为了提高金融机构自身的竞争力，金融业越来越重视金融信息化建设。由于行业特点，如数据集中处理、外部业务信息点众多且信息点相对分离等，建立一个健壮的内部园区网和安全系统已成为整个系统的关键。本文结合近年在园区网建设方面的经验，对金融机构如何合理设计紧缩型园区网和网络安全系统进行分析。

一、系统设计原则
 金融业在系统网络和网络安全设计方面有以下几个明显的特点。
 
１．高冗余性
 作为信息基础平台，片刻的网络系统故障或停顿都会对业务造成很大影响。对金融机构来说，设计局域网系统首先必须提供高冗余性。高冗余性主要体现在所采用的网络技术、设备及功能配置３个方面。从技术上来说，网络硬件设备也必须提供丰富的可用选项（如电源、风扇、管理引擎和板卡的冗余等）；另外，对可选功能的准确配置也是确保系统具有高冗余性的关键。
 
２．高安全性
 如何对Ｉｎｔｅｒｎｅｔ/Ｅｘｔｒａｎｅｔ等外网的接入、ＰＳＴＮ/ＩＳＤＮ的拨号接入以及局域网内计算机用户与核心系统服务器群间的通信、计算机用户间的通信进行严格、高效的控制是确保系统安全性的关键。所选用的路由器、交换机、防火墙必须提供丰富的安全性管理选项（如访问控制列表、防火墙功能等）。安全策略的制定与发布应由集中的安全策略管理控制台完成，从而实现对局域网内每个计算机用户的网络动作进行集中、可控的管理，保护核心服务器。
 
３．高吞吐性
 网络的吞吐性能直接会影响业务处理的时效性，要考虑一些新增的基于ＩＰ技术的业务，如视频会议、内部ＩＰ电话等转移到数据网后的带宽需求。在充分考虑性价比的前提下，选用性能指标与现有业务信息系统通信数据量相匹配的设备，使整个系统具有高性能、快速响应的特点。
 
４．高扩充性
 园区网系统设计过程中必须对系统的扩充性能做细致的考虑，必须能够应付较长时间内新增业务（如ＩＰ语音、视频会议等）的需要，对系统设备的多项可伸缩性指标，如设备的端口密度、性能、未来技术升级的可能性等都必须予以考虑。这些可伸缩性指标能够平滑地支持今后业务的延伸。

二、系统网络设计
 按照目前国际上流行的方式设计，信息系统各部分区域部署可分为三层，即服务器库、安全保护层和服务接入层。其中，服务器库布置整个服务器群，包括业务服务器、ＯＡ服务器、财务服务器、安全认证服务器等；服务接入层提供对服务器库、ＯＡ系统、客户服务中心、网络管理中心、网上业务区域及其他业务的连接；由于服务器库是整个网络的数据中心，为了保证数据的安全性，在服务器库和服务接入层间配备了安全保护层，确保整个数据中心服务器资源的安全。
 目前，局域网升级改造方案一般均采用千兆位以太网技术。作为成熟的局域网技术之一，千兆位以太网技术具有极高的性价比，它以高于以太网两倍的价格提供了快于以太网１０倍的性能。另外，十千兆位以太网技术也已进入标准制定的最后表决阶段，即将进入实际应用阶段。在网络设计时，选择的产品应尽量支持语音、视频和集成的数据体系结构，对ＩＰ电话、视频点播等都应有很好的支持。
 
１．园区网设计模型
 对地理覆盖范围较小的机构（如一幢楼内）可以采用紧缩式骨干网设计模型（如图１所示）。整个园区网分为服务接入层、集中式骨干网和服务器库三个层次。对由于安全需求设立的安全保护层可以通过交换机、防火墙等实现。
 
２．服务接入层
 服务接入层提供对服务器库、ＯＡ系统、客户服务中心、网络管理中心、网上业务区域以及其他业务的连接，直接面对用户，它为桌面应用提供网络的连通性，帮助其接入园区骨干网。该部分的计算机用户具有以下特点。
 （１）高连通性。用户都是直接或间接为业务服务的，交易系统实时性较高，对网络的连通性有极高的要求。
 （２）用户数量较多。
 （３）用户分类不同。计算机用户因分工不同而分属于不同的部门。在网络配置上体现为分属于多个不同的ＶＬＡＮ（逻辑对应第３层ＩＰ子网）。
 上述３个特点决定了服务接入层交换机必须具备高可用性、高端口密度和支持跨设备ＶＬＡＮ的特点。模块化的交换机具有与生俱来的高端口密度特点，而且与固定配置的交换机相比，能够提供更多的冗余选项（如电源、风扇等的冗余）。
 接入层接入骨干网核心交换机的上行链路，最基本的设计方案是通过多模光纤分别连接两台骨干网核心交换机上的千兆位以太网端口。图２是接入层与两台核心交换机的连接。接入层启用生成树协议，上行链路端口启用ＶＬＡＮ中继功能和生成树ＵｐｌｉｎｋＦａｓｔ。每个接入层都选定一台核心交换机为主核心交换机，主核心交换机之间的上行链路连接采用由２～３个千兆位以太网链路组成一个冗余的、负载均衡的千兆位以太网通道，以提供更高的上行带宽和可用性。所需的千兆位以太网端口可通过增加带有千兆位以太网端的交换模块获得。
 
３．核心交换机的高冗余性
 在紧缩式骨干网模型中，核心交换机为整个园区网提供多层交换功能。从整个系统的角度来说，两台核心交换机之间是冗余备份的，可以通过上行链路的配置来实现整个系统的高冗余性。但是核心交换机之间的服务切换并不能对所有应用都透明，对于某些应用来说，核心交换机之间的切换可能带来协议或服务链接的重建立或恢复，这种操作需要一定时间，对用户来说可能表现为业务的停顿。因此，不能因为核心交换机的冗余配置而忽略了单台交换机的高冗余性。
 ４．服务器库
 服务器主要分为实现高可用性配置的双归服务器组和普通服务器两大类。对于已经实现高可用性配置的双归服务器组，如ＩＢＭ ＲＳ６０００ ＨＡ系统将两台相同的服务器分别配置双网卡组成一个ＨＡ服务器组，交叉连接至核心交换机，实现最大程度的可用性。那些无法实现双归配置的普通服务器为了向网络用户提供实时的、不间断的网络服务，可以通过一台交换机帮助服务器同时连接两台骨干网核心交换机。这种设计对普通服务器提供了一定的可用性。为提升服务器网络性能，可以将网卡升级为光纤千兆位以太网卡。

三、网络安全设计和网络管理
 在网络安全实施的范围上应考虑３个范围，即Ｉｎｔｅｒｎｅｔ/Ｅｘｔｒａｎｅｔ等外网的接入安全、ＰＳＴＮ/ＩＳＤＮ的拨号接入以及园区网安全。
   
１．Ｉｎｔｅｒｎｅｔ/Ｅｘｔｒａｎｅｔ接入的安全设计
    由于与外部网络的连接越来越多，因此，对该内外网的安全访问控制和隔离是网络安全的一个重要方面。内外网接入点承受着多种可能的对内部网络的攻击威胁，但由于业务需要，又必须对外部网络开通部分网络服务。因此，可以将网络隔离为３个安全等级不同的区域，即安全级别最高的内部网络、安全级别最低的外部网络和非军事化区。
    防火墙实现非军事化区的划分，可以根据源地址和目的地址、随机的ＴＣＰ序列号、端口号和附加的ＴＣＰ标识符等建立连接表，对这些连接表条目使用安全策略进行控制。防火墙ＮＡＴ地址转换功能既对外屏蔽了内部网络，又使内部网络用户可以有效地对外部网络进行访问。在非军事化区和内部网络部分，可以配置安全监测ＩＤＳ入侵检测系统，对可能发生的入侵进行监测。
 
２．拨号接入的安全设计
 拨号网络的目的是为外部用户和内部职工提供通过ＰＳＴＮ/ＩＳＤＮ拨号进入内部网的服务，同时为网络主干提供有效的备份手段。
 由于拨号访问服务的特殊性，任何人都可以通过拨号访问尝试进入内部网络窃取商业秘密甚至对网络系统进行攻击，所以在设计拨号访问系统时，应着重考虑网络的安全性，制定出合理可行的安全政策。
 对拨号用户进入网络，最重要的是对其身份的认证和权限的授予，可以基于拨号用户的身份认证和授权，控制对不同具体主机应用的访问权限。
 在拨号用户的资格认证方面，有固定用户名/口令、时效用户名/口令、一次性口令、令牌卡/软令牌４种常用的认证方式。其中，在资格认证的可靠性方面，以固定用户名/口令最低，令牌卡/软令牌最高；在使用方便性方面，则以令牌卡/软令牌最低，固定用户名/口令最高。建议采用安全性较高的令牌卡或软令牌方式，对拨号访问用户进行严格的资格认证。对拨号备份类的应用，为做到实时的自动拨号备份，建议采（下转第６４页）（上接第５２页）用静态口令的认证方式。在资格认证上，为防止他人非法盗用、破坏口令，除采用令牌卡方式外，还可以设置拨入者输入Ｎ次口令仍失败后账户失效。
 
３．内部局域网的安全性保证
 无论是ＯＡ系统ＶＬＡＮ和业务系统ＶＬＡＮ之间的通信，还是业务系统ＶＬＡＮ与服务器库ＶＬＡＮ之间的通信都必须通过防火墙系统。如果将办公网络系统和业务网络系统之间防火墙系统的功能完全移植到冗余配置的核心交换机上，可以利用交换机防火墙功能实现ＶＬＡＮ系统之间通信的网络安全策略，并且它们之间的通信是基于硬件的无阻塞线速第三层交换能力。
 另外，还可以利用核心交换机网络访问控制功能来实现ＶＬＡＮ内的颗粒化安全策略管理，实现同一ＶＬＡＮ内端到端的网络安全策略；可利用专业防火墙与核心交换机访问控制功能协作，设置进入服务库的安全保护层，进一步提高对服务器群的保护。
 在局域网内部，为对整个网络的安全状况进行有效评估，建议配置网络安全扫描软件，对包括Ｉｎｔｅｒｎｅｔ/Ｅｘｔｒａｎｅｔ外部网络接口、内部主机在内的整个网络进行扫描，在不断变化的网络中识别并分析安全弱点，同时快速生成超链接的、定制、可编辑的报告，帮助用户找到网络中的安全薄弱环节，从而调整安全策略、控制风险。
 
４．网络管理
 采用集成的系统管理平台。系统管理软件可提供许多功能，如对关键业务网络管理信息进行计划内备份，连续监控和管理关键网络设备；视图和事件无需人工介入就能动态更新；网络拓扑以图形或表格方式显示；允许通过查询网络获得ＳＮＭＰ数据，如接口流量、ＣＰＵ负载或流量路由，以便进行网络诊断和规划等。