保障物理安全除了要遵守國家相關的場地要求和設計規范外，為了將不同密級的網絡隔離開，需要采用物理隔離技術將業務網和辦公網兩個網絡在物理上隔離。

　　1 網絡層安全解決方案

　　防火墻安全技術：銀行網絡系統是一個由總行、省行、各地市行網絡組成的三級網絡體系結構。從網絡安全角度上講，它們屬于不同的網絡安全域，因此在各中心的網絡邊界，以及Internet邊界都應安裝防火墻，并需要實施相應的安全策略控制。

　　入侵檢測安全技術：入侵檢測系統提供實時的入侵檢測及采取相應的防護手段，如發現違規訪問、阻斷網絡連接、內部越權訪問等，發現更為隱蔽的攻擊。

　　VPN安全技術：為保證數據傳輸的機密性和完整性，建議在銀行專用網絡中采用VPN系統，在遠程前置機和防火墻之間統一安裝VPN設備。

　　2系統層安全解決方案

　　操作系統因為設計和版本的問題，存在許多的安全漏洞。同時因為在使用中安全設置不當，也會增加安全漏洞，帶來安全隱患。

　　為了加強操作系統的安全管理，要從物理安全、登錄安全、用戶安全、文件系統和打印機安全、注冊表安全、遠程訪問服務(RAS)安全、數據安全、各應用系統安全等方面制定強化安全的措施。

　　3 應用層安全解決方案

　　根據銀行專用網絡的業務和服務，采用身份認證技術、防病毒技術以及對各種應用服務的安全性增強配置服務，保障網絡系統在應用層的安全。

　　身份認證技術：公開密鑰基礎設施(PKI)是一種遵循標準的密鑰管理平臺，能夠為所有網絡應用透明地提供采用加密和數字簽名等密碼服務所必需的密鑰和證書管理。在總行和省行網絡中心建立CA中心，為應用系統的可靠運行提供支持。

　　防病毒技術：病毒是系統中最常見、威脅最大的安全來源。建立一個全方位的病毒防范系統是金融系統辦公網建設的重要任務。目前主要采用病毒防范系統解決病毒查找、清殺問題。

　　4 安全管理方案建議

　　實施安全應管理先行，安全組織體系的建設勢在必行。應在省中心和各地市建立網絡安全建設領導委員會，該委員會應由主管領導、網絡管理員、安全操作員等人員組成。省中心的安全委員會負責安全系統的總體實施，另外在省中心應建立安全專家小組，負責安全問題的重大決策。

　　5 解決方案體系結構

　　網絡安全系統是整體的、動態的，網絡安全系統要求符合MPDRR模型(M-management，P-protection，D-detection，R-response，R-recovery)。中興通訊網絡安全體系基于MPDRR模型，符合網絡安全系統整體性和動態性的特點，以PKI/CA體系為安全支撐和保障，與各類網絡安全技術和優秀網絡安全產品在技術上有機集成，實現安全產品之間的互通與聯動，是一個統一的、可擴展的安全體系平臺，從底層的技術上實現了不同安全產品之間的互聯和協同工作。

　　中興通訊網絡安全體系結構如下圖所示：

文章作者：電腦商情在線