按照《网上银行系统信息安全通用规范》要求,本方案具体安全设计如下:
外联区域:该区域主要包括实现网上银行系统与Internet的安全接入的网络设备,防护重点是防御来自互联网的DDOS拒绝服务攻击、非法访问、黑客攻击等。同时应考虑保障链路及应用的可用性。主要部署产品:抗DDOS系统、链路负载均衡、防火墙、入侵防御IPS、应用负载均衡。
网站服务区域:该区域主要包括网银web服务器、网络设备,通过部署Web应用防火墙(WAF)、网页防篡改系统、SSL VPN网关(加密机,支持国密算法)。抵御来自互联网针对网站的攻击、网页篡改。同时实现用户身份认证、传输加密等。
测试区域:该区域主要包括网银系统的开发测试系统。通过部署防火墙防止网络的非法访问。
核心交换区域:该区域主要包括核心交换网络设备。通过部署网络审计系统实现核心网络访问行为的安全审计。
网银应用区域:该区域主要包括网银的应用系统服务器等。通过防火墙及入侵检测系统防止网络非法访问、实现攻击行为的入侵监测。
网银数据区域:该区域主要包括网银系统的数据库服务器等。通过防火墙、入侵检测的部署防止网络非法访问、实现攻击行为的入侵监测;以数据库审计实现数据库访问的安全审计。
安全管理区域:该区域主要包括实现对网银系统安全管理、安全运维的系统通过堡垒机实现对运维过程操作进行审计,以日志审计和安全管理平台,对全网资产进行监控和管理。
银行生产核心区域:该区域主要包括银行内部核心业务系统。通过防火墙防范来自网银区域的非法访问。
异地容灾中心:该区域主要实现网银系统数据的备份容灾。以备份存储系统、容灾系统实现。
获取更多相关方案详解,立即咨询吧!