1、“.....再逐步的将安全措施和手段 应用于下层的区县联社及分理处。从而实现整个网络的重点防护分步实施策略。网络结构调整与安全域划分 对于银行生产网络来说，首要的点就是应该根据国家有关部门对相关规定，将整 个生产网络进行网络结构的优化和安全域的划分，从结构上实现对安全等级化保护。 根据中国人民银行计算机安全管理暂行规定试行的相关要求 第六十条内联网上的所有计算机设备，不得直接或间接地与国际互联网相联接， 必须实现与国际互联网的物理隔离。 第七十五条计算机信息系统的开发环境和现场应当与生产环境和现场隔离。 因此我们有必要对现有网络环境进行改造，以将生产业务网络包括线业务和二线业 务与具有互联网连接的办公网络之间区分开来，通过强有力的安全控制机制最大化实现生 产系统与其他业务系统之间的隔离。同时，对银行所有信息资源进行安全分级......”。

2、“.....并分别进行不同等级的隔离和 问，拒绝其他所有访问 在生产网与相关单位网络之间采用防火墙提供访问控制，只允许业务相关的访 问，拒绝其他所有访问 在网上银行网络与互联网之间采用防火墙提供访问控制，除允许互联网用户访 问网银门户网站允许互联网认证用户访问网银及允许网银服务器 加速器访问互联网上的之外，拒绝其他所有访问 在生产网的生产区域线业务与其他区域之间采用防火墙提供访问控制......”。

3、“.....业务系统网上银行系统及管理系统 都集中在信息中心。 省联社网络生产网络负责与人行及其他单位中间业务的连接。 省联社网络生产网络负责建立和维护网上银行。 省联社网络生产网络中包含系统和测试系统。 操作系统主要有，以及其它设备的专用系统。 数据库系统包括等。 业务应用包括 生产业务 线业务与客户直接关联的业务，如柜员终端等 二线业务不直接与客户相关的业务，如管理流程公文轮流转监督决策等， 为线业务的支撑。 二地市联社生产网络 地市联社生产网络是二级网络，通过两条互为备份的专线与省联社中心网络互连......”。

4、“..... 三区县联社生产网络 区县联社生产网络是三级网络，通过或者光纤以太网备份 等方式与管辖支行的网络连接。 操作系统主要有。 四分理处生产网 分理处是四级网络，各个分理处通过或者等方式与管辖区县联体系建议 现状调查和风险评估 安全策略制定及方案设计 安全应急响应方案 安全规划总结 产品配置清单 项目情况概述 银行网络是个正在进行改造的省级银行网络。整个网络随着业务的不断扩展和应 用的增加，已经形成了个横纵联系，错综复杂的网络。从纵向来看，目前银行网络分 为四层，第层为省联社网络，第二层为地市联社网络，第三层为县区联社网络，第四 层为分理处网络。 从横向来看，省及各地市的银行网络都按照应用划分为办公子网生产子网和外联网络 三个大子网。而在省中心网上，还包括网上银行测试子网和子网三个单独的子网......”。

5、“.....目前业务系统刚刚上线运行，还没有进行信息安 全方面的建设。而对于银行网络来说，生产网是网络中最重要的部分，所有的应用也业 务系统都部署在生产网上。旦生产网出现问题，造成的损失和影响将是不可估量的。因此 现在急需解决生产网的安全问题。本次对银行网络的安全规划仅限于生产网以及与生产网安全相关的网络部分，因此 下面我们着重对银行的生产网构架做个详细描述。 服务器 打补丁，安装防篡改软件，内容过滤 网络仿冒网银客户 培训客户的安全防护意识安装反钓鱼插 件认清银行网站......”。

6、“..... 浏览器 不受影响 培训客户的安全防护意识在计算机上安装 防病毒工具并及时更新采用相对安全的浏 览器或在中安装各类安全控件对不明邮 件不要打开，并及时删除提高对个人资料 账户密码的保护意识及时修改银行帐户 的原始密码不要采用身份证号码生日密码破解工具 和远程控制程 序等 手机号码及过分简单的数字作为密码不要 在网吧等越权访问 非生产人员 生产应用系统 和业务数据 身份认证访问授权 非管理人员 操作系统数据 库系统 身份认证访问授权 总体安全技术框架建议 根据对银行网络系统安全需求分析，我们提出了由多种安全技术和多层防护措施构 成的整套安全技术方案，具体包括在网络层划分安全域......”。

7、“.....提 供系统安全评估和加固建议在管理层制订安全管理策略，部署安全信息管理和分析系统， 建立安全管理中心。 具体建议如下 网络层安全建议 网络访问控制 划分安全域 为了提高银行网络的安全性和可靠性，在省联社总部各地市联社各区县联社 分理处对不同系统划分不同安全域。 访问控制措施 对安全等级较高的安全域，在其边界部署防火墙，对安全等级较低的安全域的边界 则可以使用或访问控制列表来代替。 根据对银行整体网络的区域划分，我们将在不同安全域边界采用不同的访问控 制措施 在生产网与办公网之间采用防火墙提供访问控制，只允许业务相关的访问，拒 绝其他所有访问 在生产网与网上银行网络之间采用防火墙提供访问控制，只允许业务相关的访 共场所操作网上银行业务......”。

8、“.....被利用来向网 银进行攻击 通过上述手段加强自身防护 生产业务网络安全风险和安全需求 对于生产业务网络而言，可能存在的安全风险和对应的安全需求如下 序号风险名称风险来源受影响对象安全需求 漏洞自身 操作系统，数据 库系统，应用软 件 评估加固打补丁......”。

9、“.....存放 在客户端本地 的业务数据 网络准入控制桌面安全控制 非法访问 护等级定级指南，我们对安全区域划分和定级的建议如下 安全区域说明定级建议 生产区域包含线业务服务器主机级 区域包含二线业务服务器主机级 网上银行区域包含网上银行业务服务器主机级 运行管理区域 包含维护网络信息系统有效运行的管理服务器主机和管理 终端 级 测试区域包含新开发的生产应用的测试环境，可视为准生产环境级 办公服务器区 域 包含办公业务系统服务器主机级 对于各地市区县联社和各营业网点也需要将生产业务和办公业务严格区分开，并进行 逻辑隔离，确保生产区域具有较高安全级别。 由于部分办公业务用户需要访问生产业务中的特定数据，而部分生产应用也需要访问办 公网中的特定数据......”。