文档介绍:科技开发部
民生银行安全体系介绍
2012年8月18日
目录
网络安全工作现状
网络安全工作未来规划
网络安全架构等层次
.网络安全架构自下向上分为4个安全层次:终端层、网络层、应用层、管理层
网络安全架构
应用层:重点关注应用层面的安全,包括应用防攻击、业管理层:重
务安全、数据安全、安全审计等,防止蠕虫、木马、病毒等点关注网络资
源的管理,包
网络层:重点关注网络路径的安全控制,包括安全域划分、含安全设备管
网络层的访问控制、流量分析等理、安全制度
管理、安全事
终端层:重点关注终端用户的安全管理,包含准入控制、件处理流程管
补丁管理、防病毒、上网行为管理、虚拟桌面等理等
© 2010 CMBC All rights reserved. / Page 3
民生银行网络整体架构
北京数据中心网
总行在北京,主数据中心位成都数字安外
于北京,分布在北京多个机房, 灾备中心北京
在北京建有同城灾备中心,异
地灾备中心位于成都
目前国内有33家一级分行, 一级
分行
在香港设立了一家代表处,机
构总数达到600多家
一级分行支行二级分行一级分行离行
二级分行支行二级分行离行
© 2010 CMBC All rights reserved. / Page 4
网络安全架构部署现状
.我行目前在各个安全层次都部署了相应的安全防护手段:
管理层
应用层源代码安全漏洞扫描 WEB扫描日志分析文档加密服务管理系统
重点关注网络层的访问控制、安全域划分、入侵防御、流量分析
网络层
防火墙远程接入控制入侵检测流量分析 ICTcenter
重点关注应用安全、业务安全、数据安全、安全审计等
终端层
IMC准入控制 WSUS补丁防病毒虚拟桌面上网行为管理 Onecenter
重点关注终端用户的准入控制、补丁管理、防病毒、上网行为管理
© 2010 CMBC All rights reserved. / Page 5
生产网和办公网两网分离
.为了保证生产网的安全,我们将生产网和办公网进行独立建设,生产网和办
公网两网分离,这种方式使办公和生产的用户在内网中不能够互访,进一步保
证了生产网络的安全性。
生产网办公网
核心业务监控区域内部网站电子邮件
中间业务运维区域其他办公业务监控区域
电子银行网上银行终端接入运维区域
创新业务终端接入补丁管理防病毒
网点接入分行接入基础服务区开发测试
© 2010 CMBC All rights reserved. / Page 6
场景一:办公网的安全防护手段
.办公网主要的安全防护手段包括:
.1、终端接入控制:通过准入和终端安全,
互联网
保证接入终端的安全性和合法性;
.
2、用户行为审计:对用户访问互联网进办公用户访问互联
行记录和控制; 网,对访问行为进
行记录和控制
.3、公文信息安全:部署文档加密系统
.
4、安全架构的设计:部署科学的安全架办公网
构设计,如:安全分区、网络路径安全控
制、应用安全防护等。内部网站电子邮件
其他办公业务监控区域
终端接入运维区域
办公用户接入网络,需要补丁管理防病毒
经过严格的准入和安全检
办公行员查,保证接入用户的合法基础服务区开发测试
性和全关性
© 2010 CMBC All rights reserved. / Page 7
场景二:办公网安全防护的创新
.部署桌面云保证源代码安全:
.1、禁止办公用户直接访问研发/运维业务服务器区,在网络路径上进行访问控制;
.2、部署桌面虚拟化平台,办公用户必须通过登录虚拟桌面,访问研发运维服务器。
数据
代码系统
禁止办公用户直接访问研发/运维业务研发或运维服务区
办公行员
数据
允许允许
代码系统
研发或运维服务区
办公行员桌面虚拟化
© 2010 CMBC All rights reserved. / Page 8
场景三:生产网安全防护手段
.多层面的生产网安全防护:
.1、在应用层面,保护业务系统的源代码安全,定期进行系统漏洞的扫描,对于WEB
应用使用WEB扫描及时发现系统漏洞;
.2、通过访问控制、入侵检测、入侵防御、流量分析、日志分析等方法,提供丰富的
安全防范措施;
.3、通过补丁管理、防病毒管理等手段保证终端接入的安全控制。
源代码安全生产网
日志分析
核心业务监控区域
中间业务运维区域
电子银行网