二 银行外联网络安全规划

　　1、外联网络接入银行内部网的安全指导原则

　　（1）外联网（Extranet）接入内部网络，必须遵从统一规范、集中接入、逐步过渡的原则。

　　（2）总行对于外联网络接入内部网络建立统一的安全技术和安全管理规范，一级分行参照规范要求对接入网路进行严格的控制，同时应建立数据交换区域，避免直接对业务系统进行访问。

　　（3）各一级分行按照集中接入的原则，建立统一的外联网接入平台，减少外联网接入我行内部网络的接入点，将第三方合作伙伴接入我行内部网的接入点控制在一级分行，并逐步对二级行（含）以下的接入点上收至一级分行。

　　（4）如果一个二级分行的外联合作伙伴较多，从节约线路费用的角度考虑，可以考虑外联接入点选择在二级分行，然后利用IPSec-VPN将二级分行的业务外联平台通过隧道与一级分行外联平台连接。

　　（5）增加VPN的接入方式，与专线方式并存，接入点只设在一级分行及以上的层次，新增外联业务可考虑采用VPN接入方式。

　　（6）出于安全考虑，必须慎重选择是否允许第三方合作伙伴使用银行内部网络系统构建其自身业务网络的运作。

　　（7）对于第三方合作伙伴通过互联网接入内部网的需求，只能通过总行互联网入口进行接入。

　　2、外联业务平台规划的策略

　　与同业往来业务、重点客户业务、中间代理业务互联要求业务外联平台提供足够的安全机制。多数外联业务要求平台稳定、可靠。为了满足安全和可靠的系统需求，具体策略如下：

　　（1）采用防火墙和多种访问控制、安全监控措施

　　（2）采用专线为主、拨号备份为备的双链路和主、备路由器增强可靠性

　　（3）通过省行internet统一入口连接客户的VPN接入请求，由省行或总行统一规划VPN网络，统一认证和加密机制

　　（4）采用IPSec技术保证数据传输过程的安全

　　（5）采用双防火墙双机热备

　　（6）采用IDS、漏洞扫描工具

　　（7）设立DMZ区，所有对外提供公开服务的服务器一律设置在DMZ区，将外部传入用户请求连到Web服务器或其他公用服务器，然后Web服务器再通过内部防火墙链接到业务前置区

　　（8）设立业务前置区，外联业务平台以及外联业务前置机可放置此区域，阻止内网和外网直接通信，以保证内网安全

　　（9）所有的数据交换都是通过外联前置网进行的，在未采取安全措施的情况下，禁止内部网直接连接业务外联平台。

　　（10）为防止来自内网的攻击和误操作，设置内部网络防火墙

　　（11）来自业务外联平台的特定主机经身份认证后才可访问内部网指定主机。

　　（12）具体实施时主要考虑身份认证、访问控制、数据完整性和审计等安全指标。