【正文】 安全脆弱性進(jìn)行評(píng)估，提供安全修復(fù)指引。３、可監(jiān)控到來(lái)自網(wǎng)絡(luò)內(nèi)部和外部的“黑客”入侵。17 / 58 網(wǎng)絡(luò)安全管理需求１、網(wǎng)絡(luò)設(shè)計(jì)中利用防火墻、VLAN 等技術(shù)，確保計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全漏洞最小化，使網(wǎng)絡(luò)入侵的風(fēng)險(xiǎn)得到控制。在不影響關(guān)鍵業(yè)務(wù)運(yùn)行的前提下，收集分析網(wǎng)絡(luò)流量中的應(yīng)用信息，網(wǎng)絡(luò)管理員可以定義、監(jiān)控并評(píng)估網(wǎng)絡(luò)連接性、安全性和性能策略，并進(jìn)行網(wǎng)絡(luò)的規(guī)劃和設(shè)計(jì)。外連網(wǎng)絡(luò)的廣域網(wǎng)連接整合到一套網(wǎng)絡(luò)設(shè)備上，并安裝防火墻與營(yíng)業(yè)網(wǎng)隔離。 廣域網(wǎng)接入與總行的一級(jí)骨干網(wǎng)連接按照總行骨干網(wǎng)改造要求實(shí)現(xiàn)。16 / 58 三峽建行城域網(wǎng)１、進(jìn)一步擴(kuò)展城域網(wǎng)的連接范圍，將丙辦的光纖延伸到己支行機(jī)關(guān)，架設(shè)到戊支行機(jī)關(guān)的光纖，使庚、戊這兩個(gè)城區(qū)主要支行接入三峽建行城域網(wǎng)，減少通信費(fèi)用。通過(guò)網(wǎng)絡(luò)改造實(shí)現(xiàn)全行核心業(yè)務(wù)的網(wǎng)段按照總行最近下發(fā)的〈〈關(guān)于調(diào)查 IP 地址使用情況及征集對(duì) IP 地址修訂建議的意見(jiàn)的通知 〉 〉的要求整合，外連業(yè)務(wù)網(wǎng)絡(luò)將采用新的接入方式，引進(jìn)統(tǒng)一的中間業(yè)務(wù)平臺(tái)和網(wǎng)絡(luò)連接平臺(tái)。 網(wǎng)絡(luò)改造需求 三峽建行局域網(wǎng)根據(jù)總行骨干網(wǎng)改造方案，三峽建行局域網(wǎng)需要有兩臺(tái)主交換機(jī)，而且都必須能夠支持第三層路由交換，而三峽建行目前只有一臺(tái)主交換機(jī) Catalyst 5505 且沒(méi)有配置第三層交換模塊。三峽建行網(wǎng)絡(luò)改造作為整個(gè)建行網(wǎng)絡(luò)改造工作的一個(gè)組成部分，成功的網(wǎng)絡(luò)改造將使三峽建行能夠在較長(zhǎng)時(shí)間里在當(dāng)?shù)赝瑯I(yè)的競(jìng)爭(zhēng)中繼續(xù)保持科技優(yōu)勢(shì)，從而推動(dòng)各項(xiàng)業(yè)務(wù)的快速發(fā)展?！瘛⊥膺B網(wǎng)的網(wǎng)絡(luò)連接模式，不符合總行網(wǎng)絡(luò)安全要求，而且還造成設(shè)備的利用率不高，監(jiān)控管理困難。14 / 58 外連網(wǎng)存在的問(wèn)題● 外連網(wǎng)缺乏統(tǒng)一的平臺(tái)，其廣域網(wǎng)地址不符合總行新的 Ip 地址分配規(guī)范，也需要做調(diào)整。●　管理網(wǎng)（企業(yè)網(wǎng)）與總行連接的 Motorola 路由器，故障率比較高●　管理網(wǎng)（企業(yè)網(wǎng)）整個(gè) IP 地址分配基本是符合此次總行建議的規(guī)范，但也有部分企業(yè)網(wǎng)需要保留的地址被分配了?！瘛∮捎诂F(xiàn)有的組網(wǎng)模式是企業(yè)網(wǎng)與城綜網(wǎng)彼此隔離，往往綜合性的網(wǎng)點(diǎn)需要幾條線路，造成浪費(fèi)?！瘛∫恍┚W(wǎng)點(diǎn)還外掛諸如查詢機(jī)、個(gè)貸前置機(jī)等，網(wǎng)絡(luò)連接結(jié)構(gòu)凌亂，通信質(zhì)量無(wú)法得到保證?！瘛〕鞘芯C合網(wǎng)（含清算 A 卡網(wǎng)）與總行采用的是 64K X25 線路，已經(jīng)無(wú)法承載新的業(yè)務(wù)●　一些網(wǎng)點(diǎn)由于業(yè)務(wù)量大，通信帶寬不足，出現(xiàn)通信堵塞，有些網(wǎng)點(diǎn)反映通信故障率比較高●　目前網(wǎng)點(diǎn)采用的串口通信協(xié)議 Slip，在新主機(jī)上支持不好，給主機(jī)安全運(yùn)行帶來(lái)隱患?！瘛∪龒{建行辦公大樓結(jié)構(gòu)化布線不規(guī)范，線路急需整理，網(wǎng)絡(luò)設(shè)備的運(yùn)行13 / 58環(huán)境也需要加以改善●　現(xiàn)有的城市綜合網(wǎng)網(wǎng)絡(luò)地址、企業(yè)網(wǎng)地址以及清算 A 卡網(wǎng)地址都不統(tǒng)一，需要按照總行網(wǎng)絡(luò)改造的要求加以規(guī)范●　現(xiàn)有城域網(wǎng)之間的光纖缺乏必要的鏈路備份，一旦光纖出現(xiàn)故障，沒(méi)有其他應(yīng)急方案可供選擇。 三峽建行網(wǎng)絡(luò)存在主要問(wèn)題 三峽建行城域網(wǎng)存在的問(wèn)題●　根據(jù)總行網(wǎng)絡(luò)改造要求，三峽建行主交換機(jī)需要兩臺(tái)，并要求支持第三層交換，而三峽建行現(xiàn)有的主交換機(jī) Catalyst 5505 沒(méi)有第三層交換模塊，另一臺(tái)主交換機(jī)的備份 Catalyst 5000，無(wú)論從交換能力還有模塊配置均無(wú)法滿足網(wǎng)絡(luò)改造的要求。由于其專用性，該軟件無(wú)法正確管理非 Cisco 網(wǎng)絡(luò)設(shè)備，而且無(wú)法監(jiān)控到廣域網(wǎng)的運(yùn)行狀態(tài)?！?黑客攻擊隱患 缺乏對(duì)黑客攻擊進(jìn)行防止、檢測(cè)和響應(yīng)的一整套防黑措施和相應(yīng)的安全體系，沒(méi)有明確的安全指導(dǎo)思想和安全模型，不能夠?qū)Π踩录M(jìn)行全過(guò)程監(jiān)控和作出相應(yīng)的響應(yīng)行動(dòng)，無(wú)法對(duì)整個(gè)安全系統(tǒng)進(jìn)行準(zhǔn)確有效的安全評(píng)估。此外對(duì)重要的應(yīng)用服務(wù)器沒(méi)有進(jìn)行安全監(jiān)控和漏洞掃描。有12 / 58些與外界相連的應(yīng)用系統(tǒng)缺乏有效的網(wǎng)絡(luò)安全保障。一些系統(tǒng)缺乏備份鏈路和備份設(shè)備，一旦出現(xiàn)故障，勢(shì)必影響業(yè)務(wù)的正常開(kāi)展。主要包括以下幾個(gè)方面： ● 可靠性安全隱患由于某些網(wǎng)絡(luò)設(shè)備的關(guān)鍵部件存在質(zhì)量問(wèn)題或缺陷，導(dǎo)致網(wǎng)絡(luò)在運(yùn)行過(guò)程中存在可靠性安全隱患。網(wǎng)絡(luò)拓?fù)溥B接如下圖：11 / 58 網(wǎng)絡(luò)安全現(xiàn)狀三峽建行在網(wǎng)絡(luò)建設(shè)過(guò)程中已經(jīng)采取了一些必要的安全措施，如“利用VLAN 技術(shù)將業(yè)務(wù)網(wǎng)與企業(yè)網(wǎng)邏輯隔離、與各證券網(wǎng)點(diǎn)聯(lián)網(wǎng)時(shí)利用前置機(jī)來(lái)保證數(shù)據(jù)傳輸?shù)陌踩?、撥?hào)訪問(wèn)采用了 RADIUS 認(rèn)證、在與 Inter 接入的支付網(wǎng)關(guān)中使用防火墻和 ISS 安全監(jiān)控軟件等。營(yíng)業(yè)網(wǎng)拓?fù)溥B接如下圖:10 / 58 外連網(wǎng)應(yīng)用現(xiàn)狀三峽建行充分利用三峽建行網(wǎng)絡(luò)優(yōu)勢(shì)，積極開(kāi)拓業(yè)務(wù)領(lǐng)域，先后與電信、證券、人行、社保局等多家實(shí)現(xiàn)了網(wǎng)絡(luò)互連互通，通常我們是采用路由器+前置機(jī)的方式，使外連網(wǎng)與城綜網(wǎng)隔離，即每個(gè)外連系統(tǒng)都獨(dú)自采用一臺(tái)路由器和一臺(tái)前置機(jī)，路由器配置靜態(tài)路由和相應(yīng)的訪問(wèn)控制，前置機(jī)屏蔽所有無(wú)關(guān)的服務(wù)。管理網(wǎng)（企業(yè)網(wǎng)）拓?fù)溥B接如下圖營(yíng) 業(yè) 網(wǎng) 管 理 網(wǎng)核 心業(yè) 務(wù)外 連 業(yè) 務(wù)銀 證 連 網(wǎng) 代 收 電 話費(fèi) 代 收 交 警罰 款 社 保同 城 清 算 企 業(yè) 外 連等圖 六9 / 58 營(yíng)業(yè)網(wǎng)應(yīng)用現(xiàn)狀三峽建行目前的營(yíng)業(yè)網(wǎng)應(yīng)用主要是城市綜合網(wǎng)，全行共有前臺(tái)網(wǎng)點(diǎn)１５０余個(gè)，ATM ３２臺(tái)，金融查詢機(jī)２０臺(tái)，Pos ２００余臺(tái)，城市綜合網(wǎng)以太網(wǎng)采用１９９４年總行下發(fā)的營(yíng)業(yè)網(wǎng)段 98..，而城市綜合網(wǎng)廣域網(wǎng)前臺(tái)網(wǎng)點(diǎn)地址沒(méi)有標(biāo)準(zhǔn)可循；清算 A 卡網(wǎng)的前置機(jī)和各縣清算組前臺(tái)（清算組前臺(tái)已經(jīng)與前臺(tái)會(huì)計(jì)柜改為直連后的會(huì)計(jì)柜機(jī)器）采用總行清算系統(tǒng)分配的２０網(wǎng)段的 IP 地址。除少數(shù)應(yīng)用系統(tǒng)外，大多數(shù)應(yīng)用系統(tǒng)都向下推廣到縣支行一級(jí)，轄區(qū)內(nèi)管理網(wǎng)（企業(yè)網(wǎng)）用計(jì)算機(jī)大約 300 余臺(tái)，IP 地址分配采用９８年總行統(tǒng)一規(guī)劃的企業(yè)網(wǎng)地址。核心業(yè)務(wù)是三峽建行業(yè)務(wù)開(kāi)展的基礎(chǔ)業(yè)務(wù)，包括以城市綜合網(wǎng)為基礎(chǔ)的營(yíng)業(yè)網(wǎng)和以企業(yè)內(nèi)部網(wǎng)為基礎(chǔ)的管理網(wǎng)兩部分；外連業(yè)務(wù)是三峽建行依托核心業(yè)務(wù)系統(tǒng)，針對(duì)轄區(qū)內(nèi)的企業(yè)和客戶開(kāi)發(fā)的業(yè)務(wù)網(wǎng)絡(luò)系統(tǒng)。 與 Inter 連接狀況三峽建行目前已經(jīng)開(kāi)通了 Inter 連接，用于網(wǎng)上銀行業(yè)務(wù)，帶寬為2M， 、連接拓?fù)鋱D如圖: 如圖所示三峽建行支付網(wǎng)關(guān)與 Inter 連接采用了目前比較完備的網(wǎng)絡(luò)安全體系和技術(shù)，防火墻采用的是 IBM Firewall ，并安裝了 ISS 網(wǎng)絡(luò)安全管理軟件進(jìn)行安全漏洞掃描、入侵檢測(cè)審計(jì)等，上述連接已經(jīng)獲得總行的驗(yàn)收認(rèn)可。網(wǎng)絡(luò)設(shè)備以 CISCO、MOTOROLA 為主。三峽建行企業(yè)網(wǎng)與總行連接采用的是中元公司提供的中元幀中繼，帶寬 64K。各縣支行以及城區(qū)其他支行（辦事處）基本都完成了三部一室的本地局域網(wǎng)布線工作。路由器應(yīng)用見(jiàn)表一：設(shè)備 端口 線路 速率 說(shuō)明Cisco 7206A Port 1 64K 至各縣支行清算Cisco 7206BPort18 DDN 銀企互聯(lián)、戊地電信代收費(fèi)Cisco 3640A Port196 DDN 城綜網(wǎng)前臺(tái)網(wǎng)點(diǎn)Cisco 3640B Port164 DDN 城綜網(wǎng)前臺(tái)網(wǎng)點(diǎn)Cisco 2501A Port 1 人行同城清算Cisco 2501B Port 1 DDN 64K 移動(dòng)通信代收Cisco 2501C Port 1 DDN 64K 社保Cisco 2501D Port 1 DDN 64K 銀企互聯(lián)Cisco 2501E Port 1 DDN 2M 支付網(wǎng)關(guān)與 Inter 接入Cisco 2501F Port 1 人行貸款資料查詢Port 19 64K 總行清算Motorola MP6520 Port 20 PSTN 19．2K 總行清算備份Motorola MP6520 Port 19 64K 部分縣支行清算Motorola MP6560 Port 19 DDN/FR 64K 總行企業(yè)網(wǎng)三峽建行 318 機(jī)房是三峽建行辦公大樓結(jié)構(gòu)化布線所有信息點(diǎn)的集合地，318 機(jī)房的 1924 從中心機(jī)房的 Catalyst 5505 得到 VLAN 信息，通過(guò)對(duì)其端口劃6 / 58分不同的 VLAN，三峽建行大樓中各個(gè)不同的網(wǎng)絡(luò)系統(tǒng)實(shí)現(xiàn)了與中心機(jī)房的通信。在中心機(jī)房中，另有一臺(tái) Catalyst 5000 交換機(jī)作為備用機(jī)。Catalyst 5505 還配有兩個(gè) 24 口 100M 以太網(wǎng)接口模塊、其中連接兩臺(tái) 2924 交換機(jī)，并通過(guò) 2924 上的 100M FX 與乙辦以及丁辦相連。下面，對(duì)三峽建行網(wǎng)絡(luò)結(jié)構(gòu)具體說(shuō)明： 網(wǎng)絡(luò)連接現(xiàn)狀 三峽建行城域網(wǎng)現(xiàn)狀三峽建行中心機(jī)房位于科技部二樓。三峽建行網(wǎng)絡(luò)改造總體設(shè)計(jì)方案書(shū)（討論稿） 二零零一年四月2 / 58目 錄第 1 章 三峽建行網(wǎng)絡(luò)現(xiàn)狀 ......................................................................................................................4 網(wǎng)絡(luò)連接現(xiàn)狀 .................................................................................................................................4 三峽建行城域網(wǎng)現(xiàn)狀 .............................................................................................................4 三峽建行局域網(wǎng)現(xiàn)狀 .............................................................................................................5 三峽建行廣域網(wǎng)現(xiàn)狀 .............................................................................................................6 與 Inter 連接狀況 ..............................................................................................................7 網(wǎng)絡(luò)應(yīng)用現(xiàn)狀 .................................................................................................................................8 管理網(wǎng)應(yīng)用現(xiàn)狀 .....................................................................................................................8 營(yíng)業(yè)網(wǎng)應(yīng)用現(xiàn)狀 .....................................................................................................................9 外連網(wǎng)應(yīng)用現(xiàn)狀 ...................................................................................................................10 網(wǎng)絡(luò)安全現(xiàn)狀 ...............................................................................................................................11 網(wǎng)絡(luò)管理的現(xiàn)狀 ...........................................................................................................................12 三峽建行網(wǎng)絡(luò)存在主要問(wèn)題 .......................................................................................................12 三峽建行城域網(wǎng)存在的問(wèn)題 ...............................................................................................12 營(yíng)業(yè)網(wǎng)存在的問(wèn)題： ...........................................................................................................13 管理網(wǎng)（企業(yè)網(wǎng)）存在的問(wèn)題 ...........................................................................................13 外連網(wǎng)存在的問(wèn)題 ............................................................................................