银行储蓄业务网络安全设计分析

1网络安全建设需求分析

通过对银行的网络安全现状进行分析，提出如下的网络安全建设方案：（1）物理安全。网络安全中存在着10%的硬件设备故障，所以方案应包括保护计算机硬件设备以及通讯链路的安全和保障。（2）系统安全。系统安全中主要的技术是安全扫描技术。安全扫描系统是目前最先进的系统安全评估技术。虽然不能实时监测网络上的入侵，但通过扫描监测，及时发现安全漏洞，并提出相应的安全措施修补，能够很好地测试和评估系统安全性。（3）网络安全。网络安全是整个设计的关键和主要部分，实现网络安全，更需要多种技术部署，设计主要以防火墙、入侵检测系统、安全隔离网闸以及虚拟网技术这几个方面实施。企业防火墙是指由软件和硬件设备构成的用于限制企业内网和外网之间流量访问的安全架构，防火墙是一种访问控制和隔离技术，是网络安全区域和不安全区域的屏障；入侵检测系统作为防火墙的合理补充，能够实时监控网络安全状态，智能发现入侵行为，记录并发出报警信息，启动响应动作；在上述两项技术的基础上，加上安全隔离网闸，可以更深入地进行网络防御体系；VPN技术，即虚拟专用网络，该技术用于实现局域网络之间通过Internet公共网络安全地传递数据。（4）应用安全。整个网络中，员工需要利用多个应用来配合银行业务的运作，但不合法的应用会给网络带来较严重的影响，因此，网络安全实施方案还应包括应用安全。本设计主要利用计算机病毒防范技术和网络监控技术。安装网络防病毒系统，主要针对员工上网应用时的文件与邮件，带来的病毒、木马等入侵破坏，确保计算机应用的安全。另一方面，通过网络监控技术，对员工的上网行为以及系统应用进行合理限制，从而提高应用安全。（5）管理安全。经过制定有效的机房管理制度、系统管理员要求以及网络设备应用准则，可以管理员工合理上网的行为、保证机器设备和人员的安全以及及时有效地处理突发事件等。

2网络安全建设方案设计与实现

根据对银行实际情况的需求分析，本设计在其原有拓扑结构上增设了企业防火墙、入侵检测等硬件设备，并在内部用户与资源区之间的交换机上增加了网络管理中心，以及在与外部网络设置VPN技术连接等部署。根据网络部署，可以将其划分为4个区域：设备区、资源区、用户区、外部网络。其中设备区与外网相连接，内部用户区实行对整个内网的管理运作和资源调度。所以，网络安全的重点在于设备区、内部用户区和资源区。在与外网相连的设备区，通过使用防火墙技术来对内网与外网间数据进出的过滤，对访问行为进行管理等，安装入侵检测系统对网络系统进行监测。在内网中，本设计在网络管理中心部署了网络监控系统等管理软件，用以监测和控制内网中存在威胁的操作应用活动。下面将针对各个实现的功能展开具体叙述：2.1物理安全。本方案设立以下6个保护网络设备物理安全的机制。（1）场地基础设施应符合网络安全防范要求，预防数据被通过线路搭载等其它硬件连接手段而造成内部信息泄密。（2）部署网络设备的地址以及周围场地环境以及设施建设都必须符合国家网络基础设施安全标准，具备防火、防雷、防水、防静电、防鼠等硬件安全功能，并时刻维持电源和线路的健全，确保网络能正常持续地运行，确保网络系统运行的安全可靠。（3）应对突发事故，事前部署网络设备应急计划。针对遭遇停电、线路断开等情况，增设应急电源以及备用线路，并按应急计划对网络主机、服务器等重要设施采取备份、冗余技术保护措施；应对设施被破坏等灾难事故，银行应部署备用设备中心，保证能第一时间对网络系统运作的恢复。（4）网络设施所在地应禁止闲杂人员出入，工作人员亦应注重进出卫生，避免重要设备因尘沙侵入而出现的故障。（5）选择网络安全设备，应符合银行信息安全管理技术规范的安全标准，并核实是否具备安全部门的设备准用证或国家有关部门的安全产品许可证书。（6）工作人员应熟悉网络设施的操作，并定期对网络设施进行检查、记录维修情况、进行设施维护、保养等操作。2.2系统安全。在网络上设立安全扫描系统，制定程序计划，对网络上的终端机、服务器等设备进行漏洞扫描，以预防因系统漏洞而造成的网络入侵和信息泄密事件。系统中存在的漏洞和弱点是黑客最常利用的最有机可乘的地方，通过对系统的扫描，及时发现系统中存在的漏洞，同时得到的结果报告和扫描日志还可以提供给网络管理中心，作为对整个网络现状审查的部分，使得管理员能够机智准确的把握网络的运行状况。2.3网络安全。本设计选择在网络管理中心设置管理端和服务端，部署网络型安全扫描器X-Scan3.3-cn，扫描目标为企业大型主机、企业服务器以及用户区域计算机组。安全扫描器首先在管理端做好相关配置以及指定扫描目标，然后将扫描任务指令发送给服务端，服务端接收到管理端的扫描开始命令后立即对目标发送检测数据包，进行扫描；此后，被扫描目标会返回响应信息，经由服务端对信息进行分析记录以及向管理端传回扫描结果。这时，网络管理员可以根据传回的扫描结果，针对发现的安全漏洞进行安装补丁、修复等操作，并结合下述的防火墙以及入侵检测系统，对整个网络进行有效配置，以实现全面的网络安全防御体系。2.4应用安全。在与外网相连的设备区，使用防火墙技术来对内网与外网间数据进出的过滤，对访问行为进行管理等。企业防火墙是针对外部网络的绝大部分攻击，结合软件和物理设备的安全防御措施。防火墙是一种访问控制和隔离技术，是网络安全区域的屏障。作为内网的安全网关，企业防火墙可以确保内网免受外网非法用户的入侵。其主要通过服务访问规则、验证技术、包过滤和应用网关等功能，使流入流出的所有信息被检测被控制，所有具有安全隐患的流量都可以被拒绝转发。2.5管理安全。本方案制定了网络管理制度，内容如下。（1）机房管理制度。机房为网络管理的中心，任何人不得随意进入，而机房人员不得擅自离岗或进入与自己无关的区域。同时，机房电源开关应妥善管理，不得随意开关；机房内设备和线路保持整齐有序以及标记识别等。另外，机房应注重和保持卫生清洁，尽量隔绝灰尘，地板和设备机柜等保持干净干燥。网络管理中心要严格遵守安全用电的有关规定，注重保证机器设备和人员的安全，避免造成损失。（2）系统管理员要求。网络管理中心应加强对网络的管理，维持整体网络的稳定运转，并应能及时解决网络故障，正确应对网路突发事件。同时，管理员本身应注重加强自身网络安全技术的学习和提升，保证能对网络系统进行维护和更新工作。（3）网络设备应用准则。所有用户应明确网络设备的操作规范，不得违反网络管理中心制定的应用规则，不得擅自改动计算机设备或破坏通信链路。突发事件发生时，优先保证人员安全，接着应保障数据安全，然后是设备安全。当受到病毒、木马攻击或非法入侵时，应冷静判断破坏的来源和性质，断开来源的网络物理链接，并争取及时恢复系统，修复信息。

3结束语

总结全文，通过对某银行的拓扑现状分析，针对性地为网络结构的薄弱处增设安全设备及安装软件，加上整体安全规划的结合，设计出来的网络安全系统达到了研究目的，总体上完成了该银行网络安全系统的设计。当然，由于技术上的原因以及条件的限制等多方面影响，加上网络技术的与时俱进，以及网络设计难以达到完美的客观原因，设计出来的系统还存在很多不足的地方。

参考文献：

[1]王瑞梁.新时期企业网络管理的现状及对策研究[J].电脑与电信，2017（02）：47-48.

[2]汪新辉.现代通信网络安全防护技术的应用[J].无线互联科技，2016（14）：143-144.

[3]雷震甲.网络工程师教程[M].北京：清华大学出版社，2014.

[4]刘永华.计算机网络信息安全[M].北京：清华大学出版社，2014.

作者:徐伟华 单位:广州南洋理工职业学院