一、信息系统现状及目标
农商银行基本建设完成了各个营业点,以及与各个单位的网络连接,目前的网络可分为六大部分,分别为:
1. 核心交换平台:为覆盖整个数据中心的高速骨干,提供高速传输和路由最优化通信,不涉及具体的数据包的运算,为农商行网络的数据交换平台;
2. 生产服务器模块:由农商银行业务生产服务器构成,为农商银行整个网络最重要的部分,支撑着农商银行整个网络的生产业务;
3. 外联业务模块:这部分连接到人民银行,企业用户在其他银行的代办业务通过人民银行的网络连接到农商行社核心交换网络,通过专线加密的方式进行连接,目的是访问农信社的生产服务器和处于OA办公网的业务平台;
4. 广域网接入模块:连接着农商银行的各个营业网点,各营业网点通过专线的方式联入核心交换模块访问生产服务器主机,另外一条CDMA的拨号线路用来做备份线路;
5. OA办公网模块:为农商银行的OA办公系统,进行着平时正常的业务流程和文件、邮件的交互,通过SDH连接到各营业网点的OA办公系统;
6. 外联互联网模块:为连接互联网应用部分,这部分不直接接入核心交换模块,它只为OA办公网模块进行服务,目前需增加一条虚拟拨号线路来为小型机服务器的主机监控进行服务。
从整个农商银行膨胀性(动态和静态)安全需求平衡来看,整个安全风险我们从连接到核心交换模块的各个应用模块部分的访问控制安全为主,在相应结点部署防火墙来实现。
二、安全系统总体设计
l外联业务模块与核心交换模块之间的防火墙部署
通过部署一套双机热备防火墙审核两个网络间的网络访问请求
l广域网接入模块备份线路的防火墙部署
通过部署一台百兆防火墙审核两个网络间的网络访问请求
l生产服务器监控线路的防火墙部署
通过部署一台百兆防火墙审核两个网络间的网络访问请求
OA办公网模块与核心交换模块之间的防火墙部署
通过部署一台百兆高端防火墙审核两个网络间的网络访问请求
OA办公网模块与外联互联网模块之间的防火墙部署
通过部署一台百兆高端防火墙审核两个网络间的网络访问请求
入侵检测设备的部署
在核心交换平台与OA办公模块分别部署一台入侵检测设备。
农商银行网络拓扑:
三、农商银行系统安全效果
利用防火墙的访问控制功能,加强各模块直接的访问控制。
在内部网络中部署入侵检测系统,检测网络中的攻击。