銀行內網如何保護網絡安全

銀行的內網的網絡安全保護一般是通過防火墻配合一系列的軟件、硬件等安全設備來進行防護，保護內網最重要的是內外網隔離這里一般優先選擇防火墻，如果有條件可以選擇網閘這樣可以達到內外網隔離，同時配合一些IPS、IDS和防病毒網關來阻止一些病毒和惡意的攻擊，在安裝一些桌面控制軟件來限制銀行內部人員使用計算機的一些違規操作，同時加強安全意識這樣就可以有一個完善的內網環境。

其他保護內網安全的方法還有以下這些：

• 修改默認口令：關閉無論是防火墻還是系統的密碼不能使用默認登錄口令；

• 關閉ip直接廣播：因為服務器無法識別是誰發出的命令所以一旦攻擊者模仿對服務器發送命令則也會造成內網攻擊，所以盡量關閉ip直接廣播；

• 如果可能關閉路由器的HTTP設置使用HTTPS：http使用的身份識別協議相當于整個網絡發送一個為加密的口令，但是這個口令缺失一個有效規定。

• 封鎖ICMP ping請求：ping的主要目的是識別目前正在使用的主機。因此，ping通常用于更大規模的協同性攻擊之前的偵察活動。請注意，這樣做實際上并不能保護你的網絡不受攻擊，但是這將使不可能成為一個攻擊目標。

• 關閉ip源路由：IP協議允許一臺主機指定數據包通過你的網絡的路由，而不是允許網絡組件確定最佳的路徑。這個功能的合法的應用是用于診斷連接故障。但是，這種用途很少應用。這項功能最常用的用途是為了偵察目的對你的網絡進行鏡像，或者用于攻擊者在你的專用網絡中尋找一個后門。除非指定這項功能只能用于診斷故障，否則應該關閉這個功能。

• 確定你的數據包過濾的需求：對于高度安全的網絡來說，特別是在存儲或者保持秘密數據的時候，通常要求經過允許才可以過濾。在這種規定中，除了網路功能需要的之外，所有的端口和IP地址都必要要封鎖。

• 建立準許進入和外出的地址過濾政策：設置好準入準出策略可以加強內網的安全，這樣可以在邊界上直接過濾違法策略的網絡攻擊或者違反策略的流量行為。

• 保護設備的物理安全：保護設備物理安全不止是防水防塵等，要將物理設備放置在閑雜人等無法進入的地方，運維人員進入需要刷卡或者指紋識別，放置被物理攻擊。

回答所涉及的環境：聯想天逸510S、Windows 10。