【正文】 3. 同樣在電子商務(wù)平臺(tái)和XX公司綜合業(yè)務(wù)網(wǎng)間也安裝Netscreen100，確保數(shù)據(jù)源控制，并且開啟防火墻的VPN功能，采用IPSEC協(xié)議，用點(diǎn)對(duì)點(diǎn)的DES和三倍DES加密，對(duì)傳輸數(shù)據(jù)加密，并且支持人工、自動(dòng)ISAKMP密鑰管理，保證通過Internet進(jìn)行商務(wù)活動(dòng)不受破壞。 圖十、負(fù)載平衡示意可以將一個(gè)合法的外部IP地址映射給內(nèi)部多臺(tái)服務(wù)器的IP，由多臺(tái)服務(wù)器分擔(dān)網(wǎng)絡(luò)上訪問服務(wù)器的流量?？梢员ＷC電子商務(wù)平臺(tái)不受到入侵，能夠?qū)λ械男畔⒘鞣怄i，并且開放希望提供的服務(wù)。4. 啟用Netscreen100的VPN通道功能，利用標(biāo)準(zhǔn)加密技術(shù)對(duì)傳輸數(shù)據(jù)加密。2. 采用Netscreen100的虛擬IP技術(shù)，為電子商務(wù)服務(wù)器作負(fù)載平衡。在本方案中，我們?cè)诜治隽诉@些網(wǎng)上銀行的系統(tǒng)結(jié)構(gòu)以及其所面臨的網(wǎng)絡(luò)安全問題的基礎(chǔ)上，對(duì)XX公司的網(wǎng)上銀行系統(tǒng)采取如下安全措施。建設(shè)網(wǎng)上銀行已是大勢(shì)所趨，而其中非常重要的一點(diǎn)就是整個(gè)系統(tǒng)的安全保證，包括數(shù)據(jù)的安全保證、交易的安全保證、支付的安全保證。而1999年，60%在網(wǎng)上營(yíng)業(yè)。網(wǎng)上銀行是銀行在電子商務(wù)中的一個(gè)具體應(yīng)用，自1995年10月，全球第一家網(wǎng)上銀行開張，到1996年8月，已有600多家銀行上網(wǎng)，提供服務(wù)信息甚至在網(wǎng)上提供全套金融服務(wù)。 圖七、利用VPN技術(shù)對(duì)數(shù)據(jù)傳輸進(jìn)行加密4．3．4防火墻自身的保護(hù) 要保護(hù)網(wǎng)絡(luò)安全，防火墻本身要保證安全，由于系統(tǒng)供電、硬件故障等特殊情況的發(fā)生，使防火墻系統(tǒng)癱瘓，嚴(yán)重阻礙網(wǎng)絡(luò)通訊，網(wǎng)絡(luò)的安全就無法保證，所以要求防求防火墻有冗余措施及足夠防攻擊的能力。由于VPN技術(shù)已經(jīng)擁有標(biāo)準(zhǔn)，因此所有的VPN產(chǎn)品可以實(shí)現(xiàn)互通。VPN是通過標(biāo)準(zhǔn)的加密算法，對(duì)傳輸數(shù)據(jù)進(jìn)行加密，在公用網(wǎng)上建立數(shù)據(jù)傳輸?shù)募用堋八淼馈?。此種加密已被廣泛應(yīng)用于各應(yīng)用程序當(dāng)中，并有相應(yīng)的標(biāo)準(zhǔn)。主要優(yōu)點(diǎn)是使用方便、網(wǎng)絡(luò)中數(shù)據(jù)從源點(diǎn)到終點(diǎn)均得到保護(hù)、加密對(duì)網(wǎng)絡(luò)節(jié)點(diǎn)透明。所以對(duì)數(shù)據(jù)傳輸加密這是一非常重要的環(huán)節(jié)。圖六、敏感數(shù)據(jù)區(qū)保護(hù)方案4．3．3 通迅線路數(shù)據(jù)加密 在銀行的廣域網(wǎng)傳輸系統(tǒng)中，從總行到分行、分行到支行、支行到分理處等，廣泛應(yīng)用到幀中繼、DDN、PSTN等等之類的通用線路，但這些線路大多數(shù)都是由通訊公司提供，與許多用戶在一套系統(tǒng)上使用他們的業(yè)務(wù)，由于這些線路都是暴露在公共場(chǎng)所，這樣很容易造成數(shù)據(jù)被盜。防上非法用戶侵入。 對(duì)來訪數(shù)據(jù)包進(jìn)行過濾，只允許驗(yàn)證合法主機(jī)數(shù)據(jù)包通過，禁止一切非授權(quán)主機(jī)訪問。因此要在路由器之后配備防火墻，執(zhí)行訪問控制功能，分劃業(yè)務(wù)網(wǎng)與OA網(wǎng)的通訊界線。遠(yuǎn)程通訊是通過路由器的同一個(gè)廣域網(wǎng)端口，經(jīng)過廣域網(wǎng)傳輸后的業(yè)務(wù)網(wǎng)和OA網(wǎng)是無法通過VLAN技術(shù)加以隔離的。使用VLAN劃分開之后，當(dāng)網(wǎng)絡(luò)信息通過路由器后，MAC地址信息都會(huì)被路由器的MAC地址所替代，VLAN的隔離作用消失。在分行內(nèi)可以象總行一樣，通過VLAN的劃分，劃分業(yè)務(wù)VLAN和OA VLAN，隔離辦公網(wǎng)與業(yè)務(wù)網(wǎng)。 圖五、XX公司各業(yè)務(wù)系統(tǒng)隔離方案在銀行內(nèi)部，各業(yè)務(wù)系統(tǒng)使用的主機(jī)IP地址要有嚴(yán)格的區(qū)分，為建立訪問控制機(jī)制為核心的隔離措施提供方便。在業(yè)務(wù)系統(tǒng)中為了保護(hù)用戶敏感信息防止信息被非法篡改實(shí)現(xiàn)對(duì)業(yè)務(wù)數(shù)據(jù)加密、身份認(rèn)證等安全功能。4．2．2設(shè)計(jì)說明在對(duì)XX分行網(wǎng)絡(luò)結(jié)構(gòu)和業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)結(jié)初步分析后我們提出以下安全措施來安全處理。截獲和篡改傳輸數(shù)據(jù)：XX公司現(xiàn)有網(wǎng)絡(luò)系統(tǒng)通過公網(wǎng)傳輸大量的數(shù)據(jù)沒有加密，由于信息量大且采用的是開放的TCP/IP，現(xiàn)有的許多工具可以很容易的截獲、分析甚至修改信息，主機(jī)系統(tǒng)很容易成為被攻擊對(duì)象。XX公司網(wǎng)絡(luò)同樣存在大量類似安全隱患。竊取PIN/密鑰等敏感數(shù)據(jù)：XX公司信用卡系統(tǒng)和柜臺(tái)系統(tǒng)采用的是軟件加密的形式保護(hù)關(guān)鍵數(shù)據(jù)，軟件加密采用的是公開加密算法（DES）（肯定嗎？？？），因此安全的關(guān)鍵是對(duì)加密密鑰的保護(hù)，而軟件加密最大的安全隱患是無法安全保存加密密鑰，程序員可修改程序使其運(yùn)行得到密鑰從而得到主機(jī)中敏感數(shù)據(jù)。4．2 XX各業(yè)務(wù)系統(tǒng)的安全設(shè)計(jì)4．2．1 威脅及漏洞XX網(wǎng)絡(luò)作為一個(gè)金融網(wǎng)絡(luò)系統(tǒng)，由于涉及信息的敏感性自然會(huì)成為內(nèi)部和外部黑客攻擊的目標(biāo)，當(dāng)前XX面臨的主要風(fēng)險(xiǎn)和威脅有： 非法訪問：XX公司網(wǎng)絡(luò)是一個(gè)遠(yuǎn)程互連的金融網(wǎng)絡(luò)系統(tǒng)。福建興業(yè)網(wǎng)絡(luò)安全設(shè)計(jì)整體配置圖如圖四。本方案中主要用到NetScreen10和NetScreen100，在總行與分行連接點(diǎn)采用NetScreen100作為防火墻，同時(shí)在重要的業(yè)務(wù)連接點(diǎn)采用NetScreen獨(dú)特的多機(jī)備份技術(shù)用兩臺(tái)作為熱備份，保證整個(gè)系統(tǒng)的網(wǎng)絡(luò)安全。l 與IPSec兼容——同其他廠商設(shè)備可相互操作l 1000個(gè)IPSec VPN通道l 3DES吞吐量達(dá)到85Mbpsl IKE自動(dòng)密鑰管理——安全動(dòng)態(tài)密鑰交換l DES和三倍DES——最高級(jí)別加密l 強(qiáng)有力的認(rèn)證——MD5，SHA1VPN應(yīng)用示例NetScreenHeadquartersMobile UserInternetVPN TunnelVPNClear Traffic 圖三、VPN應(yīng)用示意圖四、XX網(wǎng)絡(luò)安全總體設(shè)計(jì)4．1 XX網(wǎng)絡(luò)安全設(shè)計(jì)原則l 防止來自外部的黑客攻擊l 防止來自內(nèi)部的惡意攻擊l 網(wǎng)絡(luò)資源訪問控制l 網(wǎng)絡(luò)傳輸?shù)膶?shí)時(shí)監(jiān)控l 強(qiáng)大的安全審計(jì)l 事件分析與告警在本方案中我們從XX公司各種業(yè)務(wù)、XX公司總行和分行的業(yè)務(wù)連接和OA系統(tǒng)、網(wǎng)上銀行各方面進(jìn)行網(wǎng)絡(luò)安全方面的設(shè)計(jì)。NetScreen專門設(shè)計(jì)的ASIC接管了CPU的高密度加密任務(wù)，提供線速性能以支持環(huán)境要求苛刻的ISP、ASP和中心站點(diǎn)VPN集中應(yīng)用。它的專利——獨(dú)特的系統(tǒng)結(jié)構(gòu)和專門設(shè)計(jì)的ASIC為要求苛刻的數(shù)據(jù)中心，服務(wù)提供商和企業(yè)環(huán)境提供了高性能的安全功能。 高性能防火墻NetScreen100提供了防火墻的全部安全功能，并結(jié)合了包過濾、鏈路過濾和應(yīng)用代理服務(wù)器等技術(shù)。它的專利——獨(dú)特的體系結(jié)構(gòu)消除了傳統(tǒng)系統(tǒng)中由于在通用處理器、PC或工作站上運(yùn)行軟件的防火墻、VPN、加密所導(dǎo)致的性能瓶頸、以及安全性上的先天性不足。性能參數(shù)性能高達(dá)10Mbps先進(jìn)的防火墻策略和VPN加（IPSec）100個(gè)并發(fā)VPN通道符合IPSec標(biāo)準(zhǔn)(可與其他廠商設(shè)備互連)DES (56位)和三倍DES加密級(jí)別符合IKE密鑰管理協(xié)議(ISAKMP),認(rèn)證:MD5,SHA1認(rèn)證 防火墻網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）透明模式(無需改變現(xiàn)有的網(wǎng)絡(luò)設(shè)置)狀態(tài)檢測(cè)，實(shí)時(shí)報(bào)警和日志通過ICSA認(rèn)證、Web、Radius和SecureID認(rèn)證URL地址的限定4000并發(fā)會(huì)話連接數(shù)、4000條安全策略 便捷管理基于Web瀏覽器的配置或通過CLI（命令行接口）或者通過Netscreen