一、信息系統(tǒng)現(xiàn)狀及目標

農商銀行基本建設完成了各個營業(yè)點，以及與各個單位的網絡連接，目前的網絡可分為六大部分，分別為：

1．   核心交換平臺：為覆蓋整個數(shù)據中心的高速骨干，提供高速傳輸和路由最優(yōu)化通信，不涉及具體的數(shù)據包的運算，為農商行網絡的數(shù)據交換平臺；

2．   生產服務器模塊：由農商銀行業(yè)務生產服務器構成，為農商銀行整個網絡最重要的部分，支撐著農商銀行整個網絡的生產業(yè)務；

3．   外聯(lián)業(yè)務模塊：這部分連接到人民銀行，企業(yè)用戶在其他銀行的代辦業(yè)務通過人民銀行的網絡連接到農商行社核心交換網絡，通過專線加密的方式進行連接，目的是訪問農信社的生產服務器和處于OA辦公網的業(yè)務平臺；

4．   廣域網接入模塊：連接著農商銀行的各個營業(yè)網點，各營業(yè)網點通過專線的方式聯(lián)入核心交換模塊訪問生產服務器主機，另外一條CDMA的撥號線路用來做備份線路；

5．   OA辦公網模塊：為農商銀行的OA辦公系統(tǒng)，進行著平時正常的業(yè)務流程和文件、郵件的交互，通過SDH連接到各營業(yè)網點的OA辦公系統(tǒng)；

6．   外聯(lián)互聯(lián)網模塊：為連接互聯(lián)網應用部分，這部分不直接接入核心交換模塊，它只為OA辦公網模塊進行服務，目前需增加一條虛擬撥號線路來為小型機服務器的主機監(jiān)控進行服務。

從整個農商銀行膨脹性（動態(tài)和靜態(tài)）安全需求平衡來看，整個安全風險我們從連接到核心交換模塊的各個應用模塊部分的訪問控制安全為主，在相應結點部署防火墻來實現(xiàn)。

二、安全系統(tǒng)總體設計

l外聯(lián)業(yè)務模塊與核心交換模塊之間的防火墻部署

通過部署一套雙機熱備防火墻審核兩個網絡間的網絡訪問請求

l廣域網接入模塊備份線路的防火墻部署

通過部署一臺百兆防火墻審核兩個網絡間的網絡訪問請求

l生產服務器監(jiān)控線路的防火墻部署

通過部署一臺百兆防火墻審核兩個網絡間的網絡訪問請求

OA辦公網模塊與核心交換模塊之間的防火墻部署

通過部署一臺百兆高端防火墻審核兩個網絡間的網絡訪問請求

OA辦公網模塊與外聯(lián)互聯(lián)網模塊之間的防火墻部署

通過部署一臺百兆高端防火墻審核兩個網絡間的網絡訪問請求

入侵檢測設備的部署

在核心交換平臺與OA辦公模塊分別部署一臺入侵檢測設備。

農商銀行網絡拓撲：

三、農商銀行系統(tǒng)安全效果

 利用防火墻的訪問控制功能，加強各模塊直接的訪問控制。

 在內部網絡中部署入侵檢測系統(tǒng)，檢測網絡中的攻擊。