需求分析

　　物理层安全：主要是防止物理通路的损坏、对物理通路的攻击（干扰等）；

　　链路层安全：保护通过网络链路传送的数据，使之不被窃听；

　　网络层安全：保证网络只给授权的客户使用授权的服务，保证网络路由正确，避免被拦截或监听；

　　操作系统层：保护客户资料、操作系统访问控制的安全，同时能够对该操作系统上的应用进行审计；

　　应用层安全：主要是指保证建立在网络系统之上的各种服务软件的安全性，如数据库服务器、电子邮件服务器、Web服务器等；

　　管理层安全：主要是指在全网采用统一的安全策略和多层保护、层层设防的体系结构来防护，并通过完善的安全管理制度和规范来强制实施。

　　方案特点

　　针对金融行业特殊性，洪恩世纪专门搭建了一个符合该行业的网络安全架构，在根本上解决金融行业可能遭遇到的非法入侵、未经授权的存取或破坏可能造成的数据丢失、系统崩溃等问题。

　　1.外网控制对金融系统业务网、办公网、与外单位互联的接口网络之间必须按各自的应用范围、安全保密程度进行合理分布，以免局部安全性较低的网络系统造成的威胁，传播到整个网络系统。

　　2.加强访问控制

　　在内部局网内通过交换机划分VLAN功能来实现不同部门、不同级别用户之间简单的访问控制；

　　内部局域网与外单位网络、内部局域网与不信任域网络之间可以通过配备防火墙来实现内、外网或不同信任域之间的隔离与访问控制。

　　对于远程拔号访问用户的安全性访问，可以利用防火墙的一次性口令认证机制，对远程拔号用户进行身份认证，实远程用户的安全访问。

　　3.安全检测和网络安全评估配备入侵检测系统，与防火墙等安全控制系统组成防护安全体系。实时分析进出网络数据流，对网络违规事件跟踪、实时报警、阻断连接并做日志。

　　对于黑客攻击，建议补救措施和安全策略，根据扫描结果配置或修改网络系统，达到增强网络安全性的目的。

　　4.安全认证与加密传输引入了通过第三方来发放证书，即构建一个权威认证机构（CA认证中心）。银行系统可以联合各专业银行一同构建一个银行系统的CA系统。实现本系统内证书的发交与业务的安全交易。

　　采用网络层加密设备，来保护数据在网络上传输的安全性。而对网上银行、网上交易等业务系统可以采用应用层加密机制来加密，以保护数据在网上传输的机密性。

　　5.安全目标

　　·保护网络设备的正常运行，维护主要业务系统的安全；

　　·保护网络资源的合法使用；

　　·防范入侵者的恶意攻击与破坏；

　　·保护信息通过网上传输的机密性、完整性及不可抵赖性；

　　·防范病毒的侵害·实现网络的安全管理