交通银行网络安全的改造项目 （1）

为了加强交通银行各个分行之间的安全控制，我们在各个分行配置了1台专门的防火墙用于各个分行之间以及分行和总行之间的安全性控制，由于同一单位内的安全信任级别比较高，我们在此采用1台防火墙进行控制即可达到比较高的安全性。 

人民银行连接属于金融内部系统的连接，我们可以接入到分行和总行连接的防火墙中，其中人行的安全级别最底，总行的安全级别居中，分行内部网络的安全级别最高。虽然总行和人行接在同一个防火墙上，我们可以采用策略配置的方式或者路由配置的方式，使人行和总行之间不能够互相连通，在使用效果上达到与采用2台独立防火墙连接同样的效果，这样既节省了投资也达到了同样安全的效果。总行人行系统的逻辑结构图如下所示：
企业银行安全建设。

在企业银行的安全性建设上，我们也采用了1台防火墙来进行控制。虽然在此只采用了1台防火墙，但是我们在内部网络之间建立了1个DMZ1区，用于放置企业银行前置机，在策略配置上面我们采用了二级NAT的方式，使得外部网络系统看不到DMZ1和内部网络系统的IP地址。并且在进行交易时，用户系统只能直接连接到DMZ1区相应的前置机，而不能直接进入到内部网络系统。另外不同企业用户与银行开展的企业银行应用可能各不相同，我们可以针对某些特定的应用建设相应的企业银行CA认证中心，放在防火墙的DMZ2区，以提高整个系统安全性能。企业银行系统的逻辑结构图如下所示：
核心主机安全建设。

核心主机系统是银行里面最关键的系统，上面存储着银行里面最关键的数据信息，因此需要进行特别的防护。在此我们用专门的防火墙进行安全防护，考虑到核心主机系统的可靠性建设，在此我们采用了防火墙的双机备份方式进行防护。核心主机系统的逻辑结构图如下所示：
为了提高核心主机系统的安全防护性能，我们可以在此配置入侵监控器，对连接的应用进行动态的检测和安全防护。

网上银行安全建设
开通网络银行服务后，使得银行的网络系统可能遭到全世界范围黑客的攻击，在此需要进行特别的防护。根据多方面的论证后，我们在此采用双防火墙异构的方式，即采用两种不同的领先的防火墙产品接入到Inte.net上，中间建立1个DMZ区。由于两种不同产品的安全性能和安全漏洞各不相同，因此攻得破第一种防火墙产品的黑客，不一定能够攻得破第二种防火墙产品。网上银行系统的逻辑结构图如下所示：

在真正的网络银行业务开通前，我们还需要在此建立用户的CA认证中心。另外为了提高网上银行系统的安全性能，我们可以在此配置入侵监控器和病毒防火墙，对进入的业务进行相应的安全检测。
移动办公安全建设。

在实际环境中，交通银行外出人员需要拨入银行内部系统进行移动办公，为此需要进行专门的防范。在此我们采用了3A认证软件进行安全控制，3A认证软件不仅拥有认证功能，同时拥有授权功能和计帐功能，能够控制拨入用户的访问权限，同时也能够记录整个访问过程，使得整个系统的安全性能得到加强。移动办公系统的逻辑结构图如下所示：
网络系统安全分析。

Internet上的黑客攻击交通银行网络系统，需要先突破一层防火墙系统才能到达网上银行系统的DMZ区，在此需要经受动态安全的监控和防病毒网关的检测；再突破一层防火墙才能到达内部网络系统。企业银行黑客攻击交通银行，只能先突破一级防护到达防火墙的DMZ1区，到达DMZ1区后再突破另一级防护才能进入内部网络系统。人民银行用户和总行用户只有突破一级防护，才能进入内部网络系统。所有攻到内部网络系统的黑客，要达到相应的应用系统还需要突破内部VLAN之间的控制、动态安全系统的检测和病毒防护系统的检测。在突破内部局域网络系统后，黑客要进入核心主机系统，还需要突破核心主机系统防火墙的控制和入侵监控器的检测。局域网络内部用户也受到VLAN的控制、动态安全系统的检测和病毒防护系统的检测，要到达核心主机也要先突破核心主机系统防火墙的控制和入侵监控器的检测。由此可见，整个网络系统拥有非常高的安全性能和防护性能。

南天公司整体优势
南天公司是银行领域最著名的系统集成公司，拥有国内最优秀的安全系统规划和安全解决方案提供能力，而且精通银行业务系统，拥有一批优秀的业务系统开发工程师和网络系统工程师。安全系统设计不仅需要整体的设计，而且与应用的结合紧密，需要熟悉多种操作系统平台与基础网络系统的综合人才和工程师相互配合，南天公司在这些方面有着无可比拟的优势。从而保障南天公司能够提供最切合用户实际的安全系统解决方案，并保障其顺利的实施和日常的维护支持。
(e129)

<<上一页 1 2

文章来源于领测软件测试网 https://www.ltesting.net/