【正文】 圖四、銀行網(wǎng)絡(luò)安全防火墻保護(hù)總體示意圖 通常銀行，也包括 福建興業(yè)銀行網(wǎng)絡(luò)中用到的通信線路涉及到： 、FR、 DDN、 ISDN、撥號(hào)等通信接口和協(xié)議， 因此，最佳的方案是在 網(wǎng)絡(luò)層上采用先進(jìn)的 NETSCREEN 網(wǎng)絡(luò)安全技術(shù)，以有效的阻止外來(lái)的攻擊和保證業(yè)務(wù)數(shù)據(jù)在公網(wǎng)上的安全傳輸，同時(shí)在應(yīng)用層上提供對(duì)敏感數(shù)據(jù)加密消息進(jìn)行完整性鑒別及密鑰管理因此可以通過(guò)各級(jí)分行節(jié)點(diǎn)配備 NETSCREEN100 來(lái)保證 IP 包的機(jī)密性。 在總行的局域網(wǎng)當(dāng)中，通過(guò)具有第二層（支持 VLAN 劃分， VLAN 為虛擬局域網(wǎng)）或三層交換的交換機(jī)（支持 VLAN 劃分及網(wǎng)內(nèi)路由），劃分業(yè)務(wù)系統(tǒng)在一個(gè) VLAN 范圍內(nèi)， OA 系統(tǒng)在另 的一個(gè) VLAN 范圍內(nèi)，各 VLAN 之間不直接交換數(shù)據(jù)，在必要的情況下，采取一定技術(shù)實(shí)現(xiàn)部分?jǐn)?shù)據(jù)交換。就是說(shuō)總行內(nèi)和分行內(nèi)劃分出的業(yè)務(wù) VLAN 和 OA VLAN，在局域網(wǎng)內(nèi)根據(jù)路由策略，及對(duì)對(duì) MAC 地址的判別，可使隔離的業(yè)務(wù) VLAN 和 OA VLAN 按需實(shí)現(xiàn)通迅。 4． 3． 1 敏感數(shù)據(jù)區(qū)的保護(hù) 銀行系統(tǒng)內(nèi)存在許多敏感數(shù)區(qū)域（如銀 行業(yè)務(wù)系統(tǒng)主機(jī)等），這些敏感的數(shù)據(jù)區(qū)域要求嚴(yán)格保密，對(duì)訪問(wèn)的權(quán)限有嚴(yán)格的限制，但所有的主機(jī)處于同一個(gè)網(wǎng)絡(luò)系統(tǒng)之內(nèi)，如不加以控制，這樣很容易造成網(wǎng)內(nèi)及網(wǎng)外的惡意攻擊，所以在這些數(shù)據(jù)區(qū)域的出入口要加以嚴(yán)格控制，在這些地方放置防火墻，防火墻執(zhí)行以下控制功能。 運(yùn)用網(wǎng)絡(luò)地址轉(zhuǎn)換及應(yīng)用代理使數(shù)據(jù)存儲(chǔ)區(qū)域與業(yè)務(wù)前端主機(jī)隔離，業(yè)務(wù)前端主機(jī)不直接與數(shù)據(jù)存儲(chǔ)區(qū)域建立網(wǎng)絡(luò)連接，所有的 數(shù)據(jù)訪問(wèn)通過(guò)防火墻的應(yīng)用代理 完成，以保證數(shù)據(jù)存儲(chǔ)區(qū)域的安全。 對(duì)網(wǎng)絡(luò)數(shù)據(jù) 加密大致分為以下幾處區(qū)域： 應(yīng)用層加密 建立應(yīng)用層加密，應(yīng)用程序?qū)ν饨缃粨Q數(shù)據(jù)時(shí)進(jìn)行數(shù)據(jù)加密。 基于網(wǎng)絡(luò)層的數(shù)據(jù)加密 在總部到各分行，以及分行到支行建議采用 VPN 加密技術(shù)進(jìn)行數(shù)據(jù)加密。 當(dāng)然，銀行可根據(jù)自身的需要，可選用專用加密設(shè)備進(jìn)行數(shù)據(jù)傳輸加密。 1997 年，研究企業(yè)對(duì) 17 個(gè)國(guó)家的 130 家大型金融機(jī)構(gòu)調(diào)查，發(fā)現(xiàn) 13%已經(jīng)在網(wǎng)上與客戶直接交易?，F(xiàn)今有許多實(shí)現(xiàn)手段，以保證電子商務(wù)系統(tǒng)的安全運(yùn)行，其中比較流行有如下幾種： ? 電子商務(wù)系統(tǒng)防火墻 ? 信息加密 ? 身份認(rèn)證 ? 信息簽名 目前，國(guó)內(nèi)的一些網(wǎng)上銀行試點(diǎn) 陸續(xù)開(kāi)通了一部分的銀行業(yè)務(wù)，比如中國(guó)電信總局與中國(guó)農(nóng)業(yè)銀行總行、中國(guó)銀行總行在湖南實(shí)行的網(wǎng)上銀行企對(duì)帳系統(tǒng)、網(wǎng)上銀行銀證轉(zhuǎn)賬系統(tǒng)等系統(tǒng)。 3. 在銀行電子商務(wù)平臺(tái)與銀行綜合業(yè)務(wù)網(wǎng)之間安裝 NetScreen100 防火墻。 2. Netscreen100 可以設(shè)置虛擬 IP，選擇負(fù)載平衡算法，如輪詢、帶優(yōu)先級(jí)的輪詢、最少連接數(shù)、帶優(yōu)先級(jí)的最少優(yōu)先級(jí)等多種算法實(shí)現(xiàn)電子商務(wù)服務(wù)器的負(fù)載平衡。 。如上圖中將一個(gè) IP 地址： 指定給 DMZ區(qū)的多臺(tái)服務(wù)器（各服務(wù)器 IP 不相同），以此來(lái)分擔(dān)整個(gè)網(wǎng)絡(luò)的流量，以保證網(wǎng)上銀行的電子商務(wù)平臺(tái)能夠安全、快速、穩(wěn)定的運(yùn)行。 圖九、系統(tǒng)示意圖 設(shè)計(jì)說(shuō)明： 1. 通過(guò)在銀行電子商務(wù)平臺(tái)和 INTERNET 之間安裝 NetScreen100，通過(guò)其基于狀態(tài)檢測(cè)包過(guò)濾，能有效的將非法的數(shù)據(jù)包排除在防火墻以外，通過(guò) NAT（網(wǎng)絡(luò)地址翻譯），將內(nèi)部服務(wù)器（如提供電子商務(wù)服務(wù)的服務(wù)器）的 IP 地址轉(zhuǎn)換成外部 IP 地址，能有效的防止黑客通過(guò)各種手段來(lái)攻擊或入侵內(nèi)部的服務(wù)器。 1. 在銀行電子商務(wù)平臺(tái)與 Inter 的接口處安裝 NetScreen100 方火墻。 在我國(guó)， Inter 的應(yīng)用發(fā)展也很快，而且金融通訊網(wǎng)絡(luò)正在迅速擴(kuò)大，我國(guó)的銀行金融系統(tǒng)，以銀行金融網(wǎng)絡(luò)為基礎(chǔ)，以現(xiàn)代支付系統(tǒng)為龍頭的金融電子化工程已經(jīng)全面鋪開(kāi)，進(jìn)展很快。 圖八、防火墻雙機(jī)備份方案 4． 4興業(yè)銀行網(wǎng)上業(yè)務(wù)網(wǎng)絡(luò)安全設(shè)計(jì) 目前，在發(fā)達(dá)國(guó)家，電子商務(wù)發(fā)展十分迅速，電子商務(wù)技術(shù)已趨成熟，通過(guò) Inter 進(jìn)行交易也已逐漸成為潮流，全球電子商務(wù)的應(yīng)用也已拉開(kāi)帷幕。加密實(shí)現(xiàn)是在 IP 層，與具體的廣域網(wǎng)協(xié)議無(wú)關(guān)，也就是說(shuō)適應(yīng)不同的廣域 網(wǎng)信道（ DDN、 、幀中繼、 PSTN 等）。缺點(diǎn)是某些信息必須以明文形式傳輸，容易被分析。傳輸數(shù)據(jù)當(dāng)中如果不進(jìn)行數(shù)據(jù)加密，后果可想而知。 對(duì)來(lái)訪用戶進(jìn)行驗(yàn)證。如不加以控制，總行的業(yè)務(wù)網(wǎng)和OA 網(wǎng)雖然不能互相訪問(wèn)，但總行的業(yè)務(wù)網(wǎng)可以和分行的 OA 網(wǎng)相互通訊，因此必須建立一定的訪問(wèn)控制加以限制。 VLAN 技術(shù)是近階段較流行的局域網(wǎng)隔離技術(shù)，在一套硬件網(wǎng)絡(luò)環(huán)境內(nèi)運(yùn)行許多個(gè)（視交換機(jī)支持?jǐn)?shù)據(jù)）完全獨(dú)立、互不通信的局域網(wǎng)，看起來(lái)就象兩個(gè) 完全分隔開(kāi)的局域網(wǎng)系統(tǒng)。 4． 3 總行與分行業(yè)務(wù)系統(tǒng)和 OA系統(tǒng)的安全設(shè)計(jì) 4． 3． 1 各業(yè)務(wù)系統(tǒng)的分離 興業(yè)銀行有網(wǎng)絡(luò)上開(kāi)展各種應(yīng)用，包括人民幣業(yè)務(wù)系統(tǒng)、外匯業(yè)務(wù)系統(tǒng)、內(nèi)部 OA 系統(tǒng)等一系列的業(yè)務(wù)，這些 業(yè)務(wù)之間存在一定的聯(lián)系，但又要防備侵權(quán)使用資源，特別是銀行業(yè)務(wù)系統(tǒng)與辦公 OA 系統(tǒng)，所以各業(yè)務(wù)系統(tǒng)的隔離是保障業(yè)系統(tǒng)安全的一個(gè)重環(huán)節(jié)。 其他安全風(fēng)險(xiǎn) ： 主要有病毒、系統(tǒng)安全（主要有操作系統(tǒng)、數(shù)據(jù)庫(kù)的安全配置）以及系統(tǒng)的安全備份等。 假冒終端 /操作員 ： 興業(yè)銀行網(wǎng)絡(luò)中存在大量遠(yuǎn)程終端通過(guò)公網(wǎng)與銀行業(yè)務(wù)前置機(jī)相連國(guó)內(nèi)銀行以出現(xiàn)多起在傳輸線路上搭接終端的案例。 另銀行通過(guò) INTERNET 網(wǎng)上進(jìn)行業(yè)務(wù)時(shí)，由于分行與 INTERNE 都有出口，也帶來(lái)了一定的風(fēng)險(xiǎn)，我們建議在連接 INTERNET 的出口上也配置 NetScreen10防火墻。 本方案中主要用到 NetScreen10 和 NetScreen100，在總行與分行連接點(diǎn)采用 NetScreen100 作為防火墻，同時(shí)在重要的業(yè)務(wù)連接點(diǎn)采用 NetScreen 獨(dú)特的多機(jī)備份技術(shù)用兩臺(tái)作為熱備份，保證整個(gè)系統(tǒng)的網(wǎng)絡(luò)安全。 NetScreen 專門(mén)設(shè)計(jì)的ASIC 接管了 CPU 的高密度加密任務(wù)，提供線速性能以支持環(huán)境要求苛刻的 ISP、ASP 和中心站點(diǎn) VPN 集中應(yīng)用。 高性能防火墻 NetScreen100 提供了防火墻的全部安全功能，并結(jié)合了包過(guò)濾、鏈路過(guò)濾和應(yīng)用代理服務(wù)器等技術(shù)。 性能參數(shù) 性能 高達(dá) 10Mbps 先進(jìn)的防火墻策略和 VPN 加（ IPSec） 100 個(gè)并發(fā) VPN 通道 符合 IPSec 標(biāo)準(zhǔn) (可與其他廠商設(shè)備互連 ) DES (56 位 )和三倍 DES 加密級(jí)別 符合 IKE 密鑰管理協(xié)議 (ISAKMP),認(rèn)證 :MD5,SHA1 認(rèn)證 防火墻 網(wǎng)絡(luò)地址轉(zhuǎn)換（ NAT） 透明模式 (無(wú)需改變現(xiàn)有的網(wǎng)絡(luò)設(shè)置 ) 狀態(tài)檢測(cè)，實(shí)時(shí)報(bào)警和日志 通過(guò) ICSA 認(rèn)證、 Web、 Radius 和 SecureID 認(rèn)證 URL 地址的限定 4000 并發(fā)會(huì)話連接數(shù)、 4000 條安全策略 便捷管理 基于 Web 瀏覽器的配置或通過(guò) CLI（命令行接口）或者通過(guò) Netscreen Global Manager 集中管理，確保網(wǎng)絡(luò)最大帶寬，或按優(yōu)先