您的位置: 网界网 > 周报全文 > 正文

[周报全文]SAFE蓝图立起看

2003年12月01日 00:00:00 | 作者:佚名 | 来源:$page.getBroMedia() | 查看本文手机版

摘要:SAFE蓝图立起看

标签
    SAFE蓝图立起看

    ——广发银行建设立体网络安全防御体系


    广东发展银行(简称广发银行)自1988年正式成立以来,一直非常重视银行的信息化建设。广发最初的网络安全体系就是依据思科SAFE蓝图部署的。由于SAFE主张网络安全建设不能一蹴而就,应该是一个动态的过程。所以在最初的部署中,思科主要协助广发银行解决了最突出的网络安全问题—网络对外连接出口的安全,在广发的总行和分行都设有思科的PIX防火墙,这些防火墙在各自管理员的控制下,确保各自出口的边缘网络安全。

    业务拉动安全

    随着广发银行业务的迅速发展,尤其是近年来,用户纷纷把业务转移到网上进行,广发的网上业务呈几何数字增长。在这种情况下,广发提出,为了更好抵御网上的非法访问,作好关键用户的网上认证,必须要在原有的基础上进一步加强银行在网络安全方面的部署。具体地说就是要尽快为全行制定一个统一的、立体的网络安全策略来应对潜在的网上风险。

    通过分析广发银行的具体业务流程和网络结构,思科在SAFE蓝图指导下,针对广发银行的不同网段,分别实施了可以统一管理的不同安全措施。主要采用分网段的立体防御思想。

    广发总行数据中心部署了双冗余的PIX535放火墙,把总行网络分成多个隔离网段:企业内部各功能网、外联网、Internet等。通过防火墙的隔离,防止了跨网攻击、网络间干扰等安全问题,同时病毒的感染范围也可以得到有效控制,使各网段的安全性大大提高。

    业务网的核心交换机采用两台带有IDS模块的Catalyst6500高性能交换机,通过IDS模块增强对业务网的安全监控。

    OA网是安全的关键部分,也是产生内部安全隐患的主要环节,所以OA网采用两台带有IDS和防火墙模块的Catalyst6500高性能交换机。防火墙模块可以实现虚拟局域网(VLAN)之间的安全隔离,这对于大型的OA网络来说是非常重要的。

    为了提高网络的可靠性,消除单点故障,思科采用两台PIX防火墙用一条Failover电缆相连的措施,执行双机热备份。防火墙作为银行内部网络的惟一出口,提供与Internet等公共信息网互联的安全控制,同时为内部网络各工作站访问外部信息网提供地址转换(NAT)功能。交换机使用MAC地址过滤功能进行安全控制,只允许特定的主机进入PIX。路由器通过多个广域网端口对外连接,并提供一定的安全控制,防止非法的访问和操作。

    为了加强对整个网络的控制和管理,思科又为广发银行部署了ACS访问控制服务器和安全策略管理器(Cisco Secure Policy Manager)(+微信关注网络世界),利用CSPM强大的策略管理基础设施,用户可以对银行网络上的安全产品进行可扩展的、统一的管理。

    思科SAFE认为,成功的安全解决方案应该在整个网络基础设施上采用集成化保护,而不能只考虑某些专用安全性设备。因此思科在它的各种网络产品上都集成了安全性能,从而确保整个网络实现立体的集成化的安全防御。以广发银行外联网络系统为例,这个网段就采用了包括路由器、防火墙和交换机在内的三层集成化安全防御。

    售后保证安全

    为了确保整个网络安全解决方案的顺利实施和运行,思科为广发银行提供了周到细致的服务。这些服务包括为安全产品提供长达三年的售后服务,为广发银行的有关技术人员提供培训等。尤其值得一提的是,思科还专门为广发 银行组织了一支由网络安全工程师和金融专家组成的咨询团队,定期到广发 银行检测整个网络的安全情况并解决具体应用中出现的问题。思科的这种周到细致的服务完全解除了广发的后顾之忧。

    在广发银行和思科的通力合作下,广发银行的网络安全体系改造顺利完成。广发银行的网络安全体系由原来的“兵力薄弱且分散”的防御体系,一举越升为一个立体的、可以进行统一管理的大型网络安全防御体系。广发银行的有关领导对改建工作给予了很高的评价,表示改建后的网络安全性更高、管理性更强,可以更好地满足广发银行开展新型业务及为用户提供24×7×365可靠服务的需要。 

[责任编辑:程永来 cheng_yonglai@cnw.com.cn]