一、 一个典型的省域网模型及其安全隐患　
　　
　　从下面的网络拓扑图可以看出，省行中心是受防火墙保护的，有效防止了来自地市行的网络入侵，同样地市行的二级中心与营业网点和合作伙伴之间也有防火墙隔离，这样就组成了一个基本安全的网络系统。
　　　
　　但这种模型存在着三个安全隐患: 一是二级分行（假设为A分行和B分行）上联到省行的同一台路由器上，A分行和B分行之间的相互访问不经过任何防火墙隔离; 二是合作伙伴和营业网点在二级分行的同一个下联路由器上，存在着合作伙伴非法侵入营业网点的可能; 三是同一个路由器下联网点之间的相互访问没有防火墙隔离措施。这些安全隐患都是历史原因造成的，其一是二级分行是将省行作为可信任对象接入网络的，没有考虑到其他二级分行这一不可信任对象群存在着非法入侵的可能性; 其二是合作伙伴（比如人民银行、移动公司、联通公司、网通公司、保险公司等）是随着业务的开展逐步接入网络系统的，从一开始就没有也不可能有一个完整的网络规划，没有一台专门用于合作伙伴接入的路由器，在建网模型中将其等同于内部营业网点，只是在路由器的配置上增加了访问列表控制。有上述三个安全隐患的存在，就有可能存在非法入侵或网络攻击。比如某合作伙伴非法入侵到一个营业网点上，利用网点的合法身份就可以取得与营业网点相同的网络权限，可以窃取金融机密、篡改业务数据，从而造成数据混乱直至经济损失。再比如A二级分行非法入侵到B分行，通过使用网络攻击工具，可以直接致使B分行的网络系统拒绝多种服务，从而造成网络瘫痪。高科技网络犯罪以其本身固有的隐蔽性，使侦破、举证非常困难，所以一定要在技术和管理上严加防范，争取做到防患于未然。
　　
　　二、 增加防火墙后的网络模型　
　　
　　根据以上分析，我们以为在市分行中心要增加防火墙，建立非军事区，将二级分行的核心服务器、前置机保护起来; 对于合作伙伴要与营业网点区别对待，专门使用一个合作伙伴接入路由器和他们相联结。将分行机关本身的计算机群也视为不可信任对象放在非军事区之外。网络拓扑如下图所示。
　　
　　
　　根据现行情况，二级分行有多台上联路由器，同时也有多台下联路由器，所以我们拟采用Cisco的Pix 515ur路由器作为外层防火墙。Pix 515 ur系列防火墙最多可以扩展到5个外网口、1个内网口，其安全级别从100到0任意分配，其中安全级别较高的以太网口相对于安全级别低的以太网口而言都是内网口。根据信息产业部和公安部的有关规定，进口防火墙要和国产防火墙联合使用，所以我们拟选天融信的 FW2000作为内层防火墙。这种选用联合防火墙的优点是：1. 利用Pix的低价位、高配置的优势，将所有上联或下联路由器联到同一台防火墙上，使路由器之间的访问必须通过防火墙隔离；2. 利用Pix的nat地址映射功能，屏蔽非军事区的地址，使得所有对内网的攻击变成对防火墙的攻击，而防火墙的防护能力是非常强的；3.内层使用天融信的FW2000，价位比较低，而包过滤功能非常强，即使部分漏网的恶意攻击数据包通过了Pix，也会被FW2000过滤掉，同时也满足了国家的有关规定。如果只选用FW3000防火墙进行一层防火墙隔离措施，就受到了两个制约。一是性能价格比: FW2000的可扩展性比较差，最多可扩展到3个外网口; FW3000与FW2000的价格差就高于一台Pix的价格，尽管FW3000最多可以扩展到11个外网口，但扩一个口就需要2万元; 以需要隔离5台路由器为例，综合计算下来，Cisco Pix+FW2000需要12.5万元，单独使用FW3000需要19.8万元。二是天融信系列防火墙是以数据包过滤见长的，Pix+FW则综合实现了状态型数据包过滤和内网地址屏蔽，其安全性能高于单层FW3000。
　　
　　三、营业网点的网络安全防范
　　
　　经过上述网络改造之后，尚有一个安全隐患没有消除: 同一台路由器下联的营业网点之间的相互访问没有防火墙隔离。每个营业网点如果都配置硬件防火墙固然好，但是成本太高。针对金融企业网相对封闭、营业网点操作人员的计算机网络专业水平都相对较低的特点，不妨对常见网络攻击手段逐一分析，从路由器和营业网点计算机上做相映配置，从而做到低成本下的有效防范。
　　
　　四、结论
　　
　　我们只是单纯从技术角度出发，通过购买少量的硬件防火墙、强化路由器和Unix主机的安全配置做出以上分析，可以达到一定的安全防范效果。其实计算机安全防范是一项系统工程，需要从管理、开发、应用、考核等各个方面入手才能把这项工作做好。
　　
　　编后记
　　
　　随着计算机网络技术的普及，金融企业作为高新技术的受益者，在单机→城域网→区域网→省网→全国网→加入Internet公网的发展过程中，数据逐级上传，网络规模逐步扩大，其网络的安全性也就越来越重要。现在普遍存在的问题是重网络的拓展和应用、轻安全技术措施和管理，往往是先将网络调通，然后再考虑网络的安全性。在大部分网络管理者看来，金融企业网络是自己组建的、脱离公网的相对封闭的网络系统，网络安全防范主要是针对公网来的攻击和合作伙伴的未授权入侵，对于企业网内部的安全防范相对比较松。这样从网络组成的那一刻起，网络安全隐患也同时诞生了。本文结合银行实际应用的情况，探索了如何构建安全的金融网络系统，也许对其他银行有一定的借鉴意义。