兴业银行计算机网络及布线方案.docx
- 文档编号:29115559
- 上传时间:2023-07-20
- 格式:DOCX
- 页数:43
- 大小:139.95KB
兴业银行计算机网络及布线方案.docx
《兴业银行计算机网络及布线方案.docx》由会员分享,可在线阅读,更多相关《兴业银行计算机网络及布线方案.docx(43页珍藏版)》请在冰豆网上搜索。
兴业银行计算机网络及布线方案
第一章、计算机网络系统
1.前言
今天,在我们生活的世界上,正在静悄悄地发生着一场革命,这就是当今世界的信息革命。
不久的将来,会有那么一天,人们可能不必离开他们的书桌或扶手椅,就可以办公、学习、探索这个世界和他的各种文化,进行各种娱乐、交朋友、向远方的亲戚展示照片等。
到了那个时代,计算机和网络连接用品将不仅仅是人们随身携带的一个物件,或是你购买的一个工具,而是他们进入一个新的生活方式的通行证,人们将在“信息高速公路”中互相交流。
光信公司能够有机会为兴业银行提供计算机网络系统建议方案,对此我们深表谢意,并真诚希望合作成功,希望将光信公司优秀的产品和先进的技术以及优质的服务带给我们的用户,和用户共同取得成功。
信息科学技术已经成为提高企业效率的关键。
本文给出运用佳都的产品、技术和服务提供信息系统解决方案的建议,其目标在于给予信息系统的管理者、设计者和信息结构策略的选择者提供一个全面的解决方案的综览。
信息技术可以帮助企业做出更好的决策、更快的响应,增强联系的程度。
但是同样它也带来了以往没有的一些挑战。
一些是技术上的问题,如系统集成、系统迁移、软件开发、系统结构和设计、网络管理、开放标准和重用性等等。
另外一些是管理上的问题,如培训、服务和支持等。
光信公司认为在银行、企业计算环境中,信息技术需要并同时也接受来自各个厂商的大量的产品、技术、服务和合作关系等方面的挑战。
不同于简单的文件共享和打印共享,信息网络是对用户所需信息的全面联接。
构建于统一的Client/Server结构之上,支持开放标准和全球连通的信息网络是新一代信息使用结构的基础。
内置的支持工具使信息网络更容易操作和管理,基于组件的软件开发方式为创建信息系统使用程序提供了更高效的手段。
光信公司非常荣幸地能够为“兴业银行计算机信息网络系统”出谋划策。
希望通过此项网络系统工程,能够让光信公司将其优秀的产品、先进的技术以及优质的服务带给用户,和用户共同取得成功。
2.兴业银行信息网络系统设计原则
●网络设计具有开放性和标准化,采用开放性和标准化思想,保证网络互连简单易行。
●具有可靠性和先进性,选用成熟、可靠的先进技术组织网络,在设计中充分考虑网络的故障容错功能,保障全网的运行可靠。
●根据兴业银行信息网络系统使用的实际需要设计网络,确定网络数据的组织、站点分布和网段划分,整体上提高网络的实际传输效率和速率。
●采用模块化、结构化设计,使系统的网络扩充、功能增加更容易实现。
●充分利用现有资源,充分考虑到对现有计算
●机资源、数据资源和传输资源的利用,避免资源浪费。
3.兴业银行计算机网络系统(Intranet)网络结构
根据以上要求和系统总体功能结构,我们设计了如图所示的网络结构。
兴业银行计算机网络系统(Intranet)网络结构
在本节内,我们将简要介绍几种不同的LAN技术,并且就其优缺点进行比较。
3.1以太网(Ether)技术:
以太网通过CSMA/CD(载波侦听/碰撞检测)技术通信,是一种非常成熟的LAN技术。
传统上,同一LAN上的所有工作站利用CSMA/CD争抢同一通信介质(例如:
同轴电缆、HUB),其结果是实际上所有工作站仅能分时地进行通信。
例如,10M以太网上如果有20台正在使用的工作站,每台工作站实际仅使用的网络带宽为:
10M*30%/20=153.6Kbps
其中“30%”为以太网效率,是各工作站抢占介质进行通信的结果。
当工作站数量增加时,效率会更低。
可见,当工作站数量增加时,每台工作站所使用的带宽将极有限。
体现在用户上,将出现使用程序启动缓慢、Web页面显示缓慢并伴有偶然的Web画面丢失等。
使用HUB(集线器)连接的所有微机就是在这种环境下运行的。
同一以太网段上的工作站数量比较少时(例如12个左右),网络性能才可以充分发挥。
使用HUB组网是最经济有效的,但必须小心规划HUB组成的网、控制HUB级连的级数、同一网段上的工作站数量。
3.2快速以太(FastEther)技术:
快速以太网采用的技术和传统以太网完全相同,同样采用CSMA/CD技术。
但通过改良信号的调制方法和先进的控制技术,提高了以太网的速度(高达100M)。
当采用HUB时,在工作站数量不多时,和传统以太技术一样,可以充分发挥其高速特性。
由于快速以太网采用和传统以太网相同的技术,采用了相同的数据帧(Frame)结构,使得在和传统以太网(段)连接时技术实现简单而性能良好。
实际上,快速以太网是牺牲了传统以太网传输距离而换来的局部高速度。
快速以太网同一网段必须严格控制在半径100m范围内(UPT5)。
3.3以太交换(EtherSwitching)技术:
10M和100M以太网中都存在碰撞问题,两台计算机不可能同时通信。
交换技术和以太(10M或100M)技术结合后,大大提高了以太网的速度。
交换保证任一时刻,任意两台计算机能够同时通信,从而数十倍提高了整体网络速度。
以太交换实际上保证在同一以太网段上仅有一台(或少数几台)计算机,消除的网段内产生碰撞的可能。
3.4快速以太交换(FastEtherSwitching)技术
快速以太交换是快速以太网和交换技术的结合的产物。
由于快速以太所采用的数据帧结构和传统的以太技术相同,通过和交换结合,数据帧可以在交换机内迅速地在快速以太网和以太网之间交换,不需要向和别的网络技术搭配使用时出现的进行帧结构转换或帧重组/分块等操作。
交换式技术将保证网络性能是平稳的,不会在猝发流量情况下出现性能暴跌(而这正是共享介质网络技术如以太网的固有缺点)。
并且,网络设备端口之间不会争夺网络带宽。
举例而言,带交换功能的网设有A、B、C、D四个端口,当A和B通信时,丝毫不会影响C和D通信质量。
这点将保证网络上大量服务器、工作站同时运行的需要,也为日后在LAN上传输图象奠定基础。
因此,我们建议网络系统采用快速以太交换技术。
3.5千兆以太网技术(扩展):
数量不断增长的用户和数据密集型办公室、Intranet和多媒体使用程序促使带宽需求日益增加,从而给当今许多局域网的主干网带来了沉重的负担。
以其可靠性、易使用性和经济性而成为大多数网络首选的以太网可能正是这一问题的来源,又是这一问题的解决办法。
随着企业采用日益复杂的使用程序和网络核心快速增加的通信量,必须提高网络的访问速度。
为此,3Com公司等主要的网络厂商正在积极开发1000Mbps的解决方案和基于标准的产品。
在以太网网络的演进过程中,千兆位以太网的一个合乎逻辑的跃进是,如它的前几代产品所做的那样,承诺将经济、高效地满足当今的网络需求。
和快速以太网在Internet上所提供的10倍的加速类似,千兆位以太网正被设计用来为网管员提供更高的性能,同时保留现有的网络基础设施。
千兆位以太网是MIS机构面临的许多网络挑战的理想解决方案。
当今的商业企业采用的是超级快速服务器等更为强劲的技术,以及视频流式传输、可视电话会议或者高速文件备份等数据密集型使用程序,新的千兆位以太网标准将大大有助于以合理的成本大量增加带宽。
千兆位以太网提供给我们的主要优势:
-原始带宽
千兆位以太网将显著增加纯带宽,其通信处理能力将极大的缓解局域网主干网所承受的压力,同时为用户提供高效运行数据密集型使用程序所需的可缩放性和速度;
-性能价格比
-完美无缺的迁移
千兆位以太网保留802.3和以太网标准桢格式以及802.3管理的对象规格;
-简化的管理
-投资保护
-补充ATM和其它先进技术
-多种多样的迁移途径
交换机和交换机的链接,交换机和服务器的链接,升级交换式快速以太网和交换式FDDI主干网
千兆位以太网更大的数据传输速率意味着用户将能以更快的速度访问Intranet和其它数据密集型服务,并有一个更大的访问Internet和广域网服务的管道。
正如10Mbps和100Mbps以太网过去曾主宰市场一样,千兆位以太网可望在进入21世纪后独领风骚。
由于目前交换式以太网价格合理,性能优异,所以本方案建议采用全交换式的网络。
主干采用100M(1000M)交换式太网,分支采用10/100交换式以太网,实现100M直接到桌面。
3.6网络管理
银行系统网络的正常运行,除了需要有优良性能和可靠耐用的网络设备外,拥有良好的管理工具是至关重要的。
通常中大型的网络(对于LAN,大约在100工作站以上;对于WAN,大约在5台路由器以上)都需要配备网络管理软件,而且规模越大,配备的网络管理系统功能越要求功能齐全。
因银行系统有一定保密性,本方案建议采用CISCO的CiscoWorks作为网络管理。
CiscoWorks结构使您今天能够建立完善的管理系统,又可保护原有资源,因而明天您可以经济有效地扩大服务范围。
3.7计算机网络系统安全保障方案—防火墙(CheckPoint)
建议参考方案:
越来越多的银行信息网络的整体结构是—个和WAN连接的网络,网络上和各银行之间运行各种业务系统、办公自动化等,另外还有Internet使用,网络系统采用TCP/IP协议;
网络由三个部分组成:
内部网络:
主干是中央(千兆?
)交换机,边缘是(快速以太网?
)交换机,该网络构成广东省路桥公司信息网络内部网络。
提供Internet服务的网段:
由WebServer、ProxyServer组成。
,该网段为内部人员提供Web和Email服务,并提供Internet上的Web主页。
广域网的连接:
使用Officerouter租用DDN专线/ISDN和Internet相连,以及远程用户通过拨号方式登录PORTMASTER拨号服务器和内部网络相连。
由于网络使用系统的复杂化,网络安全体系的建立和全面解决方案更是迫在眉睫。
安全威胁
自信息系统运行以来就存在信息系统安全问题,通过网络远程访问而构成的安全威胁日益成为受到严重关注的问题。
根据美国FBI的调查,美国每年因为网络安全造成的经济损失超过170亿美元。
企业信息网络可能存在的安全威胁来自以下方面:
操作系统的安全性。
目前流行的许多操作系统均存在网络安全漏洞,如UNIX服务器,NT服务器及Windows桌面PC。
防火墙的安全性。
防火墙产品自身是否安全,是否设置错误,需要经过检验。
来自内部网用户的安全威胁。
缺乏有效的手段监视、评估网络系统的安全性。
采用的TCP/IP协议族软件,本身缺乏安全性。
未能对来自Internet的电子邮件夹带的病毒及Web浏览可能存在的Java/ActiveX控件进行有效控制。
网络安全的需求
究竟什么是系统安全性?
计算机安全事业始于本世纪60年代末期。
当时,计算机系统的脆弱性已日益为一些机构所认识。
但是,由于当时计算机的速度和性能较落后,使用的范围也不广,再加上未把它当作敏感问题而施加控制,因此,有关计算机安全的研究一直局限在比较小的范围内。
进入80年代后,计算机的性能得到了成百上千倍的提高,使用的范围也在不断扩大,计算机已遍及世界各个角落。
并且,人们利用通信网络把孤立的单机系统连接起来,相互通信和共享资源。
但是,随之而来并日益严峻的问题是计算机信息的安全问题。
人们在这方面所做的研究和计算机性能和使用的飞速发展不相适应,因此,它已成为未来信息技术中的主要问题之一。
由于计算机信息有共享和易于扩散等特性,它在处理、存储、传输和使用上有着严重的脆弱性,很容易被干扰、滥用、遗漏和丢失,甚至被泄露、窃取、篡改、冒充和破坏,还有可能受到计算机病毒的感染。
国际标准化组织(ISO)将“计算机安全”定义为:
“为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄露。
”此概念偏重于静态信息保护。
也有人将“计算机安全”定义为:
“计算机的硬件、软件和数据受到保护,不因偶然和恶意的原因而遭到破坏、更改和泄露露,系统连续正常运行。
”该定义着重于动态意义描述。
计算机安全的内容应包括两方面:
即物理安全和逻辑安全。
物理安全指系统设备及相关设施受到物理保护,免于破坏、丢失等。
逻辑安全包括信息完整性、保密性和可用性:
保密性指高级别信息仅在授权情况下流向低级别的客体和主体;
完整性指信息不会被非授权修改及信息保持一致性等;
可用性指合法用户的正常请求能及时、正确、安全地得到服务或回应。
一个系统存在的安全问题可能主要来源于两方面:
或者是安全控制机构有故障;或者是系统安全定义有缺陷。
前者是一个软件可靠性问题,可以用优秀的软件设计技术配合特殊的安全方针加以克服;而后者则需要精确描述安全系统。
总体安全体系结构
网络安全体系结构主要考虑安全对象和安全机制,安全对象主要有网络安全、系统安全、数据库安全、信息安全、设备安全、信息介质安全和计算机病毒防治等,其安全体系结构如下图所示:
安全体系层次模型
按照网络OSI的7层模型,网络安全贯穿于整个7层。
针对网络系统实际运行的TCP/IP协议,网络安全贯穿于信息系统的4个层次。
下图表示了对应网络系统网络的安全体系层次模型:
物理层
物理层信息安全,主要防止物理通路的损坏、物理通路的窃听、对物理通路的攻击(干扰等)
链路层
链路层的网络安全需要保证通过网络链路传送的数据不被窃听。
主要采用划分VLAN(局域网)、加密通讯(远程网)等手段。
网络层
网络层的安全需要保证网络只给授权的客户使用授权的服务,保证网络路由正确,避免被拦截或监听。
操作系统
操作系统安全要求保证客户资料、操作系统访问控制的安全,同时能够对该操作系统上的使用进行审计。
使用平台
使用平台指建立在网络系统之上的使用软件服务,如数据库服务器、电子邮件服务器、Web服务器等。
由于使用平台的系统非常复杂,通常采用多种技术(如SSL等)来增强使用平台的安全性。
使用系统
使用系统完成网络系统的最终目的——为用户服务。
使用系统的安全和系统设计和实现关系密切。
使用系统使用使用平台提供的安全服务来保证基本安全,如通讯内容安全,通讯双方的认证,审计等手段。
企业信息网络的网络安全需求
根据企业信息网络系统的需求,概括来说,企业信息网络的网络安全主要包括以下几个方面:
b)Internet服务网络安全。
c)病毒的防御
d)黑客的防御
e)系统平台的安全性
以上几个方面均有不同的安全需求,单一的防火墙远不能满足以上的复杂要求,每种使用会有不同的安全需求,要求建立不同的安全策略,但同时,象不同的使用运行在同一个网络上—样,网络安全也应该是—个统一全面的解决方案。
将针对以上使用类型,给出适应该平台的层次化安全体系结构。
提供的解决方案力图从网络安全的威胁入手,在网络的各个层次上提供全面的解决方案。
总体规划
安全体系设计原则
在进行计算机网络安全设计、规划时,应遵循以下原则:
需求、风险、代价平衡分析的原则
对任一网络来说,绝对安全难以达到,也不一定必要。
对一个网络要进行实际分析,对网络面临的威胁及可能承担的风险进行定性和定量相结合的分析,然后制定规范和措施,确定本系统的安全策略。
保护成本、被保护信息的价值必须平衡,价值仅1万元的信息如果用5万元的技术和设备去保护是一种不适当的保护。
综合性、整体性原则
运用系统工程的观点、方法,分析网络的安全问题,并制定具体措施。
一个较好的安全措施往往是多种方法适当综合的使用结果。
一个计算机网络包括个人、设备、软件、数据等环节。
它们在网络安全中的地位和影响作用,只有从系统综合的整体角度去看待和分析,才可能获得有效、可行的措施。
一致性原则
这主要是指网络安全问题应和整个网络的工作周期(或生命周期)同时存在,制定的安全体系结构必须和网络的安全需求相一致。
实际上,在网络建设之初就考虑网络安全对策,比等网络建设好后再考虑,不但容易,而且花费也少得多。
易操作性原则
安全措施要由人来完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性。
其次,采用的措施不能影响系统正常运行。
适应性、灵活性原则
安全措施必须能随着网络性能及安全需求的变化而变化,要容易适应、容易修改。
多重保护原则
任何安全保护措施都不是绝对安全的,都可能被攻破。
但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全。
网络安全风险分析
网络系统的可靠运转是基于通讯子网、计算机硬件和操作系统及各种使用软件等各方面、各层次的良好运行。
因此,它的风险将来自对企业的各个关键点可能造成的威胁,这些威胁可能造成总体功能的失效。
由于在这种广域网分布式计算环境中,相对于过去的局域网、主机环境、单机环境,安全问题变得越来越复杂和突出,所以网安全风险分析成为制定有效的安全管理策略和选择有作用的安全技术实施措施的基础依据。
安全保障不能完全基于思想教育或信任。
而应基于“最低权限”和“相互监督”的法则,减少保密信息的介入范围,尽力消除使用者为使用资源不得不信任他人或被他人信任的问题,建立起完整的安全控制体系和保证体系。
网络安全策略
安全策略分安全管理策略和安全技术实施策略两个方面:
管理策略
安全系统需要人来执行,即使是最好的、最值得信赖的系统安全措施,也不能完全由计算机系统来完全承担安全保证任务,因此必须建立完备的安全组织和管理制度。
技术策略
技术策略要针对网络、操作系统、数据库、信息共享授权提出具体的措施。
安全管理原则
计算机信息系统的安全管理主要基于三个原则。
多人负责原则
每项和安全有关的活动都必须有两人或多人在场。
这些人应是系统主管领导指派的,应忠诚可靠,能胜任此项工作。
任期有限原则
一般地讲,任何人最好不要长期担任和安全有关的职务,以免误认为这个职务是专有的或永久性的。
职责分离原则
除非系统主管领导批准,在信息处理系统工作的人员不要打听、了解或参和职责以外、和安全有关的任何事情。
安全管理的实现
信息系统的安全管理部门应根据管理原则和该系统处理数据的保密性,制订相应的管理制度或采用相应规范,其具体工作是:
f)确定该系统的安全等级。
g)根据确定的安全等级,确定安全管理的范围。
h)制订相应的机房出入管理制度。
对安全等级要求较高的系统,要实行分区控制,限制工作人员出入和己无关的区域。
i)制订严格的操作规程。
操作规程要根据职责分离和多人负责的原则,各负其责,不能超越自己的管辖范围。
j)制订完备的系统维护制度。
维护时,要首先经主管部门批准,并有安全管理人员在场,故障原因、维护内容和维护前后的情况要详细记录。
k)制订应急措施。
要制订在紧急情况下,系统如何尽快恢复的应急措施,使损失减至最小。
l)建立人员雇用和解聘制度,对工作调动和离职人员要及时调整相应的授权。
安全系统需要由人来计划和管理,任何系统安全设施也不能完全由计算机系统独立承担系统安全保障的任务。
一方面,各级领导一定要高度重视并积极支持有关系统安全方面的各项措施。
其次,对各级用户的培训也十分重要,只有当用户对网络安全性有了深入了解后,才能降低网络信息系统的安全风险。
总之,制定系统安全策略、安装网络安全系统只是网络系统安全性实施的第一步,只有当各级组织机构均严格执行网络安全的各项规定,认真维护各自负责的分系统的网络安全性,才能保证整个系统网络的整体安全性。
网络安全设计
由于网络的互连是在链路层、网络层、传输层、使用层不同协议层来实现,各个层的功能特性和安全特性也不同,因而其网络安全措施也不相同。
物理层安全涉及传输介质的安全特性,抗干扰、防窃听将是物理层安全措施制定的重点。
在链路层,通过“桥”这一互连设备的监视和控制作用,使我们可以建立一定程度的虚拟局域网,对物理和逻辑网段进行有效的分割和隔离,消除不同安全级别逻辑网段间的窃听可能。
在网络层,可通过对不同子网的定义和对路由器的路由表控制来限制子网间的接点通信,通过对主机路由表的控制来控制和之直接通信的节点。
同时,利用网关的安全控制能力,可以限制节点的通信、使用服务,并加强外部用户识别和验证能力。
对网络进行级别划分和控制,网络级别的划分大致包括Internet/企业网、骨干网/区域网、区域网/部门网、部门网/工作组网等,其中Internet/企业网的接口要采用专用防火墙,骨干网/区域网、区域网/部门网的接口利用路由器的可控路由表、安全邮件服务器、安全拨号验证服务器和安全级别较高的操作系统。
增强网络互连的分割和过滤控制,也可以大大提高安全保密性。
随着企业个人和个人之间、各部门之间、企业和企业之间、国际间信息交流的日益频繁,信息传输的安全性成为一个重要的问题。
尽管个人、部门和整个企业都已认识到信息的宝贵价值和私有性,但商场上的无情竞争已迫使机构打破原有的界限,在企业内部或企业之间共享更多的信息,只有这样才能缩短处理问题的时间,并在相互协作的环境中孕育出更多的革新和创造。
然而,在群件系统中共享的信息却必须保证其安全性,以防止有意无意的破坏。
物理实体的安全管理现已有大量标准和规范,如GB9361-88《计算机场地安全要求》、GFB2887-88《计算机场地技术条件》等。
安全产品选型一般原则
在进行网络安全方案的产品选型时,要求安全产品至少应包含以下功能:
m)访问控制:
通过对特定网段、服务建立的访问控制体系,将绝大多数攻击阻止在到达攻击目标之前。
n)检查安全漏洞:
通过对安全漏洞的周期检查,即使攻击可到达攻击目标,也可使绝大多数攻击无效。
o)攻击监控:
通过对特定服务建立的攻击监控体系,可实时检测出绝大多数攻击,并采取相应的行动(如断开网络连接、记录攻击过程、跟踪攻击源等)。
p)加密通讯:
主动的加密通讯,可使攻击者不能了解、修改敏感信息。
q)认证:
良好的认证体系可防止攻击者假冒合法用户。
r)备份和恢复:
良好的备份和恢复机制,可在攻击造成损失时,尽快地恢复数据和系统服务。
s)多层防御:
攻击者在突破第一道防线后,延缓或阻断其到达攻击目标。
t)隐藏内部信息:
使攻击者不能了解系统内的基本情况。
u)设立安全监控中心:
为信息系统提供安全体系管理、监控,保护及紧急情况服务。
.网络安全技术方案设计:
结合安全设计的策略,我们提出网络安全设计方案。
本章就采用的防火墙、防病毒、防黑客,以及安全评估等技术措施作详细的描述。
各种安全措施之间的相互协作,构成主动的网络安全防御体系。
根据网络安全需求,目前网络安全方案集中考虑外部网络的安全性;对于整体网络的安全性,我们还分析了网络安全方案的可扩充性。
在本章结尾,我们总结了本方案的特点。
防火墙的解决方案
系统使用防火墙是为了增加系统的安全性,这些安全性主要有:
保护脆弱的服务
通过过滤不安全的服务,Firewall可以极大地提高网络安全和减少子网中主机的风险。
例如,Firewall可以禁止NIS、NFS服务通过,Firewall同时可以拒绝源路由和ICMP重定向封包。
控制对系统的访问
Firewall可以提供对系统的访问控制。
如允许从外部访问某些主机,同时禁止访问另外的主机。
例如,Firewall允许外部访问特定的MailServer和WebServer。
集中的安全管理
Firewall对企业内部网实现集中的安全管理,在Firewall定义的安全规则可以运用于整个内部网络系统,而无须在内部网每台机器上分别设立安全策略。
如在Firewall可以定义不同的认证方法,而不需在每台机器上分别安装特定的认证软件。
外部用户也只需要经过—次认证即可访问内部网。
增强的保密性
使用Firewall可以阻止攻击者获取攻击网络系统的有用信息,如Finger和DNS。
记录和统计网络利用数据以及非法使用数据
Fire
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 兴业 银行 计算机网络 布线 方案