三、网络系统安全设计：

　　网络系统安全包括网络数据的安全传送、网络资源的合法使用及网络业务的合法授权、使用和监管。统一规划内部网络和外联网络的安全区域，加强网络用户的身份认证，健全网络安全机制，不同的安全区域之间实现有效隔离、可控互通、双向防御，安全控制措施在需要互通的不同的安全区域的网络边界上进行部署。

1、网络结构安全：
　　网络结构布局的合理与否，直接影响网络系统的安全。对银行系统业务网、办公网、与外单位互联的接口网络之间必须按各自的应用范围、安全保密程度进行合理分布，统一整合外联网络，在内外网的边界建立非军事化区（DMZ），以免局部安全性较低的网络系统造成的威胁，传播到整个网络系统。

2、防病毒技术：
　　为了使网络免受病毒侵害，保证网络系统中信息的可用性，必须构建多层次的病毒防护体系，以保证信息的安全和系统的正常运行。在系统的每个台式机上安装台式机的防病毒软件，在服务器上安装基于服务器的防病毒软件，以提供对病毒的检测、清除、免疫和对抗能力。

3、操作系统、应用系统的安全性：
　　大多数操作系统都存在一些安全漏洞，这些因素往往被入侵者攻击所利用。因此，对操作系统必须进行安全配置、打上最新的补丁，还要利用相应的扫描软件对其进行安全性扫描评估、检测其存在的安全漏洞，分析系统的安全性，提出补救措施。应用系统一般都是针对某些应用而开发的，对应用系统的安全性，也应该进行安全配置，尽量做到只开放必须使用的服务，而关闭不经常用的协议及协议端口号。充分利用应用系统本身的日志功能，对用户所访问的信息做记录，为事后审查提供依据。使用应用系统时，要通过加强用户登录的身份认证以确保用户使用的合法性，严格限制登录者的操作权限，将其完成的操作限制在权限范围内。

4、防火墙技术：
　　在银行内部网和外联网的边界部署防火墙，用于对所有进出边界的数据包进行检查、过滤，利用防火墙的访问控制，控制进出网络的信息流向和信息包，有效抵御常见黑客攻击，利用防火墙的地址转换功能隐藏银行的内部地址及网络结构。

5、入侵防御系统：
　　传统的人侵检测系统（IDS）能检测到信息流中的恶意代码，但由于是被动处理通信，本身不能对数据流作任何处理。入侵防御系统（IPS）在应用层的内容检测基础上加上主动响应和过滤功能，通过一个网络端口接收来自外部系统的流量，经过检查确认其中不包含异常活动或可疑内容后，再通过另外一个端口将它传送到内部系统中。这样一来，有问题的数据包以及所有来自同一数据流的后续数据包，都能在IPS设备中被清除掉。

6、安全扫描系统：
　　通过安全扫描系统能够测试和评价系统的安全性，并及时发现安全漏洞，是现阶段非常先进的系统安全评估技术。安全扫描系统包括基于服务器的安全扫描系统和基于网络的安全扫描系统。布设基于网络的安全扫描系统，用于扫描设定网络内的服务器、路由器、交换机、防火墙等设备的安全漏洞，提供系统漏洞分析报告，并可设定模拟攻击，以测试系统的防御能力。

7、加密技术：
　　加密具有机密性、证实作用和访问控制功能。对银行普通业务系统，可采用网络层加密设备来保护数据在网络上传输的安全性。而对网上银行、网上交易等业务系统可以采用应用层加密机制来加密，以保护数据在网上传输的机密性。

8、VLAN技术：
　　VLAN技术的主要作用是可将分布于不同地理位置的计算机按工作需要组合成一个逻辑网络，同时VLAN的划分可缩小广播域，以提高网络传输速度，由于处于不同VLAN的计算机之间不能直接通信，从而使网络的安全性能得到了很大提高。银行内部局域网根据不同业务类型和信息资源的访问权限，利用三层交换机来划分虚拟子网，将业务网络和办公网络从逻辑上隔离。

9、访问控制列表：
　　访问控制列表可以限制网络流量，提高网络性能，对通信流量进行控制，是保护网络安全的基本手段。通过VLAN的划分部署不同安全区域，采用访问控制列表等安全措施，保证不同安全区域之间的可控互通，同时部署在内网边界可防范来自其它分支机构的网络安全风险。