定合法访问行为之外的所有访问行为进行监控，旦发现违规行为则根据事先定义的响应策略进行报警阻断或联动的相应，以保证只有授权用户才可以访问特定网络资源。应用层攻击特征检测。提供详尽细粒度的应用协议分析技术，实现应用层攻击检测，可自动检测网络实时数据流中符合特征的攻击行为，系统维护个强大的攻击特征库，用户可以定期更新，确保能够检测到最新的攻击事件。蠕虫检测。实时跟踪当前最新的蠕虫事件，针对已经发现的蠕虫攻击及时提供相关事件规则。系统维护个强大的蠕虫特征库，用户可以定期更新，确保能够检测到最新的蠕虫事件。对于存在系统漏洞但尚未发现相关蠕虫事件的情况，通过分析漏洞来提供相关的入侵事件规则，最大限度地解决蠕虫发现滞后的问题。可疑网络活动检测。即异常检测，包括通过对在特定时间间隔内超流量超连接的数据包进行检测等方式，实现对扫描等攻击事件的检测。检测隐藏在加密通讯中的攻击。通过解码基于加密的通讯数据，分析检测基于加密通讯的攻击行为，从而可以保护提供加密访问的网银服务器的安全性。日志审计。提供入侵日志和网络流量日志记录和综合分析功能，并提供详细的分析报告，使网络管理员可以跟踪用户应用程序等对网络的使用情况，帮助管理员改进网络安全策略的规划，并提供更精确的网络安全控制。通过详尽的审计记录，可以在系统遭到恶意攻击后，提供证据以提起法律诉讼。多网段同时监控。入侵探测器支持多个网络监听口，可以连接到多个网段中进行实时监控，我们也可以在不同的网段分别部署多个探测引擎，管理员可以通过集中的管理控制台对探测器上传的信息进行统查看，通过管理器进行综合分析，并生成报表。入侵防御系统在生产网与网上银行网络之间办公网与互联网之间分别部署入侵防御系统，对外界网络黑客利用防火墙为合法的用户访问而开放的端口穿透防火墙对内网发起的各种高级复杂的攻击行为进行检测和阻断。系统工作在第二层到第七层，通常使用特征匹配和异常分析的方法来识别各种网络攻击行为，因其是以在线串联方式部署的，对检测到的各种攻击行为均可直接阻断并生成日志报告和报警信息。漏洞扫描系统在生产网上部署套漏洞扫描系统，定期对整个网络，特别是关键主机及网络设备进行漏洞扫描。这样才能及时发现网络中存在的漏洞和弱点，及时根据漏洞扫描系统提出的解决方案进行系统加固或安全策略调整。以实现防患于未然的目的。同时得到的扫描日志还可以提供给安全管理中心，作为对整个网络健康状况评估的部分，使得管理员能够机制准确的把握网络的运行状况。系统层安全建议病毒防范系统在银行网络系统可能的病毒攻击点或通道中部署全方位的病毒防范系统，包括在网上银行互联网出口网上银行区域与业务区域之间办公区域的互联网出口处部署网关级防病毒设备，在整个网络中的所有服务器和客户端计算机上部署相应平台的网络版防病毒软件并配置防病毒系统管理中心对所有主机上的防病毒软件进行集中管理监控统升级集中查杀毒。管理层安全建议综合安全管理平台和安全运营中心部署套有效的网络安全管理体系，采用集中的安全管理平台，来对全网进行统的安全管理和网络管理，同时借助专业的第三方服务，在安全管理平台的基础上建立银行安全运营中心，对银行安全保障体系的建设起到推动作用，确保银行信息网络信息系统内部不发生安全事件少发生安全事件或者发生安全事件时能够及时处理减少由于安全事件带来的损失。根据银行的网络结构和区域划分，我们将分别针对网上银行省和地市生产业务网络进行安全体系设计。详细网络架构及产品部署建议网上银行安全建议网上银行的安全防护方案具体设计如下在网银区域与之间插入套抗攻击系统，对来自互联网的攻击流量进行清除，同时保证正常访问流量的通过。网银区域与之间设置套防火墙系统外层防火墙，采用双机热备结构，通过二层交换机连接抗攻击设备，将网银服务器保护在防火墙的个单独的安全区域中，并通过两台三层交换机连接内部网络。外层防火墙的主要作用是控制来自外网的访问，只允许授权用户访问网银服务的特定和端口，并通过屏蔽服务器真实地址。防火墙采用透明工作模式。三层交换机提供缺省网关和局域网路由功能。使用台网络入侵检测设备，提供双引擎，分别连接到网银区域和网银区域的两台交换机上进行监控，对网络上传输的敏感数据包包括加密数据进行深层分析，可有效地发现防火墙无法识别的特殊的应用层攻击行为。网银区域与后台数据库应用服务器区域及信息中心网络之间设置套防火墙系统内层防火墙，方面控制网银服务区与后台服务区之间的访问，只允许来自网银区服务器发起的特定访问，禁止其他切数据通讯另方面控制网银服务区与内部生产区域之间的访问，只允许应用相关的特定访问，禁止其他切数据通讯采用与外部防火墙异构的防火墙产品，即使攻击者成功获得外墙的控制权，也不能轻易攻入业务网络。在内层防火墙与内网核心交换机之间串联组设备，启用功能和防病毒功能，抵御来自互联网及网银区域的病毒蠕虫恶意代码及其他攻击，双机热备。部署方式如下图所示图网上银行安全解决方案部署图省联社生产网安全建议将信息中心按不同业务划分多个网络区域。总行管理中心网络与核心交换机之间不署套防火墙系统，提供安全控制。对管理区域的访问进行行为控制。总行生产业务网络与企业客户协作单位网络的互联出口采用套双机防火墙系统提供安全控制，对来自外单位网络的访问行为进行控制。在总行生产业务网络与办公业务网络核心交换机之间设置套双机防火墙系统，对从办公网络特定用户到生产网络特定区域上特定主机的访问行为进行控制，同时除必须开放的连接外，禁止任何从生产网主动向办公网发起的访问请求。采用千兆设备，分别连接到总行生产网两台核心交换机上，监视和防范内网上的违规访问行为，主要监听进出生产区域及来自办公网下级单位和协作单位的流量。各地市生产网到总行生产网之间采用套双机防火墙系统提供安全控制。对来自各分支机构网络的访问行为进行控制。区县生产网分理处等营业网点分别通过上级联社生产网的转发实现对总部数据中心系统的访问。网上银行网络与生产网络之间的访问通过两台互备的设备进行监控。网络结构及安全设备部署方式如下图图省联社生产网安全解决方案部署图地市联社生产网安全建议地市联社生产业务网络与企业客户协作单位网络的互联出口采用套双机防火墙系统提供安全控制，对来自外单位网络的访问行为进行控制。在地市生产业务网络与办公业务网络核心交换机之间设置套双机防火墙系统，对从办公网络特定用户到生产网络特定区域上特定主机的访问行为进行控制，同时除必须开放的连接外，禁止任何从生产网主动向办公网发起的访问请求。采用设备，分别连接到地市生产网两台核心交换机上，监视和防范内网上的违规访问行为，主要监听进出生产区域及来自办公网下级单位和协作单位的流量。各地市生产网到总行生产网以及区县生产网分理处等营业网点之间采用套双机防火墙系统提供安全控制。对来自总行和各分支机构网络的访问行为进行控制。网络结构及安全设备部署方式如下图图地市联社生产网安全解决方案部署图区县联社生产网安全建议区县联社生产业务网络与办公业务网络核心交换机之间设置套防火墙系统，对从办公网络特定用户到生产网络特定区域上特定主机的访问行为进行控制，同时除必须开放的连接外，禁止任何从生产网主动向办公网发起的访问请求。各区县联社生产网到上级分行生产网以及分理处等营业网点之间采用套双机防火墙系统提供安全控制。对来自上级分行和各分支机构网络的访问行为进行控制。网络结构及安全设备部署方式如下图图区县联社生产网安全解决方案部署图全行网络防病毒系统建议具体的部署建议如下在银行各级单位所有服务器上部署服务器防毒系统，确保服务器系统不会成为病毒驻留的平台，提高整个服务器系统的高可靠性在银行各级单位所有客户端上部署客户端防毒系统，方面增强客户端的防毒能力，另方面保证客户端不为因为病毒问题而带给管理员极大的工作量防病毒系统采用集中和分布相结合的管理模式，总行办公网服务器区域中设置台防病毒管理中心服务器，提供集中的策略制定和下发，管理总行办公网的所有防病毒客户端生产网运行管理区域中设置台防病毒管理分中心服务器，管理生产网的所有防病毒客户端包括总部支行网点，以及与上级管理中心进行通信各管辖支行办公网中分别设置台防病毒管理分中心服务器，管理本网的所有防病毒客户端，以及与上级管理中心进行通信这样做的好处是防止了因软件或策略下发时带来的带宽消耗和减小安全隐患办公网防病毒管理中心服务器定期从互联网进行升级，生产网防病毒管理分中心服务器各支行防病毒管理分中心服务器均从管理中心服务器获得升级码各防毒服务器负责向所管辖范围内所有防病毒客户端分发升级码。在银行各互联网出口处，生产网络与网银网络之间分别部署病毒过滤网关通过设备实现，消除来自互联网的病毒威胁。网络安全管理平台建议部署网络安全管理平台的必要性传统安全技术和产品集成的有如下缺点需要大量人为参与的判断。比如个报警事件是否准确需要人为的判断。存在信息淹没的可能性大量安全产品的报警信息导致管理员无法察看和分析，从而导致信息淹没。同时大量的垃圾报警信息，也加重了管理员的工作负担，导致管理员容易疏忽很多真正有用的信息，这也导致信息淹没。需要专业安全人员的分析大多数安全产品对报警事件的语言描述都是专业安全技术性的描述，对管理员的专业技能要求很高。需要安全维护人员高度的责任心的协助管理员需要积极主动的去查看各类安全产品的报警信息，才能及时地发现安全事件，并着手去解决。止步于安全事件的报警，而没有完善的事件处理监督考核措施传统的安全产品集成在向管理员报告安全事件后，安全系统的功用便宣告结束，后续的所有的工作完全依靠管理员去完成，管理员是否去解决这些安全问题，无从考据和监控。应该说，传统的安全产品和技术的集成只能够部分的实现安全的可见性和可控性。出于上述原因，我们认为在未来的信息安全建设中，综合安全监控和管理平台将倍受尊崇，真正让安全建设做到完善的可见可控可管理。而对于银行来说，我们必须在网络内部署大量的安全产品。因此，我们急需个真正的综合性安全管理平台来使得整个网络的安全建设实现可见可控和可管理。集成安全监控管理技术的优点延伸了传统安全产品集成的功能，充分让每条有效的安全报警信息得到完善的分析和处理融合网络管理安全管理运维管理思想于体，充分发挥各类安全技术的功效实现安全事件的闭环管理，最强有力的实现安全管理的技术辅助手段。网络安全管理平台部署建议对于银行网络来说，我们应该本着重点防护，分步实施的策略来进行我们的安全建设。因此我们应该首先将省联社网络建设成为个高度安全，高度可管理的安全网络。我们建议在第阶段只在省中心部署套网络安全管理平台。当这套安全管理平台成功运行并积累定经验后，可以很灵活的扩展到各个地市以及更低级的网络中去。我们所部署的网络安全管理平台应该具备以下些功能管理对象被监控管理的目标包括网络系统服务器主机数据库安全产品业务应用。按照不同的关键业务点来划分进行资产