智慧大学城解决方案V3.1
中心,它是一卡通系统的管理平台、身份认证平台和数据库中心。通过光缆与各结点相连与一卡通网络的中心组成第一层网络结构,设置二级交换机。第三层为以第一层局域网的网络工作站作为控制主机的控制各个IC卡收费终端的网络。连接到专网的串口设备子网,以及专网计算机校园网和银行金融网的接口,要同期设计建设。一卡通专网采用TCP/IP网络协议。整个一卡通专网所用交换机,建议采用端口MAC地址绑定,使每个端口只能设置唯一的IP地址,连接特定的设备,从而保证了整个网络的安全性。
一卡通系统中心与银行系统之间的连接是校园卡与银行卡圈存的数据通道,其安全性是一卡通系统与银行进行数据通讯的保证。为了系统连接的安全性和可靠性,银行金融网络与校园一卡通的专用虚拟网通过PSTN或者DDN方式相连,并通过VPN方式连接自助转账设备(专用圈存机等)与银行对接系统(如下图所示)采用如下措施:
? 银校通讯前置机采用A、B双网卡来作为“桥接”双方的安全网关。关
于涉及数据在专网上传输,数据报文传输的安全,与银行前置机数据交换的安全主要由双向身份认证、加密和报文认证来保障。
第29页
智慧大学城解决方案V3.1
? 防火墙作为保护网络的重要工具,在网络的对外出口处设置防火墙是理
想的选择。防火墙在银行网中的安全防护原则:
·任何外部网络对银行信息网的内部情况“看不见” ·外部非法入侵者及特殊信息“进不来”
·机要敏感信息“拿不走”
·任何的非法对外访问“出不去”
下面是网络安全技术一些概要介绍: I. 网络分段实现
网络分段是保证安全的一项重措施,同时也是一项基本措施,其指导思想在于将非法用户与网络资源相互隔离,从而达到限制用户非法访问的目的。
网络分段可分为物理分段和逻辑分段两种方式:物理分段通常是指将网络从物理层和数据链路层(ISO/OSI模型中的第一层和第二层)上分为若干网段,各网段相互之间无法进行直接通讯。目前,许多交换机都有一定的访问控制能力,可实现对网络的物理分段。
逻辑分段则是指将整个系统在网络层(ISO/OSI模型中的第三层)上进行分段。例如,对于TCP/IP网络,可把网络分成若干IP子网,各子网间必须通过路由器、路由交换机、网关或防火墙等设备进行连接,利用这些中间设
第30页
智慧大学城解决方案V3.1
备(含软件、硬件)的安全机制来控制各子网间的访问。
在实际应用过程中,通常采取物理分段与逻辑分段相结合的方法来实现对网络系统的安全性控制。
II. VLAN的实现
虚拟网技术主要基于近年发展的局域网交换技术(ATM和以太网交换)。交换技术将传统的基于广播的局域网技术发展为面向连接的技术。因此,网管系统有能力限制局域网通讯的范围而无需通过开销很大的路由器。以太网从本质上基于广播机制,但应用了交换机和VLAN技术后,实际上转变为点到点通讯,除非设置了监听口,信息交换也不会存在监听和插入(改变)问题。
由以上运行机制带来的网络安全的好处是显而易见的:信息只到达应该到达的地点。因此,防止了大部分基于网络监听的入侵手段。通过虚拟网设置的访问控制,使在虚拟网外的网络节点不能直接访问虚拟网内节点。但是,虚拟网技术也带来了新的问题:执行虚拟网交换的设备越来越复杂,从而成为被攻击的对象。基于网络广播原理的入侵监控技术在高速交换网络内需要特殊的设置。采用基于MAC的VLAN划分将面临假冒MAC地址的攻击。因此,VLAN的划分最好基于交换机端口。但这要求整个网络桌面使用交换端口或每个交换端口所在的网段机器均属于相同的VLAN。
III. VLAN之间的划分原则
VLAN的划分方式的目的是保证系统的安全性。因此,可以按照系统的安全性来划分VLAN:可以将总部中的服务器系统单独划作一个VLAN,如数据库服务器、语音服务器、WEB服务器、制卡中心系统、银行校园前转置等系统‘头脑’的设备划分在一个VLAN里。也可以按照机构的设置来划分VLAN,如将领导所在的网络单独作为一个Leader VLAN(LVLAN),其它司局(或下级机构)分别作为一个VLAN,并且控制LVLAN与其它VLAN之间的单向信息流向,即允许LVLAN查看其他VLAN的相关信息,其他VLAN不能访问LVLAN的信息。VLAN之内的连接采用交换技术实现,VLAN与VLAN之间采用路由实现。由于路由控制的能力有限,不能实现LVLAN与其他VLAN之间的单向信息流动,需要在LVLAN与其他VLAN之间设置防火墙作为安全隔离设备,控制VLAN与VLAN之间的信息交换。
IV. VPN(虚拟专网)技术
第31页