1、“.....接受来自于各个网点和中间业务系统的交易请求，将交易请求转发给应用服务器进行处理服务器用于生成报表等管理信息，服务器的数据库可能直接核心数据库交互，取得原始数据，也可能通过应用服务器取得相关数据，形成报表等管理信息，供管理层参考测试服务器用于进行新业务的测试，需要访问大前置服务器。外联区外联合作伙伴用于连接核心交换机的多层交换引擎，实现外网与各个被保护网段之间的通信。二是运行管理虚拟防火墙。运行管理虚拟防火墙涉及的安全分区安全级别定义如表所示。表运行管理分区安全级别定义表区域名称安全级别值数据库服务器应用服务器大前置服务器测试服务器服务器开发主机运行管理主机外联区各个服务器间根据以下规则过滤数据包运行管理虚拟防火墙实现了对所有管理流量的安全设定。因为管理流量必须能够到达所有的安全区域，对相应安全区域内的主机应用和网络设备实施管理。如果不能实现管理流量的安全设定，则可能由于管理实施主机的安全漏洞造成整个系统的安全漏洞......”。

2、“.....种是在管理实施主机与更高安全级别的被管设备之间的流量种是在管理实施主机与较低安全级别的被管设备之间的流量。所有被管设备之间不许在这个虚拟防火墙内通信。因此运行管理主机区域的安全级别设置为，更高安全级别的所有区域安全级都设为，外联区安全级别设为，并且本防火墙内不允许相同级别的安全区域之间相互通信。所有的网络管理设备，包括网络管理机服务器的管理接口都设置在这个区域所有主机管理设备也设置在这个区域内。三是办公业务虚拟防火墙。办公业务虚拟防火墙涉及的安全分区安全级别定义如表所示表办公分区安全级别定义表区域名称安全级别值服务器开发主机外联区各个服务器间根据以下规则过滤数据包服务器区提供对所有服务器的保护，包括电子邮件内部内部服务器等，允许所有的办公网用户访问开发主机提供对开发主机的保护，允许所有办公网上被授权的开发人员访问外联区用于连接核心交换机的多层交换引擎，实现外网与各个被保护网段之间的通信。四是生产外联区域合作伙伴防火墙。该区域的防火墙为独立于中心核心交换网络的防火墙......”。

3、“.....可信度较高，按照以下规则过滤数据包防火墙为交互的服务器提供代理服务，并根据内外通信的具体业务在应用层进行访问控制如果是外部服务器访问内部资源，使用认证技术五是办公外联区域防火墙。该区域考虑到网办公时使用的需要，网的服务器需要开通收发邮件的服务，而网的计算机必须通过代理服务接入，禁止在内网直接拨号接入。对于移动办公，允许通过电话拨号方式连接拨号服务器，进入网。对于内部访问的资源，可以通过具有代理功能的防火墙或者代理服务器进行理和控制防火墙提供自内而外的地址转换，隐蔽内网的拓扑结构，也防止外部的用户对内部资源的访问在防火墙上可以限定被访问的资源，例如针对敏感地址，内容进行过滤只有授权的用户才能合法的访问内部资源使用防火墙的认证技术校验用户身份通过防火墙限定拨号用户由外而内的可访问的资源拨号用户通过加密方式访问内网资源，保证数据传输的安全性......”。

4、“.....广域网分区是指下级的二级网络中心通过专有广域网接入网络级中心的区域，主要运行综合业务系统，属于行内专有网络，直接与生产服务分区相连，中间不经过防火墙。网络级中心入侵检测系统设计扫描当前网络的活动，监视和记录网络的流量，根据生产服务区信息服务区运行管理区开发测试区和办公区的安全等级的不同，定义不同地规则来过滤流量，提供实时报警。提供关于网络流量非常详尽的分析。它们可以监视任何定义好的流量。大多数的程序对，和流量都有缺省的设置，还有其它的流量像，本地和远程登录失败等等。可以对生产外联区域和办公区域的阻塞点进行控制对阻塞点的地址进行流量分析。网络级中心入侵检测系统的部署遵循如下原则入侵检测工具的选择应根据每个具体情况的资产的价值风险的等级成本的平衡及可用的资源等原则进行选择入侵检测可按不同的方式实现，应依据所要保护网络的类型采用的边界防护系统和安全策略规定的保护级别来决定采用哪种实现方法对于网络级中心来说......”。

5、“.....部署基于网络的入侵检测系统。为了有效的防止内部威胁，我们在核心交换区域部署，监测内部所有分区的数据。防病毒系统设计沂南县农村信用社的各级网络节点，采用统的基于网络的防病毒体系。个方面需要建立完整的网络防病毒机制，另方面建立严格完善的防病毒管理规范。结合沂南县农村信用社的网络结构，病毒防范主要包括严格控制沂南县农村信用社内部网与之间的接触，特别是生产网必须严格保护。严格规范好生产网的出入口，除了特定的受控的计算机外，禁止生产网上的计算机接入统网和之间的连接，网的计算机必须通过代理服务器才能接入。在接入口的代理服务器上加以病毒监测生产网与网之间必须用防火墙隔离，网上只有指定的少数受控的计算机才能连接到生产网中，而且连接方式要严格控制，只开放少数与生产相关的协议端口生产测试网上合理划分，各之间要相对隔离。使得病毒难以跨传播采用网络防病毒服务器，运用网络机制，实现服务器与客户端病毒代码的动态实时升级对于,平台，采用系统安全漏洞扫描......”。

6、“.....沂南县农村信用社信息系统安全体系基本建立起来，能满足沂南县农村信用社当前业务工作的需要。网络级中心网络安全方案实施网络核心交换区实施交换机设备选型及指标根据以上对网络级中心的安全设计，通过比较选择，我们采用了思科公司的两台交换机作为网络级中心的核心交换设备。该设备主要特点和性能参数如下最长的网络正常运行时间利用平台电源控制引擎交换矩阵和集成网络服务冗余性提供秒的状态故障切换，提供应用和服务连续性统在起的融合网络环境，减少关键业务数据和服务的中断。全面的网络安全性将切实可行的数千兆位级思科安全解决方案集成到现有网络中，包括入侵检测防火墙和。可扩展性能利用分布式转发体系结构提供高达的转发性能。能够适应未来发展并保护投资的体系结构在同种机箱中支持三代可互换可热插拔的模块，以提高基础设施利用率，增大投资回报，并降低总体拥有成本卓越的服务集成和灵活性将安全和内容等高级服务与融合网络集成在起，提供从和以太网到万兆以太网，从到的各种接口和密度......”。

7、“.....集成式高性能的网络安全性和网络管理。不需要部署外部设备，直接在机箱内部署集成式的千兆位的网络服务模块，以简化网络管理，降低网络的总体成本。这些网络服务模块包括数千兆位防火墙模块提供接入保护高性能入侵检测系统模块提供入侵检测保护千兆位网络分析模块提供可管理性更高的基础设施和全面的远程超级支持高性能模块提供安全的高性能电子商务流量终结千兆位和基于标准的模块降低的互联网和内部专网的连接成本。高速广域网接口提供与其它核心路由器兼容的高速广域网和接口单平台实现广域网汇聚以及园区网和城域连接管理。高度灵活的模块化体系结构，在同机箱内支持多代模块互操作。所有引擎上都支持和。和以太网模块可现场升级为随线供电的模块，可让用户在需要时升级实现电话技术和无线局域网连接和隧道提供点到点和点到多点以太网服务的功能提供了的透传功能，大幅提升骨干网中的以太网服务扩展能力通过在第层和第层功能中提供速率限制和流量整形，可在城域以太网服务中提供分级的带宽服务......”。

8、“.....当任何个模块出现故障时，马上切换到另外个模块，这样能在最短的时间内解决问题，保证系统的不间断运行。在两台核心交换之间使用，把多个物理链路捆绑成个快速逻辑通道，从而提供了链路备份，当个物理链路发生故障时，所有的数据都会从其他正常物理链路上进行传输同时也提供了更高的互联带宽。方案实施中，我们将两台核心交换机上的两个光纤端口使用连接起来，形成个的个快速逻辑通道，传递两台交换机上数据。所有服务器均采用跨接的方式连接在这两台交换机上，确保在其台交换机出现问题时整个网络系统可用。配置按照网络级中心划分设计，两台交换划分相同的，通过协议配置成热备份模式，部分配置如下网络防火墙实施防火墙体制不完善也会增加网络安全风险。下步工作根据调查结果显示，目前银行信息系统攻击案例中绝大多数是银行内部人员所为，由于他们可以方便访问到交易系统或其他信息系统，因此通过非法访问或越权访问，以正常的交易途径，修改帐户信息而非法获利。整个交易过程和正常交易完全样而且是合法操作，因此具有很高的隐蔽性，较难被发现......”。

9、“.....下步工作方向如下是建立统身份认证平台，统管理沂南县农村信用社每位员工，定义其相应的角色和权限，按照角色和权限的不同制定不同的身份认证策略，实现指纹认证动态令牌认证高强度静态密码认证等不同的认证方式。通过该平台统管理各个系统用户，增强用户安全管理。二是统对沂南县农村信用社办公网络实施上网行为管理，规范员工上网行为，增强办公网络安全。三是加强网络安全教育和管理。银行信息系统安全是个动态发展的过程，不仅仅是纯粹的技术问题，简单依赖于安全产品的堆积是不可能得到令人满意的效果的，管理安全是网络安全得以真正维系的重要保证，对员工进行安全教育，提高员工的安全观念和责任心加强业务技术的培训，提高操作技能教育员工严格遵守操作规程和各项保密规定，真正理解和安全有关的各项规章制度，提高认真执行的自觉性，从而降低网络信息系统的安全风险。四是培养安全管理队伍。培养专门的技术人员从事系统的安全建设和管理，研究相关技术的种类和今后的发展方向，使得技术上能够不落后......”。