思科系统打造银行安全

在北京、上海、大连、南京、深圳等主要大中城市，广东发展银行先后设立了400多个分支机构，储蓄业务、公司业务、国际业务、存贷款业务、信用卡业务、离岸银行业务等业务种类都已成熟，特别是近期银行卡的业务推广十分成功，在国内银行同业中处于领先地位。努力提高自身业务水平和服务水准一直是银行发展宗旨。同时银行服务标准与国际金融市场接轨，提供更优质的服务是广东发展银行近年的目标。

为顺应时代和技术的发展，广东发展银行决定逐步建立起基于IP技术的业务骨干网，改进目前的网络基础平台，选用国际最先进的网络软硬件产品，保证传统业务和新兴的服务渠道，如网络银行、新一代客户服务中心等业务的稳定、安全、高效的运行。

商业需求期待网络改造

由于总行和各分行地理位置上的特点，它们都有与其它网络系统(互联网)接入需求，网络对外连接出口必然成为黑客攻击的主要对象。如何解决关键出口的安全性问题，是网络安全性建设的首要问题。在网络关键出口需要设置PIX防火墙作安全隔离，防止银行内部网络受未授权用户的侵犯是可行的方案。

在网络安全上，防止非法的访问是一方面，而对网络活动施行实时动态的监测，是及时发现非法访问的另一有效途径。网络关键链路和接口要有监控，使出现的问题及时发现及时解决；而定期对网络实施静态扫描也可以发现潜在威胁。

另外，原有的网络系统还存在维护费用高，技术复杂的缺点。因此网络改造要求有先进友好的网络管理软件以降低网络维护费用。

网络改造打造新的发展空间

通过审慎的调查研究和亲身产品使用，广东发展银行最终选择了思科的网络安全产品。根据思科公司面向网络安全端到端的SAFE(Security Architecture for E-Business)解决方案，结合现有运行网络的实际情况，双方通力合作，完成了网络安全性设计。思科的SAFE解决方案能够考虑潜在的安全性威胁，并考虑相关的相应速度、性能、可扩展性、安全管理、服务质量以及语音支持。模块组成的SAFE包括思科整体安全策略制定、思科安全PIX防火墙、思科IOS防火墙特性、思科入侵检测系统以及思科VPN系统。

思科的SAFE方案的模块化方法为银行网络提供了最大的灵活性。使广东发展银行能够针对特定的业务来选择特定的模块。SAFE同时也提供了根据业务需要逐步实现安全的Cisco AVVID基础设施的可能。这保护了银行在现有安全设施上的投资，降低整个网络系统的费用。客户同时也可知道每一个模块的工作原理及在整个思科网络安全框架中的作用。客户同时也能够与思科系统公司网络安全专家共同设计及检测安全系统。
改建后的网络在广域网中心增设了专用的路由器。原来既作为DLSw+节点又作为广域网路由的中心路由器实现功能上的拆分，新增专门路由器作为DLSw+路由器，负责SNA和TCP/IP的协议转换。所有路由器位于高性能防火墙的两侧，防止外部对应用主机的非法操作，同时网络对SNA协议的处理能力也得到提高。

银行网络对外的对外连接在采用了防火墙后实现与外部的安全隔离，同时地址翻译技术屏蔽了内部网络地址和结构，在防止黑客攻击方面做到防患于未然。

有限投资创造无限利益

从2000年12月以来，广东发展银行网络安全性改造工程在思科公司的密切配合下顺利实施。从改造的效果上来看，实现了预期的目标。

明确细致的全行整个数据集中网络系统的安全需求在此次网络建设中的得以满足。整个银行具有了完整、规划全面的安全结构体系。从主机系统、网络系统、应用系统、办公管理信息系统、用户系统等方面，解决了整个数据集中网络系统及各子系统和有关关键环节的安全隐患和安全漏洞。

在整个网络的安全性设计上，思科公司进行了全面的规划，制定了整体的安全策略。同时对局域网、广域网以及外联网与Internet等公共信息网互连的安全保障规定。使用思科的安全策略管理器CSPM指定整体的安全策略，并实施定期的监控和改进。原有的应用服务器与其他系统服务器以及办公及管理信息系统相连，存在一定的安全隐患。在此次系统改造中这一问题得到了解决，通过采用内部防火墙，两者实现了安全隔离，应用主机安全性得到更好的保障。

【相关文章】

• Windows平台下银行信息安全需求