工商银行备份设计报告及安全设计报告

局域网工程 方案书

题 目： 银行系统网络的建设方案

专 业 信息管理与信息系统 年级 2010

成员 王 欢 20102300030

常 玲 20102307003 钱学建 20102307029 许孟晓 20102307044 杨 杨 20102307047

二Ｏ一三 年 六 月 二十 日

工作分配情况

备份设计报告：许孟晓 杨 杨 安全设计报告：常 玲 王 欢 做PPT，代表小组做报告：钱学建

目 录

1、工商银行网络数据备份系统设计方案书 .................. 1

1.1 建立制度化数据备份管理系统的意义 ....................... 1

1.1.1 制度化的数据备份管理 .............................. 1 1.1.2 网络数据备份管理系统的总体目标 .................... 3

1.2 数据备份管理解决之道 ............................... 4

1.2.1 存储备份软件的选择 ................................. 4

1.3 网络数据备份管理系统方案 ........................... 6

1.3.1 数据备份管理系统总体结构及说明 ..................... 6 1.3.2 软件配置方案及性能 ................................. 6 1.3.3 硬件方案及性能 .................................... 9 1.3.4 网络备份拓扑 ...................................... 10

1.4 方案实施与维护..................................... 11

1.4.1 方案实施 .......................................... 11 1.4.2 系统维护 .......................................... 11

2.工行网络系统安全分析与安全设计 ...................... 12

2.1 系统结构分析及新网络平台的特点 ..................... 12

2.1.1 系统结构分析 ...................................... 12 2.1.2 新网络平台的特点 .................................. 13 2.1.3 银行系统的网络拓扑图及说明 ........................ 13

2.2 安全风险分析 ...................................... 14 2.3 安全需求分析 ...................................... 14 2.4 安全设计原则与总体目标 ............................. 15

2.4.1 网络安全总体设计原则 .............................. 15 2.4.2 网络安全设计的总体目标 ............................ 16

2.5 网络安全设计技术 ................................... 17

I

2.5.1 防火墙 ............................................ 18 2.5.2 入侵检测系统 ...................................... 20 2.5.3 防病毒技术 ........................................ 21 2.5.4 流量管理技术 ...................................... 22 2.5.5 安全评估 .......................................... 22 2.5.6 安全审计 .......................................... 22 2.5.7 主机安全防护技术 .................................. 23 2.5.8 负载均衡技术的使用 ................................ 23

II

1、工商银行网络数据备份系统设计方案书

1.1 建立制度化数据备份管理系统的意义

随着改革开放的深入，经济建设的加快，在国民经济中起着越来越重要的作用。为了实现 的现代化，提高 系统的工作效率，就必需加快信息系统的建设。随着信息化建设的深入，的业务正常运行越来越依赖于计算机系统的电子数据，如何有效的管理网络系统数据日益成为保障 正常运行的关键环节。然而网络上的多平台、分布式、多应用、数据量大，造成了数据难以有效的管理。 伴随着数据的急剧膨胀及对电子数据的依赖程度的不断提高，数据和存储介质的安全和高效管理的重要性越来越明显了。如果不建立一套制度化数据备份管理系统，就会面临以下主要问题： （1）巨大的数据需要长期保存。随着系统的运行，数据存储介质的繁多，给介质的存储和管理带来很大的麻烦。目前，介质的管理并没有恰当的手段和策略，当介质的积累达到一定数量，就会给管理带来很多问题，备份和恢复就不可能有很高的工作效率。

（2）数据都只存储在主机硬盘和RAID上，它们的成本和精密机电的物理构成及工作特点，决定了它们不可能被频繁采购和长期依赖它们的风险性。

（3）外部存储设备多依靠主机所配置的单磁带机，当系统做数据备份和查询及恢复时，系统管理员面临的现实情况是：需要不断地盯着控制台，不时地更换介质，以使数据备份和恢复工作不停下来；没有充裕的时间去管理系统的其它重要工作。

（4）未考虑远程数据备份、恢复，而且种种原因导致某地的数据备份不能正常进时，没有一个异地的灾难备份、恢复中心来接管备份工作。

（5）由于系统网络采用分布式系统结构，各种数据分布在不同的机器、不同的软件平台、应用软件及数据库上，分散的数据在安全性上得不到保证。例如：在WINDOWS系统下被认为是空白的介质，就有可能是UNIX系统下存储的关键数据。 （6）数据备份系统的扩容、升级困难。

1.1.1 制度化的数据备份管理

1.1.1.1 什么是数据备份

备份是用户保护他们自己重要的和不可替换的信息最佳方式，而损失就是存储在他们的计算机硬盘器上的数据。精明的用户为了可靠的保管文件，定期把最近生成的文件，从他们的计算机备份到一组磁盘或数据磁带上。

备份是一种数据安全策略，是将原始数据完全一样地复制，严格来说应复制两份，保存在异地。在原始数据丢失或遭到破坏的情况下，利用备份数据把原始数据恢复出来，使系统能够正常工作。 1.1.1.2 备份的8个理由

（1） 硬盘驱动器毁坏。由于一个系统或电器的物理损坏使你的文件丢失。

1

（2） 人为错误。你偶然地删除一个文件或重新格式化一个磁盘。 （3） 黑客。有人在你的计算机上远程侵入并损害信息。 （4） 病毒。你的硬盘驱动器或磁盘被感染。

（5） 盗窃。有人从你的计算机上复制或删除信息或侵占整个单元系统。 （6） 自然灾害。火灾或洪水破坏你的计算机和硬盘驱动器。

（7） 电源浪涌。一个瞬间过载电功率损害在你的硬盘驱动器上的文件。

（8） 磁干扰。你的软盘接触到有磁性的物质，比如有人用曲别针盒，使文件被清除。

为了保证关键数据的安全性，必需建立数据安全策略或灾难恢复计划，这其中重要的一个环节就是数据备份方案。

1.1.1.3 如何对重要数据进行备份 1、利用磁带进行备份

磁带是数据备份首选的介质。磁带备份技术是最成熟、可靠的保全数据的方法，已经有十多年的历史了，是经过反复验证和考验的技术，而且磁带技术一直在迅猛发展，不断满足对数据备份的新的要求；磁带是最便宜的数据存储介质；磁带是可移动的存储介质，其容量是无限的，只是与所使用的磁带数量有关，同时磁带可以脱机保存，确保了数据的安全性。 数据存储的自动化

对拥有大量重要数据而且这些数据又在不断增长的用户来说，近几年磁带库越来越多的成为他们的选择。所谓磁带库，是将多台磁带机、多盘磁带、存放磁带的智能机械臂系统和磁带库管理、控制、监测、诊断系集成在一个箱体里。 使用磁带库作为自动存储解决方案有如下优点：

（1）存储容量大。由于磁带库中有n盘磁带，所以磁带库的在线容量为n倍的单盘磁带容量。这对一个或多个备份作业其数据量大于单盘磁带容量的情况来说，可以实现自动换带，不需要系统管理员来人工更换磁带；同时磁带库的大容量加上磁带的轮换使用，使用户在几个月甚至一年内不需要打开磁带库的门来更换磁带。

（2）速度快。由于磁带库中有N台磁带机，所以数据备份、恢复、查询速度相应提高了N倍。同时N台磁带机可互为冗余，提高磁带库的可用性。

（3）全自动操作。结合专业备份软件，根据系统管理员的设置，可以完成定时、定文件、定目录、定数据库的自动备份任务，做到无人值守。通常把备份作业时间设定在系统网络负荷最轻的深夜或凌晨来进行。全自动操作还包括磁带库的自动诊断、感应、识别、恢复或报警以及磁带库自动日常维护和磁带机自动清洗等。

（4）备份数据更安全。由于磁带库有机械锁和软件锁双重保护，使不相关的人员根本无法接触到磁带，从而确保备份磁带的安全性。同时由于减少了人工磁带管理工作，避免了磁带搞混、丢失或错误处置。

2

1.1.2 网络数据备份管理系统的总体目标

网络数据备份管理系统主要解决以下问题：

（1）数据备份管理工作难以形成制度化，数据丢失现象时常发生。

由于系统数据量大，如果由人工来进行数据的备份工作将给系统管理带来很大的工作量，工作人员的情绪化，每天备份过程的变化，误操作等都可能造成可靠性得不到保障，难以形成制度化，一旦备份人员外出、生病等可能导致备份工作中断。因此希望通过软件实现自动的数据备份，结合目前的大容量存储设备，以实现全自动的数据备份管理。

（2）数据分散在不同的机器、不同的应用上，管理分散，安全得不到保障。

由于采用分布式计算机系统结构，各种数据分布在不同的服务器或不同应用软件、数据库上，分散的数据在安全性上得不到保障，可能产生人为破坏和误操作。 （3）难以实现数据库数据的高效在线备份。

在当前的计算机环境下，一些支撑企业运作的计算机应用系统数据库已经无法关闭，而需要24小时工作，因此如何在数据库开启状态下进行高效的在线备份是计算机数据备份管理的一个难点。 （4）运行着的系统使得维护人员寸步难离，业务人员工作效率下降。

由于业务人员往往只懂得应用软件的操作，一旦发生数据的丢失，损坏等，就不得不由系统维护人员来帮助，使得系统维护人员忙于应付这些日常工作，难以有更多的精力来学习更多有利于系统维护的技术。当发生数据损坏时，如果系统维护人员不在现场，就会使业务停顿下来，或者业务人员不得不重新生成文件或录入数据，导致业务人员工作效率下降，影响企业的服务信誉。 （5）存储媒体管理困难

随着计算机系统的运行，用来存储数据的介质越来越多，各种不同系统下存储产生的软盘、磁带、光盘将给管理带来很大的麻烦，如果介质中没有电子标签，一旦外部标签脱落，要想知道介质上数据的内容就会很难，因为如果在UNIX上读不到文件的话，并不能表明这是一个空盘，相反，它可能存着由Windows NT服务器产生的重要的统计数据。 （6）历史数据保留困难

电子数据越来越成为企业历史数据保留的重要介质，而历史数据的保存有其安全性，可靠性方面的特殊考虑，比如财务数据，最好将一年的财务的全部数据：账务、报表、统计、汇总以及各项制度、规则文件等等进行归并然后保存到一盘磁带上，并对媒体进行加密，设置口令或进行压缩。 但目前存在两个问题，一个是这些数据可能来自不同的系统，账务系统可能运行在UNIX环境，而表则可能由Windows下的EXCEL生成。UNIX下的磁带应不能再被Windows认识，因此想把所有数据存到一起是不可能的；第二个问题是归档后的数据并不安全，如用UNIX EXPORT命令保存的数据，在任何其它的相同系统上都能读出来，因此关系到关键数据的保密性得不到保障。 （7）非计算机系统因素的隐患

如何实现火灾、地震等灾难导致数据中心损毁后的系统重建和业务数据运作？ 目标：建立可靠、高效的数据保护——备份、迁移、管理、容灾 1.1.2.1 应用数据的全自动备份 · 减少系统管理员的工作量

3

· 增加备份效率，压缩备份时间 · 使数据备份工作形成制度化、科学化 · 消除备份过程中因操作不当导致的严重损失 · 生成远程保留的为灾难恢复目的的介质 1.1.2.2 对介质的有效管理

· 增加软件限制，防止读写操作错误 · 保留介质内容的电子记录

· 对数据形成分门别类的介质存储，使数据备份管理更加细致，科学 · 自动校验介质，确保介质上的数据安全无误 1.1.2.3 实现数据的集中管理

· 按备份服务器形成数据中心，对各种应用系统及其它信息数据形成集中备份，减少每个应用业务人员工作负担，免除客户端备份的投资

· 形成数据备份管理策略，保证全系统一致的数据安全性 1.1.2.4 实现数据的自动恢复

· 业务人员可容易地自动恢复文件的误删除 · 维护人员可以自动恢复损坏的整个文件系统 1.1.2.5 建立历史数据归档

· 保留大量历史数据的电子介质，为行业发展保留第一手分析和历史资料。这些资料可能往往被认为近期无用而随意处理甚至丢失，而数年后可能成为最保贵的资源

· 有规律的归档还将清除系统中被占用的空间，以保证主机处理健康运行状态，防止硬盘过满带来处理效率降低甚至主机死机的灾难 · 保留必须长期保留的重要数据 1.1.2.6 支持灾难恢复计划

· 当小的数据库破坏，大到火灾、地震的灾难发生时，进行有效处理 · 有效保护用于灾难恢复的数

1.2 数据备份管理解决之道

以优秀的存储备份管理软件为中心，结合优秀的存储备份硬件，提供可靠、高效的解决之道。

1.2.1 存储备份软件的选择

备份管理软件要求： 指标项 指标要求 备份的数据量 不限制 多种主机平台 支持

在线备份 各平台上各种数据库的在线备份

4

备份Client 的数量 不限制

SAN（存储局域网）的数据备份 支持 数据库的块级增量备份 支持

高性能特殊文件系统（超大文件，超小文件）的备份 支持 管理接口 通过SNMP支持网管

集中管理 可支持多个备份Domain 的集中管理 灾难恢复功能 支持 增量备份 支持

Mail 的备份与恢复 可以对单个Mail 邮箱支持备份与恢复 中文办公业务系统数据库的备份 支持 中文办公邮件数据库 支持

存储备份管理软件的选择是建立安全、高效的制度化的数据保护的核心。Legato NetWorker 一个可应用于各种规模企业的异构环境下的高效的易扩充的分布式存储管理软件系列，全面保护银行的数据资产。它所具有的以下优越的功能和特性，决定了它是用于企业级存储备份解决方案的最佳选择： · 最广泛的操作系统平台支持

· 与8种数据库无缝集成的在线备份接口，提供安全高效的在线备份能力 · 支持Windows 2000/NT环境下打开文件的备份与恢复

· 最广泛的存储设备支持能力和介质管理能力诸如从磁带清除旧纪录，创建离线存储拷贝和在不同介质间移动数据等等

· 单点控制。并且可与几乎所有主流的系统管理软件无缝集成，将控制权交给系统管理软件，或者仅通过SNMP协议将备份服务器上信息发送到系统管理员机器上。而且能够通过Internet对多个数据区进行统一管理

· 历史数据归档管理，保留历史数据，清理硬盘空间保障主机运行更坚强 · 克隆的功能，实现一种异地存放的容灾策略，无需另外的软硬件开销

· 独特的OTF数据存储格式和并行流技术，使存储设备和服务器能充分发挥其最高速度，降低了平均备份时间，这对有100个或者更多节点的网络来说尤其有利，在有限的时间窗口内高性能地备份大量数据。POWER版支持64个并发备份/恢复进程（并行流）

· 完善的索引结构提供卓越的数据定位和恢复性能，索引容量更小，更快的浏览和查询，索引的备份和恢复更快 (at device speeds)

· 对新的存储架构 (SAN & NAS)的全面支持。NAS：通过工业标准NDMP协议备份NAS上的数据，支持直接和通过网络备份 NAS devices支持 Network Appliance，EMC， and Auspex，直接备份可以实现LANFree，多Filer共享带库备份，通过网络可提供分布式NAS设备的集中备份管理；SAN：NetWorker Server和存储节点通过SAN实现LANFree备份，使用SmartMedia专利技术支持动态共享磁带库，共享磁带机

· 专利的SmartMedia允许带库和驱动器共享，并提供介质的集中控制，从而能显著降低多备份服务器的存储设备费用及介质管理费用，另外，由于SmartMedia结构使设备控制独立于核心介质管理机，新增设备能很容易地在当前环境运行，若环境发生变化，不需中断存储管理操作就可增加设备或应用。

5

· 支持 Celestra 实现ServerLess备份 · Save set 级的浏览和回收策略 · 直接跨平台的索引浏览和移植 · 超高的性能独立于文件系统

· 是唯一全面支持 Linux的产品，以Windows的价格提供UNIX的性能。

· 支持集群种类最多确保系统硬件失效后备份的自动切换，消除由于备份失败导致的数据丢失，支持的集群种类有：Legato Cluster，Microsoft Cluster Services，MC ServiceGuard ，Sun Cluster 。

1.3 网络数据备份管理系统方案

1.3.1 数据备份管理系统总体结构及说明

根据各备份点说明： 序号 服务器 数量 要求

1 RS6000-AIX 金融卡IP电话 1 一般文件备份,informix数据库备份 2 RS6000-AIX 银行卡系统 1 一般文件备份,informix数据库备份 3 RS6000-AIX 金卡系统 1 一般文件备份,informix数据库备份 4 RS6000-AIX 证券系统 1 一般文件备份,informix数据库备份 5 RS6000-AIX 重要客户系统 1 一般文件备份,informix数据库备份

Legato NetWorker采用客户端/服务器结构集中管理，NT Server作为备份服务器，在其上安装Legato NetWorker服务器端模块。

在NetWorker服务器端还需加上带库管理模块。

LAN上的其它NT Server和UNIX Server作为备份客户端通过LAN做备份。

1.3.2 软件配置方案及性能

〖Legato NetWorker软件模块配置〗

1、1x NetWorker Network Edition for Windows（备份服务器端基本模块）

2、1x NetWorker Autochanger Software Module 1-128 Slots（磁带库控制管理模块） 3、1x NetWorker ClinetPak for UNIX（客户端基本模块） 4、1x Networker Client Connection-Qty5（客户端连接数）

5、5x Networker Module for informix ,Unix client（数据库在线备份模块） 6、1x Open File Manage,1 Client（打开文件保护模块） 本数据备份管理系统使用的软件模块的功能如下： 1) NetWorker Network Edition for Windows x1套 网络版（Network Edition）

Network Edition扩充了网络中各个节点的客户端支持，任何带有本地硬盘，从单一PC到多处理

6

器的UNIX应用服务器，都可作为一个客户端。网络版预配置了对10个客户节点的支持并包括了与服务器端相同操作系统的客户端软件。它还支持增加客户节点数连接、其他客户端平台软件及其它先进的数据管理服务等选项。具体表现在以下方面：

◆ 无与伦比的高效率－NetWorker专利并行流技术支持32个备份／恢复进程同时作业 ◆ 高可靠性－Legato OpenTape格式支持各种系统的数据备份和恢复操作 ◆ 并行设备支持－提供了向16个存储设备同时执行备份／恢复操作的功能 此外，Network Edition还支持所有的附加模块 2) NetWorker Autochanger Software Module 1-128Slots x1

提供了先进的磁带库监视和管理能力，是驱动磁带库必需的模块，实现非人工操作的自动数据保护。与NetWorker结合在一起，可与企业内大量的磁带库一起运作，利用大量的自动存储设备自动保护数据。对磁带库支持的存取介质数量：1—9，1—16，1—32，1—64，1—128，1—256以及不受限制的存取数量。

本方案采用的是80个槽位的磁带库，因此采用1套Autochanger Software Module 1-128 slots实现对带库的驱动和管理。

3) NetWorker ClinetPak for UNIX X1

ClientPak for UNIX提供除了NetWorker服务器操作系统之外的客户端平台如IBM-AIX、SunOS、Solaris、HP-UX、SGI IRIX、Compaq Tru64 UNIX、 SCO UNIX和UnixWare等支持。可以通过中央NT 备份服务器实现异构网络企业范围的数据保护。 NetWorker客户机可以发命令选择文件备份和恢复，也可以用作备份服务器的管理节点。

本方案使用1套ClientPak for UNIX------ 透过TCP/IP保护IBM-RS6000服务器数据。 4) Networker Cluster Client Connection-Qty5 X1

增加备份服务器对授权的cluster支持的数目，该模块的许可按1，5，25，100级别划分，每一个物理节点需要一个连接。

5) Networker Module for Informix ,Unix client X5

该模块与NetWorker的结合提供了可靠、高性能的对Informix Server数据库的在线数据保护。 6) Open File Manage,1 Client X1

OFM模块用来管理Windows NT服务器上打开的文件，即使在备份过程中有所改变，仍然可以保留完整准确的备份。保护打开的文件，操作中无中断，适用于使用广泛的E－mail、数据库和其它网络应用的打开文件的保护，不会影响其它应用程序对文件的访问，监测机制可以防止备份过程中的事物操作产生不完整，组织相关文件为逻辑集，安装简单。 1.3.2.1 网络数据管理计划

网络数据管理计划应根据网络系统的不同和业务系统运作的具体实际进行具体分析，数据管理的目的是为了在数据丢失后或系统发生灾难、系统崩溃后数据的及时恢复和系统重建，数据管理策略的设定将直接影响灾难发生后系统正常运转状态的恢复速度。对于本系统计算机网络需管理的数据包括： · 数据库数据

由于数据库数据是运作的核心，考虑的出发点应该是出现问题时如何以最简捷有效的方法恢复，由于数据库在运作中往往不再关闭，因此应考虑数据库在线备份，建议采用每天进行全备份的方式来

7

制订管理策略。备份时间一般应安排在业务比较空闲的晚上时间。由于数据库是追加的，因此不必保留太多的全备份版本，但考虑到数据库有可能出错，因此也不可保留太少版本。另外一方面，应该为全备份保留另外媒体，异地保存以支持灾难恢复计划（Legato软件支持克隆技术）。 · 其它应用类非数据库数据

在网络中，可能包括一些重要的应用类非数据库数据，对于这类数据可以考虑全备份与增量备份结合以防止数据丢失和破坏。 · 操作系统及应用软件数据

在正常情况下，此类数据可每月做一次全备份，以提供系统恢复的需求，同时应为全备份保留另外媒体异地保存以支持灾难恢复计划（Legato软件支持克隆技术）。 1.3.2.2 网络数据灾难恢复计划

在计算机系统数据管理技术中，制订数据恢复计划是一个重要环节，应在项目实施过程中给予高度重视。常规数据恢复计划如下： 1.3.2.2.1 数据库破坏而需要恢复时

利用软件来浏览所需恢复的数据库文件，触动恢复功能，软件将自动驱动存储设备，加载相应的存储媒体，然后恢复指定文件。 1.3.2.2.2 非数据库文件破坏而需要恢复时

利用软件来浏览所需恢复的文件存储集，触动恢复功能，软件将自动驱动存储设备，加载相应的存储媒体，然后恢复指定文件存储集。

1.3.2.2.3 非NetWorker服务器应用服务器系统瘫痪而需要恢复时 当硬件设备连接完成后，按以下步骤恢复应用服务器： · 安装应用服务器操作系统并配置网络 · 安装NetWorker客户端软件

· 从NetWorker服务器的索引表浏览该服务器系统全备份信息，触动恢复功能，软件将自动驱动存储设备，加载相应的存储媒体，将该应用服务器的全部数据恢复 · 检查数据差值 · 录入孤立丢失数据 · 批准系统运行 · 完成事故报告

1.3.2.2.4 NetWorker服务器系统瘫痪而需要恢复时

当硬件设备更换、连接完成后，按以下步骤恢复NetWorker服务器： · 安装应用服务器操作系统并配置网络 · 安装NetWorker服务器端软件，配置存储设备

· 从存储设备中取得最新的NetWorker引导信息（Bootstrap），恢复Bootstrap · 确认Bootstrap为最新版本，批准系统运行 · 完成事故报告

1.3.2.2.5 当整个计算机系统损坏而需要重建业务时

当硬件设备连接完成后，用异地保存的克隆带按以下步骤恢复系统数据。 · 将克隆带装入存储设备

8

· 按第4种情况恢复NetWorker服务器系统 · 按第3种情况恢复各业务系统数据

1.3.3 硬件方案及性能

功能强大而价格适宜的 Exabyte X80 磁带库是正在成长的公司投资于可伸缩的 MammothTape 磁带库的理想之选。这种 SAN 就绪的磁带库同时具有光纤通道接口和SCSI接口，满足现有规模的数据存储和将来扩展为更大型存储方案的灵活性。一个独特的磁带库监视器可以在不影响磁带库正常操作的情况下对磁带库进行管理。配置2至8台 Mammoth－2 磁带机，X80 磁带库的数据传输率可达 864GB 每小时。这种模块化配置的磁带库可配置40至80个数据磁带，容量可达12TB。 用户可利用 Mammoth－2 增强的性能容量和平均10秒以下的载带时间使应用的范围加大。对于需要用较为经济的存储方式存储较大数据量的公司，X80 就是其最佳的选择。

X80 在 Arrowhead 系列自动磁带库中是最新的一款。 X80 有标准的以太网端口可以和 NetStorM 磁带库监控器相连。越来越多的公司需要一种可以自动伸缩并使其数据存储方案有实质性增大的磁带库，那么，X80 就是一种完美的解决方案。 · 容量

使用 Mammoth-2 磁带机：

使用80槽： 12TB,压缩* 4.8TB,非压缩 · 数据传输率

使用8台 Mammoth－2 磁带机：

每小时 864GB，压缩* 每小时 345.6GB,非压缩 · 可靠性

机械臂：＞100万平均无故障周期 磁带机 MTBF：25万小时 · 与业界主要应用软件兼容 · 可伸缩的解决方案：

40或80 225m AME 数据盒带和 2到8台 Mammoth－2 磁带机 显著特点

· SAN就绪的NetStorMTM磁带库 · 极强的伸缩性 · 独特的磁带库监控 · 极具竞争力的价格 · 节省占地空间 特点 优势

现场升级 保护客户资源

机架式、塔式配置 提供配置灵活性

激光条码扫描器 优化文件管理，减少介质盘存时间

9

前部操作 直接对磁带机和介质进行操作，加强可维护性

增强型LCD显示 菜单驱动的界面令操作更为简便，为用户提供即时磁带库状态信息 多台磁带机 快速数据传输，允许并行操作，提供容错功能 可拆卸磁带匣 脱机存储和载带更为方便

5盒磁带进／出端口 在不打断磁带库正常工作的情况下允许取放磁带 标准以太网端口 允许基于浏览器的磁带库管理 Exabyte 440／480，X200仿真 支持广泛的软件应用 介质兼容性

内装Mammoth-2 的 x80 磁带库可使用带有 SmartCleanTM技术的介质，这样可以使数据的记录功能和磁带机的性能达到最佳状态。

1.3.4 网络备份拓扑

网络数据备份系统可行性分析：

网络带宽：主干1000M bit光纤，主干到工作台100Mbit双绞线。

网络设备：IBM RS 6000小型机5台、 NT-Server一台(Wide-SCSI 160Mbit) 存储设备：Exabyte X80磁带库一台(2台M2磁带驱动器) 操作系统：AIX-v4.3.3、Nt-sp6.0

最大数据传输率： 主干1000Mbit/8=125MB/S； 小型机到主干100Mbit/8=12.5MB/S； 主干到NT-Server100Mbit/8=12.5MB/S；

NT-Server到磁带库SCSI 接口160Mbit/8=20MB/S；

磁带库配置2台M2驱动器数据传输率为：12MB/S×2=24MB/S 数据备份网络支持的最大数据传输率为：12.5MB/S (附:若加八台M2的磁带机则备份速度达345.5GB/小时)

实际数据流量：每台RS6000每天通过NT-Server向X80备份500~800MB数据； NT-Server每天接收的数据量为：

5*500～800MB=2500～4000MB=2.4～3.9GB

NT-Server每天向磁带库传送的数据量2.4~3.9GB，磁带库每天接收的数据量2.4～3.9GB 时间窗口：备份数据流量/网络最大数据传输率 2500～4000MB/12.5MB/S=200～320秒 =3.33～5.33分钟

结论：在理想状态、网络空闲的情况下： 每天备份的数据量为4GB左右

备份全天数据所需时间仅为5分钟左右。

而Exabyte AME 75 SmartClean的磁带单盘容量最小为20GB，所以可以确保各台应用服务器上的数据是备份在同一盘磁带上。

10

1.4 方案实施与维护

公司是国内进入数据存储管理领域最早的公司，经过多年的努力，在数据存储管理领域积累了丰富技术实施经验。公司拥有完善的客户技术服务体系，有能力及时响应客户的技术支持需求。公司的宗旨是服务服务再服务，合作合作再合作，引进数据备份管理领域的国际最新产品、最新技术服务国内广大用户。确保客户成功是所有员工信守的承诺，我们将全力以赴，竭诚成为能为您可信赖的长久伙伴。

1.4.1 方案实施

为顺利完成数据备份管理系统的技术支持服务，我们制订如下实施规划： 实施现场环境确认 到货验收及实施环境检测 安装与调试 技术培训 客户化用户环境 实施验收 实施现场环境确认

为了不影响项目的正常实施，在公司工程技术人员到达客户现场进行技术服务前，客户方项目负责人员将有责任回复实施技术人员关于客户现场环境及其他厂商工作进展情况（主机系统、网络系统、数据库系统、应用系统等）的各项问题，以便公司技术支持人员可与客户及时沟通，制订较为可行的实施计划，顺利完成项目的技术实施工作。 到货验收及实施环境检测

网络数据存储管理软件Legato NetWorker的现场验收工作将由公司NetWorker技术工程师会同客户项目负责人及相关维护人员共同完成。

1.4.2 系统维护

从系统建立之日起，我公司负责提供一年的各种免费服务：

（1）系统的技术支持：为了方便用户，我公司专门设立了售后热线电话和技术支持email信箱，我公司售后工程师将以最快的速度解决客户问题。如果问题无法通过电话和email解决，我们的工程师将以最快的速度赶到现场解决问题。

（2）软件升级：在系统维护期内，我们将提供免费的软件升级。

（3）系统培训：我们可应用户的要求，根据实际情况，进行进一步的免费培训。 （4）发送资料：我们将定期给我们的用户发送Leagto的各种最新的资料和信息。

根据用户的实际情况可适当调整系统维护期，在过了系统维护期之后，如用户还需要延长服务

11

期，可与本公司续签服务合同，本公司是专业而专注于客户服务的公司，为您提供多种服务包选择。 （5）硬件保修：提供厂商承诺的两年现场免费换件维修。

2.工行网络系统安全分析与安全设计

2.1 系统结构分析及新网络平台的特点

2.1.1 系统结构分析

中国工商银行是全国性的综合银行。由于业务工作的需要，其覆盖全国的网络系统是国内建得较早的，运行情况也基本良好。随着工行“9991”工程的顺利完成，网络安全的重要性愈加凸现出来，近年来对网络进行了较大规模的改造，特别增强了网络信息系统的安全保障体系。

工行新的网络平台是一个以各级路由器为纽带的开放的、树型拓扑结构的集成网络体系。主体应用系统是综合业务系统CB2000，其功能要求和处理模式决定了工行的总体构架。

1、按业务性质划分

可划分为面向客户业务处理的系统和面向办公及信息管理的系统。面向客户业务处理的系统是基于 TCP/IP 协议，以总行数据中心为核心、以各级路由器为连接管道、以各类服务器为中间业务前置平台、 以通用网关下(通过UNIX前置机) 的UNIX系统终端为端点的综合业务处理系统。按结构层次划分为一级网 (总行与省分行之间)、二级网 (省分行与地市分行之间)、三级网 (地市分行与支行及营业网点之间)。

面向内部办公和信息管理的系统是以TCP/IP 为通讯协议， 以LOTUS/NOTES 为应用平台， 以局域网互连为基础， 集电子邮件、 网络办公、 信息传输、 网上浏览等功能于一体的广域网系统。

上述两个系统结合在统一的网络体系之中，在网络的各个层次中既相对独立，又具有连接接口，根据业务需要通过一定的安全机制进行控制。 2、按网络边界划分

可划分为: 内部网、外联网、公共网

内部网: 是工行网络体系中的基本部分，支持工行的基本业务系统，是网络的主体。 外联网: 是与有关政府部门及其它金融机构，与企业之间的处理代理业务、代收费业务和其它中间业务的网络接口。

公共网: 是银行内部与互联网之间的接口，用于满足电子商务、网上银行等基于互联网的业务需要。整个工行只在总行数据中心留有一个与互联网的接口，其它任何一级的省、市分行都不保留接口，所以在此不讨论公共网的安全问题。 3、 按网络功能划分

可划分为: 生产网、OA网、测试网。从网络总中心到省分行以下的各层次网络节点均由上述三个相对独立的子网构成本级局域网，同时各子网除了横向之间即相对对立又根据需要有控制地连接之外，又在纵向垂直构成各自网络功能体系。

12

2.1.2 新网络平台的特点

工行新的网络平台具有如下特点:

1、 统一性。整个网络平台采用统一的结构，使基于网络平台的各应用系统，可以按统一的网络规范进行集成和整合。既满足了面向客户业务处理的需要，又满足了内部办公自动化和管理信息化的需要，同时又能够满足全行数据大集中和资源共享的需要。

2、 开放性。打破了工行传统网络的封闭性，消除了在互连网络环境下进行新型金融产品开发的网络瓶颈，为在公共通信基础设施上构造既开放又安全的银行专用网提供了条件。

3、 先进性。对全行推广新一代综合业务系统提供了有效的网络支持。工行新一代综合业务系统是面向加入WTO和与国际接轨而全新设计的应用系统，其特点是以客户为中心， 实行综合网点、综合业务、综合柜员的综合化服务与管理，提供营业网点和自助设备的全天候服务功能，按事权划分、事中控制、事后监督原则进行操作管理。改造后的工行网络平台为实现综合业务系统的上述功能提供了网络技术保证。

4、 安全性。由于采用统一的网络结构，更便于建立全行统一的安全机制，实施全行统一的安全策略和安全技术。

5、 可控性。能够利用先进成熟的网络管理技术，对整个网络进行实时监控，并能够根据网络的运行状态和业务发展需要对网络进行调整，满足“下管一级，监控两级”的管理要求。

2.1.3 银行系统的网络拓扑图及说明

在网络的对外出口处以及内部各部门的连接都设置防火墙将是最理想的选择，因此我们在本方案中建议浦发银行在所有与外部网出口都配置NetScreen系列防火墙，以及在总行与分行的业务网的连接处也配置防火墙，对外防止黑客入侵，对内以防止内部人员的恶意攻击或由于内部人员造成的网络安全问题。

本方案中主要用到NetScreen-10和NetScreen-100，在总部与各部门连接点采用NetScreen-100作为防火墙，同时在重要的业务连接点采用NetScreen独特的多机备份技术用两台作为热备份，保证整个系统的网络安全。在各部门采用NetScreen-10防火墙，为连接各银行网点提供安全防护。

另银行通过INTERNET网上进行业务时，由于分行与INTERNE都有出口，也带来了一定的风险，我们建议在连接INTERNET的出口上也配置NetScreen-10防火墙。

13

图2-1网络拓扑图

2.2 安全风险分析

基于对工商银行网络信息系统的结构分析，其网络安全风险存在于网络系统本身和网络安全管理两个主要方面。综合考虑网络的边界划分和功能划分，网络的安全风险主要存在于以下几个方面:

1、网络系统内部可能存在用户越权访问、违规操作的威胁。 2、网络系统可能面临病毒的侵袭和扩散的威胁。

3、生产网与OA网既有隔离又因业务需要存在一定程度的连接。所以，生产网可能存在遭受来自OA网的恶意攻击、违规使用、数据篡改、信息窃取的危险。

4、生产网因业务交换和中间代理业务的需要，提供与其它金融机构和企业网络之间的接口，因此可能存在遭受来自其它金融机构或企业网络违规使用、数据篡改、信息窃取的危险。

5、可能存在针对远程通信系统的信息窃听、数据篡改等危险。

2.3 安全需求分析

基于工商银行网络信息系统的结构，针对其可能存在的网络安全风险，提出相应的网络安全需求。其中:

从网络的功能方面考虑，生产网、OA网和测试网中，以生产网作为安全需求的重点，采取高级别的安全策略。生产网必须与网络的其它部分严格隔离开来，其内部也要实施高等级的安全防范措施;OA网由于使用人员分布面广，难以实现有效的管理控制。测试网虽然与生产网是相互隔离的，

14

但测试网中存放着大量从生产环境中拷贝过来的敏感数据。所以，以网和测试网应采取中等级别的安全策略，侧重考虑网络边界的安全。

具体来说，工商银行的网络安全需求主要有以下几个方面:

1、网络结构的合理化。合理地规划网络边界和功能，合理地设置网络接口，对各功能子网特别是生产网进行详细的VLAN划分，以便于隔离问题，使结构可管理，接口可控制。

2、身份鉴别。对终端和用户的合法性进行鉴别认证，防范非法用户假冒合法用户进行攻击。 3、数据通信加密。所有数据进入广域网传输时必须处于密文状态，以防止数据泄密，同时防止遭受来自通信线路上的攻击(非法截获、分析、篡改、重放等)。即远程交易点通过远程网络传送到主机的业务信息，应是加密的，使用的密码方案应经过国家专门机构的认证，以保证其加密的强度和抗攻击能力。

4、访问控制。通过对特定网段、服务建立访问控制体系，对系统及网络资源实施有效的访问控制，将绝大多数攻击阻止在到达攻击目标之前。

5、权限控制。通过权限控制，实现对不同用户使用不同网络系统资源和执行不同网络操作的控制管理。

6、系统隔离。网络系统内部生产网与OA网和测试网之间、内部网与外部企业网之间要采取相应的安全技术，进行有效的隔离。

7、安全漏洞检查。通过对安全漏洞的周期检查，既便攻击能够到达攻击目标，也可使其绝大多数攻击无效。

8、防范病毒。建立网络病毒防范体系，采用先进的网络防病毒技术，实施统一的网络防范病毒策略，在全网络范围内对病毒进行有效的预防、隔离，并在保证数据完整J性的前提下清除病毒。 9、网络安全监控。设立网络安全监控中心，按照“下管一级，监控两级”的原则，通过对网络重点资源进行监控，可实时检测出绝大多数网络攻击以及QA网中用户非法拨号上互联网，并采取相应的行动(如断开网络连接、记录攻击过程、跟踪攻击源等)，进而对整个网络系统进行安全监测、维护、管理，提供紧急情况服务。

10、多层防御。对重点保护区域实施多层防御策略，既便在攻击者突破第一道防线后，也可阻断或延缓其到达攻击 目标。

11、备份和恢复。建立备份和恢复机制，对重要的网络设备、业务系统和数据进行备份，在遭受攻击时，能够尽快地恢复网络系统服务和数据环境，将损失降到最低程度。

2.4 安全设计原则与总体目标

2.4.1 网络安全总体设计原则

1.需求、风险、代价综合分析平衡的原则

对任一网络来说，绝对安全是难以做到的，也不一定是必要的。所以，在进行具体的网络安全方案设计时，要对一个网络进行全面的考察分析(包括任务、性能、结构、可靠性、可维护性等)，对网络系统面临的风险及可能的损失程度与安全的代价之间进行对比研究，综合平衡各方面因素，

15

制定出相应的规范和措施，进而确定本系统的安全策略。 2、系统性、整体性原则

运用系统工程的观点、方法，分析网络的安全问题，并制定具体措施。一个较好的安全方案往往是多种方法的择优选用，是综合考虑的结果。一个计算机网络系统包括人、设备、软件、数据等环节，它们在信息系统安全中的地位、影响和作用不同，只有从系统的、整体的角度去看待和分析，才可能获得重点突出、整体有效和可行的方案。计算机信息系统安全不单纯是一项技术工程，同时也是一项管理工程。所以，为保障技术安全的有效性，还必须从整体上考虑法规、制度、标准、管理等各方面的配套化。 3、一致性原则

这主要是指网络安全问题应与整个网络的工作周期(或生命周期)同时存在，制定的安全体系结构必须与网络的安全需求相一致。实际上，在网络规划设计时就统筹考虑网络安全对策，比等到网络建设好以后再另行考虑要更加科学规范。这不但容易实施，而且还可以节省投资。 4、实用性原则

安全方案的设计应与当前的安全需求紧密结合，做到有的放矢，能切实起到加强系统安全的作用。

5、易操作性原则

安全措施是要靠人来完成的。如果措施过于复杂，对人的要求过高，就会增加掌握的难度，其本身也就降低了安全性。其次，还要考虑安全与效率的关系，所采用的安全措施不能影响系统的正常运行。

6、适应性、灵活性原则

安全措施必须能随着网络性能及安全需求的变化而变化，有比较好的系统适应性，容易修改和升级。

7、多重保护原则

任何安全保护措施都不会是绝对安全的，都有可能被攻破。因此，在设计安全方案时应对重点保护区域设置多重保护层。这样，可以做到各层保护相互补充，当一层保护被攻破时，其它层保护仍可起到相应的保护作用。

2.4.2 网络安全设计的总体目标

工行信息系统设计的总体目标是:

1、合理的网络边界，防止安全风险的扩散。

2、确保网络边界和接口的安全，防止外部用户的非法入侵。 3、确保网络内部的安全，防止内部用户违规操作或越权破坏。 4、确保数据安全，保证数据传输时的安全性、完整性、不可抵赖性。 5、确保网络物理上的安全。

6、建立一套完整的审计、分析机制，便于进行问题追踪和落实责任。 7、建立一套完整的病毒防范机制。

8、建立一套完整的网络安全管理规范，融合技术和管理手段，形成全局的安全管理机制。

16

2.5 网络安全设计技术

设计合理的网络体系结构，是网络安全的基本前提。合理地设计网络结构，在关键点上使用高可用性(HA)和负载均衡等技术，可以大大提高网络的可靠性;只规定少数几个受重点防护的出口点与外界相连，使得外部入侵者难以透过重重防护进入内网;内网之间通过合理的功能区域划分和隔离措施，也使得各种安全问题难以蔓延，大大提高了网络的安全性。

图2-2 辖内网络安全部署框架图

1、网络结构设计主要体现在以下几个方面:

(1)总体结构设计，包括功能区域的划分、各功能区域的子网划分。 (2)合理设计出入口，规范网络的对外连接。 (3)消除单点故障，提高网络的可靠性。 2、网络结构设计主要使用以卜技术: (1)在功能区域之间使用防火墙进行隔离。 (2)在每个功能区域内部进行详细的VLAN划分。 (3)在关键点上使用高可用性(HA)和负载均衡等技术; (4)采用动态路由技术，提高网络的可靠性。

为了实现工行网络系统的安全运行，在网络的设计中应全面地考虑安全保障措施。我们在设计中，主要采用了以下的技术:

17

2.5.1 防火墙

网络防火墙提一种用来加强网络之间访问控制的特殊网络设备，它对两个或多个网络之间传输的数据包和连接方式按照一定的安全策略进行检查，从而决定网络之间的通信是否被允许。其中被保护的网络称为内部网络或私有网络，另一方则被称为外部网络或公用网络。一般来说，防火墙能够有效地控制内部网络与外部网络之间的互访以及数据传输，从而达到保护内部网络的信息不受外部非授权用户的访问和过滤不良信息的目的。

防火墙的种类很多，实现方式各不相同，但是在本质上可以等同为这样的一对机制:一种机制是拦阻传输流通行，另一种机制是允许传输流通过。在实际应用中又各有侧重:一些防火墙偏重拦阻传输流的通行，比如阻止那些非授权用户或者黑客对内部网络或者敏感数据的访问，阻止内部敏感数据的非正常流出，或者阻止不健康信息的流入等等；而另一些防火墙则偏重允许传输流通过，比如一些BBS或者FTP站点的防火墙。总之，防火墙的作用就是保证正常的工作，防止恶意的破坏。

事实上的防火墙还有很多种，比如一些防火墙只允许电子邮件通过，因而保护了网络免受除对电子邮件服务攻击之外的任何攻击;而另一些防火墙则提供了不太严格的保护措施，并且能够拦阻一些众所周知的操作系统中存在问题的服务。通常的，防火墙在配置上都是防止来自外部世界未经授权的交互式登录的;这将大大有助十防止破坏者登录到内部网络。更进一步，那些设计更为精巧的防火墙不仅可以防止来自外部的传输流进入内部，还允许内部的用户可以自由地与外部通信。好的防火墙的特性之一是它是内部网络和外部网络连接的枢纽，如果你切断防火墙的话，它可以保护你免受网络上任何类型的攻击。另一个非常重要的特性是，它可以提供一个单独的拦阻点，在拦阻点上能够设置安全和审计检查，从而使防火墙可以发挥 一种有效的电话监听和跟踪工具的作用。防火墙可以经常向系统管理员提供一些情况概要，比如有关通过防火墙的传输流的类型和数量，以及有多少次试图闯入防火墙的企图等信息。 2.5.1.1防火墙的特性

总的来说，一个理想的防火墙系统应该具有以下五方面的特性: 1.所有在内部网络和外部网络之间传输的数据必须通过防火墙。

2、只有被授权的合法数据及防火墙系统中安全策略允许的数据可以通过防火墙。 3、防火墙本身不受各种攻击的影响。

4、使用目前新的信息安全技术，比如现代密码技术等。 5、人机界面良好，用户配置使用方便，易管理。 2.5.1.2防火墙的技术

目前实现防火墙的主要技术有:数据包过滤，应用网关，代理服务等。包过滤技术和应用网关是通过特定的逻辑判断来决定是否允许特定的数据通过，其优点是速度快、实现方便，缺点是审计功能差;代理技术则能进行安全控制又可以加速访问，但实现比较困难。在实际应用当中，构筑防火墙的真正的解决方案很少采用单一的技术，银行网络安全性的研究与应用通常都是解决各种问题的不同技术的有机组合。到底要解决什么样的问题往往依赖于客户所需求的服务以及愿意接受的风险等级，而最终采用何种技术来解决那些问题则取决于很多因素，比如客户要求的时间、资金的多少、设计者的专长等。

防火墙技术和网络协议有密切的关系。一些协议(如Telnet, SMTP)能更有效地处理数据包过滤，

18

而另一些(如FTP, Gopher, W W W)能更有效地处理代理服务。大多数防火墙将数据包过滤和代理服务器结合起来使用。

下面我们分别介绍数据包过滤，应用网关以及代理服务。 1、包过滤技术

包过滤(Packet Filter)技术是在网络层中对数据包实施有选择的过滤。它在依据系统内事先设定的过滤逻辑，检查数据流中每个数据包后，根据数据包的源地址、目的地址、TCP/UDP源端口号、TCP/UDP目的端口号及数据包头中的各种标志位等因素来确定是否允许数据包通过，其核心是安全策略也就是过滤算法的设计。

一种直接的实现方式是利用特定的因特网服务器一般都使用特定端口号的事实(如TCP端口23用于Telnet连接)，使包过滤器可以通过对对应的端口号进行简单地规定，从而达到禁止或允许某一特定类型连接的目的。利用这一点还可以进一步组成一整套数据包过滤的规则。

包过滤技术作为防火墙的应用大致有三类:一是路由设备在完成路由选择和数据转发之外，同时进行包过滤，这是目前较常用的方式;二是在工作站上使用软件实现包过滤，这种方式价格较贵;三是在一种称为“屏蔽路由器”的路由设备上启动包过滤功能。

由于包过滤技术一般应用于协议的网络层，所以效率较高。但是依托这种技术的防火墙所监测的安全参数仅为IP报头的地址和端口信息，若要增加它的安全系数，就不得不增加对数据报文的处理，这样就势必加大了处理难度，从而降低了系统效率，反而导致了安全性较低。另一方面，一般的包过滤技术还有泄露内部网的安全数据信息(如拓扑结构信息)和暴露内部主机的所有安全漏洞的缺点，难以抵制工P层的攻击行为。 总的来说，包过滤防火墙的缺陷主要有：

高度依赖通信信息:包过滤防火墙只能访问部分数据包的头信息；缺乏通信和应用状态信息:包过滤防火墙是无状态的，所以它不可能保存来自于通信和应用的状态信息；有限的信息处理能力:包过滤防火墙不能处理信息包的主体；过滤规则的问题:过滤规则有时太简单，因而安全性差，而如果过滤规则复杂，其设计又存在矛盾关系，同时管理也困难。另外一旦判断条件满足，防火墙内部网络的结构和运行状态便暴露在外来用户面前。 2、应用网关

应用网关(Application Gateway)技术是建立在网络应用层上的协议过滤，它主要针对特别的网络应用服务协议即数据过滤协议，并且能够对数据包分析并形成相应的报告。应用网关在接受外来的应用连接请求，并进行安全检查后，再与被保护的网络应用服务器连接，使得外部服务用户可以在受控制的前提下使用内部网络的服务。另外也可以监控内部网络到外部的服务连接。

应用网关的一个突出功能是可以对某些易于登录和控制所有输入输出的通信环境给予严格的控制，以防有价值的程序和数据被窃取。另一个有意义的功能是它可以对通过的信息进行记录，如什么样的用户在什么时间连接了什么站点等等。由于计算强度大，在实际工作中，应用网关一般由专用工作站系统来完成。

应用网关的代理服务实体将对所有通过它的连接做出日志记录，以便对安全漏洞进行检查和收集相关的信息。同时该实体可采取强认证技术，对数据内容进行过滤，以保证信息数据内容的安全，还能防止病毒以及恶意的Java App let或ActiveX代码，因此具有较高的安全性;但是由于每次数据传输都要经过应用层转发，造成应用层处理繁忙，整体性能下降。有些应用网关还可以存储

19

Internet上的那些被频繁使用的页。而当用户请求的页面在应用网关服务器缓存中存在时，服务器将检查所缓存的页面是否是最新的版本(即该页面是否已更新);如果是最新版本，则直接提交给用户;否则，到真正的服务器上请求最新的页面，然后再转发给用户。

应用网关防火墙检查所有应用层的信息包，并将检查的内容信息放入决策过程，从而大大提高了网络的安全性。然而，这种防火墙是通过打破“客户机/服务器”的模式实现的。每个 “客户机/服务器”通信需要两个连接:一个是从客户端到防火墙，另一个是从防火墙到服务器。另外，每个代理都需要一个不同的应用进程，或一个后台运行的服务程序，对每个新的应用必须添加针对此应用的服务程序，否则就不能使用该服务。所以，应用网关防火墙具有可伸缩性差的缺点。 总括来说，应用网关防火墙存在以下缺陷：

连接限制:每一个服务都需要自己的代理，所以可提供的服务数和可伸缩性受到限

制；技术限制:应用网关不能为UDP, RPC及普通协议族的其他服务提供代理；性能损失：应用网关防火墙牺牲了一些系统性能。 3、代理服务

代理服务器(Proxy Server)技术作用在应用层，它用来对应用层的服务进行控制，可以在内部网络向外部网络申请服务时起到中间转接的作用。内部网络将只接受代理提出的服务请求，而拒绝外部网络其它节点的直接请求。

具体地说，代理服务器是运行在防火墙主机上的、专门的应用程序或者服务器程序。其中的防火墙主机可以是具有一个内部网络接口和一个外部网络接口的双重宿主主机，也可以是一个自身能够访问因特网同时又能被内部主机所访问的堡垒主机。代理服务器程序接受用户对因特网服务的请求 〔诸如FTP, Telnet)，并按照一定的安全策略转发为实际的服务。代理实际上是提供代替连接并且充当服务的网关。

代理服务技术既能进行安全控制又可以加速访问，能够有效地实现防火墙内外计算机系统的隔离，具有很好的安全性，另外还可用于实施较强的数据流监控、过滤、记录和报告等功能。其缺点是对于每一种应用服务都必须为其设计一个代理软件模块来进行安全控制，而每一种网络应用服务的安全问题各不相同，具体分析起来会很困难，因此实现也困难。

上面介绍的防火墙的三种技术都各有各自的优点和缺点，单独使用一种技术不能完全满足银行网络的要求。对于不同的银行网络，应该根据网络所提供的服务、网络的开放程度以及网络的带宽等实际情况采用不同的组合方式。但是防火墙技术有其自身的弱点，单纯的防火墙防卫方式是无法满足银行网络对安全性的要求的，可以通过结合下面的入侵检测技术来共同达到保护银行网络安全的目的。

2.5.2 入侵检测系统

利用防火墙并经过严格配置，可以阻止各种不安全访问通过防火墙，从而降低安全风险。但是，网络安全不可能完全依靠防火墙单一产品来实现，网络安全是个整体的，必须配相应的安全产品，作为防火墙的必要补充，入侵检测系统就是最好的安全产品。随着网络技术的快速发展，网络入侵行为也越来越普遍，因而网络安全问题越来越引起人们的高度重视。目前虽然大部分公司的网络系统都安装了防火墙，但是黑客的入侵手段也越来越高明，甚至研究出很多方法可以直接绕过防火墙，

20

比如利用系统或者软件漏洞取得对网络中某一台服务器的控制权，继而就可以对整个网络发起攻击。另外一方面，网络专家们通过广泛的调查发现，将近65%的攻击都来自于内部。尤其是对于那些对企业心怀不满或假意卧底的员工来说，由于防火墙防内比较差的特点，防火墙形同虚设。所以单纯使用防火墙来保证银行内部网络的安全越来越显示出局限性。

入侵检测作为一种积极主动的安全防护技术，最主要的特点是它在网络系统受到实质的危害之前就可以对入侵进行拦截和报警 从网络安全的立体纵深、多层次防御的角度出发，入侵检测理应受到人们的高度重视,这从国外入侵检测产品市场的蓬勃发展也可以看出。但是在国内这方面的研究还比较薄弱，同时由于上网的关键部门、关键业务越来越多，基于国家安全的考虑，我们也迫切需要具有自主版权的入侵检测产品。

2.5.3 防病毒技术

病毒历来是信息系统安全的主要问题之一。由于网络的广泛互联，病毒的传播途径和速度大大加快。防病毒问题是网络系统应考虑的重要因素之一。工行采用的是趋势科技公司的网络版防毒墙。

（1）全行防病毒网络的部署图

图 2-3 全行防病毒网络部署图 （2）TMCM—控管中心

控管中心TMCM（Trend Micro Contorl Manager）是具有集中化管理功能的防病毒安全控制中心。

主要功能：跨广域网集中管理、配置；统一自动更新部署病毒代码、扫描引擎、程序；统一自

21

动更新部署预防代码；统一自动生成日志报表。

管理对象：趋势科技的所有防病毒产品。 （3）产品部署

TMCM：TMCM Scerver安装于南北数据中心防病毒管理服务器；TMCM Agent安装于总行、南北数据中心、珠海开发中心、海外数据中心、各一级行的OfficeScan服务器；TMCM Server本机到Internet完成更新。

OfficeScan：安装于工行系统内部Windows客户端工作站上，通过TMCM Agent更新。 ScanMail for Lotus Notes：安装于工行系统内部各Lotus Notes 群件服务器上，更新配置指向本地OfficeScan服务器。

InterScan VirusWall：安装于工行系统内部各邮件服务器相关位置。

2.5.4 流量管理技术

流量管理技术是规范网络使用、提高网络质量的重要技术手段。在网络安全方面也能防止一些耗用网络带宽的拒绝服务攻击。流量管理包括最低带宽保障和最高带宽限制两个方面的内容。通过提供最低保障带宽，可以为重要的应用及用户提供通畅的网络连接；最高带宽限制功能可以限制某些用户对网络资源的过度使用，防止网络阻塞。

2.5.5 安全评估

安全评估技术是网络安全技术的重要组成部分。攻击者无论从外部或是内部攻击、侵入网络系统，攻击基础是该网络系统现存的安全漏洞。安全评估就是对网络系统的脆弱性进行量化分析，先于黑客发现问题、解决问题的过程。

安全评估技术包括：网络扫描、系统扫描和数据库扫描等。安全扫描工具作为自动化的网络安全风险风险工具，为安全网络漏洞的发现提供了强大的支持。配备安全扫描系统，评估现行系统安全配置，达到提前主动地控制安全危险，是整个安全系统不可或缺的组成部分。每次安全扫描之后，都必须根据生成结果报告对存在的问题或者漏洞进行及时处理。

2.5.6 安全审计

安全审计是指在计算机信息系统中对于系统(包括网络)的活动进行监视和记录的一种机制。其主要功能有:监视和记录系统的活动情况，使影响系统安全性的存取以及其他非法企图留下线索，以便查出非法操作者;检测和判定对系统的攻击，及时提供报警和处理;提供审计报告，使系统安全管理人员能够了解运行情况;识别合法用户的误操作等。

工行网络信息系统必须具备安全审计措施。并通过多层次的审计手段，形成一个功能较完备的安全审计系统。具体而言，安全审计系统应该由三个层次组成，分别是:

1)、网络的安全审计;主要利用防火墙的审计功能、基于网络的入侵检测系统来实现。 2)、主机的安全审计:主要是利用各种操作系统和应用软件系统(包括基于主机的入侵检测系统)的审计功能实现。包括:用户访问时间、操作记录、系统运行信息、资占用等。

22

3)、信息内容的安全审计:属高层审计。

2.5.7 主机安全防护技术

主机系统是网络系统的重要组成部分，是业务和关键信息的主要承载体，多数网络攻击和入侵的目标也都集中在网络中的主机系统。所以，对主机系统的保护是网络安全防御中的重中之重。 主机安全防护主要有三个组成部分:

1)、主机安全加固。通过安装系统补丁的方式弥补操作系统本身的漏洞。

2)、主机核心防护。通过个人防火墙、主机防入侵、堆栈溢出保护等技术手段强化主机操作系统的核心防护能力。

3)、主机性能调谐。使被保护主机的安全性与效率性达到平衡。

2.5.8 负载均衡技术的使用

网络中心的信息处理高度集中，随着网络应用规模的迅速扩大，网络流量阻塞、服务器不堪负荷将成为影响其服务能力的关键问题之一。如何智能地、实时地在服务器群中或网络设备上对用户的请求进行管理和分配，如何保证能在系统中顺利引入新的设备参与服务，如何在系统局部发生故障时不影响整个服务品质，已成为网络管理所关注的技术问题。因此，在一些网络节点上考虑使用负载均衡技术。

23

本文来源：https://www.bwwdw.com/article/nxlp.html