某商业银行数据中心设计方案网银安全解决方案.doc

某商业银行数据中心设计方案网银安全解决方案.doc

ID:50552130

大小:499.00 KB

页数:4页

时间:2020-03-07

某商业银行数据中心设计方案网银安全解决方案.doc_第1页
某商业银行数据中心设计方案网银安全解决方案.doc_第2页
某商业银行数据中心设计方案网银安全解决方案.doc_第3页
某商业银行数据中心设计方案网银安全解决方案.doc_第4页
资源描述:

《某商业银行数据中心设计方案网银安全解决方案.doc》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、1.1网银区架构设计某城市商业银行网上银行系统可分为外联区、DMZ区、核心交换区、网银生产区、系统互连区、应用服务器区、数据库服务器区。某城市商业银行网上银行严格按照人行19号文标准规划设计,下图所示:图4-5:网银规划图外联区:主要处理外部访问的区域,访问数据量比较大,需要进行负载均衡。互联网出口是路由器,主要负责数据的路由和转发,同时部署了防火墙进行访问控制,为了保证网银中数据流量的稳定,在路由器和防火墙后面都部署了负载均衡设备,分别用做链路负载和应用负载;DMZ区:是一个公布信息的区域,通过互联网接入的外部客户可以访问该区域。该区中主要放置的是网银的门

2、户网站,服务器上连汇聚交换机,两台汇聚交换机之间互为主备,确保业务可靠性;核心交换区:负责网银中各区之间的数据交换,对性能要求比较高,且其处于网银网络的关键处,两台核心交换机之间要做链路聚合并且互为主备;应用服务器区:是网络应用程序所处区域,处理各种逻辑业务。应用系统服务器上连汇聚交换机,上连核心交换机,并在两台交换机之间增加防火墙做访问控制,汇聚交换机与防火墙之间采用交叉式连接提供冗余链路;数据库服务器区:主要处理各种数据操作,是数据库所在区域。该区设计与应用服务器区相同,在核心交换机和汇聚交换机之间部署防火墙,汇聚交换机与防火墙之间采用交叉式连接提供冗余

3、链路,防火墙做访问控制,只允许来应用服务器区的访问;系统互连区:主要处理网银系统和生产网中核心业务系统互连访问。系统互连区由两台防火墙组成,互为主备,两端分别连接的是网银核心交换机和生产网的核心交换机,通过设置安全策略,形成逻辑隔离。1.1网银安全防护1.1.1边界防护网银的边界安全防护可以从四个域来展开;外部区域:网上银行的用户,安装网上银行客户端,通过互联网、移动通信网络、其他公众或专用网络访问网上银行业务系统;安全区域一:网上银行访问子网,主要提供客户的Web访问;安全区域二:网上银行业务系统,主要进行网上银行的业务处理;银行内部系统:银行处理系统,主

4、要进行银行内部的数据处理对这四个域的边界部署防火墙,做访问控制,如下图所示:图5-8:网银边界防护图1.1.1区域防护除了边界防护外,根据各区域的安全防护需要,有针对性的部署了安全设备。外联区:主要防范拒绝服务攻击,在路由器和防火墙之间部署了防DDOS设备,一旦发生DDOS攻击,造成服务器瘫痪,网上银行业务中断。对流量进行清洗;DMZ区:主要是门户网站服务器,部署应用层防火墙,对SQL注入攻击、XSS攻击等常见Web攻击进行防护、Web恶意代码防护、Web非授权访问防护等。入侵检测系统主要监视并记录以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击

5、、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等;应用服务器区:主要是WEB服务器,对其的防护以入侵检测为主,能够对攻击行为进行有效检测;数据库服务器区:是网银数据存储的区域,因此除了基本的入侵检测之外,还部署了数据库审计系统,对所有数据库的访问操作进行审计,起到事中监督,事后追查的作用。1.1.1网银安全防护示意图图5-9:网银防护示意图1.2《网上银行系统信息安全通用规范(试行)》(人行19号文)

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。