【正文】 具有第二層（支持VLAN劃分，VLAN為虛擬局域網(wǎng)）或三層交換的交換機(jī)（支持VLAN劃分及網(wǎng)內(nèi)路由），劃分業(yè)務(wù)系統(tǒng)在一個(gè)VLAN范圍內(nèi)，OA系統(tǒng)在另的一個(gè)VLAN范圍內(nèi)，各VLAN之間不直接交換數(shù)據(jù)，在必要的情況下，采取一定技術(shù)實(shí)現(xiàn)部分?jǐn)?shù)據(jù)交換。在分行內(nèi)可以象總行一樣，通過VLAN的劃分，劃分業(yè)務(wù)VLAN和OA VLAN，隔離辦公網(wǎng)與業(yè)務(wù)網(wǎng)。VLAN技術(shù)是近階段較流行的局域網(wǎng)隔離技術(shù)，在一套硬件網(wǎng)絡(luò)環(huán)境內(nèi)運(yùn)行許多個(gè)（視交換機(jī)支持?jǐn)?shù)據(jù)）完全獨(dú)立、互不通信的局域網(wǎng)，看起來就象兩個(gè)完全分隔開的局域網(wǎng)系統(tǒng)。使用VLAN劃分開之后，當(dāng)網(wǎng)絡(luò)信息通過路由器后，MAC地址信息都會(huì)被路由器的MAC地址所替代，VLAN的隔離作用消失。就是說總行內(nèi)和分行內(nèi)劃分出的業(yè)務(wù)VLAN和OA VLAN，在局域網(wǎng)內(nèi)根據(jù)路由策略，及對對MAC地址的判別，可使隔離的業(yè)務(wù)VLAN和OA VLAN按需實(shí)現(xiàn)通迅。遠(yuǎn)程通訊是通過路由器的同一個(gè)廣域網(wǎng)端口，經(jīng)過廣域網(wǎng)傳輸后的業(yè)務(wù)網(wǎng)和OA網(wǎng)是無法通過VLAN技術(shù)加以隔離的。如不加以控制，總行的業(yè)務(wù)網(wǎng)和OA網(wǎng)雖然不能互相訪問，但總行的業(yè)務(wù)網(wǎng)可以和分行的OA網(wǎng)相互通訊，因此必須建立一定的訪問控制加以限制。因此要在路由器之后配備防火墻，執(zhí)行訪問控制功能，分劃業(yè)務(wù)網(wǎng)與OA網(wǎng)的通訊界線。4．3．1 敏感數(shù)據(jù)區(qū)的保護(hù) 銀行系統(tǒng)內(nèi)存在許多敏感數(shù)區(qū)域（如銀行業(yè)務(wù)系統(tǒng)主機(jī)等），這些敏感的數(shù)據(jù)區(qū)域要求嚴(yán)格保密，對訪問的權(quán)限有嚴(yán)格的限制，但所有的主機(jī)處于同一個(gè)網(wǎng)絡(luò)系統(tǒng)之內(nèi)，如不加以控制，這樣很容易造成網(wǎng)內(nèi)及網(wǎng)外的惡意攻擊，所以在這些數(shù)據(jù)區(qū)域的出入口要加以嚴(yán)格控制，在這些地方放置防火墻，防火墻執(zhí)行以下控制功能。 對來訪數(shù)據(jù)包進(jìn)行過濾，只允許驗(yàn)證合法主機(jī)數(shù)據(jù)包通過，禁止一切非授權(quán)主機(jī)訪問。 對來訪用戶進(jìn)行驗(yàn)證。防上非法用戶侵入。 運(yùn)用網(wǎng)絡(luò)地址轉(zhuǎn)換及應(yīng)用代理使數(shù)據(jù)存儲(chǔ)區(qū)域與業(yè)務(wù)前端主機(jī)隔離，業(yè)務(wù)前端主機(jī)不直接與數(shù)據(jù)存儲(chǔ)區(qū)域建立網(wǎng)絡(luò)連接，所有的數(shù)據(jù)訪問通過防火墻的應(yīng)用代理完成，以保證數(shù)據(jù)存儲(chǔ)區(qū)域的安全。圖六、敏感數(shù)據(jù)區(qū)保護(hù)方案4．3．3 通迅線路數(shù)據(jù)加密 在銀行的廣域網(wǎng)傳輸系統(tǒng)中，從總行到分行、分行到支行、支行到分理處等，廣泛應(yīng)用到幀中繼、DDN、PSTN等等之類的通用線路，但這些線路大多數(shù)都是由通訊公司提供，與許多用戶在一套系統(tǒng)上使用他們的業(yè)務(wù)，由于這些線路都是暴露在公共場所，這樣很容易造成數(shù)據(jù)被盜。傳輸數(shù)據(jù)當(dāng)中如果不進(jìn)行數(shù)據(jù)加密，后果可想而知。所以對數(shù)據(jù)傳輸加密這是一非常重要的環(huán)節(jié)。對網(wǎng)絡(luò)數(shù)據(jù)加密大致分為以下幾處區(qū)域： 應(yīng)用層加密建立應(yīng)用層加密，應(yīng)用程序?qū)ν饨缃粨Q數(shù)據(jù)時(shí)進(jìn)行數(shù)據(jù)加密。主要優(yōu)點(diǎn)是使用方便、網(wǎng)絡(luò)中數(shù)據(jù)從源點(diǎn)到終點(diǎn)均得到保護(hù)、加密對網(wǎng)絡(luò)節(jié)點(diǎn)透明。缺點(diǎn)是某些信息必須以明文形式傳輸，容易被分析。此種加密已被廣泛應(yīng)用于各應(yīng)用程序當(dāng)中，并有相應(yīng)的標(biāo)準(zhǔn)。 基于網(wǎng)絡(luò)層的數(shù)據(jù)加密在總部到各分行，以及分行到支行建議采用VPN加密技術(shù)進(jìn)行數(shù)據(jù)加密。VPN是通過標(biāo)準(zhǔn)的加密算法，對傳輸數(shù)據(jù)進(jìn)行加密，在公用網(wǎng)上建立數(shù)據(jù)傳輸?shù)募用堋八淼馈?。加密?shí)現(xiàn)是在IP層，與具體的廣域網(wǎng)協(xié)議無關(guān)，也就是說適應(yīng)不同的廣域網(wǎng)信道（DDN、幀中繼、PSTN等）。由于VPN技術(shù)已經(jīng)擁有標(biāo)準(zhǔn)，因此所有的VPN產(chǎn)品可以實(shí)現(xiàn)互通。當(dāng)然，銀行可根據(jù)自身的需要，可選用專用加密設(shè)備進(jìn)行數(shù)據(jù)傳輸加密。 圖七、利用VPN技術(shù)對數(shù)據(jù)傳輸進(jìn)行加密4．3．4防火墻自身的保護(hù) 要保護(hù)網(wǎng)絡(luò)安全，防火墻本身要保證安全，由于系統(tǒng)供電、硬件故障等特殊情況的發(fā)生，使防火墻系統(tǒng)癱瘓，嚴(yán)重阻礙網(wǎng)絡(luò)通訊，網(wǎng)絡(luò)的安全就無法保證，所以要求防求防火墻有冗余措施及足夠防攻擊的能力。圖八、防火墻雙機(jī)備份方案4．4XX公司網(wǎng)上業(yè)務(wù)網(wǎng)絡(luò)安全設(shè)計(jì)目前，在發(fā)達(dá)國家，電子商務(wù)發(fā)展十分迅速，電子商務(wù)技術(shù)已趨成熟，通過Internet進(jìn)行交易也已逐漸成為潮流，全球電子商務(wù)的應(yīng)用也已拉開帷幕。網(wǎng)上銀行是銀行在電子商務(wù)中的一個(gè)具體應(yīng)用，自1995年10月，全球第一家網(wǎng)上銀行開張，到1996年8月，已有600多家銀行上網(wǎng)，提供服務(wù)信息甚至在網(wǎng)上提供全套金融服務(wù)。1997年，研究企業(yè)對17個(gè)國家的130家大型金融機(jī)構(gòu)調(diào)查，發(fā)現(xiàn)13%已經(jīng)在網(wǎng)上與客戶直接交易。而1999年，60%在網(wǎng)上營業(yè)。在我國，Internet的應(yīng)用發(fā)展也很快，而且金融通訊網(wǎng)絡(luò)正在迅速擴(kuò)大，我國的銀行金融系統(tǒng)，以銀行金融網(wǎng)絡(luò)為基礎(chǔ)，以現(xiàn)代支付系統(tǒng)為龍頭的金融電子化工程已經(jīng)全面鋪開，進(jìn)展很快。建設(shè)網(wǎng)上銀行已是大勢所趨，而其中非常重要的一點(diǎn)就是整個(gè)系統(tǒng)的安全保證，包括數(shù)據(jù)的安全保證、交易的安全保證、支付的安全保證?，F(xiàn)今有許多實(shí)現(xiàn)手段，以保證電子商務(wù)系統(tǒng)的安全運(yùn)行，其中比較流行有如下幾種：l 電子商務(wù)系統(tǒng)防火墻l 信息加密l 身份認(rèn)證l 信息簽名目前，國內(nèi)的一些網(wǎng)上銀行試點(diǎn)陸續(xù)開通了一部分的銀行業(yè)務(wù)，比如中國電信總局與中國農(nóng)業(yè)銀行總行、中國銀行總行在湖南實(shí)行的網(wǎng)上銀行企對帳系統(tǒng)、網(wǎng)上銀行銀證轉(zhuǎn)賬系統(tǒng)等系統(tǒng)。在本方案中，我們在分析了這些網(wǎng)上銀行的系統(tǒng)結(jié)構(gòu)以及其所面臨的網(wǎng)絡(luò)安全問題的基礎(chǔ)上，對XX公司的網(wǎng)上銀行系統(tǒng)采取如下安全措施。1. 在銀行電子商務(wù)平臺(tái)與Internet的接口處安裝NetScreen100方火墻。2. 采用Netscreen100的虛擬IP技術(shù)，為電子商務(wù)服務(wù)器作負(fù)載平衡。3. 在銀行電子商務(wù)平臺(tái)與銀行綜合業(yè)務(wù)網(wǎng)之間安裝NetScreen100防火墻。4. 啟用Netscreen100的VPN通道功能，利用標(biāo)準(zhǔn)加密技術(shù)對傳輸數(shù)據(jù)加密。圖九、系統(tǒng)示意圖設(shè)計(jì)說明：1. 通過在銀行電子商務(wù)平臺(tái)和INTERNET之間安裝NetScreen100，通過其基于狀態(tài)檢測包過濾，能有效的將非法的數(shù)據(jù)包排除在防火墻以外，通過NAT（網(wǎng)絡(luò)地址翻譯），將內(nèi)部服務(wù)器（如提供電子商務(wù)服務(wù)的服務(wù)器）的IP地址轉(zhuǎn)換成外部IP地址，能有效的防止黑客通過各種手段來攻擊或入侵內(nèi)部的服務(wù)器?？梢员ＷC電子商務(wù)平臺(tái)不受到入侵，能夠?qū)λ械男畔⒘鞣怄i，并且開放希望提供的服務(wù)。2. Netscreen100可以設(shè)置虛擬IP，選擇負(fù)載平衡算法，如輪詢、帶優(yōu)先級的輪詢、最少連接數(shù)、帶優(yōu)先級的最少優(yōu)先級等多種算法實(shí)現(xiàn)電子商務(wù)服務(wù)器的負(fù)載平衡。 圖十、負(fù)載平衡示意可以將一個(gè)合法的外部IP地址映射給內(nèi)部多臺(tái)服務(wù)器的IP，由多臺(tái)服務(wù)器分擔(dān)網(wǎng)絡(luò)上訪問服務(wù)器的流量。如上圖中將一個(gè)IP地址：（各服務(wù)器IP不相同），以此來分擔(dān)整個(gè)網(wǎng)絡(luò)的流量，以保證網(wǎng)上銀行的電子商務(wù)平臺(tái)能夠安全、快速、穩(wěn)定的運(yùn)行。3. 同樣在電子商務(wù)平臺(tái)和XX公司綜合業(yè)務(wù)網(wǎng)間也安裝Netscreen100，確保數(shù)據(jù)源控制，并且開啟防火墻的VPN功能，采用IPSEC協(xié)議，用點(diǎn)對點(diǎn)的DES和三倍DES加密，對傳輸數(shù)據(jù)加密，并且支持人工、自動(dòng)ISAKMP密鑰管理，保證通過Internet進(jìn)行商務(wù)活動(dòng)不受破壞。