为银行网络、网上交易构建高安全的整体网络安全解决方案。

　　网新易尚根据银行网络系统安全架构和银行安全需求分析，提出了银行整体网络安全解决方案，具体包括: 在网络层划分安全域，部署防火墙系统、入侵

　　检测系统、网络漏洞扫描系统、拨号监视器系统、防拒绝服务攻击系统；在系统层部署主机访问控制系统、系统漏洞扫描系统、病毒防范系统；在应用层采用一次性口令身份认证系统、CA认证中心；在管理层制订安全管理策略，部署日志分析系统，建立安全管理中心。

　　下面针对一个覆盖全国各省市、区县，同时还与许多单位连接的银行网络说明如何解决其网络安全问题。

　　1．网络访问控制系统

　　划分安全域 对安全系数要求高的安全域，在其边界部署防火墙，对安全系数要求较低的安全域的边界则可以使用VLAN或访问控制列表来代替。为了提高银行网络的安全性和可靠性，在总行、各省市行、区县行对不同系统划分不同安全域。

　　访问控制措施 根据安全域的划分，在不同安全域边界间采用不同的安全措施: 各级银行内部办公系统与公网之间安装防火墙系统，业务网与Internet公网完全物理隔离，内部办公系统中不同部门或不同安全级别的用户组利用交换机划分虚拟子网技术划分不同子网，做到较简单的访问控制。

　　2．入侵检测系统

　　在银行网络系统中，对不同安全域的边界或其他存放涉密信息的关键网段部署入侵检测系统，实时监测进出网络的数据流。

　　3．风险评估系统

　　利用现有的网络安全扫描系统，分析网络系统结构、配置等是否存在安全漏洞。依据结果，增加安全补丁及填补安全漏洞。

　　4．主机访问控制系统

　　采用主机访问控制系统加固Unix主机、Windows NT/2000/XP、业务主机与备份主机、PC服务器，根据安全可靠性需求，增强操作系统的安全等级(部分指标可达到安全B级)，并分析提出加固措施。

　　5．病毒防范系统

　　在银行网络系统可能的病毒攻击点或通道中部署一套全方位的病毒防范系统，包括银行的生产系统、OA系统、中间业务系统中的客户端计算机、应用服务器、Internet/外网网关边界处部署防病毒设备，并配置防病毒系统管理中心，对所有防病毒软件进行集中管理、监控、统一升级、集中查杀毒。

　　6．一次性口令身份认证系统

　　提供强大的动态口令牌身份认证工具及认证服务器，确保企业用户访问企业内部资源的安全性。

　　7．信息传输加密系统

　　在每一级网络配备的防火墙系统与边界路由器之间配备网络层加密机。网上银行、网上交易业务可以在应用层采用SET或SSL协议进行应用层加密，并通过数字签名等技术来保证网上交易数据的机密性、完整性及不可抵赖性。

　　8．防拒绝服务攻击系统

　　在银行网络系统总行、省市行、区县行各级OA系统与Internet出口边界处，分别配备DoS攻击网关系统，以抵御各种网络拒绝服务攻击。

　　9．拨号监视器系统

　　在各级OA系统部署拨号监控系统控制和监视内部用户非法拨号的行为，对指定IP范围内的机器进行监测。

　　10．CA认证中心系统

　　根据网络的系统结构，构建一个与整个网络的系统结构相对应的安全认证中心（CA系统）。由根CA中心、区域CA中心、RA三级结点构成的层次结构。