一、信息系統(tǒng)現(xiàn)狀及目標(biāo)

農(nóng)商銀行基本建設(shè)完成了各個(gè)營(yíng)業(yè)點(diǎn)，以及與各個(gè)單位的網(wǎng)絡(luò)連接，目前的網(wǎng)絡(luò)可分為六大部分，分別為：

1．   核心交換平臺(tái)：為覆蓋整個(gè)數(shù)據(jù)中心的高速骨干，提供高速傳輸和路由最優(yōu)化通信，不涉及具體的數(shù)據(jù)包的運(yùn)算，為農(nóng)商行網(wǎng)絡(luò)的數(shù)據(jù)交換平臺(tái)；

2．   生產(chǎn)服務(wù)器模塊：由農(nóng)商銀行業(yè)務(wù)生產(chǎn)服務(wù)器構(gòu)成，為農(nóng)商銀行整個(gè)網(wǎng)絡(luò)最重要的部分，支撐著農(nóng)商銀行整個(gè)網(wǎng)絡(luò)的生產(chǎn)業(yè)務(wù)；

3．   外聯(lián)業(yè)務(wù)模塊：這部分連接到人民銀行，企業(yè)用戶在其他銀行的代辦業(yè)務(wù)通過(guò)人民銀行的網(wǎng)絡(luò)連接到農(nóng)商行社核心交換網(wǎng)絡(luò)，通過(guò)專線加密的方式進(jìn)行連接，目的是訪問(wèn)農(nóng)信社的生產(chǎn)服務(wù)器和處于OA辦公網(wǎng)的業(yè)務(wù)平臺(tái)；

4．   廣域網(wǎng)接入模塊：連接著農(nóng)商銀行的各個(gè)營(yíng)業(yè)網(wǎng)點(diǎn)，各營(yíng)業(yè)網(wǎng)點(diǎn)通過(guò)專線的方式聯(lián)入核心交換模塊訪問(wèn)生產(chǎn)服務(wù)器主機(jī)，另外一條CDMA的撥號(hào)線路用來(lái)做備份線路；

5．   OA辦公網(wǎng)模塊：為農(nóng)商銀行的OA辦公系統(tǒng)，進(jìn)行著平時(shí)正常的業(yè)務(wù)流程和文件、郵件的交互，通過(guò)SDH連接到各營(yíng)業(yè)網(wǎng)點(diǎn)的OA辦公系統(tǒng)；

6．   外聯(lián)互聯(lián)網(wǎng)模塊：為連接互聯(lián)網(wǎng)應(yīng)用部分，這部分不直接接入核心交換模塊，它只為OA辦公網(wǎng)模塊進(jìn)行服務(wù)，目前需增加一條虛擬撥號(hào)線路來(lái)為小型機(jī)服務(wù)器的主機(jī)監(jiān)控進(jìn)行服務(wù)。

從整個(gè)農(nóng)商銀行膨脹性（動(dòng)態(tài)和靜態(tài)）安全需求平衡來(lái)看，整個(gè)安全風(fēng)險(xiǎn)我們從連接到核心交換模塊的各個(gè)應(yīng)用模塊部分的訪問(wèn)控制安全為主，在相應(yīng)結(jié)點(diǎn)部署防火墻來(lái)實(shí)現(xiàn)。

二、安全系統(tǒng)總體設(shè)計(jì)

l外聯(lián)業(yè)務(wù)模塊與核心交換模塊之間的防火墻部署

通過(guò)部署一套雙機(jī)熱備防火墻審核兩個(gè)網(wǎng)絡(luò)間的網(wǎng)絡(luò)訪問(wèn)請(qǐng)求

l廣域網(wǎng)接入模塊備份線路的防火墻部署

通過(guò)部署一臺(tái)百兆防火墻審核兩個(gè)網(wǎng)絡(luò)間的網(wǎng)絡(luò)訪問(wèn)請(qǐng)求

l生產(chǎn)服務(wù)器監(jiān)控線路的防火墻部署

通過(guò)部署一臺(tái)百兆防火墻審核兩個(gè)網(wǎng)絡(luò)間的網(wǎng)絡(luò)訪問(wèn)請(qǐng)求

OA辦公網(wǎng)模塊與核心交換模塊之間的防火墻部署

通過(guò)部署一臺(tái)百兆高端防火墻審核兩個(gè)網(wǎng)絡(luò)間的網(wǎng)絡(luò)訪問(wèn)請(qǐng)求

OA辦公網(wǎng)模塊與外聯(lián)互聯(lián)網(wǎng)模塊之間的防火墻部署

通過(guò)部署一臺(tái)百兆高端防火墻審核兩個(gè)網(wǎng)絡(luò)間的網(wǎng)絡(luò)訪問(wèn)請(qǐng)求

入侵檢測(cè)設(shè)備的部署

在核心交換平臺(tái)與OA辦公模塊分別部署一臺(tái)入侵檢測(cè)設(shè)備。

農(nóng)商銀行網(wǎng)絡(luò)拓?fù)洌?span>

三、農(nóng)商銀行系統(tǒng)安全效果

 利用防火墻的訪問(wèn)控制功能，加強(qiáng)各模塊直接的訪問(wèn)控制。

 在內(nèi)部網(wǎng)絡(luò)中部署入侵檢測(cè)系統(tǒng)，檢測(cè)網(wǎng)絡(luò)中的攻擊。