全產(chǎn)品開發(fā)實力14A.6綠盟科技明顯領先于其他國內(nèi)廠商的方面14A.7綠盟科技銀行業(yè)部分客戶15-II-一.概述近年來���,在地下黑色產(chǎn)業(yè)鏈的推動下��,網(wǎng)絡犯罪行為趨利性表現(xiàn)更加明顯��,追求經(jīng)濟利益依然是主要目標。黑客往往利用仿冒網(wǎng)站�、偽造郵件、盜號木馬����、后門病毒等,并結合社會工程學����,竊取大量用戶數(shù)據(jù)牟取暴利����,包括網(wǎng)游賬號���、網(wǎng)銀賬號和密碼���、網(wǎng)銀數(shù)字證書等。木馬�、病毒等惡意程序的制作
3、���、傳播��、用戶信息竊取����、第三方平臺銷贓�、洗錢等各環(huán)節(jié)的流水作業(yè)構成了完善的地下黑色產(chǎn)業(yè)鏈條,為各種網(wǎng)絡犯罪行為帶來了利益驅動����,加之黑客攻擊手法更具隱蔽性�����,使得對這些網(wǎng)絡犯罪行為的取證�、追查和打擊都非常困難����。商業(yè)銀行門戶網(wǎng)站是信息系統(tǒng)建設的重要組成部分,作為面向Internet用戶的窗口���,為公眾提供各類信息�,及網(wǎng)上銀行介紹���、鏈接等�。如果網(wǎng)站遭到黑客攻擊�����,網(wǎng)站發(fā)布的重要信息被篡改���,會嚴重影響商業(yè)銀行的業(yè)務開展,造成極壞的社會影響及聲譽影響。二.銀行網(wǎng)站安全需求分析綠盟科技根據(jù)商業(yè)銀行的現(xiàn)狀與需求���,結合長期的安全研究成果和銀行業(yè)內(nèi)豐富的實踐經(jīng)驗��,對網(wǎng)站系統(tǒng)的安全需求進行了分析��,設計了針
4��、對性的方案���。2.1兩個目標:安全保障與合規(guī)綠盟科技建議商業(yè)銀行網(wǎng)站系統(tǒng)的安全建設,要達到兩個目標:1��、安全保障��,即建立自身的網(wǎng)站系統(tǒng)安全體系����,保障安全穩(wěn)定運行。提供安全穩(wěn)定的IT系統(tǒng)�,支撐業(yè)務正常運行,是信息技術部門的業(yè)務使命�。商業(yè)銀行應以安全威脅為基礎,完善網(wǎng)站安全體系��。通過管理制度體系化、安全技術加強等措施��,長期保障網(wǎng)上銀行和網(wǎng)站的安全性�,避免頭痛醫(yī)頭、腳痛醫(yī)腳����,做到防患于未然。2����、合規(guī),即主動滿足行業(yè)監(jiān)管部門的相關要求�。滿足包括中國銀監(jiān)會在內(nèi)的,主要監(jiān)管部門的要求�。除銀監(jiān)會之外,近年來人民銀行�、銀監(jiān)會和公安部(各大行業(yè)安全監(jiān)管)等行業(yè)監(jiān)管部門對網(wǎng)站問題也越來越重視,紛紛出
5��、臺相應的指引����、規(guī)范、要求等加強這方面的工作���。商業(yè)銀行應充分考慮以上部門的要求�、理解這些標準規(guī)范之間的相互關系�����,并將其融入到的網(wǎng)站安全體系完善的工作中����。-15-?2010綠盟科技密級:內(nèi)部使用網(wǎng)站安全的合規(guī)要求,主要會依據(jù)電子銀行��、網(wǎng)上銀行的標準規(guī)范來分析�。人民銀行、銀監(jiān)會等監(jiān)管機構是把電子銀行系統(tǒng)/網(wǎng)站系統(tǒng)看作有機的整體來考慮��,因此對于網(wǎng)站相關的安全標準規(guī)范���,會以電子銀行系統(tǒng)為主����,統(tǒng)一提出要求�����。兩個目標相輔相承,互為補充����。商業(yè)銀行有自己的需求和特點,必須量體裁衣�,將通用的要求、標準��、規(guī)范落實到自己IT風險管理體系的各方面�����,建立適合自己業(yè)務特點與發(fā)展需求的網(wǎng)站安全體系�,才能達到有
6、效管理風險��、控制成本的目的��;另一方面�����,行業(yè)監(jiān)管部門的要求��,針對著銀行業(yè)內(nèi)和國內(nèi)各行業(yè)機構中普遍存在的安全問題���,在對監(jiān)管部門要求進行滿足的合規(guī)工作中����,可以有效地發(fā)現(xiàn)與解決商業(yè)銀行網(wǎng)站中存在的業(yè)內(nèi)共性安全問題,包括那些難以查覺的隱患�。1.1安全保障要求從商業(yè)銀行門戶網(wǎng)站現(xiàn)狀所面臨的安全威脅來看��,從物理層����、到網(wǎng)絡層,再到系統(tǒng)層和應用層�,每個層面都存在著安全威脅。在物理層面存在著火災���、水災���、機房及物理設備破壞等威脅;在網(wǎng)絡層面存在著網(wǎng)絡中斷����、拒絕服務攻擊等威脅;在系統(tǒng)層面存在系統(tǒng)漏洞���、溢出攻擊等威脅��;在應用層面存在著SQL注入�����、跨站腳本以及網(wǎng)頁掛馬等威脅��,黑客可以竊取用戶的隱私信息等���。
7�����、下圖為安全威脅列表與防護方法:層面威脅影響范圍防護方法物理火災��、水災�、溫濕異?!瓩C房、硬件設備加強物理安全措施網(wǎng)絡中斷�、arp攻擊、DDoS…網(wǎng)絡設備及鏈路防火墻���、抗DDOS攻擊����、鏈路冗余系統(tǒng)遠程溢出、DoS��、掃描探測…操作系統(tǒng)漏洞掃描��、安全加固應用SQL注入����、XSS�����、口令猜測…WEB應用���、中間件WAF�����、網(wǎng)頁防篡改���、網(wǎng)站監(jiān)測服務1.2合規(guī)要求網(wǎng)站系統(tǒng)的合規(guī)要求分析,目前主要參考監(jiān)管部門在電子銀行安全相關標準與規(guī)范�����。這是由于:-15-?2010綠盟科技密級:內(nèi)部使用1、商業(yè)銀行門戶網(wǎng)站和電子銀
