交通银行网络安全的改造项目 （1）

随着WTO的临近，国内的金融市场将逐步对外开放，金融市场的竞争也日趋激烈。为了应对这种挑战，近几年交通银行在全行开发和逐步推行了新一代的业务系统，建设了覆盖全国比较完善的网络系统，开发了各种面对企业用户和个人用户的电子银行系统。随着各种系统的建设和完善，交通银行网络系统的规模不断扩大和日趋复杂，面对的安全风险也逐步增大，需要进行完善的网络安全系统设计。

2000年11月份南天公司成功规划和实施了交通银行武汉分行安全改造试点项目，2001年10月份又成功参与了交通银行安全改造一期工程，一期安全改造工程涉及到全行39家分行，总投资3000多万，该项目已经实施完成。该项目为近年来国内规模最大、规格最高和设计最完整的网络安全项目之一，在整个安全改造项目中，南天公司充分地展示了丰富的安全理论知识和过人的设计、规划和实施能力，使得南天公司在国内安全领域处于领先者的地位。
安全问题的根源。

安全问题的根源可以归结到二个方面，一方面是由于黑客的攻击，另一方面是由于系统使用的各种软硬件平台和协议普遍存在漏洞。 
前者是导致安全问题的直接因素，由于黑客攻击的动机各不相同，有的为了政治目的，有的是为了获取金钱，有的是为了个人兴趣，有的是因为无知和好奇，正是因为这些因素都没有办法完全避免，从而决定了我们安全建设的长期性。

后者是导致安全问题的间接因素，由于不同产品、不同系统和不同协议的漏洞各不相同，有些漏洞已为我们所知，正在产生危害，有些还没有被我们发现，不知道什么时候就会爆发出来。正是由于各种软硬件平台漏洞的这种复杂性和系统使用与开放的发展趋势，导致了系统安全问题的错综复杂性。
安全项目的建设。

为了解决上述问题，南天公司进行网络安全规划时，站在了整体和全局的高度来看待问题，对整个安全项目进行了全面的规划。我们考虑到安全问题不可能完全的解决，更不是一种产品或者一种技术能够解决的，同时认识到安全问题是一个整体的系统工程，只有进行完整的安全性设计、合理的安全性规划、多种安全技术的使用加上良好的安全管理规章制度和严密的安全操作规范，才能够达到尽量安全的目的。交通银行网络系统安全的整体规划如下图所示：
局域网络安全建设。

内部网络系统安全建设，从大的方面可以分为业务系统和OA系统。这2个系统之间的安全控制可以采用3种方式：第一种是完全物理隔离的方式，第二种是采用防火墙隔离的方式，第三种是采用VLAN技术进行控制。这三种方式的安全性依次降低，各个分行可以根据自己系统的规模分别加以采用。其中业务网络系统又可以分成综合业务子系统、卡业务和清算前置机子系统、总行连接应用子系统以及大楼营业网点子系统；OA网络系统可以分为OA子系统1和OA子系统2，其中前者的安全级别和权限比后者高；各个子系统之间的安全控制采用VLAN技术。局域网络系统的逻辑结构图如下所示：

为了增强内部局域网络系统安全性能，我们可以在局域网络内部配置网络扫描器和系统扫描器，对整个局域网络系统进行漏洞扫描，以便即时发现系统漏洞和弥补系统漏洞。另外还可以在局域网络内部配置桌面病毒防火墙、服务器病毒防火墙和应用病毒防火墙。

支行网点安全建设
支行和网点属于分行内部的网络系统，安全级别的信任度较高，在安全建设方面我们着重从应用级的角度考虑，即开发安全的应用模式。我们可以采用信用级别的开发模式，即不同的业务操作人员享有的不同业务系统操作权限，权限的控制可以采用密码认证的方式或者终端认证的方式，系统可以记录整个日志，出现问题能够即时发现和追踪。

在网络层安全性的控制上面，我们可以采用在分行中心网点接入路由器和网点路由器上面加Aclearcase/" target="_blank" >ccess-list的方式进行控制。另外为了提高网络系统的可靠性，我们可以采用2条不同的专用线路进行冗余备份，另外采用PSTN或者ISDN线路进行备份。为了提高数据在传输过程中的安全性，我们还可以在广域网络传输线路上进行线路加密，支行网点系统的逻辑结构图如下所示：
总行人行安全建设。

1 2 下一页>>

原文转自：http://www.ltesting.net