项目背景

　　在金融业日益现代化、国际化的今天，我国的各大银行注重服务手段进步和金融创新，不仅依靠电子化建设实现了城市间的资金汇划，消费结算、储蓄存取款、信用卡交易的电子化、开办了电话银行等多种

服务，而且以资金清算系统、信用卡异地交易系统形成了全国性的网络化服务。此外，许多银行开通了SWIFT系统，并与海外银行建立了代理行关系，各种国际结算业务往来的电文可在境内外之间瞬间完成接收与发送，为企业国际投资，贸易和其他交往以及个人汇入汇出境外汇款，提供了便捷的金融服务。

　　中国工商银行信息系统安全性总的原则：制度防内，技术防外。

需求分析

　　工商银行深圳分行OA网络安全需求可归纳为：

1. 抵御来自外部黑客对内部网络基础设施、主机系统和应用服务的各种攻击；抵御内部越权访问和误操作，保证网络和系统服务的可用性，保证信息的保密性、完整性和准确性。

2. 对市内的各个营业网点进行有效的安全隔离。

3. 市内的各个营业网点与办公网络通过VPN相连.

4. 防火墙应具有适应性。

　　由于整个网络规模庞大、节点众多，网管人员往往无法及时了解网络结构变化及运行状况和网络的漏洞，无法有效防止可能发生的攻击，对于已经或正在发生的攻击缺乏有效的追查手段。因此为了隔离外部对内部网络的潜在威胁，有必要在网络的出口布署防火墙系统来保护内部网络不受破坏和对入侵行为作记录以便追究责任。因此，有必要：

(一) 控制非法访问

(二) 加密传输数据(使用VPN功能)

(三) 采用认证

(四) 防火墙的HA

办公网络和生产网络与其他线路连接之间的安全需求

　　由于工商银行深圳分行的办公网络和生产网络与其他链路的相连是通过DDN专线相连的,它们之间是为了传输大量的数据,而且数据的保密性很强,所以在它们之间加载防火墙是必须的。其主要因素有：

1、内部用户的恶意攻击、误操作；

2、一些别有用心的人利用搭线窃听，获取信息；

3、缺乏有效的手段监视、评估网络系统和操作系统的安全性；

4、缺乏一套完整的安全策略、监控和防范技术手段。

解决方案

　　本方案将根据银行的网络结构特点提出银行网络安全系统的设计方案。在深圳市工商银行的网络安全项目中，工商银行选用了4台Netscreen防火墙来保护自己的网络。4台防火墙分成两组，两两做HA。一组做深圳市工商银行内部的OA网络与生产网络的隔离。一组做与其它营业网点的防护。