随着WTO的临近，国内的金融市场将逐步对外开放，金融市场的竞争也日趋激烈。为了应对这种挑战，近几年交通银行在全行开发和逐步推行了新一代的业务系统，建设了覆盖全国比较完善的网络系统，开发了各种面对企业用 户和个人用户的电子银行系统。随着各种系统的建设和完善，交通银行网络系统的规模不断扩大和日趋复杂，面对的安全风险也逐步增大，需要进行完善的网络安全系统设计。

    2000年11月份南天公司成功规划和实施了交通银行武汉分行安全改造试点项目，2001年10月份又成功参与了交通银行安全改造一期工程，一期安全改造工程涉及到全行39家分行，总投资3000多万，该项目已经实施完成。该项目为近年来国内规模最大、规格最高和设计最完整的网络安全项目之一，在整个安全改造项目中，南天公司充分地展示了丰富的安全理论知识和过人的设计、规划和实施能力，使得南天公司在国内安全领域处于领先者的地位。

安全问题的根源
    安全问题的根源可以归结到二个方面，一方面是由于黑客的攻击，另一方面是由于系统使用的各种软硬件平台和协议普遍存在漏洞。
    前者是导致安全问题的直接因素，由于黑客攻击的动机各不相同，有的为了政治目的，有的是为了获取金钱，有的是为了个人兴趣，有的是因为无知和好奇，正是因为这些因素都没有办法完全避免，从而决定了我们安全建设的长期性。
    后者是导致安全问题的间接因素，由于不同产品、不同系统和不同协议的漏洞各不相同，有些漏洞已为我们所知，正在产生危害，有些还没有被我们发现，不知道什么时候就会爆发出来。正是由于各种软硬件平台漏洞的这种复杂性和系统使用与开放的发展趋势，导致了系统安全问题的错综复杂性。

安全项目的建设
    为了解决上述问题，南天公司进行网络安全规划时，站在了整体和全局的高度来看待问题，对整个安全项目进行了全面的规划。我们考虑到安全问题不可能完全的解决，更不是一种产品或者一种技术能够解决的，同时认识到安全问题是一个整体的系统工程，只有进行完整的安全性设计、合理的安全性规划、多种安全技术的使用加上良好的安全管理规章制度和严密的安全操作规范，才能够达到尽量安全的目的。交通银行网络系统安全的整体规划如下图所示：

局域网络安全建设
    内部网络系统安全建设，从大的方面可以分为业务系统和OA系统。这2个系统之间的安全控制可以采用3种方式：第一种是完全物理隔离的方式，第二种是采用防火墙隔离的方式，第三种是采用VLAN技术进行控制。这三种方式的安全性依次降低，各个分行可以根据自己系统的规模分别加以采用。其中业务网络系统又可以分成综合业务子系统、卡业务和清算前置机子系统、总行连接应用子系统以及大楼营业网点子系统；OA网络系统可以分为OA子系统1和OA子系统2，其中前者的安全级别和权限比后者高；各个子系统之间的安全控制采用VLAN技术。局域网络系统的逻辑结构图如下所示：
    为了增强内部局域网络系统安全性能，我们可以在局域网络内部配置网络扫描器和系统扫描器，对整个局域网络系统进行漏洞扫描，以便即时发现系统漏洞和弥补系统漏洞。另外还可以在局域网络内部配置桌面病毒防火墙、服务器病毒防火墙和应用病毒防火墙。

支行网点安全建设
    支行和网点属于分行内部的网络系统，安全级别的信任度较高，在安全建设方面我们着重从应用级的角度考虑，即开发安全的应用模式。我们可以采用信用级别的开发模式，即不同的业务操作人员享有的不同业务系统操作权限，权限的控制可以采用密码认证的方式或者终端认证的方式，系统可以记录整个日志，出现问题能够即时发现和追踪。
    在网络层安全性的控制上面，我们可以采用在分行中心网点接入路由器和网点路由器上面加Access-list的方式进行控制。另外为了提高网络系统的可靠性，我们可以采用2条不同的专用线路进行冗余备份，另外采用PSTN或者ISDN线路进行备份。为了提高数据在传输过程中的安全性，我们还可以在广域网络传输线路上进行线路加密，支行网点系统的逻辑结构图如下所示：

总行人行安全建设
    为了加强交通银行各个分行之间的安全控制，我们在各个分行配置了1台专门的防火墙用于各个分行之间以及分行和总行之间的安全性控制，由于同一单位内的安全信任级别比较高，我们在此采用1台防火墙进行控制即可达到比较高的安全性。
    人民银行连接属于金融内部系统的连接，我们可以接入到分行和总行连接的防火墙中，其中人行的安全级别最底，总行的安全级别居中，分行内部网络的安全级别最高。虽然总行和人行接在同一个防火墙上，我们可以采用策略配置的方式或者路由配置的方式，使人行和总行之间不能够互相连通，在使用效果上达到与采用2台独立防火墙连接同样的效果，这样既节省了投资也达到了同样安全的效果。总行人行系统的逻辑结构图如下所示：

企业银行安全建设
    在企业银行的安全性建设上，我们也采用了1台防火墙来进行控制。虽然在此只采用了1台防火墙，但是我们在内部网络之间建立了1个DMZ1区，用于放置企业银行前置机，在策略配置上面我们采用了二级NAT的方式，使得外部网络系统看不到DMZ1和内部网络系统的IP地址。并且在进行交易时，用户系统只能直接连接到DMZ1区相应的前置机，而不能直接进入到内部网络系统。另外不同企业用户与银行开展的企业银行应用可能各不相同，我们可以针对某些特定的应用建设相应的企业银行CA认证中心，放在防火墙的DMZ2区，以提高整个系统安全性能。企业银行系统的逻辑结构图如下所示：

核心主机安全建设
    核心主机系统是银行里面最关键的系统，上面存储着银行里面最关键的数据信息，因此需要进行特别的防护。在此我们用专门的防火墙进行安全防护，考虑到核心主机系统的可靠性建设，在此我们采用了防火墙的双机备份方式进行防护。核心主机系统的逻辑结构图如下所示：
    为了提高核心主机系统的安全防护性能，我们可以在此配置入侵监控器，对连接的应用进行动态的检测和安全防护。

网上银行安全建设
    开通网络银行服务后，使得银行的网络系统可能遭到全世界范围黑客的攻击，在此需要进行特别的防护。根据多方面的论证后，我们在此采用双防火墙异构的方式，即采用两种不同的领先的防火墙产品接入到Internet上，中间建立1个DMZ区。由于两种不同产品的安全性能和安全漏洞各不相同，因此攻得破第一种防火墙产品的黑客，不一定能够攻得破第二种防火墙产品。网上银行系统的逻辑结构图如下所示：
    在真正的网络银行业务开通前，我们还需要在此建立用户的CA认证中心。另外为了提高网上银行系统的安全性能，我们可以在此配置入侵监控器和病毒防火墙，对进入的业务进行相应的安全检测。

移动办公安全建设
    在实际环境中，交通银行外出人员需要拨入银行内部系统进行移动办公，为此需要进行专门的防范。在此我们采用了3A认证软件进行安全控制，3A认证软件不仅拥有认证功能，同时拥有授权功能和计帐功能，能够控制拨入用户的访问权限，同时也能够记录整个访问过程，使得整个系统的安全性能得到加强。移动办公系统的逻辑结构图如下所示：

网络系统安全分析
    Internet上的黑客攻击交通银行网络系统，需要先突破一层防火墙系统才能到达网上银行系统的DMZ区，在此需要经受动态安全的监控和防病毒网关的检测；再突破一层防火墙才能到达内部网络系统。企业银行黑客攻击交通银行，只能先突破一级防护到达防火墙的DMZ1区，到达DMZ1区后再突破另一级防护才能进入内部网络系统。人民银行用户和总行用户只有突破一级防护，才能进入内部网络系统。所有攻到内部网络系统的黑客，要达到相应的应用系统还需要突破内部VLAN之间的控制、动态安全系统的检测和病毒防护系统的检测。在突破内部局域网络系统后，黑客要进入核心主机系统，还需要突破核心主机系统防火墙的控制和入侵监控器的检测。局域网络内部用户也受到VLAN的控制、动态安全系统的检测和病毒防护系统的检测，要到达核心主机也要先突破核心主机系统防火墙的控制和入侵监控器的检测。由此可见，整个网络系统拥有非常高的安全性能和防护性能。

南天公司整体优势
    南天公司是银行领域最著名的系统集成公司，拥有国内最优秀的安全系统规划和安全解决方案提供能力，而且精通银行业务系统，拥有一批优秀的业务系统开发工程师和网络系统工程师。安全系统设计不仅需要整体的设计，而且与应用的结合紧密，需要熟悉多种操作系统平台与基础网络系统的综合人才和工程师相互配合，南天公司在这些方面有着无可比拟的优势。从而保障南天公司能够提供最切合用户实际的安全系统解决方案，并保障其顺利的实施和日常的维护支持。