銀行網(wǎng)絡(luò)安全設(shè)計方案

1、精選優(yōu)質(zhì)文檔-傾情為你奉上目錄1125677991010111221213131314151 銀行系統(tǒng)的安全設(shè)計1.1銀行網(wǎng)絡(luò)基本情況隨著信息技術(shù)的發(fā)展，社會的信息化程度提高了，網(wǎng)絡(luò)銀行、電子銀行出現(xiàn)了，整個銀行業(yè)、金融業(yè)都依賴于信息系統(tǒng)。交易網(wǎng)絡(luò)化、系統(tǒng)化、快速化和貨幣數(shù)字經(jīng)是當(dāng)前金融業(yè)的特點，這對金融信息系統(tǒng)的安全保密性提出了嚴(yán)格的要求。金融信息系統(tǒng)必須保證金融交易的機(jī)密性、完整性、訪問控制、鑒別、審計、追蹤、可用性、抗抵賴性和可靠性。為了適應(yīng)金融業(yè)的需要，各家銀行都投資建網(wǎng)。但是，由于各種因素的制約，網(wǎng)絡(luò)的安全體系不完善，安全措施不完備，存在嚴(yán)重的安全漏洞和安全隱患。這些安全漏洞和隱患有

2、可能造成中國的金融風(fēng)暴，給國家?guī)碇卮髶p失，因此必須采取強(qiáng)有力的措施，解決銀行網(wǎng)絡(luò)的安全問題。某鎮(zhèn)浦發(fā)銀行系統(tǒng)在鎮(zhèn)中共有兩處營業(yè)點，其中一營業(yè)點與鎮(zhèn)分理處相距1500米，主要有一層樓用于銀行辦理業(yè)務(wù)，另一營業(yè)點與分理處在一處辦公，是二層樓，一層是營業(yè)點，二層是分理處，各司其職。1.2鎮(zhèn)銀行各部門分配1.2.1公司業(yè)務(wù)部主要負(fù)責(zé)對公業(yè)務(wù)，審核等。1.2.2個人業(yè)務(wù)部主要負(fù)責(zé)個人業(yè)務(wù)，居民儲蓄，審核。1.2.3國際業(yè)務(wù)部主要負(fù)責(zé)國際打包放款，國際電匯，外匯結(jié)算等。1.2.4資金營運部主要是資金結(jié)算。1.2.5信貸審批部負(fù)責(zé)各類貸款審批等。1.2.6風(fēng)險管理部就是在銀行評估、管理、解決業(yè)務(wù)風(fēng)險的部門

3、。銀行的業(yè)務(wù)風(fēng)險主要有：信貸的還款風(fēng)險、會計的結(jié)算風(fēng)險、新業(yè)務(wù)的試水風(fēng)險、財務(wù)的管理風(fēng)險、業(yè)務(wù)文件的法律風(fēng)險等等。所有這些風(fēng)險的控制，特別是前三類業(yè)務(wù)的風(fēng)險控制，都是由風(fēng)險管理部牽頭制訂解決辦法的。1.2.7會計結(jié)算部安全防范為主題，強(qiáng)化會計結(jié)算基礎(chǔ)管理工作，攬存增儲、中間業(yè)務(wù)、保險、基金等各項任務(wù)，全員的防范意識、業(yè)務(wù)素質(zhì)、核算質(zhì)量、服務(wù)技能工作，加強(qiáng)管理、監(jiān)督、檢查與輔導(dǎo)，指導(dǎo)全員嚴(yán)格按照規(guī)章制度和操作流程辦理業(yè)務(wù)，加強(qiáng)人員培訓(xùn)，提高業(yè)務(wù)素質(zhì)和核算質(zhì)量。1.2.8出納保衛(wèi)部主要負(fù)責(zé)現(xiàn)金管理、安全檢查、監(jiān)控管理、消防安全等安保工作。1.2.9科技部主要負(fù)責(zé)銀行計算機(jī)軟硬件方面的維護(hù)。1.2.

4、10人力資源部主要負(fù)責(zé)銀行內(nèi)部人員的考勤。1.3銀行網(wǎng)絡(luò)安全現(xiàn)狀1.3.1浦發(fā)銀行安全現(xiàn)狀現(xiàn)在，信息攻擊技術(shù)發(fā)展很快，攻擊手段層出不窮，但銀行網(wǎng)絡(luò)日前的安全措施大部分僅是保密，極少采用數(shù)字簽名，認(rèn)證機(jī)制不健全，這完全不適應(yīng)現(xiàn)代金融系統(tǒng)的安全需求。具體表現(xiàn)在以下五個方面：1）有投入，有人員，但投入不夠，人員不固定。遇有沖突，立刻舍棄；只求速上，不求正常、配套、協(xié)調(diào)建設(shè)，從根本上沒有改變以前輕視安全的做法。 2）對整個網(wǎng)絡(luò)建設(shè)缺乏深入、細(xì)致、具體的安全體系研究，更缺乏建立安全體系的迫切性。3）有制度、措施、標(biāo)準(zhǔn)，但不完備，也沒有認(rèn)真執(zhí)行，大部分流于形式，缺乏安全宣傳教育。 4）缺乏有效的監(jiān)督檢查措

5、施。5）從根本上沒有處理好發(fā)展與安全的關(guān)系。1.3.2浦發(fā)銀行網(wǎng)絡(luò)系統(tǒng)所面臨的安全威脅和風(fēng)險由于金融信息系統(tǒng)中處理、傳輸、存貯的都是金融信息，對其進(jìn)行攻擊將獲得巨額的金錢，而且，對金融信息系統(tǒng)的攻擊，可能造成國家經(jīng)濟(jì)命脈的癱瘓和國家經(jīng)濟(jì)的崩潰，因此金融信息系統(tǒng)面臨著巨大的風(fēng)險和威脅。銀行網(wǎng)絡(luò)系統(tǒng)面臨的攻擊手段較多，既有來自外部的，也有來自內(nèi)部的。由于對銀行網(wǎng)絡(luò)系統(tǒng)的攻擊可以獲得較大的經(jīng)濟(jì)、政治、軍事利益，因此銀行網(wǎng)絡(luò)系統(tǒng)成為敵對國家、犯罪集團(tuán)、高智商犯罪分子的首選攻擊目標(biāo)。針對信息系統(tǒng)的新型攻擊手段應(yīng)運而生，各種被動攻擊手段、主動攻擊手段層出不窮。攻擊者利用各種高科技手段和儀器，利用網(wǎng)絡(luò)協(xié)議本

6、身的不安全性，路由器、口令文件、X11、Gopher的安全隱患，JavaApplet、Activex，CGI，數(shù)據(jù)庫的安全隱患和其他計算機(jī)軟硬件產(chǎn)品的不安全性，對信息系統(tǒng)實施攻擊。對于金融信息系統(tǒng)，更嚴(yán)重的威脅來自各種主動攻擊手段。主動攻擊手段較多，如偽造票據(jù)、假冒客戶、交易信息篡改與重放、交易信息銷毀、交易信息欺詐與抵賴、非授權(quán)訪問、網(wǎng)絡(luò)間諜、“黑客”人侵、病毒傳播、特洛伊木馬、蠕蟲程序、邏輯炸彈等。這些攻擊完全能造成金融信息系統(tǒng)癱瘓、資金流失或失蹤。這些攻擊可能來自內(nèi)部，也可能來自外部。各種攻擊將給金融信息系統(tǒng)造成以下幾種危害：1）非法訪問：銀行網(wǎng)絡(luò)是一個遠(yuǎn)程互連的金融網(wǎng)絡(luò)系統(tǒng)。現(xiàn)有網(wǎng)絡(luò)系

7、統(tǒng)利用操作系統(tǒng)網(wǎng)絡(luò)設(shè)備進(jìn)行訪問控制，而這些訪問控制強(qiáng)度較弱，攻擊者可以在任一終端利用現(xiàn)有的大量攻擊工具發(fā)起攻擊；由于整個網(wǎng)絡(luò)通過公用網(wǎng)絡(luò)互連同樣存在終端進(jìn)行攻擊的可能；另一方面銀行開發(fā)的很多增值業(yè)務(wù)、代理業(yè)務(wù)，存在大量與外界互連的接口這些接口現(xiàn)在沒有強(qiáng)的安全保護(hù)措施存在外部網(wǎng)絡(luò)通過這些接口攻擊銀行，可能造成巨大損失。2）竊取PIN/密鑰等敏感數(shù)據(jù)：銀行信用卡系統(tǒng)和柜臺系統(tǒng)采用的是軟件加密的形式保護(hù)關(guān)鍵數(shù)據(jù)，軟件加密采用的是公開加密算法（DES），因此安全的關(guān)鍵是對加密密鑰的保護(hù)，而軟件加密最大的安全隱患是無法安全保存加密密鑰，程序員可修改程序使其運行得到密鑰從而得到主機(jī)中敏感數(shù)據(jù)。3)假冒終端

8、/操作員：銀行網(wǎng)絡(luò)中存在大量遠(yuǎn)程終端通過公網(wǎng)與銀行業(yè)務(wù)前置機(jī)相連國內(nèi)銀行以出現(xiàn)多起在傳輸線路上搭接終端的案例。銀行網(wǎng)絡(luò)同樣存在大量類似安全隱患?，F(xiàn)有操作員身份識別唯一，但口令的安全性非常弱因此存在大量操作員假冒的安全風(fēng)險。4)截獲和篡改傳輸數(shù)據(jù)：銀行現(xiàn)有網(wǎng)絡(luò)系統(tǒng)通過公網(wǎng)傳輸大量的數(shù)據(jù)沒有加密，由于信息量大且采用的是開放的TCP/IP，現(xiàn)有的許多工具可以很容易的截獲、分析甚至修改信息，主機(jī)系統(tǒng)很容易成為被攻擊對象。5)網(wǎng)絡(luò)系統(tǒng)可能面臨病毒的侵襲和擴(kuò)散的威脅： 黑客侵?jǐn)_類似于網(wǎng)絡(luò)間諜，但前者沒有政治和經(jīng)濟(jì)目的，利用自己精通計算機(jī)知識，利用他人編程的漏洞，侵入金融信息系統(tǒng)，調(diào)閱各種資料，篡改他人的資

9、料，將機(jī)密信息在公用網(wǎng)上散發(fā)廣播等。 計算機(jī)病毒是一種依附在各種計算機(jī)程序中的一段具有破壞性、能自我繁衍的計算機(jī)程序，它通過軟盤、終端或其它方式進(jìn)入計算機(jī)系統(tǒng)或計算機(jī)網(wǎng)絡(luò)，引起整個系統(tǒng)或網(wǎng)絡(luò)紊亂，甚至造成癱瘓。6)其他安全風(fēng)險：主要有系統(tǒng)安全（主要有操作系統(tǒng)、數(shù)據(jù)庫的安全配置）以及系統(tǒng)的安全備份等。1.3.3浦發(fā)銀行網(wǎng)絡(luò)系統(tǒng)安全分析1)沒有較完善的安全體系： 目前，銀行網(wǎng)絡(luò)系統(tǒng)的問題緣自沒有進(jìn)行安全體系的研究。采用的安全方案比較單一，僅能防止從信道上偵收信息，不能阻止來自業(yè)務(wù)系統(tǒng)和用戶的網(wǎng)絡(luò)攻擊，不能適應(yīng)銀行網(wǎng)絡(luò)系統(tǒng)的安全需求。2)沒有較完備的安全保密措施： 由于銀行網(wǎng)絡(luò)系統(tǒng)沒有較完善的安全體

10、系，采取的安全措施不完備，不能防御所有的威脅和攻擊。3)沒有建立安全預(yù)防中心： 目前，銀行網(wǎng)絡(luò)系統(tǒng)沒有建立全網(wǎng)的安全監(jiān)控預(yù)警系統(tǒng)，或稱為安全防預(yù)中心。全網(wǎng)的安全監(jiān)控預(yù)警系統(tǒng)備有先進(jìn)的安全技術(shù)和設(shè)備，監(jiān)察網(wǎng)上的異?；顒印⒎前踩顒?，監(jiān)視骨干網(wǎng)、骨干網(wǎng)設(shè)備及信息是否安全。全網(wǎng)的安全監(jiān)控預(yù)警系統(tǒng)負(fù)責(zé)安排骨干網(wǎng)的安全技術(shù)設(shè)備、措施和程序，如各種跟蹤、預(yù)警和記錄黑客、破壞者活動和重大活動。4) 網(wǎng)絡(luò)間沒有配置相應(yīng)的防火墻: 在銀行內(nèi)部各個業(yè)務(wù)部門網(wǎng)絡(luò)之間、在等級不一的各安全區(qū)之間、在不同業(yè)務(wù)系統(tǒng)之間、在不同數(shù)據(jù)庫之間、從不同金融機(jī)構(gòu)進(jìn)入，一般應(yīng)有57道安全措施。而在銀行網(wǎng)絡(luò)系統(tǒng)中，沒有層層設(shè)防的安全措施

11、，如配置相應(yīng)的防火墻。5)沒有采用先進(jìn)的硬件和軟件加密技術(shù)和設(shè)備： 銀行的業(yè)務(wù)系統(tǒng)、網(wǎng)絡(luò)和通信都有各自先進(jìn)的軟件加密和硬件加密，而且還應(yīng)用了第三代、第四代加密技術(shù)。業(yè)務(wù)系統(tǒng)、網(wǎng)絡(luò)和通信采用不同商家的安全保密產(chǎn)品。目前，銀行網(wǎng)絡(luò)系統(tǒng)只在遠(yuǎn)程通信采用了加密措施，設(shè)有專用的硬件和軟件加密技術(shù)和設(shè)備。6)沒有配備反病毒的安全措施： 由于網(wǎng)上病毒的增加，破壞性日益增大，金融機(jī)構(gòu)都強(qiáng)化了反病毒的安全措施，包括過濾通信中的信息病毒、電子郵件中的病毒、WWW中的病毒，對網(wǎng)絡(luò)及網(wǎng)絡(luò)上的設(shè)備系統(tǒng)進(jìn)行反病毒的掃描。銀行網(wǎng)絡(luò)系統(tǒng)沒有配備網(wǎng)絡(luò)反病毒的監(jiān)管系統(tǒng)。7)在交換機(jī)上沒有設(shè)置足夠的安全措施： ATM和幀中繼交換機(jī)

12、是網(wǎng)絡(luò)和通信的要害設(shè)備。外國金融機(jī)構(gòu)極為重視交換機(jī)的安全措施，用安全防預(yù)中心的設(shè)備對交換機(jī)進(jìn)行三A控制，即鑒別、授權(quán)、審計。我國銀行網(wǎng)絡(luò)沒有在所有交換機(jī)上設(shè)置完整的三A安全控制。1.4現(xiàn)象分析浦發(fā)銀行系統(tǒng)在鎮(zhèn)中共有兩處營業(yè)點，其中一營業(yè)點與鎮(zhèn)分理處相距1500米，所以兩銀行之間用光纖連接；該銀行共有14個部門，每個部門都在不同的vlan中，通過對交換機(jī)的設(shè)置，不同vlan間不能相互訪問，保證銀行網(wǎng)絡(luò)的數(shù)據(jù)信息安全；該銀行人力資源部門設(shè)有指紋檢測系統(tǒng)，銀行內(nèi)部的人員每天都要在指紋檢測器上按指紋。其中個人業(yè)務(wù)部、資金營運部、風(fēng)險管理部、計財部、會計總結(jié)部和人力資源部在營業(yè)點的一樓，公司業(yè)務(wù)部、國際

13、業(yè)務(wù)部、信貸審批部、合規(guī)部、出納保衛(wèi)部、科技部和內(nèi)審部在分理處的二樓，總共有19個房間，每個房間四個數(shù)據(jù)點和四個語音點，共76個數(shù)據(jù)點和76個語音點，需要兩個核心交換機(jī)，兩個匯聚交換機(jī)，四個接入交換機(jī)，一臺路由器，一個防火墻，一個FTP服務(wù)器，一個WEB服務(wù)器，供銀行內(nèi)部人員上傳和下載資料，個人業(yè)務(wù)部內(nèi)個人儲蓄的信息所有計算機(jī)都可以共享。二銀行系統(tǒng)的網(wǎng)絡(luò)拓?fù)鋱D及說明在本方案中我們從浦發(fā)銀行各種業(yè)務(wù)和各個部門的連接進(jìn)行網(wǎng)絡(luò)安全方面的設(shè)計。在網(wǎng)絡(luò)的對外出口處以及內(nèi)部各部門的連接都設(shè)置防火墻將是最理想的選擇，因此我們在本方案中建議浦發(fā)銀行在所有與外部網(wǎng)出口都配置NetScreen系列防火墻，以及在總

14、行與分行的業(yè)務(wù)網(wǎng)的連接處也配置防火墻，對外防止黑客入侵，對內(nèi)以防止內(nèi)部人員的惡意攻擊或由于內(nèi)部人員造成的網(wǎng)絡(luò)安全問題。本方案中主要用到NetScreen-10和NetScreen-100，在總部與各部門連接點采用NetScreen-100作為防火墻，同時在重要的業(yè)務(wù)連接點采用NetScreen獨特的多機(jī)備份技術(shù)用兩臺作為熱備份，保證整個系統(tǒng)的網(wǎng)絡(luò)安全。在各部門采用NetScreen-10防火墻，為連接各銀行網(wǎng)點提供安全防護(hù)。另銀行通過INTERNET網(wǎng)上進(jìn)行業(yè)務(wù)時，由于分行與INTERNE都有出口，也帶來了一定的風(fēng)險，我們建議在連接INTERNET的出口上也配置NetScreen-10防火墻。

15、防火墻H3C RT-MSR3020-AC-H3服務(wù)器H3c s5500-24P-SIH3c s5500-24P-SIH3c LS-3600-28P-SIH3c LS-3600-28P-SIH3C LS-5024P-LI-AC圖2-1網(wǎng)絡(luò)拓?fù)鋱D3 銀行系統(tǒng)的網(wǎng)絡(luò)安全部署圖及說明3.1敏感數(shù)據(jù)區(qū)的保護(hù) 銀行系統(tǒng)內(nèi)存在許多敏感數(shù)區(qū)域（如銀行業(yè)務(wù)系統(tǒng)主機(jī)等），這些敏感的數(shù)據(jù)區(qū)域要求嚴(yán)格保密，對訪問的權(quán)限有嚴(yán)格的限制，但所有的主機(jī)處于同一個網(wǎng)絡(luò)系統(tǒng)之內(nèi)，如不加以控制，這樣很容易造成網(wǎng)內(nèi)及網(wǎng)外的惡意攻擊，所以在這些數(shù)據(jù)區(qū)域的出入口要加以嚴(yán)格控制，在這些地方放置防火墻，防火墻執(zhí)行以下控制功能。3.1.1對來

16、訪數(shù)據(jù)包進(jìn)行過濾，只允許驗證合法主機(jī)數(shù)據(jù)包通過，禁止一切非授權(quán)主機(jī)訪問。3.1.2對來訪用戶進(jìn)行驗證。防上非法用戶侵入。3.1.3運用網(wǎng)絡(luò)地址轉(zhuǎn)換及應(yīng)用代理使數(shù)據(jù)存儲區(qū)域與業(yè)務(wù)前端主機(jī)隔離，業(yè)務(wù)前端主機(jī)不直接與數(shù)據(jù)存儲區(qū)域建立網(wǎng)絡(luò)連接，所有的數(shù)據(jù)訪問通過防火墻的應(yīng)用代理完成，以保證數(shù)據(jù)存儲區(qū)域的安全。主機(jī)前端業(yè)務(wù)系統(tǒng)及業(yè)務(wù)處理系統(tǒng)NetScreen-100交換機(jī)主機(jī)圖3-1敏感數(shù)據(jù)區(qū)保護(hù)方案3.2通迅線路數(shù)據(jù)加密在銀行的廣域網(wǎng)傳輸系統(tǒng)中，從總行到分行、分行到支行、支行到分理處等，廣泛應(yīng)用到幀中繼、X.25、DDN、PSTN等等之類的通用線路，但這些線路大多數(shù)都是由通訊公司提供，與許多用戶在一套

17、系統(tǒng)上使用他們的業(yè)務(wù)，由于這些線路都是暴露在公共場所，這樣很容易造成數(shù)據(jù)被盜。傳輸數(shù)據(jù)當(dāng)中如果不進(jìn)行數(shù)據(jù)加密，后果可想而知。所以對數(shù)據(jù)傳輸加密這是一非常重要的環(huán)節(jié)。對網(wǎng)絡(luò)數(shù)據(jù)加密大致分為以下幾處區(qū)域：3.2.1應(yīng)用層加密建立應(yīng)用層加密，應(yīng)用程序?qū)ν饨缃粨Q數(shù)據(jù)時進(jìn)行數(shù)據(jù)加密。主要優(yōu)點是使用方便、網(wǎng)絡(luò)中數(shù)據(jù)從源點到終點均得到保護(hù)、加密對網(wǎng)絡(luò)節(jié)點透明。缺點是某些信息必須以明文形式傳輸，容易被分析。此種加密已被廣泛應(yīng)用于各應(yīng)用程序當(dāng)中，并有相應(yīng)的標(biāo)準(zhǔn)。3.2.2基于網(wǎng)絡(luò)層的數(shù)據(jù)加密在總部到各分行，以及分行到支行建議采用VPN加密技術(shù)進(jìn)行數(shù)據(jù)加密。VPN是通過標(biāo)準(zhǔn)的加密算法，對傳輸數(shù)據(jù)進(jìn)行加密，在公用網(wǎng)

18、上建立數(shù)據(jù)傳輸?shù)募用堋八淼馈?。加密實現(xiàn)是在IP層，與具體的廣域網(wǎng)協(xié)議無關(guān)，也就是說適應(yīng)不同的廣域網(wǎng)信道（DDN、X.25、幀中繼、PSTN等）。由于VPN技術(shù)已經(jīng)擁有標(biāo)準(zhǔn)，因此所有的VPN產(chǎn)品可以實現(xiàn)互通。當(dāng)然，銀行可根據(jù)自身的需要，可選用專用加密設(shè)備進(jìn)行數(shù)據(jù)傳輸加密。分行業(yè)務(wù)系統(tǒng)總業(yè)務(wù)系統(tǒng)NetScreen-100DDN/FRNetScreen-100數(shù)據(jù)加密通道圖3-2利用VPN技術(shù)對數(shù)據(jù)傳輸進(jìn)行加密3.3防火墻自身的保護(hù)要保護(hù)網(wǎng)絡(luò)安全，防火墻本身要保證安全，由于系統(tǒng)供電、硬件故障等特殊情況的發(fā)生，使防火墻系統(tǒng)癱瘓，嚴(yán)重阻礙網(wǎng)絡(luò)通訊，網(wǎng)絡(luò)的安全就無法保證，所以要求防求防火墻有冗余措施及足夠

19、防攻擊的能力。NetScreen-100交換機(jī)DMZ區(qū)外網(wǎng)交換機(jī)NetScreen-100交換機(jī)內(nèi)網(wǎng)圖3-3防火墻雙機(jī)備份方案四.系統(tǒng)的網(wǎng)絡(luò)設(shè)備選型及說明4.1核心層交換機(jī)型號：H3C S5500-24P-SI 價格：￥8800 交換機(jī)：千兆以太網(wǎng)交換機(jī) 應(yīng)用層級：三層交換 傳輸速率：10/100/1000 交換機(jī)接口：10/100/1000M SFP Combo 網(wǎng)管功能：支持XModem/FTP/TFTP加載升級、支持命令行接口（CLI）, Telnet, Console口進(jìn)行配置、支持SNMPv1/v2/v3, WEB網(wǎng)管、支持RMON(Remote Monitoring)告警、事件、歷

20、史記錄、支持iMC智能管理中心、支持系統(tǒng)日志, 分級告警, 調(diào)試信息輸出、支持HGMPv2、支持NTP、支持電源的告警功能，風(fēng)扇、溫度告警、支持Ping、Tracert、支持VCT、(Virtual Cable Test)電纜檢測功能、支持DLDP(Device Link Detection Protocol)單向鏈路檢測協(xié)議、支持Loopback-detection 端口環(huán)回檢測 背板帶寬：192Gbps4.2匯聚層交換機(jī)型號：H3C LS-3600-28P-SI價格：￥4900交換機(jī)：千兆以太網(wǎng)交換機(jī) 應(yīng)用層級：三層 傳輸速率：10/100/1000 交換機(jī)接口：10/100BASE-T,

21、 1000BASE-SFP 網(wǎng)管功能：支持命令行接口配置,支持Telnet遠(yuǎn)程配置,支持通過Console口配置,支持SNMP,支持WEB網(wǎng)管,支持系統(tǒng)日志,支持分級告警背板帶寬：32Gbps包轉(zhuǎn)發(fā)率：9.6Mpps MAC地址表：16K VLAN功能：支持 網(wǎng)管支持：可網(wǎng)管型 端口結(jié)構(gòu)：固定端口 接口數(shù)量：24個 網(wǎng)絡(luò)標(biāo)準(zhǔn)：IEEE 802.1D, IEEE 802.1w, IEEE 802.1s 模塊化插槽數(shù)：4個 堆疊功能：不可堆疊4.3接入層交換機(jī)型號：H3C LS-5024P-LI-AC 價格：￥3650 交換機(jī)：企業(yè)級交換機(jī) 應(yīng)用層級：二層 傳輸速率：10/100/1000 交換機(jī)

22、接口：10/100/1000Base-T, SFP 網(wǎng)管功能：支持命令行接口CLI（Command Line Interface）配置, 支持通過Console口配置, 支持WEB網(wǎng)管背板帶寬：48Gbps 包轉(zhuǎn)發(fā)率：36Mpps MAC地址表：8K VLAN功能：支持 網(wǎng)管支持：可網(wǎng)管型 端口結(jié)構(gòu)：固定端口 接口數(shù)量：24個 網(wǎng)絡(luò)標(biāo)準(zhǔn)：IEEE 802.1d, IEEE 802.1x, IEEE 802.3, IEEE 802.3u, IEEE 802.3x, IEEE 802.3z, IEEE 802.1Q, IEEE 802.1p模塊化插槽數(shù)：4個 堆疊功能：不可堆疊4.4路由器型號：H

23、3C RT-MSR3020-AC-H3 價格：￥7900 路由器類型：企業(yè)級路由器 路由器網(wǎng)管：網(wǎng)絡(luò)管理,本地管理,用戶接入管理 局域網(wǎng)接口：2個千兆以太電口 傳輸速率：10/100/1000Mbps 防火墻功能：內(nèi)置 端口結(jié)構(gòu)：模塊化 路由器包轉(zhuǎn)發(fā)率：200KPPS 安全標(biāo)準(zhǔn)：UL 60950 3rd Edition, CSA 22.2#950 3rd Edition 1995, EN 60950: 2000 + ZB & ZC deviations for European Union LVD Directive, IEC 60950:1999 + corr. Feb. 2000, mod

24、ified + all National deviations VPN功能：支持VPN 擴(kuò)展插槽：11個 其他控制端口：Console 路由器網(wǎng)絡(luò)協(xié)議：IP服務(wù),非IP服務(wù),IP應(yīng)用,IP路由,MPLS,IPv6,廣域網(wǎng)協(xié)議,局域網(wǎng)協(xié)議 最大Flash內(nèi)存：1024MB4.5防火墻型號：天融信NGFW4000-UF(TG-5130)(TOPSEC NGFW4000-UF(TG-5130)價格： ￥14.8萬 北京 ：企業(yè)級防火墻：6000網(wǎng)絡(luò)端口：最大配置為26個接口,包括3：無用戶數(shù)限制適用環(huán)境：工作溫度:0-45、存儲溫：Dos、DDoS電源：雙電源,缺省一個電源：FCC,CE：conso

25、le其他性能：防火墻、VPN、帶寬管理、防：SNMP,WEB,命令行,遠(yuǎn)程管理：支持4.6服務(wù)器型號：X3500 產(chǎn)品簡述:通過新的四核處理器及更快的內(nèi)存技術(shù)獲得更好的性能； 采用集成的解決方案管理您的 IT 資源； 通過可升級內(nèi)存，I/O 和存儲搭建 穩(wěn)定服務(wù)器平臺，保護(hù)您的IT投資市場價格:20000 詳細(xì)參數(shù)：XeonE55202.26Ghz四核最高支持1066MHz內(nèi)存頻率5.86 GT/s QPI8MB 3級緩存DDR3 內(nèi)存2*2GB熱插拔2.5 SAS硬盤, 標(biāo)配146GB SAS硬盤*1 ServerRAIDMR10iDVD-ROM雙口千兆以太網(wǎng)3個PCI-Express Ge

26、n2 x8 插槽, 1個PCI-Express Gen2 x16插槽, 1個PCI-Express Gen1 x8 插槽, 1個33MHz PCI插槽1 個串口, 1個顯卡接口, 6個USB 2.0端口(4個背面、2個正面)；3個RJ-45端口(2個以太網(wǎng)口,一個管理端口)IMM, 可選的遠(yuǎn)程管理920W熱插拔電源, 可選冗余3年有限保修（3年部件，3年人工，3年現(xiàn)場）5 安全配置說明5.1防火墻技術(shù) 防火墻可以作為不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的出入口，將內(nèi)部網(wǎng)和公眾網(wǎng)如Internet分開，它能根據(jù)企業(yè)的安全策略控制出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。在邏輯上，防火墻是一個分離器，

27、一個限制器，也是一個分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動，保證了內(nèi)部網(wǎng)絡(luò)的安全。防火墻技術(shù)可以有效控制的風(fēng)險包括：5.1.1利用Finger來發(fā)掘用戶信息，TCP/IP指紋識別確定操作系統(tǒng)類型，Telnet旗標(biāo)確定操作系統(tǒng)類型，服務(wù)的旗標(biāo)信息確定服務(wù)類型，對服務(wù)器進(jìn)行端口掃描，Bind、Telnet、NFS、X-windows服務(wù)漏洞，從AD上查找前置機(jī)主機(jī)網(wǎng)絡(luò)蠕蟲堵塞整個網(wǎng)絡(luò)，影響生產(chǎn)網(wǎng)絡(luò)。5.1.2利用前置機(jī)群與生產(chǎn)主機(jī)之間的信任關(guān)系攻擊生產(chǎn)網(wǎng)絡(luò)核心，辦公自動化服務(wù)器與前置機(jī)群或生產(chǎn)主機(jī)之間的信任關(guān)系攻擊生產(chǎn)網(wǎng)絡(luò)，蠕蟲影響辦公網(wǎng)內(nèi)部Window平臺，蠕蟲影響辦公網(wǎng)內(nèi)部

28、郵件系統(tǒng)，辦公網(wǎng)應(yīng)用形式較為豐富，因此對網(wǎng)絡(luò)帶寬消耗可能造成生產(chǎn)網(wǎng)的數(shù)據(jù)通信帶寬不足，從而導(dǎo)致生產(chǎn)網(wǎng)不暢通5.1.3二級網(wǎng)點或支行與中心連接沒有必要的訪問控制和邊界控制手段，因此來自二級網(wǎng)點或支行局域網(wǎng)的用戶可能威脅辦公自動化系統(tǒng)和中心生產(chǎn)系統(tǒng)，應(yīng)用防火墻技術(shù)之后，有效的控制了上述風(fēng)險的同時，可以簡化管理。5.2網(wǎng)絡(luò)防病毒體系5.2.1計算機(jī)病毒感染所造成的威脅以及破壞是目前廣大計算機(jī)用戶所面臨的主要問題。本方案采用網(wǎng)絡(luò)防病毒體系，可以對Windows2000/NT/95/98/3.x，以及DOS和Macintosh,Linux和UNIX等操作系統(tǒng)提供保護(hù)，作為一個一體化的網(wǎng)絡(luò)防病毒解決方案，

29、應(yīng)具備特征代碼檢查方式和基于規(guī)則的變態(tài)分析器病毒掃描程序，從而檢測到已知病毒。防病毒引擎可以從多個側(cè)面和途徑防止計算機(jī)病毒侵入系統(tǒng)，保護(hù)整個企業(yè)IT系統(tǒng)的安全，具有強(qiáng)大的功能和優(yōu)秀的可管理性。5.2.2應(yīng)用網(wǎng)絡(luò)防病毒體系結(jié)構(gòu)之后，可控制網(wǎng)絡(luò)蠕蟲堵塞整個網(wǎng)絡(luò)，影響生產(chǎn)網(wǎng)絡(luò)、病毒威脅桌面PC等風(fēng)險；應(yīng)用了網(wǎng)絡(luò)防病毒技術(shù)之后，可以從三個層面有效防范病毒的傳播和蔓延;internet下載、軟盤和光盤傳播、郵件傳播。5.3網(wǎng)絡(luò)入侵檢測技術(shù)5.3.1應(yīng)用入侵檢測的網(wǎng)絡(luò)監(jiān)測功能、攻擊行為檢查、高速流量捕獲、策略響應(yīng)、防火墻聯(lián)動、關(guān)聯(lián)事件分析等技術(shù)要素，可實現(xiàn)如下風(fēng)險的控制：利用Lotus Notes的Web服務(wù)器漏洞、利用Lotus Notes的Web服務(wù)器漏洞Lotus Notes配置信息被遠(yuǎn)程讀取，利用Unix的FTP服務(wù)漏洞SITE EXEC漏洞，利用Bind服務(wù)漏洞、利用Telnet、NFS、X-windows服務(wù)漏洞。5.3.2Windows RPC DCOM遠(yuǎn)程溢出MS026和Windows RPC DCOM遠(yuǎn)程溢出MS039，TCP登錄會話劫持發(fā)送一個偽造的報告到telnet/login/sh。5.3.3安裝木馬：應(yīng)用網(wǎng)絡(luò)入侵檢測技術(shù)之后不僅有效控制了上述風(fēng)險，同時入侵檢測要求如自身安全性、抗IDS逃避、抗事件風(fēng)暴等技術(shù)要素，有效避免了入侵檢