【正文】 份認(rèn)證等安全功能。4．3 總行與分行業(yè)務(wù)系統(tǒng)和OA系統(tǒng)的安全設(shè)計4．3．1 各業(yè)務(wù)系統(tǒng)的分離興業(yè)銀行有網(wǎng)絡(luò)上開展各種應(yīng)用，包括人民幣業(yè)務(wù)系統(tǒng)、外匯業(yè)務(wù)系統(tǒng)、內(nèi)部OA系統(tǒng)等一系列的業(yè)務(wù)，這些業(yè)務(wù)之間存在一定的聯(lián)系，但又要防備侵權(quán)使用資源，特別是銀行業(yè)務(wù)系統(tǒng)與辦公OA系統(tǒng)，所以各業(yè)務(wù)系統(tǒng)的隔離是保障業(yè)系統(tǒng)安全的一個重環(huán)節(jié)。 圖五、興業(yè)銀行各業(yè)務(wù)系統(tǒng)隔離方案在銀行內(nèi)部，各業(yè)務(wù)系統(tǒng)使用的主機IP地址要有嚴(yán)格的區(qū)分，為建立訪問控制機制為核心的隔離措施提供方便。在總行的局域網(wǎng)當(dāng)中，通過具有第二層（支持VLAN劃分，VLAN為虛擬局域網(wǎng)）或三層交換的交換機（支持VLAN劃分及網(wǎng)內(nèi)路由），劃分業(yè)務(wù)系統(tǒng)在一個VLAN范圍內(nèi)，OA系統(tǒng)在另的一個VLAN范圍內(nèi)，各VLAN之間不直接交換數(shù)據(jù)，在必要的情況下，采取一定技術(shù)實現(xiàn)部分?jǐn)?shù)據(jù)交換。在分行內(nèi)可以象總行一樣，通過VLAN的劃分，劃分業(yè)務(wù)VLAN和OA VLAN，隔離辦公網(wǎng)與業(yè)務(wù)網(wǎng)。VLAN技術(shù)是近階段較流行的局域網(wǎng)隔離技術(shù)，在一套硬件網(wǎng)絡(luò)環(huán)境內(nèi)運行許多個（視交換機支持?jǐn)?shù)據(jù)）完全獨立、互不通信的局域網(wǎng)，看起來就象兩個完全分隔開的局域網(wǎng)系統(tǒng)。使用VLAN劃分開之后，當(dāng)網(wǎng)絡(luò)信息通過路由器后，MAC地址信息都會被路由器的MAC地址所替代，VLAN的隔離作用消失。就是說總行內(nèi)和分行內(nèi)劃分出的業(yè)務(wù)VLAN和OA VLAN，在局域網(wǎng)內(nèi)根據(jù)路由策略，及對對MAC地址的判別，可使隔離的業(yè)務(wù)VLAN和OA VLAN按需實現(xiàn)通迅。遠(yuǎn)程通訊是通過路由器的同一個廣域網(wǎng)端口，經(jīng)過廣域網(wǎng)傳輸后的業(yè)務(wù)網(wǎng)和OA網(wǎng)是無法通過VLAN技術(shù)加以隔離的。如不加以控制，總行的業(yè)務(wù)網(wǎng)和OA網(wǎng)雖然不能互相訪問，但總行的業(yè)務(wù)網(wǎng)可以和分行的OA網(wǎng)相互通訊，因此必須建立一定的訪問控制加以限制。因此要在路由器之后配備防火墻，執(zhí)行訪問控制功能，分劃業(yè)務(wù)網(wǎng)與OA網(wǎng)的通訊界線。4．3．1 敏感數(shù)據(jù)區(qū)的保護 銀行系統(tǒng)內(nèi)存在許多敏感數(shù)區(qū)域（如銀行業(yè)務(wù)系統(tǒng)主機等），這些敏感的數(shù)據(jù)區(qū)域要求嚴(yán)格保密，對訪問的權(quán)限有嚴(yán)格的限制，但所有的主機處于同一個網(wǎng)絡(luò)系統(tǒng)之內(nèi)，如不加以控制，這樣很容易造成網(wǎng)內(nèi)及網(wǎng)外的惡意攻擊，所以在這些數(shù)據(jù)區(qū)域的出入口要加以嚴(yán)格控制，在這些地方放置防火墻，防火墻執(zhí)行以下控制功能。 對來訪數(shù)據(jù)包進行過濾，只允許驗證合法主機數(shù)據(jù)包通過，禁止一切非授權(quán)主機訪問。 對來訪用戶進行驗證。防上非法用戶侵入。 運用網(wǎng)絡(luò)地址轉(zhuǎn)換及應(yīng)用代理使數(shù)據(jù)存儲區(qū)域與業(yè)務(wù)前端主機隔離，業(yè)務(wù)前端主機不直接與數(shù)據(jù)存儲區(qū)域建立網(wǎng)絡(luò)連接，所有的數(shù)據(jù)訪問通過防火墻的應(yīng)用代理完成，以保證數(shù)據(jù)存儲區(qū)域的安全。圖六、敏感數(shù)據(jù)區(qū)保護方案4．3．3 通迅線路數(shù)據(jù)加密 在銀行的廣域網(wǎng)傳輸系統(tǒng)中，從總行到分行、分行到支行、支行到分理處等，廣泛應(yīng)用到幀中繼、DDN、PSTN等等之類的通用線路，但這些線路大多數(shù)都是由通訊公司提供，與許多用戶在一套系統(tǒng)上使用他們的業(yè)務(wù)，由于這些線路都是暴露在公共場所，這樣很容易造成數(shù)據(jù)被盜。傳輸數(shù)據(jù)當(dāng)中如果不進行數(shù)據(jù)加密，后果可想而知。所以對數(shù)據(jù)傳輸加密這是一非常重要的環(huán)節(jié)。對網(wǎng)絡(luò)數(shù)據(jù)加密大致分為以下幾處區(qū)域： 應(yīng)用層加密建立應(yīng)用層加密，應(yīng)用程序?qū)ν饨缃粨Q數(shù)據(jù)時進行數(shù)據(jù)加密。主要優(yōu)點是使用方便、網(wǎng)絡(luò)中數(shù)據(jù)從源點到終點均得到保護、加密對網(wǎng)絡(luò)節(jié)點透明。缺點是某些信息必須以明文形式傳輸，容易被分析。此種加密已被廣泛應(yīng)用于各應(yīng)用程序當(dāng)中，并有相應(yīng)的標(biāo)準(zhǔn)。 基于網(wǎng)絡(luò)層的數(shù)據(jù)加密在總部到各分行，以及分行到支行建議采用VPN加密技術(shù)進行數(shù)據(jù)加密。VPN是通過標(biāo)準(zhǔn)的加密算法，對傳輸數(shù)據(jù)進行加密，在公用網(wǎng)上建立數(shù)據(jù)傳輸?shù)募用堋八淼馈?。加密實現(xiàn)是在IP層，與具體的廣域網(wǎng)協(xié)議無關(guān)，也就是說適應(yīng)不同的廣域網(wǎng)信道（DDN、幀中繼、PSTN等）。由于VPN技術(shù)已經(jīng)擁有標(biāo)準(zhǔn)，因此所有的VPN產(chǎn)品可以實現(xiàn)互通。當(dāng)然，銀行可根據(jù)自身的需要，可選用專用加密設(shè)備進行數(shù)據(jù)傳輸加密。 圖七、利用VPN技術(shù)對數(shù)據(jù)傳輸進行加密4．3．4防火墻自身的保護 要保護網(wǎng)絡(luò)安全，防火墻本身要保證安全，由于系統(tǒng)供電、硬件故障等特殊情況的發(fā)生，使防火墻系統(tǒng)癱瘓，嚴(yán)重阻礙網(wǎng)絡(luò)通訊，網(wǎng)絡(luò)的安全就無法保證，所以要求防求防火墻有冗余措施及足夠防攻擊的能力。圖八、防火墻雙機備份方案4．4興業(yè)銀行網(wǎng)上業(yè)務(wù)網(wǎng)絡(luò)安全設(shè)計目前，在發(fā)達(dá)國家，電子商務(wù)發(fā)展十分迅速，電子商務(wù)技術(shù)已趨成熟，通過Internet進行交易也已逐漸成為潮流，全球電子商務(wù)的應(yīng)用也已拉開帷幕。網(wǎng)上銀行是銀行在電子商務(wù)中的一個具體應(yīng)用，自1995年10月，全球第一家網(wǎng)上銀行開張，到1996年8月，已有600多家銀行上網(wǎng)，提供服務(wù)信息甚至在網(wǎng)上提供全套金融服務(wù)。1997年，研究企業(yè)對17個國家的130家大型金融機構(gòu)調(diào)查，發(fā)現(xiàn)13%已經(jīng)在網(wǎng)上與客戶直接交易。而1999年，60%在網(wǎng)上營業(yè)。在我國，Internet的應(yīng)用發(fā)展也很快，而且金融通訊網(wǎng)絡(luò)正在迅速擴大，我國的銀行金融系統(tǒng)，以銀行金融網(wǎng)絡(luò)為基礎(chǔ)，以現(xiàn)代支付系統(tǒng)為龍頭的金融電子化工程已經(jīng)全面鋪開，進展很快。建設(shè)網(wǎng)上銀行已是大勢所趨，而其中非常重要的一點就是整個系統(tǒng)的安全保證，包括數(shù)據(jù)的安全保證、交易的安全保證、支付的安全保證?，F(xiàn)今有許多實現(xiàn)手段，以保證電子商務(wù)系統(tǒng)的安全運行，其中比較流行有如下幾種：l 電子商務(wù)系統(tǒng)防火墻l 信息加密l 身份認(rèn)證l 信息簽名目前，國內(nèi)的一些網(wǎng)上銀行試點陸續(xù)開通了一部分的銀行業(yè)務(wù)，比如中國電信總局與中國農(nóng)業(yè)銀行總行、中國銀行總行在湖南實行的網(wǎng)上銀行企對帳系統(tǒng)、網(wǎng)上銀行銀證轉(zhuǎn)賬系統(tǒng)等系統(tǒng)。在本方案中，我們在分析了這些網(wǎng)上銀行的系統(tǒng)結(jié)構(gòu)以及其所面臨的網(wǎng)絡(luò)安全問題的基礎(chǔ)上，對興業(yè)銀行的網(wǎng)上銀行系統(tǒng)采取如下安全措施。1. 在銀行電子商務(wù)平臺與Internet的接口處安裝NetScreen100方火墻。2. 采用Netscreen100的虛擬IP技術(shù)，為電子商務(wù)服務(wù)器作負(fù)載平衡。3. 在銀行電子商務(wù)平臺與銀行綜合業(yè)務(wù)網(wǎng)之間安裝NetScreen100防火墻。4. 啟用Netscreen100的VPN通道功能，利用標(biāo)準(zhǔn)加密技術(shù)對傳輸數(shù)據(jù)加密。圖九、系統(tǒng)示意圖設(shè)計說明：1. 通過在銀行電子商務(wù)平臺和INTERNET之間安裝NetScreen100，通過其基于狀態(tài)檢測包過濾，能有效的將非法的數(shù)據(jù)包排除在防火墻以外，通過NAT（網(wǎng)絡(luò)地址翻譯），將內(nèi)部服務(wù)器（如提供電子商務(wù)服務(wù)的服務(wù)器）的IP地址轉(zhuǎn)換成外部IP地址，能有效的防止黑客通過各種手段來攻擊或入侵內(nèi)部的服務(wù)器。可以保證電子商務(wù)平臺不受到入侵，能夠?qū)λ械男畔⒘鞣怄i，并且開放希望提供的服務(wù)。2. Netscreen100可以設(shè)置虛擬IP，選擇負(fù)載平衡算法，如輪詢、帶優(yōu)先級的輪詢、最少連接數(shù)、帶優(yōu)先級的最少優(yōu)先級等多種算法實現(xiàn)電子商務(wù)服務(wù)器的負(fù)載平衡。 圖十、負(fù)載平衡示意可以將一個合法的外部IP地址映射給內(nèi)部多臺服務(wù)器的IP，由多臺服務(wù)器分擔(dān)網(wǎng)絡(luò)上訪問服務(wù)器的流量。如上圖中將一個IP地址：（各服務(wù)器IP不相同），以此來分擔(dān)整個網(wǎng)絡(luò)的流量，以保證網(wǎng)上銀行的電子商務(wù)平臺能夠安全、快速、穩(wěn)定的運行。3. 同樣在電子商務(wù)平臺和興業(yè)銀行綜合業(yè)務(wù)網(wǎng)間也安裝Netscreen100，確保數(shù)據(jù)源控制，并且開啟防火墻的VPN功能，采用IPSEC協(xié)議，用點對點的DES和三倍DES加密，對傳輸數(shù)據(jù)加密，并且支持人工、自動ISAKMP密鑰管理，保證通過Internet進行商務(wù)活動不受破壞。好，再總結(jié)性地歸納一下！！以下內(nèi)容與本文檔無關(guān)！?。∫韵聝?nèi)容與本文檔無關(guān)?。?！。。。。。。。。。。以下為贈送文檔，祝你事業(yè)有成，財源廣進，身體健康，家庭和睦?。。「咝苋耸康?0個習(xí)慣l 在行動前設(shè)定目標(biāo)有目標(biāo)未必能夠成功，但沒有目標(biāo)的肯定不能成功。：“成功就是目標(biāo)的達(dá)成，其他都是這句話的注釋?！爆F(xiàn)實中那些頂尖的成功人士不是成功了才設(shè)定目標(biāo)，而是設(shè)定了目標(biāo)才成功。：“一次做好一件事的人比同時涉獵多個領(lǐng)域的人要好得多?！备惶m克林將自己一生的成就歸功于對“在一定時期內(nèi)不遺余力地做一件事”這一信條的實踐。培養(yǎng)重點思維從重點問題突破，是高效能人士思考的一項重要習(xí)慣。如果一個人沒有重點地思考，就等于無主要目標(biāo)，做事的效率必然會十分低下。相反，如果他抓住了主要矛盾，解決問題就變得容易多了。發(fā)現(xiàn)問題關(guān)鍵在許多領(lǐng)導(dǎo)者看來，高效能人士應(yīng)當(dāng)具備的最重要的能力就是發(fā)現(xiàn)問題關(guān)鍵能力，因為這是通向問題解決的必經(jīng)之路。正如微軟總裁兼首席軟件設(shè)計師比爾。蓋茨所説：“通向最高管理層的最迅捷的途徑，是主動承擔(dān)別人都不愿意接手的工作，并在其中展示你出眾的創(chuàng)造力和解決問題的能力?！卑褑栴}想透徹把問題想透徹，是一種很好的思維品質(zhì)。只要把問題想透徹了，才能找到問題到底是什么，才能找到解決問題最有效的手段。不找借口美國成功學(xué)家格蘭特納說過這樣的話：“如果你有為自己系鞋帶的能力，你就有上天摘星星的機會！”