銀行辦公局域網(wǎng)辦公防御方案

1、銀行辦公局域網(wǎng)辦公防御方案 小小商業(yè)銀行經(jīng)過多年的建設(shè)，已經(jīng)形成比較完善的綜合網(wǎng)絡(luò)，整體結(jié)構(gòu)是通過廣域網(wǎng)連接的二級網(wǎng)絡(luò)，在二級網(wǎng)絡(luò)上運(yùn)行著銀行業(yè)務(wù)系統(tǒng)、辦公自動化系統(tǒng)、代理業(yè)務(wù)系統(tǒng)等，由于應(yīng)用系統(tǒng)的復(fù)雜化，網(wǎng)絡(luò)安全體系的建立和網(wǎng)絡(luò)安全的全面解決方案更是迫在眉睫。internet接入安全，中心生產(chǎn)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全，全網(wǎng)防病毒系統(tǒng)體系，生產(chǎn)前置機(jī)安全，辦公網(wǎng)絡(luò)與生產(chǎn)網(wǎng)絡(luò)物理線路共享情況下保證生產(chǎn)網(wǎng)絡(luò)的安全。一、 技術(shù)安全手段需求分析1.1、網(wǎng)絡(luò)現(xiàn)狀目前某市商業(yè)銀行已經(jīng)建成了以中心網(wǎng)絡(luò)為一級網(wǎng)絡(luò)，支行與網(wǎng)點為二級網(wǎng)絡(luò)的生產(chǎn)網(wǎng)絡(luò)，同時還并行有一套覆蓋到辦公大樓、支行、網(wǎng)點的辦公自動化系統(tǒng)?？上遥啃邢到y(tǒng)目

2、前處于籌建階段，在圖一中辦公網(wǎng)部分沒有接入商業(yè)銀行生產(chǎn)網(wǎng)絡(luò)，虛線表示當(dāng)辦公自動化需要從生產(chǎn)主機(jī)獲得帳表信息時，才手工聯(lián)接兩個網(wǎng)絡(luò)，完成帳表信息導(dǎo)出之后，手工斷開兩個網(wǎng)絡(luò)之間的連接。在安全方案中需要在系統(tǒng)部署前統(tǒng)一考慮兩個網(wǎng)絡(luò)連接在一起之后的安全問題。oa服務(wù)器在部署以后未來可能提供遠(yuǎn)程移動辦公支持，移動用戶通過遠(yuǎn)程接入internet，利用瀏覽器訪問oa服務(wù)器本身提供的web服務(wù)。oa服務(wù)器本身基于lotus notes建設(shè)。生產(chǎn)網(wǎng)絡(luò)是銀行網(wǎng)絡(luò)的最根本應(yīng)用。某市商業(yè)銀行生產(chǎn)網(wǎng)絡(luò)分為3個大的部分：第一部分：中心生產(chǎn)網(wǎng)絡(luò)核心包括以sna網(wǎng)絡(luò)為基礎(chǔ)的生產(chǎn)機(jī)系統(tǒng)，以兩臺rs9000作為生產(chǎn)系統(tǒng)，且互相

3、備份。所有對生產(chǎn)主機(jī)的訪問均通過前置機(jī)群完成。第二部分：外聯(lián)單位。外聯(lián)單位是主要涉及到商業(yè)銀行與銀聯(lián)之間的結(jié)算等業(yè)務(wù)，企業(yè)通過各種多樣的方式接入商業(yè)銀行網(wǎng)絡(luò)。第三部分：支行及網(wǎng)點。某市商業(yè)銀行目前有多個網(wǎng)點和支行。通過ddn接入中心網(wǎng)絡(luò)。同時采用pstn作為備份線路。由于目前辦公網(wǎng)絡(luò)雖然在邏輯上獨立于生產(chǎn)網(wǎng)絡(luò)，但是辦公網(wǎng)絡(luò)在物理線路上與生產(chǎn)網(wǎng)絡(luò)共享，因此生產(chǎn)網(wǎng)絡(luò)需要考慮來自辦公網(wǎng)絡(luò)的安全威脅。1.2、辦公網(wǎng)絡(luò)安全技術(shù)需求分析辦公自動化系統(tǒng)是基于unix平臺的辦公自動化系統(tǒng)，某市商業(yè)銀行初步擬定采用lotus notes作為辦公自動化的開發(fā)與運(yùn)行平臺，利用lotus notes自身提供的郵件服務(wù)

4、功能，對辦公自動化系統(tǒng)的用戶提供內(nèi)部辦公自動化服務(wù)，同時利用lotus notes系統(tǒng)自身提供的web服務(wù)功能，由于管理的需要，辦公系統(tǒng)要定期從生產(chǎn)主機(jī)上提取數(shù)據(jù)進(jìn)行統(tǒng)計分析生成報表。其中，信貸業(yè)務(wù)、帳務(wù)查詢數(shù)據(jù)要傳往辦公網(wǎng)上的服務(wù)器，數(shù)據(jù)在這兩個網(wǎng)段上經(jīng)過加工，供其他系統(tǒng)查詢。因此，辦公網(wǎng)要保持與生產(chǎn)網(wǎng)的連接，同時生產(chǎn)主機(jī)也要為其提供相應(yīng)的服務(wù)。在辦公網(wǎng)上還運(yùn)行著許多與生產(chǎn)網(wǎng)無關(guān)的主機(jī)和工作站，結(jié)果造成生產(chǎn)網(wǎng)上的主機(jī)暴露于這些主機(jī)和工作站的直接訪問之下，從而造成系統(tǒng)的安全隱患。辦公自動化系統(tǒng)的安全技術(shù)需求如下：辦公自動化服務(wù)器自身安全，需求內(nèi)容：保證辦公自動化系統(tǒng)的基礎(chǔ)運(yùn)行平臺unix操作系

5、統(tǒng)的安全。保證辦公自動化系統(tǒng)的基礎(chǔ)運(yùn)行平臺unix操作系統(tǒng)的安全，需求內(nèi)容：保證辦公自動化系統(tǒng)的基礎(chǔ)開發(fā)運(yùn)行平臺lotus notes系統(tǒng)的安全。辦公自動化系統(tǒng)自身安全，需求內(nèi)容：保證基于lotus notes開發(fā)的辦公自動化系統(tǒng)本身安全遠(yuǎn)程移動辦公安全，需求內(nèi)容：保證遠(yuǎn)程移動辦公用戶能夠安全可靠的使用本系統(tǒng)。防病毒體系，需求內(nèi)容：針對辦公自動化系統(tǒng)覆蓋面廣，終端以windows系統(tǒng)為主體的特點，需要建立全網(wǎng)統(tǒng)一的防病毒體系。1.3、生產(chǎn)網(wǎng)絡(luò)安全技術(shù)需求分析某市商業(yè)銀行生產(chǎn)網(wǎng)絡(luò)是典型的銀行生產(chǎn)系統(tǒng)，以大型unix主機(jī)為核心，采用sna網(wǎng)絡(luò)；前置機(jī)圍繞大型unix主機(jī)，負(fù)責(zé)將外圍ip網(wǎng)絡(luò)或其他網(wǎng)

6、絡(luò)轉(zhuǎn)換到sna網(wǎng)絡(luò)中。商業(yè)銀行與傳統(tǒng)銀行多級網(wǎng)絡(luò)的區(qū)別在于某市商業(yè)銀行生產(chǎn)網(wǎng)絡(luò)為二級網(wǎng)絡(luò)，在支行、網(wǎng)點等的業(yè)務(wù)連接到中心，必須通過前置機(jī)訪問中心網(wǎng)絡(luò)，在支行、網(wǎng)點不存在二級的前置機(jī)直接訪問核心網(wǎng)絡(luò)。目前商業(yè)銀行的生產(chǎn)網(wǎng)絡(luò)在中心節(jié)點與二級節(jié)點之間的沒有采用加密傳輸和認(rèn)證機(jī)制。生產(chǎn)網(wǎng)絡(luò)安全技術(shù)需求如下：生產(chǎn)機(jī)的安全，需求內(nèi)容：保證生產(chǎn)系統(tǒng)主機(jī)的安全；前置機(jī)的安全，需求內(nèi)容：保證前置機(jī)的安全；網(wǎng)絡(luò)傳輸安全，需求內(nèi)容：保證生產(chǎn)網(wǎng)絡(luò)傳輸?shù)陌踩幌到y(tǒng)審計，需求內(nèi)容：建立網(wǎng)絡(luò)安全審計與系統(tǒng)審計機(jī)制；實時網(wǎng)絡(luò)入侵檢測，需求內(nèi)容：對生產(chǎn)網(wǎng)絡(luò)進(jìn)行分布式入侵行為的實時檢測，并實施統(tǒng)一集中管理。1.4、網(wǎng)絡(luò)互聯(lián)安全某

7、市商業(yè)銀行網(wǎng)絡(luò)互聯(lián)安全分為三部分：第一部分：與外部網(wǎng)絡(luò)的互聯(lián)安全。某市商業(yè)銀行網(wǎng)絡(luò)與移動、銀聯(lián)系統(tǒng)、人行、醫(yī)保和社保、電信等系統(tǒng)需要進(jìn)行網(wǎng)絡(luò)互聯(lián)，這部分網(wǎng)絡(luò)互聯(lián)的需求如下：訪問控制，需求內(nèi)容：保證指定用戶訪問指定前置機(jī)；過濾機(jī)制，需求內(nèi)容：過濾與前置機(jī)業(yè)務(wù)無關(guān)訪問；地址轉(zhuǎn)化，需求內(nèi)容：保證前置機(jī)與外部網(wǎng)絡(luò)之間彼此隔離；第二部分：內(nèi)部辦公網(wǎng)與生產(chǎn)網(wǎng)之間的互聯(lián)安全；內(nèi)部辦公網(wǎng)與生產(chǎn)網(wǎng)之間共享物理線路，兩個網(wǎng)絡(luò)物理上彼此互聯(lián)，這兩個網(wǎng)互聯(lián)的安全需求如下：保證各自網(wǎng)絡(luò)的安全邊界，需求內(nèi)容：即辦公網(wǎng)絡(luò)的安全事故不能影響生產(chǎn)網(wǎng)絡(luò)的正常運(yùn)行；保證網(wǎng)絡(luò)的邏輯隔離，需求內(nèi)容：即從辦公網(wǎng)絡(luò)內(nèi)部不能危害生產(chǎn)網(wǎng)絡(luò)；保

8、證網(wǎng)絡(luò)服務(wù)質(zhì)量，需求內(nèi)容：即保證生產(chǎn)網(wǎng)絡(luò)在現(xiàn)有帶寬需求中的服務(wù)質(zhì)量，辦公網(wǎng)絡(luò)的應(yīng)用帶寬需求不應(yīng)影響生產(chǎn)網(wǎng)絡(luò)正常有序工作。第三部分：與公共電話系統(tǒng)的互聯(lián)安全。為了網(wǎng)上銀行系統(tǒng)能夠滿足企業(yè)用戶的需求，因此網(wǎng)上銀行系統(tǒng)需要與公共電話連接，同時某市商業(yè)銀行的信息網(wǎng)絡(luò)建設(shè)規(guī)劃中包括了通過internet提供網(wǎng)上銀行業(yè)務(wù)，對網(wǎng)上銀行系統(tǒng)的互聯(lián)安全需求如下：撥號訪問路由接入的訪問控制,需求內(nèi)容：對來自公共電話網(wǎng)絡(luò)的訪問進(jìn)行控制，對匿名用戶的訪問資源進(jìn)行控制。網(wǎng)上銀行應(yīng)用服務(wù)器的安全,需求內(nèi)容：保證應(yīng)用服務(wù)器運(yùn)行的操作系統(tǒng)平臺安全。網(wǎng)上銀行應(yīng)用服務(wù)系統(tǒng)的安全，需求內(nèi)容：保證應(yīng)用服務(wù)的自身安全。實時網(wǎng)絡(luò)入侵檢測

9、，,需求內(nèi)容：對針對網(wǎng)上銀行前置業(yè)務(wù)的攻擊進(jìn)行入侵行為的實時檢測，并實施統(tǒng)一集中管理。網(wǎng)絡(luò)拓?fù)鋱D： 辦公服務(wù)區(qū)辦公外聯(lián)區(qū)辦公用戶區(qū)生產(chǎn)網(wǎng)二、針對安全風(fēng)險的技術(shù)解決手段2.1、防火墻技術(shù)防火墻可以作為不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的出入口，將內(nèi)部網(wǎng)和公眾網(wǎng)如internet分開，它能根據(jù)企業(yè)的安全策略控制出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和internet之間的任何活動，保證了內(nèi)部網(wǎng)絡(luò)的安全。防火墻技術(shù)可以有效控制的風(fēng)險包括：利用finger來發(fā)掘用戶信息，利用tcp/ip指紋識別確定操作系統(tǒng)類型，利用teln

10、et旗標(biāo)確定操作系統(tǒng)類型，利用服務(wù)的旗標(biāo)信息確定服務(wù)類型，用專用工具進(jìn)行服務(wù)類型探測，對服務(wù)器進(jìn)行端口掃描，利用unix的ftp服務(wù)漏洞sitel exec漏洞，利用unix的ftp服務(wù)漏洞setproctitle()漏洞，利用bind服務(wù)漏洞，利用telnet服務(wù)漏洞，利用后門與木馬，利用rpc.mountd服務(wù)漏洞，利用sendmail服務(wù)漏洞，利用lpd服務(wù)漏洞，利用nfs服務(wù)漏洞，利用x-windows服務(wù)漏洞，綁定shell端口，利用ipc$列舉用戶名，從ad上查找前置機(jī)主機(jī)，windowsl rpc dcom遠(yuǎn)程溢出ms026，windows rpcl dcom遠(yuǎn)程溢出ms039，

11、網(wǎng)絡(luò)蠕蟲堵塞整個網(wǎng)絡(luò)，影響生產(chǎn)網(wǎng)絡(luò)，利用前置機(jī)群與生產(chǎn)主機(jī)之間的信任關(guān)系攻擊生產(chǎn)網(wǎng)絡(luò)核心，利用辦公自動化服務(wù)器與前置機(jī)群或生產(chǎn)主機(jī)之間的信任關(guān)系攻擊生產(chǎn)網(wǎng)絡(luò)，蠕蟲影響辦公網(wǎng)內(nèi)部window平臺，蠕蟲影響辦公網(wǎng)內(nèi)部郵件系統(tǒng)，辦公網(wǎng)應(yīng)用形式較為豐富，因此對網(wǎng)絡(luò)帶寬消耗可能造成生產(chǎn)網(wǎng)的數(shù)據(jù)通信帶寬不足，從而導(dǎo)致生產(chǎn)網(wǎng)不暢通。二級網(wǎng)點或支行與中心連接沒有必要的訪問控制和邊界控制手段，因此來自二級網(wǎng)點或支行局域網(wǎng)的用戶可能威脅辦公自動化系統(tǒng)和中心生產(chǎn)系統(tǒng)。應(yīng)用防火墻技術(shù)之后，有效的控制了上述風(fēng)險的同時，可以簡化管理，同時本節(jié)提出的防火墻技術(shù)可以降低管理員的負(fù)擔(dān)，提供更多更靈活的選擇。2.2、網(wǎng)絡(luò)防病毒體

12、系計算機(jī)病毒感染所造成的威脅以及破壞是目前廣大計算機(jī)用戶所面臨的主要問題。本方案采用網(wǎng)絡(luò)防病毒體系，要求網(wǎng)絡(luò)防病毒體系應(yīng)針對整個網(wǎng)絡(luò)或是單一的工作站都能進(jìn)行有效保護(hù)的防病毒解決方案。可以對windows 2000/nt/95/98/3.x，以及dos和macintosh,novell netware，linux和unix等操作系統(tǒng)提供保護(hù)，作為一個一體化的網(wǎng)絡(luò)防病毒解決方案，應(yīng)具備特征代碼檢查方式和基于規(guī)則的變態(tài)分析器病毒掃描程序，從而檢測到已知病毒。防病毒引擎可以從多個側(cè)面和途徑防止計算機(jī)病毒侵入系統(tǒng)，保護(hù)整個企業(yè)it系統(tǒng)的安全，具有強(qiáng)大的功能和優(yōu)秀的可管理性。應(yīng)用網(wǎng)絡(luò)防病毒體系結(jié)構(gòu)之后，可

13、控制網(wǎng)絡(luò)蠕蟲堵塞整個網(wǎng)絡(luò)，影響生產(chǎn)網(wǎng)絡(luò)、病毒威脅桌面pc等風(fēng)險：應(yīng)用了網(wǎng)絡(luò)防病毒技術(shù)之后，可以從三個層面有效防范病毒的傳播和蔓延：internet下載，軟盤和光盤傳播，郵件傳播l2.3、網(wǎng)絡(luò)入侵檢測技術(shù)應(yīng)用入侵檢測的網(wǎng)絡(luò)監(jiān)測功能、攻擊行為檢查、高速流量捕獲、策略響應(yīng)、防火墻聯(lián)動、關(guān)聯(lián)事件分析等技術(shù)要素，可實現(xiàn)如下風(fēng)險的控制：利用lotusl notes的web服務(wù)器漏洞lotus notes口令認(rèn)證可被繞過，利用lotus notes的web服務(wù)器漏洞lotusl notes配置信息被遠(yuǎn)程讀取，利用unix的ftp服務(wù)漏洞sitel exec漏洞，利用unix的ftp服務(wù)漏洞setprocti

14、tle()漏洞，利用bind服務(wù)漏洞，利用telnet服務(wù)漏洞，利用后門與木馬，利用rpc.mountd服務(wù)漏洞，利用sendmail服務(wù)漏洞，利用lpd服務(wù)漏洞，利用nfs服務(wù)漏洞，利用x-windows服務(wù)漏洞，windowsl rpc dcom遠(yuǎn)程溢出ms026，windows rpcl dcom遠(yuǎn)程溢出ms039，tcp登錄會話劫持發(fā)送一個偽造的報告到telnet/login/sh，安裝木馬。應(yīng)用網(wǎng)絡(luò)入侵檢測技術(shù)之后不僅有效控制了上述風(fēng)險，同時入侵檢測要求如自身安全性、抗ids逃避、抗事件風(fēng)暴等技術(shù)要素，有效避免了入侵檢測自身引入的新的風(fēng)險，同時分級管理、多用戶權(quán)限、分布式部署的要求大

15、大降低了管理員的負(fù)擔(dān)。2.4、基于x.509證書的身份認(rèn)證技術(shù)與ssl技術(shù)針對某市商業(yè)銀行辦公自動化系統(tǒng)遠(yuǎn)程移動辦公安全認(rèn)證技術(shù)，本方案采用x509證書協(xié)議，為遠(yuǎn)程移動辦公的身份認(rèn)證提供基礎(chǔ)保障。同時采用ssl技術(shù)實現(xiàn)了遠(yuǎn)程移動辦公用戶與辦公自動化服務(wù)器之間的通信安全，在ssl中，利用如下安全機(jī)制保證認(rèn)證信息不被篡改和偽造：通過ssl協(xié)議完成客戶端（瀏覽器）和服務(wù)器之間的雙向身份認(rèn)證。客戶端數(shù)字證書和個人私鑰存儲在外部介質(zhì)如usb-key中。l由統(tǒng)一的用戶管理中心中心為客戶端和服務(wù)器分發(fā)的密鑰對，其密鑰長度1024bit。認(rèn)證過程中使用證書吊銷列表驗證證書有效狀態(tài)。l應(yīng)用證書身份認(rèn)證與ssl技

16、術(shù)以后控制的風(fēng)險如下：已知內(nèi)部命名規(guī)范情況下暴力破解口令，利用內(nèi)部名單搜尋登錄辦公自動化系統(tǒng)的授權(quán)用戶，利用公開的默認(rèn)口令嘗試辦公自動化系統(tǒng)，獲取內(nèi)部公文，獲取帳表系統(tǒng)報表數(shù)據(jù)，獲取內(nèi)部通訊錄，篡改公文內(nèi)容，網(wǎng)絡(luò)竊聽，獲得更多廣播信息，竊聽以明文方式傳輸?shù)挠脩裘兔艽a，匿名用戶利用websphare的web服務(wù)缺陷遠(yuǎn)程獲取敏感信息，匿名用戶利用websphare的web服務(wù)缺陷遠(yuǎn)程繞過websphare的基本認(rèn)證，缺乏有效的身份認(rèn)證手段識別遠(yuǎn)程企業(yè)用戶和匿名用戶，企業(yè)用戶遠(yuǎn)程交易時數(shù)據(jù)傳輸缺乏加密保證。2.5、網(wǎng)絡(luò)安全審計技術(shù)本方案采用網(wǎng)絡(luò)安全審計技術(shù)，主要針對使用互聯(lián)網(wǎng)訪問非法站點，傳遞和發(fā)

17、布非法信息，內(nèi)部網(wǎng)絡(luò)中的資源濫用，內(nèi)部商業(yè)信息泄漏等等問題。對被監(jiān)控網(wǎng)絡(luò)中的internet使用情況進(jìn)行監(jiān)控，對各種網(wǎng)絡(luò)違規(guī)行為實時報告，甚至對某些特定的違規(guī)主機(jī)進(jìn)行封鎖，以幫助網(wǎng)絡(luò)管理員對網(wǎng)絡(luò)信息資源進(jìn)行有效的管理和維護(hù)。應(yīng)用網(wǎng)絡(luò)安全審計技術(shù)以后可以控制的風(fēng)險包括：internet資源被濫用，獲取內(nèi)部公文，獲取帳表系統(tǒng)報表數(shù)據(jù)，獲取內(nèi)部通訊錄，獲取口令文件的shadow，破解系統(tǒng)管理員口令。2.6、vpn技術(shù)針對小小商業(yè)銀行保證生產(chǎn)網(wǎng)絡(luò)、辦公網(wǎng)以及通信機(jī)密性的需求，方案規(guī)劃系統(tǒng)采用vpn技術(shù)解決方案。應(yīng)用vpn技術(shù)以后可以控制的風(fēng)險包括：竊聽以明文方式傳輸?shù)挠脩裘兔艽a，網(wǎng)絡(luò)竊聽，獲得更多廣

18、播信息，tcp登錄會話劫持發(fā)送一個偽造的報告到telnet/login/sh，tcp登錄會話劫持從已存在的telnet/login/sh中竊聽tcp報文序號，獲取下屬支行或網(wǎng)點的業(yè)務(wù)數(shù)據(jù)，獲取業(yè)務(wù)數(shù)據(jù)中的敏感信息：如卡號、口令等，網(wǎng)絡(luò)竊聽，獲得更多廣播信息：如前置主機(jī)群內(nèi)別的業(yè)務(wù)系統(tǒng)數(shù)據(jù)，在辦公網(wǎng)通過修改ip進(jìn)入生產(chǎn)網(wǎng)，在辦公網(wǎng)內(nèi)通過網(wǎng)絡(luò)竊聽可以隨意竊聽整個局域網(wǎng)內(nèi)的所有數(shù)據(jù)，包括生產(chǎn)網(wǎng)與辦公網(wǎng)的數(shù)據(jù)。三、產(chǎn)品解決方案1、雙網(wǎng)隔離。由于辦公網(wǎng)中運(yùn)行的程序眾多，而且許多程序需要訪問外部的網(wǎng)絡(luò)，極易感染各種病毒，或者遭受攻擊，所以可以說辦公網(wǎng)對于生產(chǎn)網(wǎng)的安全造成了威脅。“安全辦公局域網(wǎng)”解決方案中

19、，將生產(chǎn)網(wǎng)和辦公網(wǎng)利用銳捷網(wǎng)絡(luò)的高性能防火墻隔離開來，最大程度上保證了生產(chǎn)網(wǎng)的安全，使得病毒大面積爆發(fā)時，銀行業(yè)務(wù)不會受到影響。2、功能分塊。為保證辦公網(wǎng)絡(luò)的穩(wěn)定運(yùn)行，讓不同業(yè)務(wù)之間不受到影響，“安全辦公局域網(wǎng)”解決方案將辦公局域網(wǎng)按照業(yè)務(wù)的需求進(jìn)行了分塊設(shè)計，例如將oa服務(wù)器、notes服務(wù)器以及病毒庫服務(wù)器和rg-gsn系統(tǒng)所需的服務(wù)器隔離出來，成為單獨的服務(wù)器區(qū)域，對此區(qū)域進(jìn)行完善的安全防護(hù)，以保證核心業(yè)務(wù)服務(wù)器的安全。而在對外接口方面，為防止“病從口入”，也將這部分劃分為單獨的區(qū)域，來保障辦公網(wǎng)核心的安全。分區(qū)之間通過高速鏈路相連，并加以適當(dāng)?shù)陌踩呗裕瑢崿F(xiàn)了性能和安全的雙重保障。 3

20、、雙核備份。在“安全辦公局域網(wǎng)”解決方案中，采用銳捷網(wǎng)絡(luò)rg-s6800e作為辦公網(wǎng)的雙核心，通過冗余備份和負(fù)載均衡的連接，輔以vrrp和ospf等協(xié)議，在保障穩(wěn)定的同時也提升了網(wǎng)絡(luò)的性能。rg-s6800e系列萬兆交換機(jī)是銳捷網(wǎng)絡(luò)自主研發(fā)的國內(nèi)首款萬兆交換機(jī)，它所獨有的spoh同步式硬件轉(zhuǎn)發(fā)技術(shù)、ecmp/wcmp技術(shù)、三平面分離等特色技術(shù)，為銀行辦公網(wǎng)提供了高性能、高穩(wěn)定的解決方案。 4、身份準(zhǔn)入。方案中使用了銳捷網(wǎng)絡(luò)的全局安全解決方案-gsn，作為gsn的重要組件，sam身份認(rèn)證系統(tǒng)起到了重要的作用。通過與銳捷安全智能交換機(jī)s2100系列的聯(lián)動，sam系統(tǒng)可以實現(xiàn)對于用戶身份的完全驗證，

21、并可實現(xiàn)基于ip、mac、交換機(jī)端口號、交換機(jī)id、vlan號、用戶名和密碼等在內(nèi)的六元素綁定，實現(xiàn)了入網(wǎng)用戶身份的唯一、合法，也使的在安全事件發(fā)生時，方便的追查、排除。rg-sam身份認(rèn)證系統(tǒng)在高校中已經(jīng)有了非常廣泛的應(yīng)用，而針對銀行更高的安全要求，銳捷網(wǎng)絡(luò)對sam系統(tǒng)進(jìn)行了有針對性的研發(fā)，更加適應(yīng)銀行網(wǎng)絡(luò)的需求。 5、安全檢測。作為gsn全局安全解決方案的第二個重要組成部分，rg-ids即入侵檢測系統(tǒng)的作用就像植入網(wǎng)絡(luò)中的一個探針，它實時收集著網(wǎng)絡(luò)中發(fā)生的安全事件，并將它及時的報告給gsn的另一個組成部分即安全管理平臺smp，從而是smp能夠?qū)Π踩录M(jìn)行及時準(zhǔn)確的處理。ids可以方便的部

22、署在辦公網(wǎng)絡(luò)的核心交換機(jī)中，通過交換機(jī)的端口鏡像功能，在不影響任何辦公數(shù)據(jù)流的情況下，即可對網(wǎng)絡(luò)中的數(shù)據(jù)流進(jìn)行細(xì)致的檢測。 6、自動修復(fù)。作為gsn全局安全解決方案的總管，rg-smp即安全管理平臺擔(dān)負(fù)著主機(jī)完整性檢測、主機(jī)信息檢測、系統(tǒng)漏洞檢測、安全事件分析處理、系統(tǒng)補(bǔ)丁下發(fā)、必要軟件及更新下發(fā)等多項工作，通過與rg-sam和rg-ids以及安全交換機(jī)的聯(lián)動，rg-smp對于全網(wǎng)安全情況以及接入網(wǎng)絡(luò)中的pc的安全情況了如指掌，并通過內(nèi)置的數(shù)據(jù)庫對發(fā)生在網(wǎng)絡(luò)中的安全事件自動做出分析和決策。通過對二級分行生產(chǎn)、辦公局域網(wǎng)的分析，在優(yōu)化過程中可重點關(guān)注以下幾個關(guān)鍵點及其解決辦法：關(guān)鍵點一：網(wǎng)絡(luò)可靠

23、性1、異常流量或病毒對客戶端和網(wǎng)絡(luò)設(shè)備均會造成單點失效甚至網(wǎng)絡(luò)失效的可能，增加了網(wǎng)絡(luò)的中斷風(fēng)險；2、當(dāng)前二級分行生產(chǎn)和辦公共用一對核心交換，在生產(chǎn)或辦公在進(jìn)行網(wǎng)絡(luò)升級、優(yōu)化、擴(kuò)容時，增加了核心交換設(shè)備的穩(wěn)定性風(fēng)險；3、在分行內(nèi)網(wǎng)及跨行辦公過程中有時會有大量數(shù)據(jù)交換的情況，如遠(yuǎn)程會議、培訓(xùn)等影像、語音數(shù)據(jù)量交換時，可能會對生產(chǎn)業(yè)務(wù)造成一定的壓力。解決辦法：1、生產(chǎn)和辦公網(wǎng)可以采用雙平面隔離設(shè)計，并且兩網(wǎng)之間部署防火墻，一方面有效規(guī)避異常流量或病毒造成的不良影響；另一方面也保障了在網(wǎng)絡(luò)升級、優(yōu)化、擴(kuò)容時，生產(chǎn)和辦公互不影響；2、網(wǎng)絡(luò)核心節(jié)點的設(shè)備可以采用關(guān)鍵部件全冗余配置或者采用雙機(jī)冗余熱備的方式

24、，實現(xiàn)冗余硬件快速切換，縮短故障恢復(fù)時間，有效避免單點失效；3、生產(chǎn)和辦公通過分布層單獨建網(wǎng)，也就是說生產(chǎn)和辦公的核心交換在物理上獨立的，通過新增一對核心交換設(shè)備，從根本上保證了核心交換的穩(wěn)定性及生產(chǎn)、辦公互不影響。關(guān)鍵點二：業(yè)務(wù)擴(kuò)展性1、生產(chǎn)的核心處理主要集中在總行和一級分行，當(dāng)前在二級分行的生產(chǎn)區(qū)主要用來支持生產(chǎn)服務(wù)器、網(wǎng)絡(luò)管理服務(wù)器及外聯(lián)和同城機(jī)構(gòu)的接入，未來外聯(lián)區(qū)將逐步過渡到一級分行數(shù)據(jù)中心，此時二級分行生產(chǎn)區(qū)的數(shù)據(jù)流主要來自于支行/網(wǎng)點同一級分行的交互，單獨部署生產(chǎn)區(qū)的核心交換將最大程度地滿足了二級分行在生產(chǎn)業(yè)務(wù)上的擴(kuò)展需求。2、辦公網(wǎng) 中隨著voip、視頻會議、培訓(xùn)等事務(wù)的增加，核

25、心交換機(jī)的接口和交換容量有了新的要求，以滿足長期發(fā)展需求。解決辦法：1、原核心交換可定為生產(chǎn)區(qū)專用。2、新增核心交換機(jī)，雙機(jī)熱備，豐富的業(yè)務(wù)接口和交換容量，滿足辦公網(wǎng)多應(yīng)用升級及高帶寬保障的需求。關(guān)鍵點三：訪問安全性1、在生產(chǎn)和辦公兩個網(wǎng)絡(luò)中部分應(yīng)用系統(tǒng)間的互訪是有嚴(yán)格控制的，除了通過代理服務(wù)器、防火墻進(jìn)行控制外，還對路由學(xué)習(xí)進(jìn)行了隔離。當(dāng)前農(nóng)行生產(chǎn)和辦公的路由隔離通常由核心設(shè)備啟用ospf 多進(jìn)程來實現(xiàn)，二級分行的生產(chǎn)和辦公共用一對核心交換，此時多進(jìn)程會增加設(shè)備系統(tǒng)的資源消耗；2、當(dāng)前二級分行辦公網(wǎng)是通過一級分行接入internet 的，但仍然存在被外網(wǎng)攻擊的風(fēng)險，即由此可能帶來生產(chǎn)或辦公涉

26、密信息被外泄或竊取；3、無線局域網(wǎng)wlan 的快速方便受到了廣泛的歡迎，但無線接入的安全控制也同樣倍受關(guān)注。有線局域網(wǎng)相對無線局域網(wǎng)還是具有較高的安全性，且相對也有較多進(jìn)行安全管理的機(jī)制。解決方案：1、新建一對核心交換，將ospf 多進(jìn)程的路由學(xué)習(xí)和重發(fā)布進(jìn)行分擔(dān)，以降低核心設(shè)備的系統(tǒng)消耗，增強(qiáng)設(shè)備的健壯性；2、在涉密信息安全保障上主要要依靠合理的網(wǎng)絡(luò)結(jié)構(gòu)和安全監(jiān)管的策略，首先可以將生產(chǎn)和辦公的核心交換層進(jìn)行隔離，同時在兩個核心交換層間設(shè)置防火墻等安全設(shè)備，保證核心業(yè)務(wù)的安全性；3、wep 是目前最普遍的無線加密機(jī)制，但同樣也是較為脆弱的安全機(jī)制，存在許多缺陷，密鑰非常容易被篡改或破譯，從而非法接入無線網(wǎng)絡(luò)，目前尚不建議在金融系統(tǒng)部署wlan。在進(jìn)行有線局域網(wǎng)部署時可以同時部署安全準(zhǔn)入策略，加強(qiáng)終端接入網(wǎng)絡(luò)的安全管理。關(guān)鍵點四：精細(xì)化qos 部署1、總行和各級分行數(shù)據(jù)中心的局域網(wǎng)采用千兆或捆綁的多千兆端口互聯(lián)，一般不會出現(xiàn)網(wǎng)絡(luò)擁塞，