一、需求背景

某市城市商業銀行已經實施了初步的安全建設，目前單獨部署了2臺防火墻和單機版防病毒，但已不能滿足該商業銀行業務發展及上級監管部門對信息安全提出的更高要求。經過漏洞評估，該商業銀行發現生產網（包括核心服務器）與互聯網的隔離不足，存在大量高危風險漏洞，且被攻擊者利用并獲得系統控制權限的可能性極大，為了加強信息安全保障，用戶決定進行網絡安全二期改造。

根據已經實施的風險評估，確認當前較為緊迫的安全需求包括：

安全域調整

劃分單獨的核心服務器區域，將原來統一部署在生產網核心交換機的應用服務器和數據庫服務器等割接至新增的核心服務器交換機，該交換機接入生產網核心交換機，將核心服務器區置于單個VLAN中，同時用VLAN將生產網和辦公網實現隔離。

內外網邏輯隔離

在生產網核與互聯網之間部署UTM（統一威脅管理）設備，使其工作在透明模式，通過合理配置UTM的訪問控制策略可降低無法修補的設備漏洞所造成的威脅，并將使用存在漏洞服務的終端控制在一定的范圍內，對其訪問行為進行日志記錄。

核心服務器保護

該市城市商業銀行業務系統均為WEB應用業務，通過之前進行的風險評估，確認這些WEB應用服務器均具有SQL注入漏洞，被攻擊的可能性極大，威脅可能來自外部終端和內部終端，需要重點保護，因此需要部署一臺可精確阻斷SQL注入攻擊的防御設備。

二、實施方案

通過對多家產品的橫向測試，最終該市城市商業銀行選擇了啟明星辰的天清漢馬USG一體化安全網關產品作為內外網隔離設備，選擇了啟明星辰的天清IPS產品作為核心服務器保護設備，具體產品部署方案如下：

圖1

該方案在建設之初用戶對網絡進行了全面的風險評估，因此建設具有很強的針對性。來自互聯網的威脅包括：網絡入侵、病毒傳播、非授權訪問控制、資源濫用、非法言論傳播等，天清漢馬USG一體化安全網關具有功能全、性能高、應用簡單等特點，適用于城市商業銀行的內外網隔離需求。

城市商業銀行網絡中的核心服務器包含了最重要的業務系統以及數據資源，而針對服務器群的威脅主要是應用層威脅，具體來講主要是針對WEB業務的應用威脅。目前針對WEB系統破壞力最強的威脅就是SQL注入，通過SQL注入入侵者可以獲取WEB應用系統的完整權限，可以任意修改和竊取敏感數據，對城市商業銀行來講徹底屏蔽SQL注入威脅至關重要。而目前可選擇的安全產品之中，只有啟明星辰的天清IPS因為采用了基于原理的SQL注入檢測與阻斷技術，可以有效識別并阻斷SQL注入攻擊，因此城市商業銀行選擇了天清IPS作為核心服務器保護設備。產品上線后，通過天清IPS日志系統可以看出，有多起SQL注入攻擊被成功阻斷，用戶信息系統的安全性得到了極大的提高。