银行网络规划与设计(3)

银行网络规划与设计

9）黑客侵扰

黑客侵扰类似于网络间谍，但前者没有政治和经济目的，仅仅是一些计算机迷为了猎奇，利用自己精通计算机知识，利用他人编程的漏洞，侵入金融信息系统，调阅各种资料，篡改他人的资料，将机密信息在公用网上散发广播等。 10）计算机病毒

计算机病毒是一种依附在各种计算机程序中的一段具有破坏性、能自我繁衍的计算机程序，它通过软盘、终端或其它方式进入计算机系统或计算机网络，引起整个系统或网络紊乱，甚至造成瘫痪，因此防范计算机病毒的污染和传播，是非常重要的。 11）蠕虫程序

蠕虫是一段独立程序，通过爆炸性的自我复制方式，在网络上从一台计算机扩散到另一台计算机，和病毒不同之处是蠕虫程序不修改其他程序。 12）特洛伊木马

特洛伊木马是隐藏在程序里并具有伪装功能的一段程序代码。通常，用来伪装病毒或蠕虫程序。特洛伊木马可以伪装成一种与安全有关的工具，例如象分析网络安全的管理工具(SATAN)。SATAN用于检查Unix系统安全漏洞，可以免费使用。如果有人编辑这段程序，使它把每笔交易以E－mail报文形式送回来，就能知道更多有用的信息。精心设计的特洛伊木马程序里不会留下它出现的踪迹，因为它不造成可检测的损害，所以难以检测到它。 13）逻辑炸弹

逻辑炸弹是由系统开发者或者程序员埋置在系统内部的一段独立程序或程序代码。它是特洛伊木马的一种类型，在一定条件下它可以释放病毒、蠕虫或者实施其它类型的攻击。

7

银行网络规划与设计

14）陷阱门

陷阱门又称后门，是系统设计者预先在系统中设置的一段程序，其作用是使设计者能越过正常的系统保护，提供一种潜入系统的方法。 15)内部人员的破坏

内部人员熟悉金融信息系统的应用业务和薄弱环节，可以比较容易地篡改系统数据、泄漏信息和破坏系统的软硬件。 16)非授权访问

内部、外部人员非授权访问交易系统。 17)信息流的利用与拥塞

攻击者在有用信息的空隙插入有害信息，有害信息抢占信道和网络资源、业务资源，造成信道、网络和应用系统拥塞。 （3）银行网络系统安全分析 1)没有较完善的安全体系

目前，银行网络系统的问题缘自没有进行安全体系的研究。采用的安全方案比较单一，仅能防止从信道上侦收信息，不能阻止来自业务系统和用户的网络攻击，不能适应银行网络系统的安全需求。 2)没有较完备的安全保密措施

由于银行网络系统没有较完善的安全体系，采取的安全措施不完备，不能防御所有的威胁和攻击。 3)没有建立安全防预中心

目前，银行网络系统没有建立全网的安全监控预警系统，或称为安全防预中

8

银行网络规划与设计

心。全网的安全监控预警系统备有先进的安全技术和设备，监察网上的异常活动、非安全活动，监视骨干网、骨干网设备及信息是否安全。全网的安全监控预警系统负责安排骨干网的安全技术设备、措施和程序，如各种跟踪、预警和记录黑客、破坏者活动和重大活动。

4)没有建立全网的访问控制中心和安全管理系统

目前，银行网络系统没有建立全网的访问控制中心和安全管理系统，不能对用户实施登录、授权、鉴别和访问控制。 5)网络之间没有配置相应的防火墙

在银行内部各个业务部门网络之间、在等级不一的各安全区之间、在不同业务系统之间、在不同数据库之间、从不同金融机构进入，一般应有5～7道安全措施。而在银行网络系统中，没有层层设防的安全措施，如配置相应的防火墙。 6)没有建立对信息包内容的监管记录系统

金融机构都有交易监管系统，如ATM机的摄录系统。在银行网络系统中，一般均设有对信息包及信息包内容监管的系统和设备，可以探测信息包的异常来源和去向，对信息包的内容进行检查。而银行网络系统没有建立信息包内容的监管记录系统。

7)没有采用先进的硬件和软件加密技术和设备

银行的业务系统、网络和通信都有各自先进的软件加密和硬件加密，而且还应用了第三代、第四代加密技术。业务系统、网络和通信采用不同商家的安全保密产品。目前，银行网络系统只在远程通信采用了加密措施，设有专用的硬件和软件加密技术和设备。 8)没有配备反病毒的安全措施

由于网上病毒的增加，破坏性日益增大，金融机构都强化了反病毒的安全措

9

银行网络规划与设计

施，包括过滤通信中的信息病毒、电子邮件中的病毒、WWW中的病毒，对网络及网络上的设备系统进行反病毒的扫描。银行网络系统没有配备网络反病毒的监管系统。

9)在交换机上没有设置足够的安全措施

ATM和帧中继交换机是网络和通信的要害设备。外国金融机构极为重视交换机的安全措施，用安全防预中心的设备对交换机进行三A控制，即鉴别、授权、审计。我国银行网络没有在所有交换机上设置完整的三A安全控制。 10)没有建立“安全技术应急反应中心”

大型信息系统都应设有“安全技术应急反应中心”，解决突发的安全事件，提供安全技术支援，在WWW上公布网络中出现的安全问题及解决措施，预告网络中可能出现的安全问题及解决措施。 11)没有建立相应的安全组织、管理、技术机构

为了解决大型信息系统的安全管理和安全维护问题，都应建立了相应的安全组织机构、管理机构和技术机构。目前，银行网络没有建立相应的安全组织、管理、技术机构。

三、现象分析

该银行系统在镇中共有两处营业点，其中一营业点与镇分理处相距1500米，所以两银行之间用光纤连接；该银行共有14个部门，每个部门都在不同的vlan中，通过对交换机的设置，不同vlan间不能相互访问，保证银行网络的数据信息安全；该银行人力资源部门设有指纹检测系统，银行内部的人员每天都要在指纹检测器上按指纹。

其中个人业务部、资金营运部、风险管理部、计财部、会计总结部和人力资源部在营业点的一楼，公司业务部、国际业务部、信贷审批部、合规部、出纳保

10

银行网络规划与设计

卫部、科技部和内审部在分理处的二楼，总共有19个房间，每个房间四个数据点和四个语音点，共76个数据点和76个语音点，需要两个核心交换机，两个汇聚交换机，四个接入交换机，一台路由器，一个防火墙，一个FTP服务器，一个WEB服务器，供银行内部人员上传和下载资料，个人业务部内个人储蓄的信息所有计算机都可以共享。

四、网络技术选择

（一）端口聚合

端口聚合也叫做以太通道（ethernet channel），主要用于交换机之间连接。由于两个交换机之间有多条冗余链路的时候，STP会将其中的几条链路关闭，只保留一条，这样可以避免二层的环路产生。但是，失去了路径冗余的优点，因为STP的链路切换会很慢，在50s左右。使用以太通道的话，交换机会把一组物理端口联合起来，做为一个逻辑的通道，也就是channel－group，这样交换机会认为这个逻辑通道为一个端口。

1、端口汇聚简介（TRUNK）

TRUNK是端口汇聚的意思，就是通过配置软件的设置，将2个或多个物理端口组合在一起成为一条逻辑的路径从而增加在交换机和网络节点之间的带宽，将属于这几个端口的带宽合并，给端口提供一个几倍于独立端口的独享的高带宽。Trunk是一种封装技术，它是一条点到点的链路，链路的两端可以都是交换机，也可以是交换机和路由器，还可以是主机和交换机或路由器。基于端口汇聚（Trunk）功能，允许交换机与交换机、交换机与路由器、主机与交换机或路由器之间通过两个或多个端口并行连接同时传输以提供更高带宽、更大吞吐量， 大幅度提供整个网络能力。

一般情况下，在没有使用TRUNK时，大家都知道，百兆以太网的双绞线的这种传输介质特性决定在两个互连的普通10/100交换机的带宽仅为100M，如果是采用的全双工模式的话，则传输的最大带宽可以达到最大200

11

百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，免费范文网，提供经典小说综合文库银行网络规划与设计(3)在线全文阅读。