【正文】 在網(wǎng)絡(luò)入口處配置 realsecure 。該系統(tǒng)包括 RealScure console、RealScure ageng(包括 work sensor 和 os sensor) 兩部分，其中 RealSecure ageng 可以從網(wǎng)絡(luò)和系統(tǒng)兩個層次實時檢測政策違規(guī)，不影響網(wǎng)絡(luò)性能，它分析各個數(shù)據(jù)包的內(nèi)容和上下文，決定流量是否未經(jīng)授權(quán)。使用 DMZ 非軍事化區(qū)，將業(yè)務(wù)前置機(jī)放置于非軍事化區(qū)，這樣既保證外連網(wǎng)正常業(yè)務(wù)，又保證內(nèi)網(wǎng)安全。外連網(wǎng)的安全設(shè)計在連接外部網(wǎng)時，使用路由器與外網(wǎng)進(jìn)行隔離，在路由器上設(shè)置訪問控制列表（ACL） ，屏蔽未經(jīng)允許的訪問。在數(shù)據(jù)傳輸過程中采用加密技術(shù)，防止資料被非法竊取。加強(qiáng)對撥號用戶的身份認(rèn)證，使用 RADIUS 等專用身份驗證服務(wù)器（AAA服務(wù)器） 。對于從外部撥號訪問三峽建行內(nèi)部局域網(wǎng)的用戶，由于使用公用電話網(wǎng)38 / 58進(jìn)行數(shù)據(jù)傳輸所帶來的風(fēng)險，必須嚴(yán)格控制其安全性。能夠?qū)λ芯W(wǎng)絡(luò)訪問活動和攻擊行為進(jìn)行過程監(jiān)控、威脅統(tǒng)計和預(yù)測。如從分支機(jī)構(gòu)發(fā)一個信息到三峽建行時，這個信息包就可能被人截取和利用。通過兩者的配合，對一些危害網(wǎng)絡(luò)安全和信息安全的行為進(jìn)行阻擊，也可以作為對犯罪分子的犯罪證據(jù)，從法律角度對犯罪分子提出指控。安全入侵檢測和響應(yīng)在三峽建設(shè)銀行整個網(wǎng)絡(luò)系統(tǒng)中，主要應(yīng)用業(yè)務(wù)數(shù)據(jù)（企業(yè)網(wǎng)和營業(yè)網(wǎng)）均是存放在分行中心，中間通過 VLAN 劃分進(jìn)行各個業(yè)務(wù)系統(tǒng)隔離，具備一定的信息安全功能，但缺乏對各個業(yè)務(wù)系統(tǒng)數(shù)據(jù)通信的安全檢測和監(jiān)控，不能夠做到對各個系統(tǒng)安全狀況心中有數(shù)，不能夠?qū)Π踩录M(jìn)行統(tǒng)計和預(yù)測，不能夠?qū)ν鈦砣肭趾蛢?nèi)部誤用進(jìn)行自動的實時響應(yīng)，在系統(tǒng)遭受破壞之前將入侵者驅(qū)除出外。在三峽建行局域網(wǎng)在安全設(shè)計時將采取上述兩種劃分 VLAN 的策略來保證系統(tǒng)的安全性。因此，可以按照系統(tǒng)的安全性來劃分 VLAN：可以將總部中的服務(wù)器系統(tǒng)單獨劃作一個 VLAN，如數(shù)據(jù)庫服務(wù)器、電子郵件服務(wù)器等。但這要求整個網(wǎng)絡(luò)桌面使用交換端口或每個交換機(jī)所在的網(wǎng)段機(jī)器均屬于相同的 VLAN。采用基于 MAC 的 VLAN 劃分將面臨假冒 MAC 地址的攻擊。但是，虛擬網(wǎng)技術(shù)也帶來了新的問題：執(zhí)行虛擬網(wǎng)交換的設(shè)備越來越復(fù)雜，從而成為被攻擊的對象。因此，防止了大部分基于網(wǎng)絡(luò)監(jiān)聽的入侵手段。以太網(wǎng)從本質(zhì)上基于廣播機(jī)制，但應(yīng)用了交換機(jī)和 VLAN 技術(shù)后，實際上轉(zhuǎn)變?yōu)辄c到點通訊，除非設(shè)置了監(jiān)聽口，信息交換也不會存在監(jiān)聽和插入（改變）問題。交換技術(shù)將傳統(tǒng)的基于廣播的局域網(wǎng)技術(shù)發(fā)展為面向連接的技術(shù)。三峽建行局域網(wǎng)在空間分布上是城域范圍的，局域網(wǎng)的安全必須認(rèn)真考慮，局域網(wǎng)安全主要有采取 VLAN 劃分以及利用安全軟件對局域網(wǎng)進(jìn)行掃描。網(wǎng)絡(luò)安全的程度必然是動態(tài)變化的，所以網(wǎng)絡(luò)安全不可能是一個靜態(tài)的結(jié)果，需隨著網(wǎng)絡(luò)環(huán)境的變化，并綜合各種可能的影響安全的因素來制訂整個網(wǎng)絡(luò)的安全策略對于系統(tǒng)安全設(shè)計，一定要充分考慮整個三峽建行網(wǎng)絡(luò)系統(tǒng)的實際需求和網(wǎng)絡(luò)現(xiàn)狀，以我行網(wǎng)絡(luò)與外部的連接作為安全設(shè)計的重點，可通過以下措施來從網(wǎng)絡(luò)物理層一直到應(yīng)用層保證整個網(wǎng)絡(luò)系統(tǒng)的安全使用。另外，基于網(wǎng)絡(luò)和主機(jī)的實時入侵檢測提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護(hù)。第一，端對端的網(wǎng)絡(luò)安全要求持續(xù)的、綜合的安全評估，通過自動的基于網(wǎng)絡(luò)的和基于主機(jī)的掃描技術(shù)實現(xiàn)；第二，對安全弱點的響應(yīng)通過已建立的安全策略中相關(guān)的安全漏洞來衡量。此次網(wǎng)絡(luò)改造我們主要對網(wǎng)絡(luò)級安全加以設(shè)計。通過對我行網(wǎng)絡(luò)所面臨的安全狀況的分析，可將整個三峽建行網(wǎng)絡(luò)的安全性在總34 / 58體結(jié)構(gòu)上劃分為四個級別：網(wǎng)絡(luò)級安全、應(yīng)用級安全、系統(tǒng)級安全和企業(yè)級安全。值得強(qiáng)調(diào)的是， P2DR 安全模型已被正式收錄進(jìn)人民銀行的安全藍(lán)皮書： 《 國家金融信息系統(tǒng)安全 》 總體綱要 三峽建行網(wǎng)絡(luò)系統(tǒng)總體安全體系 安全策略設(shè)計 安全策略描述原則 由于數(shù)據(jù)傳輸?shù)陌踩躁P(guān)系到我行的服務(wù)質(zhì)量和信譽保證，關(guān)系到客戶的切身利益，因此在制定安全策略時，要加強(qiáng)對數(shù)據(jù)傳輸?shù)南拗?，即只有表示為允許的才可以進(jìn)行傳輸這一原則來加強(qiáng)對網(wǎng)絡(luò)安全的限制。要解決好緊急響應(yīng)問題，就要制訂好緊急響應(yīng)的方案，做好緊急響應(yīng)方案中的一切準(zhǔn)備工作。在檢測到安全漏洞和安全事件之后必須及時做出正確的響應(yīng)，從而把系統(tǒng)調(diào)整到安全狀態(tài)。檢測主要包括 “漏洞檢測 ”和 “入侵檢測 ”兩個部分 。通過防火墻監(jiān)視限制進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包，可以防范外對內(nèi)及內(nèi)對外的非法訪問，提高了網(wǎng)絡(luò)的防護(hù)能力，當(dāng)然需要根據(jù)安全策略制定合理的防火墻策略；也可以利用 SecureID 這種一次性口令的方法來增加系統(tǒng)的安全性等等。Policy(安全策略)安全策略是 P2DR 安全模型的核心，要想實施動態(tài)網(wǎng)絡(luò)安全模型，必須首先制定企業(yè)的安全策略，所有的防護(hù)、檢測、響應(yīng)都是依據(jù)安全策略實施的，企業(yè)安全策略為安全管理提供管理方向和支持手段。P 2DR 模型如圖所示：Policy 策略、Protection 防護(hù)、Detection 檢測和 Response 響應(yīng)組成的完整模型體系，可以描述和解釋任何信息安全問題。 安全模型（ P2DR 模型）P2DR 方案是一個超前的安全模型，它是在對國際上安全方面可靠的權(quán)威著作進(jìn)行多年研究的基礎(chǔ)上獨自發(fā)展出來的。32 / 58第 6 章 網(wǎng)絡(luò)系統(tǒng)安全設(shè)計由于網(wǎng)絡(luò)的開放性和網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)安全本身已經(jīng)成為一個與時間和技術(shù)相關(guān)動態(tài)的概念。cisco 網(wǎng)管軟件和其基本管理模式CiscoWorks2022網(wǎng)管系統(tǒng) works2022 包括局域網(wǎng)和廣域網(wǎng)網(wǎng)組件，還包括語音管理套件。 網(wǎng)管工作站設(shè)計由于網(wǎng)管工作站將實時處理網(wǎng)絡(luò)設(shè)備上傳的運行參數(shù)，因此必須具備大內(nèi)存、高性能 CPU 和良好圖形顯示功能。 網(wǎng)絡(luò)管理平臺和網(wǎng)管工作站 通過前面的分析，網(wǎng)絡(luò)系統(tǒng)設(shè)備采用了 cisco 的交換機(jī)、路由器和遠(yuǎn)程訪問服務(wù)器，針對系統(tǒng)的這個特點，推薦 cisco 公司的最新推出的網(wǎng)管系統(tǒng)CiscoWorks2022。一則可作為使用網(wǎng)絡(luò)計費的依據(jù)，更可作為日后網(wǎng)絡(luò)升級或更新規(guī)劃的參考。? 運行管理: 制定網(wǎng)絡(luò)運行的技術(shù)標(biāo)準(zhǔn),可靠性, 安全性方案和運行制度。? 用戶記帳管理: 建立統(tǒng)一的記帳系統(tǒng),對網(wǎng)絡(luò)資源的使用采取收費記帳的方法,對不同的資源訪問制定不同的收費標(biāo)準(zhǔn)和算法。它包含所有節(jié)點運作狀態(tài)，故障記錄的追蹤與檢查及平常可對各種通訊協(xié)議的測試。網(wǎng)管系統(tǒng)的職責(zé):? 網(wǎng)絡(luò)監(jiān)控: 監(jiān)視網(wǎng)絡(luò)的運行狀態(tài),控制網(wǎng)絡(luò)路由和流量,分析運行記錄和報警信息? 性能控制:據(jù)網(wǎng)絡(luò)應(yīng)用狀態(tài),負(fù)荷狀態(tài),網(wǎng)絡(luò)利用率,合理調(diào)整網(wǎng)絡(luò)性能。同時，配置 BMC 的數(shù)據(jù)備份與恢復(fù)軟件，從而減少因系統(tǒng)停機(jī)、重要數(shù)據(jù)信息的丟失等而造成的業(yè)務(wù)停頓，最大程度上保證系統(tǒng)的高可用性和可管理性，以保障 7x24 小時關(guān)鍵性應(yīng)用系統(tǒng)的運行，最終實現(xiàn)企業(yè)信息系統(tǒng)的管理目的。為了提高系統(tǒng)的分級安全性,設(shè)計網(wǎng)絡(luò)管理系統(tǒng)，便于管理和故障處理，監(jiān)控的實時性。30 / 58第 5 章 三峽建行網(wǎng)絡(luò)管理設(shè)計 在三峽建行廣域網(wǎng)中，設(shè)備繁多，網(wǎng)絡(luò)規(guī)模大，地理位置跨越廣，且應(yīng)用環(huán)境復(fù)雜。 QoS 控制技術(shù) 為了避免增加過多的控制策略導(dǎo)致路由器負(fù)載過重，選擇以下幾種 QOS 控制技術(shù)，簡單有效地實現(xiàn)各類應(yīng)用的 QOS 保障。同時將要實施的語音等新應(yīng)用對網(wǎng)29 / 58絡(luò)提出了新的服務(wù)質(zhì)量的要求。這些都屬于流量增長最快的應(yīng)用系統(tǒng)，流量大、隨機(jī)性強(qiáng)，流向可能是任意方向的，其中多媒體業(yè)務(wù)是面向非連接的，對時延非常敏感。這一類管理信息目前主要是普通的文件傳輸，數(shù)據(jù)流量大、突發(fā)性強(qiáng)、對實時性要求較低，但要求能夠可靠傳輸，流向目前主要是縱向。這些業(yè)務(wù)的數(shù)據(jù)包大小比較固定，對數(shù)據(jù)傳輸?shù)难訒r要求比較高。營業(yè)類業(yè)務(wù)系統(tǒng)包括綜合網(wǎng)柜面業(yè)務(wù)系統(tǒng)、清算系統(tǒng)、龍卡系統(tǒng)、網(wǎng)上銀行等。在一個統(tǒng)一的網(wǎng)絡(luò)平臺上，應(yīng)該保證對于不同的應(yīng)用數(shù)據(jù)根據(jù)其具體要求提供相應(yīng)的網(wǎng)絡(luò)服務(wù)，并能在因故障導(dǎo)致網(wǎng)絡(luò)資源稀缺時優(yōu)先保證關(guān)鍵性業(yè)務(wù)數(shù)據(jù)的傳輸。故我們在本網(wǎng)絡(luò)方案中內(nèi)部主路由協(xié)議選擇 OSPF。由于在大型的網(wǎng)絡(luò)中有多種平臺的路由器存在，而 EIGRP 僅為 Cisco 獨家支持。在大型網(wǎng)絡(luò)中，靜態(tài)路由和某些動態(tài)路由如 RIP、IGRP 由于其固有的局限性( 擴(kuò)展性差、不支持 VLSM)，不適合在網(wǎng)絡(luò)節(jié)點多、規(guī)模大的網(wǎng)絡(luò)中使用。 ● 網(wǎng)點廣域網(wǎng)鏈路備份 大的網(wǎng)點采用 CISCO 2600 路由器通過 64K DDN 鏈路與三峽建行網(wǎng)絡(luò)中心互連，用于傳輸營業(yè)數(shù)據(jù)，小的網(wǎng)點采用異步 MODEM 通過 64K DDN 鏈路與三峽建行網(wǎng)絡(luò)中心互連；同時利用 PSTN 鏈路作為備份線路。 鏈路備份城域網(wǎng)鏈路備份城域網(wǎng)的主干鏈路為光纖連接，為了保證城域網(wǎng)的鏈路的可靠性，可以采用 ISDN 備份 在城域網(wǎng)各節(jié)點申請一條 ISDN 線路，同時增加一臺 CISCO 2600 路由器，配置一個 ISDN 模塊，當(dāng)光纖主干鏈路出現(xiàn)故障時，啟動 ISDN 線路，保證城域網(wǎng)的連通。 城域網(wǎng)設(shè)備備份在三峽建行中心交換機(jī) Catalyst 6509 上備份一塊 24 口 100M 多模光纖模塊，同時提供一臺 Catalyst 1924C 交換機(jī)，作為城域網(wǎng)下一級節(jié)點的設(shè)備備份。Catalyst 6509 配置雙引擎和雙路由模塊，同時配置雙電源冗余系統(tǒng)，保證中心交換機(jī)的可靠性。三峽建行局域網(wǎng)與外網(wǎng)連接圖如下：26 / 58 可靠性設(shè)計三峽建行網(wǎng)絡(luò)可靠性包括網(wǎng)絡(luò)設(shè)備備份和鏈路備份（包括電話撥號） 。初步確定有航空辦、北山辦、五廣分理處等。 三峽建行到網(wǎng)點的網(wǎng)絡(luò)拓?fù)鋱D： 25 / 58 鏈路說明：大的網(wǎng)點采用低端路由器（還可廣泛采用原有的一些非 CiscoL路由設(shè)備）通過 64K DDN 鏈路與三峽建行網(wǎng)絡(luò)中心互連，用于傳輸營業(yè)數(shù)據(jù)，小的網(wǎng)點采用異步 MODEM 通過 64K DDN 鏈路與三峽建行網(wǎng)絡(luò)中心互連；同時利用 PSTN 鏈路作為備份線路。初步確定有 b、c、d 、e 、f、g、 h、i 各縣支行以及城區(qū)、國際業(yè)務(wù)部。在 Catalyst 2924 劃分VLAN 將管理網(wǎng)和營業(yè)網(wǎng)隔離開。 三峽建行到上述支行的網(wǎng)絡(luò)拓?fù)鋱D如下：24 / 58 鏈路說明：支行采用 64K DDN 鏈路與三峽建行網(wǎng)絡(luò)中心互連，用于傳輸營業(yè)數(shù)據(jù)和企業(yè)內(nèi)部管理數(shù)據(jù)；同時利用 PSTN 鏈路作為備份線路。 城域網(wǎng)改造后，網(wǎng)絡(luò)拓?fù)鋱D如下：23 / 58 城域網(wǎng)鏈路備份方案有兩種： 方案一是通過 ISDN 連接路由器的方式， 方案二是通過 10M 的無線以太網(wǎng)方式（方案見附件） 。 甲路機(jī)房、信用卡部和星辦局域網(wǎng)保持原有結(jié)構(gòu)不變。 PFC2 15 WSX6KS2MSFC2/2 *Cat 6500 Red. Sup2, 2GE, MSFC2 amp。VLAN 劃分 將局域網(wǎng)按服務(wù)器業(yè)務(wù)類型劃分為不同 VLAN，主要有：業(yè)務(wù)網(wǎng)、管理網(wǎng)等，也可以按照部門劃分 VLAN，VLAN 之間的通信可以通過諸如主交換機(jī)中設(shè)置的策略路由等加以控制。為了保證中心交換機(jī)的可靠性，Catalyst 6509 配置雙電源冗余系統(tǒng)。每臺 Catalyst 6509 配置兩塊帶有 PFC 子卡和 MSFC 子卡的超級引擎，互為備份，其中 PFC 子卡主要用于擴(kuò)充 Qos 能力，可以實現(xiàn)基于應(yīng)用（TCP/UDP 應(yīng)用端口號）的服務(wù)質(zhì)量控21 / 58制，而 MSFC 子卡主要是取代原來的路由模塊 MSM 實現(xiàn)線速三層交換，并且進(jìn)行了很大的擴(kuò)充，數(shù)據(jù)包吞吐率從原來的 6Mpps 擴(kuò)充到 15Mpps。組網(wǎng)模型如下圖： 20 / 58 網(wǎng)絡(luò)總體拓?fù)浣Y(jié)構(gòu) 設(shè)計 網(wǎng)絡(luò)改造后的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)示意圖如下所示： 局域網(wǎng)改造 局域網(wǎng)改造方案設(shè)備選擇在三峽建行網(wǎng)絡(luò)中心，增加一臺高性能的交換機(jī) Cisco Catalyst 6509，同時在 Cisco Catalyst 5505 增加千兆模塊和 RSM 路由模塊，通過兩條千兆鏈路連接起來，利用 Gigabit EtherFast 技術(shù)既相互備份，又負(fù)載均衡。同時，接入層網(wǎng)絡(luò)包括三峽建行與外連網(wǎng)的連接。 分布層：實現(xiàn)網(wǎng)絡(luò)統(tǒng)一策略的互聯(lián)層，訪問層向核心層的匯接點，三峽建行到各縣支行構(gòu)成的二級網(wǎng)絡(luò)即屬于網(wǎng)絡(luò)分布層。 19 / 58分 行 城 域 網(wǎng)分 行 城 域 網(wǎng)縣 支 行縣 支 行 外 接 網(wǎng)外 接 網(wǎng)BB城 區(qū) 各 支 行城 區(qū) 各 支 行 CC網(wǎng) 點網(wǎng) 點 B： 分 布 層C： 接 入 層第 4 章 網(wǎng)絡(luò)總體設(shè)計 三峽建行網(wǎng)絡(luò)系統(tǒng)改造目標(biāo)總體架構(gòu) 組網(wǎng)模式 大型網(wǎng)絡(luò)的網(wǎng)絡(luò)結(jié)構(gòu)是層次化的，正確理解我行網(wǎng)絡(luò)層次的劃分和每個層次的主要作用，有助于我們合理選擇網(wǎng)絡(luò)拓?fù)浜途W(wǎng)絡(luò)技術(shù)。 ● 保護(hù)現(xiàn)有投資保證網(wǎng)絡(luò)整體性能的前提下，充分利用現(xiàn)有的網(wǎng)絡(luò)設(shè)備或做必要的升級。 ● 靈活性支持大型的動態(tài)路由協(xié)議，支持策略路由功能，保證與其它網(wǎng)絡(luò)(如公共數(shù)據(jù)網(wǎng)、金融網(wǎng)絡(luò)、行內(nèi)其它網(wǎng)絡(luò))之間的平滑連接。 ● 可擴(kuò)展性?！?實用性網(wǎng)絡(luò)改造方案設(shè)計實施應(yīng)充分考慮實際需求和費用，追求高的性效比● 安全性制訂統(tǒng)一的網(wǎng)絡(luò)安全策略，整體考慮網(wǎng)絡(luò)平臺的安全性 ● 集中管理對網(wǎng)絡(luò)實行集中監(jiān)測、 ，并統(tǒng)一分配帶寬資源。２、在條件允許的情況下，在三峽建行城域網(wǎng)內(nèi)能夠?qū)崿F(xiàn) IP 電話和視頻服務(wù)。能夠?qū)φ麄€網(wǎng)絡(luò)系統(tǒng)從網(wǎng)絡(luò)層、系統(tǒng)層、數(shù)據(jù)庫和應(yīng)用層進(jìn)行安全脆弱性進(jìn)