【正文】 行評估，提供安全修復指引。３、可監(jiān)控到來自網(wǎng)絡內部和外部的“黑客”入侵。17 / 58 網(wǎng)絡安全管理需求１、網(wǎng)絡設計中利用防火墻、VLAN 等技術，確保計算機網(wǎng)絡系統(tǒng)計算機網(wǎng)絡系統(tǒng)安全漏洞最小化，使網(wǎng)絡入侵的風險得到控制。在不影響關鍵業(yè)務運行的前提下，收集分析網(wǎng)絡流量中的應用信息，網(wǎng)絡管理員可以定義、監(jiān)控并評估網(wǎng)絡連接性、安全性和性能策略，并進行網(wǎng)絡的規(guī)劃和設計。外連網(wǎng)絡的廣域網(wǎng)連接整合到一套網(wǎng)絡設備上，并安裝防火墻與營業(yè)網(wǎng)隔離。 廣域網(wǎng)接入與總行的一級骨干網(wǎng)連接按照總行骨干網(wǎng)改造要求實現(xiàn)。16 / 58 三峽建行城域網(wǎng)１、進一步擴展城域網(wǎng)的連接范圍，將丙辦的光纖延伸到己支行機關，架設到戊支行機關的光纖，使庚、戊這兩個城區(qū)主要支行接入三峽建行城域網(wǎng)，減少通信費用。通過網(wǎng)絡改造實現(xiàn)全行核心業(yè)務的網(wǎng)段按照總行最近下發(fā)的〈〈關于調查 IP 地址使用情況及征集對 IP 地址修訂建議的意見的通知 〉 〉的要求整合，外連業(yè)務網(wǎng)絡將采用新的接入方式，引進統(tǒng)一的中間業(yè)務平臺和網(wǎng)絡連接平臺。 網(wǎng)絡改造需求 三峽建行局域網(wǎng)根據(jù)總行骨干網(wǎng)改造方案，三峽建行局域網(wǎng)需要有兩臺主交換機，而且都必須能夠支持第三層路由交換，而三峽建行目前只有一臺主交換機 Catalyst 5505 且沒有配置第三層交換模塊。三峽建行網(wǎng)絡改造作為整個建行網(wǎng)絡改造工作的一個組成部分，成功的網(wǎng)絡改造將使三峽建行能夠在較長時間里在當?shù)赝瑯I(yè)的競爭中繼續(xù)保持科技優(yōu)勢，從而推動各項業(yè)務的快速發(fā)展。●　外連網(wǎng)的網(wǎng)絡連接模式，不符合總行網(wǎng)絡安全要求，而且還造成設備的利用率不高，監(jiān)控管理困難。14 / 58 外連網(wǎng)存在的問題● 外連網(wǎng)缺乏統(tǒng)一的平臺，其廣域網(wǎng)地址不符合總行新的 Ip 地址分配規(guī)范，也需要做調整?！瘛」芾砭W(wǎng)（企業(yè)網(wǎng)）與總行連接的 Motorola 路由器，故障率比較高●　管理網(wǎng)（企業(yè)網(wǎng)）整個 IP 地址分配基本是符合此次總行建議的規(guī)范，但也有部分企業(yè)網(wǎng)需要保留的地址被分配了?！瘛∮捎诂F(xiàn)有的組網(wǎng)模式是企業(yè)網(wǎng)與城綜網(wǎng)彼此隔離，往往綜合性的網(wǎng)點需要幾條線路，造成浪費?！瘛∫恍┚W(wǎng)點還外掛諸如查詢機、個貸前置機等，網(wǎng)絡連接結構凌亂，通信質量無法得到保證?！瘛〕鞘芯C合網(wǎng)（含清算 A 卡網(wǎng)）與總行采用的是 64K X25 線路，已經(jīng)無法承載新的業(yè)務●　一些網(wǎng)點由于業(yè)務量大，通信帶寬不足，出現(xiàn)通信堵塞，有些網(wǎng)點反映通信故障率比較高●　目前網(wǎng)點采用的串口通信協(xié)議 Slip，在新主機上支持不好，給主機安全運行帶來隱患?！瘛∪龒{建行辦公大樓結構化布線不規(guī)范，線路急需整理，網(wǎng)絡設備的運行13 / 58環(huán)境也需要加以改善●　現(xiàn)有的城市綜合網(wǎng)網(wǎng)絡地址、企業(yè)網(wǎng)地址以及清算 A 卡網(wǎng)地址都不統(tǒng)一，需要按照總行網(wǎng)絡改造的要求加以規(guī)范●　現(xiàn)有城域網(wǎng)之間的光纖缺乏必要的鏈路備份，一旦光纖出現(xiàn)故障，沒有其他應急方案可供選擇。 三峽建行網(wǎng)絡存在主要問題 三峽建行城域網(wǎng)存在的問題●　根據(jù)總行網(wǎng)絡改造要求，三峽建行主交換機需要兩臺，并要求支持第三層交換，而三峽建行現(xiàn)有的主交換機 Catalyst 5505 沒有第三層交換模塊，另一臺主交換機的備份 Catalyst 5000，無論從交換能力還有模塊配置均無法滿足網(wǎng)絡改造的要求。由于其專用性，該軟件無法正確管理非 Cisco 網(wǎng)絡設備，而且無法監(jiān)控到廣域網(wǎng)的運行狀態(tài)。● 黑客攻擊隱患 缺乏對黑客攻擊進行防止、檢測和響應的一整套防黑措施和相應的安全體系，沒有明確的安全指導思想和安全模型，不能夠對安全事件進行全過程監(jiān)控和作出相應的響應行動，無法對整個安全系統(tǒng)進行準確有效的安全評估。此外對重要的應用服務器沒有進行安全監(jiān)控和漏洞掃描。有12 / 58些與外界相連的應用系統(tǒng)缺乏有效的網(wǎng)絡安全保障。一些系統(tǒng)缺乏備份鏈路和備份設備，一旦出現(xiàn)故障，勢必影響業(yè)務的正常開展。主要包括以下幾個方面： ● 可靠性安全隱患由于某些網(wǎng)絡設備的關鍵部件存在質量問題或缺陷，導致網(wǎng)絡在運行過程中存在可靠性安全隱患。網(wǎng)絡拓撲連接如下圖：11 / 58 網(wǎng)絡安全現(xiàn)狀三峽建行在網(wǎng)絡建設過程中已經(jīng)采取了一些必要的安全措施，如“利用VLAN 技術將業(yè)務網(wǎng)與企業(yè)網(wǎng)邏輯隔離、與各證券網(wǎng)點聯(lián)網(wǎng)時利用前置機來保證數(shù)據(jù)傳輸?shù)陌踩芴栐L問采用了 RADIUS 認證、在與 Inter 接入的支付網(wǎng)關中使用防火墻和 ISS 安全監(jiān)控軟件等。營業(yè)網(wǎng)拓撲連接如下圖:10 / 58 外連網(wǎng)應用現(xiàn)狀三峽建行充分利用三峽建行網(wǎng)絡優(yōu)勢，積極開拓業(yè)務領域，先后與電信、證券、人行、社保局等多家實現(xiàn)了網(wǎng)絡互連互通，通常我們是采用路由器+前置機的方式，使外連網(wǎng)與城綜網(wǎng)隔離，即每個外連系統(tǒng)都獨自采用一臺路由器和一臺前置機，路由器配置靜態(tài)路由和相應的訪問控制，前置機屏蔽所有無關的服務。管理網(wǎng)（企業(yè)網(wǎng)）拓撲連接如下圖營 業(yè) 網(wǎng) 管 理 網(wǎng)核 心業(yè) 務外 連 業(yè) 務銀 證 連 網(wǎng) 代 收 電 話費 代 收 交 警罰 款 社 保同 城 清 算 企 業(yè) 外 連等圖 六9 / 58 營業(yè)網(wǎng)應用現(xiàn)狀三峽建行目前的營業(yè)網(wǎng)應用主要是城市綜合網(wǎng)，全行共有前臺網(wǎng)點１５０余個，ATM ３２臺，金融查詢機２０臺，Pos ２００余臺，城市綜合網(wǎng)以太網(wǎng)采用１９９４年總行下發(fā)的營業(yè)網(wǎng)段 98..，而城市綜合網(wǎng)廣域網(wǎng)前臺網(wǎng)點地址沒有標準可循；清算 A 卡網(wǎng)的前置機和各縣清算組前臺（清算組前臺已經(jīng)與前臺會計柜改為直連后的會計柜機器）采用總行清算系統(tǒng)分配的２０網(wǎng)段的 IP 地址。除少數(shù)應用系統(tǒng)外，大多數(shù)應用系統(tǒng)都向下推廣到縣支行一級，轄區(qū)內管理網(wǎng)（企業(yè)網(wǎng)）用計算機大約 300 余臺，IP 地址分配采用９８年總行統(tǒng)一規(guī)劃的企業(yè)網(wǎng)地址。核心業(yè)務是三峽建行業(yè)務開展的基礎業(yè)務，包括以城市綜合網(wǎng)為基礎的營業(yè)網(wǎng)和以企業(yè)內部網(wǎng)為基礎的管理網(wǎng)兩部分；外連業(yè)務是三峽建行依托核心業(yè)務系統(tǒng)，針對轄區(qū)內的企業(yè)和客戶開發(fā)的業(yè)務網(wǎng)絡系統(tǒng)。 與 Inter 連接狀況三峽建行目前已經(jīng)開通了 Inter 連接，用于網(wǎng)上銀行業(yè)務，帶寬為2M， 、連接拓撲圖如圖: 如圖所示三峽建行支付網(wǎng)關與 Inter 連接采用了目前比較完備的網(wǎng)絡安全體系和技術，防火墻采用的是 IBM Firewall ，并安裝了 ISS 網(wǎng)絡安全管理軟件進行安全漏洞掃描、入侵檢測審計等，上述連接已經(jīng)獲得總行的驗收認可。網(wǎng)絡設備以 CISCO、MOTOROLA 為主。三峽建行企業(yè)網(wǎng)與總行連接采用的是中元公司提供的中元幀中繼，帶寬 64K。各縣支行以及城區(qū)其他支行（辦事處）基本都完成了三部一室的本地局域網(wǎng)布線工作。路由器應用見表一：設備 端口 線路 速率 說明Cisco 7206A Port 1 64K 至各縣支行清算Cisco 7206BPort18 DDN 銀企互聯(lián)、戊地電信代收費Cisco 3640A Port196 DDN 城綜網(wǎng)前臺網(wǎng)點Cisco 3640B Port164 DDN 城綜網(wǎng)前臺網(wǎng)點Cisco 2501A Port 1 人行同城清算Cisco 2501B Port 1 DDN 64K 移動通信代收Cisco 2501C Port 1 DDN 64K 社保Cisco 2501D Port 1 DDN 64K 銀企互聯(lián)Cisco 2501E Port 1 DDN 2M 支付網(wǎng)關與 Inter 接入Cisco 2501F Port 1 人行貸款資料查詢Port 19 64K 總行清算Motorola MP6520 Port 20 PSTN 19．2K 總行清算備份Motorola MP6520 Port 19 64K 部分縣支行清算Motorola MP6560 Port 19 DDN/FR 64K 總行企業(yè)網(wǎng)三峽建行 318 機房是三峽建行辦公大樓結構化布線所有信息點的集合地，318 機房的 1924 從中心機房的 Catalyst 5505 得到 VLAN 信息，通過對其端口劃6 / 58分不同的 VLAN，三峽建行大樓中各個不同的網(wǎng)絡系統(tǒng)實現(xiàn)了與中心機房的通信。在中心機房中，另有一臺 Catalyst 5000 交換機作為備用機。Catalyst 5505 還配有兩個 24 口 100M 以太網(wǎng)接口模塊、其中連接兩臺 2924 交換機，并通過 2924 上的 100M FX 與乙辦以及丁辦相連。下面，對三峽建行網(wǎng)絡結構具體說明： 網(wǎng)絡連接現(xiàn)狀 三峽建行城域網(wǎng)現(xiàn)狀三峽建行中心機房位于科技部二樓。1 / 58三峽建行網(wǎng)絡改造總體設計方案書（討論稿） 二零零一年四月2 / 58目 錄第 1 章 三峽建行網(wǎng)絡現(xiàn)狀 ......................................................................................................................4 網(wǎng)絡連接現(xiàn)狀 .................................................................................................................................4 三峽建行城域網(wǎng)現(xiàn)狀 .............................................................................................................4 三峽建行局域網(wǎng)現(xiàn)狀 .............................................................................................................5 三峽建行廣域網(wǎng)現(xiàn)狀 .............................................................................................................6 與 Inter 連接狀況 ..............................................................................................................7 網(wǎng)絡應用現(xiàn)狀 .................................................................................................................................8 管理網(wǎng)應用現(xiàn)狀 .....................................................................................................................8 營業(yè)網(wǎng)應用現(xiàn)狀 .....................................................................................................................9 外連網(wǎng)應用現(xiàn)狀 ...................................................................................................................10 網(wǎng)絡安全現(xiàn)狀 ...............................................................................................................................11 網(wǎng)絡管理的現(xiàn)狀 ...........................................................................................................................12 三峽建行網(wǎng)絡存在主要問題 .......................................................................................................12 三峽建行城域網(wǎng)存在的問題 ...............................................................................................12 營業(yè)網(wǎng)存在的問題： ...........................................................................................................13 管理網(wǎng)（企業(yè)網(wǎng)）存在的問題 ...........................................................................................13 外連網(wǎng)存在的問題 ............................................................................................