某銀行儲(chǔ)蓄業(yè)務(wù)的網(wǎng)絡(luò)安全設(shè)計(jì)

徐偉華

摘? 要：文章應(yīng)用網(wǎng)絡(luò)安全技術(shù)，運(yùn)用網(wǎng)絡(luò)監(jiān)控系統(tǒng)、防火墻、反病毒、VPN虛擬專用網(wǎng)、入侵檢測(cè)系統(tǒng)技術(shù)等，根據(jù)某銀行儲(chǔ)蓄業(yè)務(wù)的需求分析，結(jié)合該銀行的網(wǎng)絡(luò)環(huán)境，針對(duì)物理安全、系統(tǒng)安全、網(wǎng)絡(luò)安全、應(yīng)用安全、管理安全等五個(gè)方面，建立相應(yīng)的網(wǎng)絡(luò)安全體系和完善的網(wǎng)絡(luò)安全解決方案。

關(guān)鍵詞：網(wǎng)絡(luò)安全;防火墻;安全技術(shù);安全體系

Abstract： This paper applies network security technology， network monitoring system， firewall， anti-virus， VPN， intrusion detection system technology， etc. According to the demand analysis of a bank's savings business， combined with the Bank's network environment， aiming at physical security， system security， network security， application security and management security， the corresponding network security system and perfect network security solution are established.

1 網(wǎng)絡(luò)安全建設(shè)需求分析

通過(guò)對(duì)銀行的網(wǎng)絡(luò)安全現(xiàn)狀進(jìn)行分析，提出如下的網(wǎng)絡(luò)安全建設(shè)方案：

（1）物理安全。網(wǎng)絡(luò)安全中存在著10%的硬件設(shè)備故障，所以方案應(yīng)包括保護(hù)計(jì)算機(jī)硬件設(shè)備以及通訊鏈路的安全和保障。

（2）系統(tǒng)安全。系統(tǒng)安全中主要的技術(shù)是安全掃描技術(shù)。安全掃描系統(tǒng)是目前最先進(jìn)的系統(tǒng)安全評(píng)估技術(shù)。雖然不能實(shí)時(shí)監(jiān)測(cè)網(wǎng)絡(luò)上的入侵，但通過(guò)掃描監(jiān)測(cè)，及時(shí)發(fā)現(xiàn)安全漏洞，并提出相應(yīng)的安全措施修補(bǔ)，能夠很好地測(cè)試和評(píng)估系統(tǒng)安全性。

（3）網(wǎng)絡(luò)安全。網(wǎng)絡(luò)安全是整個(gè)設(shè)計(jì)的關(guān)鍵和主要部分，實(shí)現(xiàn)網(wǎng)絡(luò)安全，更需要多種技術(shù)部署，設(shè)計(jì)主要以防火墻、入侵檢測(cè)系統(tǒng)、安全隔離網(wǎng)閘以及虛擬網(wǎng)技術(shù)這幾個(gè)方面實(shí)施。

企業(yè)防火墻是指由軟件和硬件設(shè)備構(gòu)成的用于限制企業(yè)內(nèi)網(wǎng)和外網(wǎng)之間流量訪問(wèn)的安全架構(gòu)，防火墻是一種訪問(wèn)控制和隔離技術(shù)，是網(wǎng)絡(luò)安全區(qū)域和不安全區(qū)域的屏障;入侵檢測(cè)系統(tǒng)作為防火墻的合理補(bǔ)充，能夠?qū)崟r(shí)監(jiān)控網(wǎng)絡(luò)安全狀態(tài)，智能發(fā)現(xiàn)入侵行為，記錄并發(fā)出報(bào)警信息，啟動(dòng)響應(yīng)動(dòng)作;在上述兩項(xiàng)技術(shù)的基礎(chǔ)上，加上安全隔離網(wǎng)閘，可以更深入地進(jìn)行網(wǎng)絡(luò)防御體系;VPN技術(shù)，即虛擬專用網(wǎng)絡(luò)，該技術(shù)用于實(shí)現(xiàn)局域網(wǎng)絡(luò)之間通過(guò)Internet公共網(wǎng)絡(luò)安全地傳遞數(shù)據(jù)。

（4）應(yīng)用安全。整個(gè)網(wǎng)絡(luò)中，員工需要利用多個(gè)應(yīng)用來(lái)配合銀行業(yè)務(wù)的運(yùn)作，但不合法的應(yīng)用會(huì)給網(wǎng)絡(luò)帶來(lái)較嚴(yán)重的影響，因此，網(wǎng)絡(luò)安全實(shí)施方案還應(yīng)包括應(yīng)用安全。本設(shè)計(jì)主要利用計(jì)算機(jī)病毒防范技術(shù)和網(wǎng)絡(luò)監(jiān)控技術(shù)。安裝網(wǎng)絡(luò)防病毒系統(tǒng)，主要針對(duì)員工上網(wǎng)應(yīng)用時(shí)的文件與郵件，帶來(lái)的病毒、木馬等入侵破壞，確保計(jì)算機(jī)應(yīng)用的安全。另一方面，通過(guò)網(wǎng)絡(luò)監(jiān)控技術(shù)，對(duì)員工的上網(wǎng)行為以及系統(tǒng)應(yīng)用進(jìn)行合理限制，從而提高應(yīng)用安全。

（5）管理安全。經(jīng)過(guò)制定有效的機(jī)房管理制度、系統(tǒng)管理員要求以及網(wǎng)絡(luò)設(shè)備應(yīng)用準(zhǔn)則，可以管理員工合理上網(wǎng)的行為、保證機(jī)器設(shè)備和人員的安全以及及時(shí)有效地處理突發(fā)事件等。

2 網(wǎng)絡(luò)安全建設(shè)方案設(shè)計(jì)與實(shí)現(xiàn)

根據(jù)對(duì)銀行實(shí)際情況的需求分析，本設(shè)計(jì)在其原有拓?fù)浣Y(jié)構(gòu)上增設(shè)了企業(yè)防火墻、入侵檢測(cè)等硬件設(shè)備，并在內(nèi)部用戶與資源區(qū)之間的交換機(jī)上增加了網(wǎng)絡(luò)管理中心，以及在與外部網(wǎng)絡(luò)設(shè)置VPN技術(shù)連接等部署。根據(jù)網(wǎng)絡(luò)部署，可以將其劃分為4個(gè)區(qū)域：設(shè)備區(qū)、資源區(qū)、用戶區(qū)、外部網(wǎng)絡(luò)。其中設(shè)備區(qū)與外網(wǎng)相連接，內(nèi)部用戶區(qū)實(shí)行對(duì)整個(gè)內(nèi)網(wǎng)的管理運(yùn)作和資源調(diào)度。所以，網(wǎng)絡(luò)安全的重點(diǎn)在于設(shè)備區(qū)、內(nèi)部用戶區(qū)和資源區(qū)。在與外網(wǎng)相連的設(shè)備區(qū)，通過(guò)使用防火墻技術(shù)來(lái)對(duì)內(nèi)網(wǎng)與外網(wǎng)間數(shù)據(jù)進(jìn)出的過(guò)濾，對(duì)訪問(wèn)行為進(jìn)行管理等，安裝入侵檢測(cè)系統(tǒng)對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行監(jiān)測(cè)。在內(nèi)網(wǎng)中，本設(shè)計(jì)在網(wǎng)絡(luò)管理中心部署了網(wǎng)絡(luò)監(jiān)控系統(tǒng)等管理軟件，用以監(jiān)測(cè)和控制內(nèi)網(wǎng)中存在威脅的操作應(yīng)用活動(dòng)。下面將針對(duì)各個(gè)實(shí)現(xiàn)的功能展開(kāi)具體敘述：

2.1 物理安全

本方案設(shè)立以下6個(gè)保護(hù)網(wǎng)絡(luò)設(shè)備物理安全的機(jī)制。

（1）場(chǎng)地基礎(chǔ)設(shè)施應(yīng)符合網(wǎng)絡(luò)安全防范要求，預(yù)防數(shù)據(jù)被通過(guò)線路搭載等其它硬件連接手段而造成內(nèi)部信息泄密。

（2）部署網(wǎng)絡(luò)設(shè)備的地址以及周圍場(chǎng)地環(huán)境以及設(shè)施建設(shè)都必須符合國(guó)家網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全標(biāo)準(zhǔn)，具備防火、防雷、防水、防靜電、防鼠等硬件安全功能，并時(shí)刻維持電源和線路的健全，確保網(wǎng)絡(luò)能正常持續(xù)地運(yùn)行，確保網(wǎng)絡(luò)系統(tǒng)運(yùn)行的安全可靠。

（3）應(yīng)對(duì)突發(fā)事故，事前部署網(wǎng)絡(luò)設(shè)備應(yīng)急計(jì)劃。針對(duì)遭遇停電、線路斷開(kāi)等情況，增設(shè)應(yīng)急電源以及備用線路，并按應(yīng)急計(jì)劃對(duì)網(wǎng)絡(luò)主機(jī)、服務(wù)器等重要設(shè)施采取備份、冗余技術(shù)保護(hù)措施;應(yīng)對(duì)設(shè)施被破壞等災(zāi)難事故，銀行應(yīng)部署備用設(shè)備中心，保證能第一時(shí)間對(duì)網(wǎng)絡(luò)系統(tǒng)運(yùn)作的恢復(fù)。

（4）網(wǎng)絡(luò)設(shè)施所在地應(yīng)禁止閑雜人員出入，工作人員亦應(yīng)注重進(jìn)出衛(wèi)生，避免重要設(shè)備因塵沙侵入而出現(xiàn)的故障。

（5）選擇網(wǎng)絡(luò)安全設(shè)備，應(yīng)符合銀行信息安全管理技術(shù)規(guī)范的安全標(biāo)準(zhǔn)，并核實(shí)是否具備安全部門(mén)的設(shè)備準(zhǔn)用證或國(guó)家有關(guān)部門(mén)的安全產(chǎn)品許可證書(shū)。

（6）工作人員應(yīng)熟悉網(wǎng)絡(luò)設(shè)施的操作，并定期對(duì)網(wǎng)絡(luò)設(shè)施進(jìn)行檢查、記錄維修情況、進(jìn)行設(shè)施維護(hù)、保養(yǎng)等操作。

2.2 系統(tǒng)安全

在網(wǎng)絡(luò)上設(shè)立安全掃描系統(tǒng)，制定程序計(jì)劃，對(duì)網(wǎng)絡(luò)上的終端機(jī)、服務(wù)器等設(shè)備進(jìn)行漏洞掃描，以預(yù)防因系統(tǒng)漏洞而造成的網(wǎng)絡(luò)入侵和信息泄密事件。系統(tǒng)中存在的漏洞和弱點(diǎn)是黑客最常利用的最有機(jī)可乘的地方，通過(guò)對(duì)系統(tǒng)的掃描，及時(shí)發(fā)現(xiàn)系統(tǒng)中存在的漏洞，同時(shí)得到的結(jié)果報(bào)告和掃描日志還可以提供給網(wǎng)絡(luò)管理中心，作為對(duì)整個(gè)網(wǎng)絡(luò)現(xiàn)狀審查的部分，使得管理員能夠機(jī)智準(zhǔn)確的把握網(wǎng)絡(luò)的運(yùn)行狀況。

2.3 網(wǎng)絡(luò)安全

本設(shè)計(jì)選擇在網(wǎng)絡(luò)管理中心設(shè)置管理端和服務(wù)端，部署網(wǎng)絡(luò)型安全掃描器X-Scan 3.3-cn，掃描目標(biāo)為企業(yè)大型主機(jī)、企業(yè)服務(wù)器以及用戶區(qū)域計(jì)算機(jī)組。

安全掃描器首先在管理端做好相關(guān)配置以及指定掃描目標(biāo)，然后將掃描任務(wù)指令發(fā)送給服務(wù)端，服務(wù)端接收到管理端的掃描開(kāi)始命令后立即對(duì)目標(biāo)發(fā)送檢測(cè)數(shù)據(jù)包，進(jìn)行掃描;此后，被掃描目標(biāo)會(huì)返回響應(yīng)信息，經(jīng)由服務(wù)端對(duì)信息進(jìn)行分析記錄以及向管理端傳回掃描結(jié)果。這時(shí)，網(wǎng)絡(luò)管理員可以根據(jù)傳回的掃描結(jié)果，針對(duì)發(fā)現(xiàn)的安全漏洞進(jìn)行安裝補(bǔ)丁、修復(fù)等操作，并結(jié)合下述的防火墻以及入侵檢測(cè)系統(tǒng)，對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行有效配置，以實(shí)現(xiàn)全面的網(wǎng)絡(luò)安全防御體系。

2.4 應(yīng)用安全

在與外網(wǎng)相連的設(shè)備區(qū)，使用防火墻技術(shù)來(lái)對(duì)內(nèi)網(wǎng)與外網(wǎng)間數(shù)據(jù)進(jìn)出的過(guò)濾，對(duì)訪問(wèn)行為進(jìn)行管理等。企業(yè)防火墻是針對(duì)外部網(wǎng)絡(luò)的絕大部分攻擊，結(jié)合軟件和物理設(shè)備的安全防御措施。防火墻是一種訪問(wèn)控制和隔離技術(shù)，是網(wǎng)絡(luò)安全區(qū)域的屏障。作為內(nèi)網(wǎng)的安全網(wǎng)關(guān)，企業(yè)防火墻可以確保內(nèi)網(wǎng)免受外網(wǎng)非法用戶的入侵。其主要通過(guò)服務(wù)訪問(wèn)規(guī)則、驗(yàn)證技術(shù)、包過(guò)濾和應(yīng)用網(wǎng)關(guān)等功能，使流入流出的所有信息被檢測(cè)被控制，所有具有安全隱患的流量都可以被拒絕轉(zhuǎn)發(fā)。

2.5 管理安全

本方案制定了網(wǎng)絡(luò)管理制度，內(nèi)容如下。

（1）機(jī)房管理制度。機(jī)房為網(wǎng)絡(luò)管理的中心，任何人不得隨意進(jìn)入，而機(jī)房人員不得擅自離崗或進(jìn)入與自己無(wú)關(guān)的區(qū)域。同時(shí)，機(jī)房電源開(kāi)關(guān)應(yīng)妥善管理，不得隨意開(kāi)關(guān);機(jī)房?jī)?nèi)設(shè)備和線路保持整齊有序以及標(biāo)記識(shí)別等。另外，機(jī)房應(yīng)注重和保持衛(wèi)生清潔，盡量隔絕灰塵，地板和設(shè)備機(jī)柜等保持干凈干燥。網(wǎng)絡(luò)管理中心要嚴(yán)格遵守安全用電的有關(guān)規(guī)定，注重保證機(jī)器設(shè)備和人員的安全，避免造成損失。

（2）系統(tǒng)管理員要求。網(wǎng)絡(luò)管理中心應(yīng)加強(qiáng)對(duì)網(wǎng)絡(luò)的管理，維持整體網(wǎng)絡(luò)的穩(wěn)定運(yùn)轉(zhuǎn)，并應(yīng)能及時(shí)解決網(wǎng)絡(luò)故障，正確應(yīng)對(duì)網(wǎng)路突發(fā)事件。同時(shí)，管理員本身應(yīng)注重加強(qiáng)自身網(wǎng)絡(luò)安全技術(shù)的學(xué)習(xí)和提升，保證能對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行維護(hù)和更新工作。

（3）網(wǎng)絡(luò)設(shè)備應(yīng)用準(zhǔn)則。所有用戶應(yīng)明確網(wǎng)絡(luò)設(shè)備的操作規(guī)范，不得違反網(wǎng)絡(luò)管理中心制定的應(yīng)用規(guī)則，不得擅自改動(dòng)計(jì)算機(jī)設(shè)備或破壞通信鏈路。突發(fā)事件發(fā)生時(shí)，優(yōu)先保證人員安全，接著應(yīng)保障數(shù)據(jù)安全，然后是設(shè)備安全。當(dāng)受到病毒、木馬攻擊或非法入侵時(shí)，應(yīng)冷靜判斷破壞的來(lái)源和性質(zhì)，斷開(kāi)來(lái)源的網(wǎng)絡(luò)物理鏈接，并爭(zhēng)取及時(shí)恢復(fù)系統(tǒng)，修復(fù)信息。

3 結(jié)束語(yǔ)

總結(jié)全文，通過(guò)對(duì)某銀行的拓?fù)洮F(xiàn)狀分析，針對(duì)性地為網(wǎng)絡(luò)結(jié)構(gòu)的薄弱處增設(shè)安全設(shè)備及安裝軟件，加上整體安全規(guī)劃的結(jié)合，設(shè)計(jì)出來(lái)的網(wǎng)絡(luò)安全系統(tǒng)達(dá)到了研究目的，總體上完成了該銀行網(wǎng)絡(luò)安全系統(tǒng)的設(shè)計(jì)。當(dāng)然，由于技術(shù)上的原因以及條件的限制等多方面影響，加上網(wǎng)絡(luò)技術(shù)的與時(shí)俱進(jìn)，以及網(wǎng)絡(luò)設(shè)計(jì)難以達(dá)到完美的客觀原因，設(shè)計(jì)出來(lái)的系統(tǒng)還存在很多不足的地方。

參考文獻(xiàn)：

[1]王瑞梁.新時(shí)期企業(yè)網(wǎng)絡(luò)管理的現(xiàn)狀及對(duì)策研究[J].電腦與電信，2017（02）：47-48.

[2]汪新輝.現(xiàn)代通信網(wǎng)絡(luò)安全防護(hù)技術(shù)的應(yīng)用[J].無(wú)線互聯(lián)科技，2016（14）：143-144.

[3]雷震甲.網(wǎng)絡(luò)工程師教程[M].北京：清華大學(xué)出版社，2014.

[4]劉永華.計(jì)算機(jī)網(wǎng)絡(luò)信息安全[M].北京：清華大學(xué)出版社，2014.