银行业信息技术部运维工程师网络安全防护手册.docxVIP

银行业信息技术部运维工程师网络安全防护手册

第1章总体架构与安全管理

1.1安全区域划分与边界防护策略

在银行核心交易系统前部署物理隔离的防火墙网关，利用下一代防火墙（NGFW）特性，严格区分生产区、测试区及开发区的网络流量，仅允许经过严格白名单认证的合法IP段访问核心业务系统，禁止直接连接互联网。针对外部网络边界，配置基于应用层识别（App-ID）的入侵防御系统（IPS），实时扫描HTTP/协议中的恶意载荷，自动阻断SQL注入、XSS攻击及勒索软件通信流量，并记录所有异常入站请求的详细报文特征。

在核心业务系统前部署基于规则引擎的边界防护设备，对入站流量进行深度包