标签：香港 银行 服务器 安全 架构 合规 HKMA 数据保护 HSM 网络分段 日志 SIEM 备份 渗透测试

1. 总体架构与分区设计说明：将银行服务按信任边界分区，避免“一网打尽”。 a) 建议划分：外部接入层（DMZ）、应用层、数据库层、管理层与备份/DR层。 b) 操作步骤：在交换机/路由器上用VLAN实现逻辑隔离；在边界部署旁路/串联防火墙或下一代防火墙（NGFW），为DMZ与内部网做最小策略访问列表（ACL）。 c) 验证：使用