【導(dǎo)讀】當(dāng)前，全球信息革命和Inter正在騰飛?！皫挶ā?用戶超億,網(wǎng)。Inter已成為全新的傳播媒體,克林頓丑聞材料在48小時(shí)內(nèi)就有2020萬人上網(wǎng)觀看。網(wǎng)上購(gòu)物僅圣誕節(jié)就突破3億美元的銷售額,比預(yù)計(jì)的全年20億還多。在積極謀取網(wǎng)上的優(yōu)勢(shì)和主動(dòng)權(quán)。病毒感染事件去年增加了二倍,宏病毒入侵案件占60%,已超過1300種,而。網(wǎng)上攻擊事件大幅上升,對(duì)50個(gè)國(guó)家的抽樣調(diào)查顯示:去年有73%的單位受。據(jù)估計(jì),世界上已有兩千萬人具有進(jìn)行。網(wǎng)上經(jīng)濟(jì)詐騙增長(zhǎng)了五倍,估計(jì)金額達(dá)到6億美元,而同年暴力搶劫銀行的。最多的達(dá)一百萬美元。對(duì)美軍的非絕密計(jì)算機(jī)系統(tǒng)的攻擊試驗(yàn)表明,成功率達(dá)到88%。聯(lián)合國(guó)科教文組織決定今年一月召開會(huì)議,研。究遏制網(wǎng)上色情。歐盟正式發(fā)表了對(duì)網(wǎng)上有害和非法信息內(nèi)容的處理法規(guī)。網(wǎng)上違反保密和密碼管制的問題已成為各國(guó)政府關(guān)注的一個(gè)焦點(diǎn)。區(qū)的現(xiàn)場(chǎng)照片,煽動(dòng)民族糾紛等等,已引起各國(guó)政府的高度重視。同一時(shí)期內(nèi)外電對(duì)在我國(guó)發(fā)生的Inter安全事

　　

【正文】 個(gè) VLAN 范圍內(nèi)， OA 系統(tǒng)在另 的一個(gè) VLAN 范圍內(nèi)，各 VLAN 之間不直接交換數(shù)據(jù)，在必要的情況下，采取一定技術(shù)實(shí)現(xiàn)部分?jǐn)?shù)據(jù)交換。 在分行內(nèi)可以象總行一樣，通過 VLAN 的劃分，劃分業(yè)務(wù) VLAN 和 OA VLAN，隔離辦公網(wǎng)與業(yè)務(wù)網(wǎng)。 VLAN 技術(shù)是近階段較流行的局域網(wǎng)隔離技術(shù)，在一套硬件網(wǎng)絡(luò)環(huán)境內(nèi)運(yùn)行許多個(gè)（視交換機(jī)支持?jǐn)?shù)據(jù)）完全獨(dú)立、互不通信的局域網(wǎng)，看起來就象兩個(gè) 完全分隔開的局域網(wǎng)系統(tǒng)。 使用 VLAN 劃分開之后，當(dāng)網(wǎng)絡(luò)信息通過路由器后， MAC 地址信息都會(huì)被路由器的 MAC 地址所替代， VLAN 的隔離作用消失。就是說總行內(nèi)和分行內(nèi)劃分出的業(yè)務(wù) VLAN 和 OA VLAN，在局域網(wǎng)內(nèi)根據(jù)路由策略，及對(duì)對(duì) MAC 地址的判別，可使隔離的業(yè)務(wù) VLAN 和 OA VLAN 按需實(shí)現(xiàn)通迅。 遠(yuǎn)程通訊是通過路由器的同一個(gè)廣域網(wǎng)端口，經(jīng)過廣域網(wǎng)傳輸后的業(yè)務(wù)網(wǎng)和 OA 網(wǎng)是無法通過 VLAN 技術(shù)加以隔離的。如不加以控制，總行的業(yè)務(wù)網(wǎng)和OA 網(wǎng)雖然不能互相訪問，但總行的業(yè)務(wù)網(wǎng)可以和分行的 OA 網(wǎng)相互通訊，因此必須建立一定的訪問控制加以限制。因此要在路由器之后配備防火墻，執(zhí)行訪問控制功能，分劃業(yè)務(wù)網(wǎng)與 OA 網(wǎng)的通訊界線。 4． 3． 1 敏感數(shù)據(jù)區(qū)的保護(hù) 銀行系統(tǒng)內(nèi)存在許多敏感數(shù)區(qū)域（如銀 行業(yè)務(wù)系統(tǒng)主機(jī)等），這些敏感的數(shù)據(jù)區(qū)域要求嚴(yán)格保密，對(duì)訪問的權(quán)限有嚴(yán)格的限制，但所有的主機(jī)處于同一個(gè)網(wǎng)絡(luò)系統(tǒng)之內(nèi)，如不加以控制，這樣很容易造成網(wǎng)內(nèi)及網(wǎng)外的惡意攻擊，所以在這些數(shù)據(jù)區(qū)域的出入口要加以嚴(yán)格控制，在這些地方放置防火墻，防火墻執(zhí)行以下控制功能。 對(duì)來訪數(shù)據(jù)包進(jìn)行過濾，只允許驗(yàn)證合法主機(jī)數(shù)據(jù)包通過，禁止一切非授權(quán)主機(jī)訪問。 對(duì)來訪用戶進(jìn)行驗(yàn)證。防上非法用戶侵入。 運(yùn)用網(wǎng)絡(luò)地址轉(zhuǎn)換及應(yīng)用代理使數(shù)據(jù)存儲(chǔ)區(qū)域與業(yè)務(wù)前端主機(jī)隔離，業(yè)務(wù)前端主機(jī)不直接與數(shù)據(jù)存儲(chǔ)區(qū)域建立網(wǎng)絡(luò)連接，所有的 數(shù)據(jù)訪問通過防火墻的應(yīng)用代理 完成，以保證數(shù)據(jù)存儲(chǔ)區(qū)域的安全。 圖六、敏感數(shù)據(jù)區(qū)保護(hù)方案 4． 3． 3 通迅線路數(shù)據(jù)加密 在銀行的廣域網(wǎng)傳輸系統(tǒng)中，從總行到分行、分行到支行、支行到分理處等，廣泛應(yīng)用到幀中繼、 、 DDN、 PSTN 等等之類的通用線路，但這些線路大多數(shù)都是由通訊公司提供，與許多用戶在一套系統(tǒng)上使用他們的業(yè)務(wù)，由于這些線路都是暴露在公共場(chǎng)所，這樣很容易造成數(shù)據(jù)被盜。傳輸數(shù)據(jù)當(dāng)中如果不進(jìn)行數(shù)據(jù)加密，后果可想而知。所以對(duì)數(shù)據(jù)傳輸加密這是一非常重要的環(huán)節(jié)。 對(duì)網(wǎng)絡(luò)數(shù)據(jù) 加密大致分為以下幾處區(qū)域： 應(yīng)用層加密 建立應(yīng)用層加密，應(yīng)用程序?qū)ν饨缃粨Q數(shù)據(jù)時(shí)進(jìn)行數(shù)據(jù)加密。主要優(yōu)點(diǎn)是使用方便、網(wǎng)絡(luò)中數(shù)據(jù)從源點(diǎn)到終點(diǎn)均得到保護(hù)、加密對(duì)網(wǎng)絡(luò)節(jié)點(diǎn)透明。缺點(diǎn)是某些信息必須以明文形式傳輸，容易被分析。此種加密已被廣泛應(yīng)用于各應(yīng)用程序當(dāng)中，并有相應(yīng)的標(biāo)準(zhǔn)。 基于網(wǎng)絡(luò)層的數(shù)據(jù)加密 在總部到各分行，以及分行到支行建議采用 VPN 加密技術(shù)進(jìn)行數(shù)據(jù)加密。 VPN 是通過標(biāo)準(zhǔn)的加密算法，對(duì)傳輸數(shù)據(jù)進(jìn)行加密，在公用網(wǎng)上建立數(shù)據(jù)傳輸?shù)募用堋八淼馈?。加密?shí)現(xiàn)是在 IP 層，與具體的廣域網(wǎng)協(xié)議無關(guān)，也就是說適應(yīng)不同的廣域 網(wǎng)信道（ DDN、 、幀中繼、 PSTN 等）。由于 VPN 技術(shù)已經(jīng)擁有標(biāo)準(zhǔn)，因此所有的 VPN 產(chǎn)品可以實(shí)現(xiàn)互通。 當(dāng)然，銀行可根據(jù)自身的需要，可選用專用加密設(shè)備進(jìn)行數(shù)據(jù)傳輸加密。 圖七、利用 VPN 技術(shù)對(duì)數(shù)據(jù)傳輸進(jìn)行加密 4． 3． 4防火墻自身的保護(hù) 要保護(hù)網(wǎng)絡(luò)安全，防火墻本身要保證安全，由于系統(tǒng)供電、硬件故障等特殊情況的發(fā)生，使防火墻系統(tǒng)癱瘓，嚴(yán)重阻礙網(wǎng)絡(luò)通訊，網(wǎng)絡(luò)的安全就無法保證，所以要求防求防火墻有冗余措施及足夠防攻擊的 能力。 圖八、防火墻雙機(jī)備份方案 4． 4興業(yè)銀行網(wǎng)上業(yè)務(wù)網(wǎng)絡(luò)安全設(shè)計(jì) 目前，在發(fā)達(dá)國(guó)家，電子商務(wù)發(fā)展十分迅速，電子商務(wù)技術(shù)已趨成熟，通過 Inter 進(jìn)行交易也已逐漸成為潮流，全球電子商務(wù)的應(yīng)用也已拉開帷幕。網(wǎng)上銀行是銀行在電子商務(wù)中的一個(gè)具體應(yīng)用，自 1995 年 10 月，全球第一家網(wǎng)上銀行開張，到 1996 年 8 月，已有 600 多家銀行上網(wǎng)，提供服務(wù)信息甚至在網(wǎng)上提供全套金融服務(wù)。 1997 年，研究企業(yè)對(duì) 17 個(gè)國(guó)家的 130 家大型金融機(jī)構(gòu)調(diào)查，發(fā)現(xiàn) 13%已經(jīng)在網(wǎng)上與客戶直接交易。而 1999 年， 60%在網(wǎng)上營(yíng)業(yè)。 在我國(guó)， Inter 的應(yīng)用發(fā)展也很快，而且金融通訊網(wǎng)絡(luò)正在迅速擴(kuò)大，我國(guó)的銀行金融系統(tǒng)，以銀行金融網(wǎng)絡(luò)為基礎(chǔ)，以現(xiàn)代支付系統(tǒng)為龍頭的金融電子化工程已經(jīng)全面鋪開，進(jìn)展很快。建設(shè)網(wǎng)上銀行已是大勢(shì)所趨，而其中非常重要的一點(diǎn)就是整個(gè)系統(tǒng)的安全保證，包括數(shù)據(jù)的安全保證、交易的安全保證、支付的安全保證。現(xiàn)今有許多實(shí)現(xiàn)手段，以保證電子商務(wù)系統(tǒng)的安全運(yùn)行，其中比較流行有如下幾種： ? 電子商務(wù)系統(tǒng)防火墻 ? 信息加密 ? 身份認(rèn)證 ? 信息簽名 目前，國(guó)內(nèi)的一些網(wǎng)上銀行試點(diǎn) 陸續(xù)開通了一部分的銀行業(yè)務(wù)，比如中國(guó)電信總局與中國(guó)農(nóng)業(yè)銀行總行、中國(guó)銀行總行在湖南實(shí)行的網(wǎng)上銀行企對(duì)帳系統(tǒng)、網(wǎng)上銀行銀證轉(zhuǎn)賬系統(tǒng)等系統(tǒng)。在本方案中，我們?cè)诜治隽诉@些網(wǎng)上銀行的系統(tǒng) 結(jié)構(gòu)以及其所面臨的網(wǎng)絡(luò)安全問題的基礎(chǔ)上，對(duì)興業(yè)銀行的網(wǎng)上銀行系統(tǒng)采取如下安全措施。 1. 在銀行電子商務(wù)平臺(tái)與 Inter 的接口處安裝 NetScreen100 方火墻。 2. 采用 Netscreen100 的虛擬 IP 技術(shù)，為電子商務(wù)服務(wù)器作負(fù)載平衡。 3. 在銀行電子商務(wù)平臺(tái)與銀行綜合業(yè)務(wù)網(wǎng)之間安裝 NetScreen100 防火墻。 4. 啟用 Netscreen100 的 VPN 通道功能，利用標(biāo)準(zhǔn)加密技術(shù)對(duì)傳輸數(shù)據(jù)加密。 圖九、系統(tǒng)示意圖 設(shè)計(jì)說明： 1. 通過在銀行電子商務(wù)平臺(tái)和 INTERNET 之間安裝 NetScreen100，通過其基于狀態(tài)檢測(cè)包過濾，能有效的將非法的數(shù)據(jù)包排除在防火墻以外，通過 NAT（網(wǎng)絡(luò)地址翻譯），將內(nèi)部服務(wù)器（如提供電子商務(wù)服務(wù)的服務(wù)器）的 IP 地址轉(zhuǎn)換成外部 IP 地址，能有效的防止黑客通過各種手段來攻擊或入侵內(nèi)部的服務(wù)器?？梢员ＷC電子商務(wù)平臺(tái)不受到入侵，能夠?qū)λ械男畔⒘鞣怄i，并且開放希望提供的服務(wù)。 2. Netscreen100 可以設(shè)置虛擬 IP，選擇負(fù)載平衡算法，如輪詢、帶優(yōu)先級(jí)的輪詢、最少連接數(shù)、帶優(yōu)先級(jí)的最少優(yōu)先級(jí)等多種算法實(shí)現(xiàn)電子商務(wù)服務(wù)器的負(fù)載平衡。 圖十、負(fù)載平衡示意 可以將一個(gè)合法的外部 IP 地址映射給內(nèi)部多臺(tái)服務(wù)器的 IP，由多臺(tái)服務(wù)器分擔(dān)網(wǎng)絡(luò)上訪問服務(wù)器的流量。如上圖中將一個(gè) IP 地址： 指定給 DMZ區(qū)的多臺(tái)服務(wù)器（各服務(wù)器 IP 不相同），以此來分擔(dān)整個(gè)網(wǎng)絡(luò)的流量，以保證網(wǎng)上銀行的電子商務(wù)平臺(tái)能夠安全、快速、穩(wěn)定的運(yùn)行。 3. 同樣在電子商務(wù)平臺(tái)和興業(yè)銀行綜合業(yè)務(wù)網(wǎng)間也安裝 Netscreen100，確保數(shù)據(jù)源控制，并且開啟防火墻的 VPN 功能，采用 IPSEC 協(xié)議，用點(diǎn)對(duì)點(diǎn)的 DES和三倍 DES 加密，對(duì)傳輸數(shù)據(jù)加密，并且支持人工、自動(dòng) ISAKMP 密鑰管理，保證通過 Inter 進(jìn)行商務(wù)活動(dòng)不受破壞。