【正文】 em, 128MB DRAM Option 18 WSX6408GBIC Catalyst 6000 8port Gigabit Ether Module (Req. GBICs) 19 WSG5484 1000BASESX Short Wavelength GBIC (Multimode only) 810 WSX6248RJ45 Catalyst 6000 48port 10/100 RJ45 Moudel 111 Cisco IOS Catalyst 6000 Family MSFC Enterprise 112 FRIRC6 Catalyst 6000 Family InterDomain Routing Feature License 1Catalyst 5505（增加模塊）13 WSX5403 C5000 Gigabit Ether Switching Module w/o GBICs (3 port) 114 WSG5484 1000BASESX Short Wavelength GBIC (Multimode only) 315 WSX5302 Catalyst 5000 Route Switch Module 1 城域網(wǎng)改造 城域網(wǎng)主要提供城區(qū)各個主要局域網(wǎng)的接入，包括江閣大樓、云路機(jī)房、信用卡部和星辦局域網(wǎng)的接入，還包括增加戊和己兩支行局域網(wǎng)的接入 將三峽建行網(wǎng)絡(luò)中心原有的 Catalyst 5000 交換機(jī)下移到江閣大樓，作為江閣大樓局域網(wǎng)中心交換機(jī)，在 Catalyst 5000 新增兩個千兆模塊端口，通過1000BASESX 模塊分別和 Catalyst 650Catalyst 5505 相連，兩條鏈路互為備份。 戊和己支行需鋪架光纖，接入三峽建行城域網(wǎng)，己支行需增加一臺 Catalyst 2924 交換機(jī)。這兩種備份方式都只備份營業(yè)網(wǎng) 廣域網(wǎng)改造 廣域網(wǎng)分布層改造 分布層網(wǎng)絡(luò)主要是指三峽建行到縣級支行和城區(qū)較遠(yuǎn)支行的網(wǎng)絡(luò)連接。 設(shè)備選型：縣級支行局域網(wǎng)進(jìn)行改造，配置一臺 Catalyst 2924 交換機(jī)，通過選用的 CISCO 2600 系列路由器分別與三峽建行相連。 節(jié)點(diǎn)確定原則：該節(jié)點(diǎn)就近有既營業(yè)網(wǎng)又有管理網(wǎng)的廣域網(wǎng)的接入。 廣域網(wǎng)接入層改造 接入層網(wǎng)絡(luò)主要是指三峽建行到網(wǎng)點(diǎn)的網(wǎng)絡(luò)連接。 節(jié)點(diǎn)確定原則：該節(jié)點(diǎn)就近有多條營業(yè)網(wǎng)的廣域網(wǎng)的接入。 外網(wǎng)的連接為了實現(xiàn)三峽建行和外網(wǎng)（主要是開展的中間業(yè)務(wù)）的連接，通過將運(yùn)行中間業(yè)務(wù)的前置機(jī)和路由器之間放置一臺 PIX 防火墻進(jìn)行物理隔離，配置一臺CISCO 3661，配置多口同步模塊，通過 DDN 與證券營業(yè)部相連，同時提供網(wǎng)上查詢等業(yè)務(wù)。 設(shè)備備份三峽建行局域網(wǎng)中心設(shè)備備份三峽建行中心局域網(wǎng)中心增加一臺高性能的交換機(jī) Cisco Catalyst 6509，同時在 Cisco Catalyst 5505 增加千兆模塊和 RSM 路由模塊，通過兩條千兆鏈路連接起來，利用 Gigabit EtherFast 技術(shù)既相互備份，又負(fù)載均衡。提供一臺 CISCO 3662交換機(jī)，配置同異步模塊，作為中心路由器的設(shè)備備份。27 / 58支行局域網(wǎng)設(shè)備備份提供一臺 Catalyst 2924 交換機(jī)，作為遠(yuǎn)程支行局域網(wǎng)交換機(jī)的設(shè)備備份。廣域網(wǎng)線路備份 ● 支行廣域網(wǎng)鏈路備份支行選用 CISCO 2600 路由器通過 64K DDN 鏈路與三峽建行網(wǎng)絡(luò)中心互連，用于傳輸營業(yè)數(shù)據(jù)和企業(yè)內(nèi)部管理數(shù)據(jù)，同時利用 PSTN 鏈路作為備份線路。 網(wǎng)絡(luò) IP 路由設(shè)計路由協(xié)議對網(wǎng)絡(luò)的穩(wěn)定高效運(yùn)行、網(wǎng)絡(luò)在拓樸變化時的快速收斂、網(wǎng)絡(luò)帶寬的充分有效利用、網(wǎng)絡(luò)在故障時的快速恢復(fù)、網(wǎng)絡(luò)的靈活擴(kuò)展都有很重要的影響。目前在大型網(wǎng)絡(luò)中最常見的路由協(xié)議是 OSPF 和 EIGRP。由于我們?yōu)榱顺浞掷迷芯W(wǎng)絡(luò)設(shè)備（其中很大一部分是非 Cisco 的）28 / 58無法選擇 EIGRP，且在最新內(nèi)部路由的設(shè)計中，OSPF 的性能在流量整形方面遠(yuǎn)超于 Eigrp。 面向應(yīng)用的網(wǎng)絡(luò)服務(wù) 業(yè)務(wù)分類和數(shù)據(jù)特點(diǎn)的分析： 不同的應(yīng)用系統(tǒng)對網(wǎng)絡(luò)服務(wù)的要求不同。經(jīng)對我行現(xiàn)有應(yīng)用系統(tǒng)的網(wǎng)絡(luò)需求分析，按其重要程度分為以下兩類：營業(yè)類、管理類。 這些業(yè)務(wù)是我行最重要的業(yè)務(wù)，應(yīng)優(yōu)先得到保障。 管理類業(yè)務(wù)系統(tǒng) 包括 OA、信貸、總帳傳輸、人力資源、電子郵件等管理系統(tǒng)。綜合類業(yè)務(wù)系統(tǒng)包括訪問行內(nèi)信息網(wǎng)站、Inter 瀏覽以及 IP 電話、視頻會議、網(wǎng)上培訓(xùn)多媒體增值業(yè)務(wù)等。 QOS 保證使不同的業(yè)務(wù)集成在了同一個網(wǎng)絡(luò)平臺上，如何保證不同業(yè)務(wù)數(shù)據(jù)的優(yōu)先級別和傳輸質(zhì)量就成了一個很重要的問題。要保證以上數(shù)據(jù)的網(wǎng)絡(luò)服務(wù)質(zhì)量，需要采用策略路由實現(xiàn)根據(jù)不同的業(yè)務(wù)數(shù)據(jù)種類選擇不同鏈路傳輸，并在每條線路上采用帶寬分配、優(yōu)先級控制等 QOS 控制技術(shù)保證各類應(yīng)用數(shù)據(jù)的有效傳輸。● 接入速率控制(CAR) CommittedAccessRate(● IP 優(yōu)先級控制● 隊列機(jī)制(WeightedFairQueuing)● 先期擁塞控制(WRED)● 標(biāo)記交換(MPLS)● 語音數(shù)據(jù)優(yōu)先 在三峽建行在此次網(wǎng)絡(luò)改造中將廣泛采用上述技術(shù)保證網(wǎng)絡(luò)通暢，特別是營業(yè)數(shù)據(jù)的正常傳輸。對于諸多網(wǎng)絡(luò)硬件設(shè)備和網(wǎng)絡(luò)應(yīng)用，只有對網(wǎng)絡(luò)進(jìn)行有效地組織和管理,才能夠充分利用網(wǎng)絡(luò)軟硬件資源，發(fā)揮其效力，為系統(tǒng)應(yīng)用提供良好的網(wǎng)絡(luò)運(yùn)行平臺。以 CiscoWorks2022 為網(wǎng)絡(luò)管理平臺；以美國 BMC 軟件公司的 PATROL 組件為基礎(chǔ)，集成網(wǎng)管系統(tǒng)、系統(tǒng)的監(jiān)控程序和自行開發(fā)的監(jiān)控程序，建設(shè)集中監(jiān)控管理系統(tǒng)，實現(xiàn)計算機(jī)網(wǎng)絡(luò)系統(tǒng)的集中監(jiān)控和管理，實現(xiàn)監(jiān)視各種主機(jī)／服務(wù)器、數(shù)據(jù)庫、網(wǎng)絡(luò)和網(wǎng)上關(guān)鍵性系統(tǒng)的運(yùn)行狀態(tài)、工作任務(wù)完成情況，自動啟動工作任務(wù)，進(jìn)行作業(yè)調(diào)度，減少中心機(jī)房值班人員的工作壓力，逐步實現(xiàn)主機(jī)房無人值守。 網(wǎng)管系統(tǒng)功能及其職責(zé)為了保障網(wǎng)絡(luò)運(yùn)行的品質(zhì)，維持網(wǎng)絡(luò)傳送頻率，降低傳送錯誤率，確保網(wǎng)絡(luò)安全等，網(wǎng)絡(luò)系統(tǒng)技術(shù)人員借助網(wǎng)絡(luò)管理工具或本身的技術(shù)經(jīng)驗實施網(wǎng)絡(luò)管理，職責(zé)內(nèi)容可分為下列八大類。? 故障管理：為確保網(wǎng)絡(luò)系統(tǒng)的高穩(wěn)定性，在網(wǎng)絡(luò)出現(xiàn)問題時，必須及時察覺問題的所在。31 / 58? 效率管理：效率管理在于評估網(wǎng)絡(luò)系統(tǒng)的運(yùn)作，統(tǒng)計網(wǎng)絡(luò)資源的運(yùn)用及各種通訊協(xié)議的傳輸量等，更可提供未來網(wǎng)絡(luò)提升或更新規(guī)劃的依據(jù)。? 網(wǎng)絡(luò)安全管理: 用戶身份確認(rèn),訪問控制,對用戶權(quán)限以及用戶帳戶進(jìn)行維護(hù)和管理,系統(tǒng)的行為。? 計費(fèi)管理：了解網(wǎng)絡(luò)使用時間，能針對各個局部網(wǎng)絡(luò)做使用量統(tǒng)計。網(wǎng)絡(luò)管理員能夠借助網(wǎng)管軟件，對網(wǎng)絡(luò)上的任何資源和進(jìn)程調(diào)用。網(wǎng)管平臺設(shè)計將原有網(wǎng)管軟件 CWSI 進(jìn)行升級，采用 Cisco 公司提供的最新CiscoWorks2022 的廣域網(wǎng)套件，用于對網(wǎng)點(diǎn)網(wǎng)絡(luò)設(shè)備進(jìn)行管理，局域網(wǎng)套件，用于對三峽建行局域網(wǎng)進(jìn)行管理。擬保留原有網(wǎng)管工作站。自主網(wǎng)絡(luò)監(jiān)控軟件的開發(fā)由于 cisco 網(wǎng)管軟件的專用性，無法有效監(jiān)控到非 Cisco 設(shè)備，更不能監(jiān)控到大部分采用串口協(xié)議的網(wǎng)點(diǎn)，為了能夠監(jiān)控到所有網(wǎng)點(diǎn)，需要對相關(guān)軟件做大量的客戶化開發(fā)工作。針對傳統(tǒng)安全模型的缺陷和不足，有關(guān)公司提出了一個極具創(chuàng)意的，能夠自我不斷完善、不斷發(fā)展、自我適應(yīng)能力極強(qiáng)的嶄新的網(wǎng)絡(luò)安全模型P2DR 安全模型，我行這次網(wǎng)絡(luò)系統(tǒng)安全的實施就準(zhǔn)備基于這個模型。它的指導(dǎo)思想比傳統(tǒng)安全方案有突破性提高。P2DR 安全模型的特點(diǎn)就是動態(tài)性和基于時間的特性，可以說對信息安全的“相對性”給予了更好地描述：雖然沒有 100%的安全，但是模型為進(jìn)一步解決信息安全技術(shù)問題提供了有益的方法和方向。Protection（保護(hù)） 保護(hù)通常是通過采用一些傳統(tǒng)的靜態(tài)安全技術(shù)及方法33 / 58來實現(xiàn)的， 主要有防火墻、加密、認(rèn)證等方法 。Detection（檢測） 在 P2DR 模型，檢測是非常重要的一個環(huán)節(jié)，檢測是動態(tài)響應(yīng)的依據(jù)，它也是強(qiáng)制落實安全策略的有力工具，通過不斷地檢測和監(jiān)控網(wǎng)絡(luò)和系統(tǒng)，來發(fā)現(xiàn)新的威脅和弱點(diǎn)，通過循環(huán)反饋來及時作出有效的響應(yīng)。Response（響應(yīng)）緊急響應(yīng)在安全系統(tǒng)中占有最重要得地位，是解決安全潛在性最有效的辦法。從某種意義上講，安全問題就是要解決緊急響應(yīng)和異常處理問題。總之，一個信息安全方案必須對安全策略、安全防護(hù)、安全檢測和安全響應(yīng)有準(zhǔn)確和完整的描述。 具體安全策略 三峽建行安全策略應(yīng)該包括：用戶管理、職責(zé)劃分、安全管理、安全評估、安全監(jiān)控、緊急響應(yīng)、異常處理、授權(quán)操作、恢復(fù)策略以及跟蹤審計等 總體安全體系的規(guī)定網(wǎng)絡(luò)系統(tǒng)的安全從體系結(jié)構(gòu)上來看應(yīng)該是一個多層次、多方面的結(jié)構(gòu)。網(wǎng)絡(luò)級安全是指在網(wǎng)絡(luò)的下三層(物理層、鏈路層、網(wǎng)絡(luò)層)采取各種安全三峽建行網(wǎng)絡(luò)系統(tǒng)安全體系架構(gòu)網(wǎng)絡(luò)級安全系統(tǒng)級安全應(yīng)用級安全企業(yè)級安全安全管理制度 審計病毒防范 加密數(shù)字簽名身份認(rèn)證安全漏洞檢測 安全監(jiān)控訪問控制VLAN 劃分VPN數(shù)據(jù)包過濾安全級別安全手段35 / 58措施來保障整個三峽建行網(wǎng)絡(luò)的安全，包括數(shù)據(jù)包過濾、VPN 虛擬私有網(wǎng)、VLAN 的劃分、訪問控制、身份認(rèn)證、數(shù)據(jù)包加密傳輸、安全審計、安全監(jiān)控和安全漏洞檢測等應(yīng)用級安全是指通過利用三峽建行網(wǎng)絡(luò)中各大應(yīng)用系統(tǒng)（如綜合業(yè)務(wù)系統(tǒng)、清算系統(tǒng)、企業(yè)網(wǎng)系統(tǒng)等等）和大型關(guān)系型數(shù)據(jù)庫自身的安全機(jī)制，在應(yīng)用層保證對三峽建行網(wǎng)絡(luò)中各種應(yīng)用系統(tǒng)的信息訪問合法性；系統(tǒng)級安全主要是通過對操作系統(tǒng)(UNIX、NT)的安全設(shè)置，防止利用操作系統(tǒng)的安全漏洞對整個三峽建行網(wǎng)絡(luò)構(gòu)成安全威脅；企業(yè)級安全主要是從三峽建行范圍內(nèi)的安全管理和計算機(jī)病毒防范兩方面來保障整個我行網(wǎng)絡(luò)的安全。 三峽建行網(wǎng)絡(luò)級安全設(shè)計可適應(yīng)性網(wǎng)絡(luò)安全由四個集成的方案組成。更正動作很容易獲得并迅速實現(xiàn)。最后，對安全威脅的網(wǎng)絡(luò)自動更正包括主動中斷連接和網(wǎng)絡(luò)設(shè)備的重新配置。 局域網(wǎng)安全設(shè)計由于局域網(wǎng)中采用廣播方式，因此，若在某個廣播域中可以偵聽到所有的信息包，黑客就可以對信息包進(jìn)行分析，那么本廣播域的信息傳遞都會暴露在36 / 58黑客面前。劃分 VLAN虛擬網(wǎng)（VLAN）技術(shù)主要基于近年發(fā)展的局域網(wǎng)交換技術(shù)（ATM 和以太網(wǎng)交換） 。因此，網(wǎng)管系統(tǒng)有能力限制局域網(wǎng)通訊的范圍而無需通過開銷很大的路由器。由以上運(yùn)行機(jī)制帶來的網(wǎng)絡(luò)安全的好處是顯而易見的：信息只到達(dá)應(yīng)該到達(dá)的地點(diǎn)。通過虛擬網(wǎng)設(shè)置的訪問控制，使在虛擬網(wǎng)外的網(wǎng)絡(luò)節(jié)點(diǎn)不能直接訪問虛擬網(wǎng)內(nèi)節(jié)點(diǎn)?；诰W(wǎng)絡(luò)廣播原理的入 MAC 的 VLAN 不能防止 MAC 欺騙攻擊。因此，VLAN 的劃分最好基于交換機(jī)。VLAN 的劃分方式的目的是保證系統(tǒng)的安全性。也可以按照機(jī)構(gòu)的設(shè)置來劃分 VLAN， VLAN 之內(nèi)的連接采用交換技術(shù)實現(xiàn)，VLAN 與 VLAN 之間采用策略路由來控制數(shù)據(jù)傳輸。安全漏洞掃描在三峽建行整個網(wǎng)絡(luò)系統(tǒng)中（包括三峽分行、各支行、局域網(wǎng)、廣域網(wǎng)）配置 ISS Inter Scanner（網(wǎng)絡(luò)安全掃描器） 、在分行中心企業(yè)網(wǎng)和營業(yè)網(wǎng)中重要的主機(jī)中安裝 ISS SYSTEM scanner、在分行中心企業(yè)網(wǎng)和營業(yè)網(wǎng)中的數(shù)據(jù)庫服務(wù)器中安裝 ISS DATABASE scanner，可在通訊和服務(wù)層、系統(tǒng)層、應(yīng)用37 / 58數(shù)據(jù)層掃描出網(wǎng)絡(luò)/系統(tǒng)/數(shù)據(jù)應(yīng)用存在的安全漏洞，并提交漏洞報告和修補(bǔ)漏洞的建議，使網(wǎng)絡(luò)安全風(fēng)險降到最小。故在各個業(yè)務(wù)系統(tǒng)核心數(shù)據(jù)服務(wù)器網(wǎng)絡(luò)入口處，配置 ISS 的 realsecure work sensor 對外來與本業(yè)務(wù)系統(tǒng)核心數(shù)據(jù)服務(wù)器連接的所有通信流量進(jìn)行安全監(jiān)控，同時在核心業(yè)務(wù)主機(jī)中配置 realsecure OS sensor 從系統(tǒng)層面中對系統(tǒng)攻擊事件進(jìn)行安全監(jiān)控。 廣域網(wǎng)安全設(shè)計由于廣域網(wǎng)采用公網(wǎng)傳輸資料，因而在廣域網(wǎng)上進(jìn)行傳輸時信息也可能會被不法分子截取。因此在廣域網(wǎng)上發(fā)送和接收信息時要保證：除了發(fā)送方和接收方外，其它人是不可知悉的（隱私性） ；傳送過程中不被篡改（真實性） ；發(fā)送方能確信接收方不是假冒的（非偽裝性） ；發(fā)送方不能否認(rèn)自己的發(fā)送行為（非否認(rèn)） 。內(nèi)部廣域網(wǎng)安全設(shè)計在應(yīng)用程序普遍采用 IC 卡的基礎(chǔ)上，在廣域網(wǎng)連接設(shè)備之間的網(wǎng)絡(luò)通信對數(shù)據(jù)包進(jìn)行加密。對于內(nèi)部廣域網(wǎng)采用撥號備份時可以使用回?fù)艽_認(rèn)等方式來防止非法訪問。一方面，實現(xiàn)對撥號用戶帳號的統(tǒng)一管理；另一方面，在身份驗證過程中采用加密的手段，避免用戶口令泄露的可能性。因為內(nèi)部廣域網(wǎng)中安全弱點(diǎn)主要來自于網(wǎng)絡(luò)互聯(lián)設(shè)備和網(wǎng)絡(luò)傳輸設(shè)備的安全漏洞，故采用 ISS inter scanner 漏洞掃描工具從網(wǎng)絡(luò)層對整個內(nèi)部廣域網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全漏洞掃描和評估，從而采取措施修復(fù)安全漏洞，加強(qiáng)安全管理、設(shè)備管理、軟件管理等安全工作。連接外部網(wǎng)時，在三峽建行內(nèi)部網(wǎng)與路由器之間安裝 PIX 防火墻，利用防火墻的數(shù)據(jù)包過濾、地址隱藏以及 VPN 功能保證外部的非法訪問無法進(jìn)入建行內(nèi)部網(wǎng)。在 DMZ 區(qū)、連接外連網(wǎng)的網(wǎng)段，配置了 ISS 入侵監(jiān)測系統(tǒng)實時監(jiān)視網(wǎng)絡(luò)的非法入侵行為。如果一個網(wǎng)絡(luò)的數(shù)據(jù)流遇到未經(jīng)授權(quán)的活動，例如SATAN 攻擊、PING 攻擊或秘密的研究項目代碼字，RealScure ageng 會給RealSecure console 管理控制臺轉(zhuǎn)發(fā)告警，并從網(wǎng)絡(luò)刪