某银行业务网络建设方案

《某银行业务网络建设方案》由会员分享，可在线阅读，更多相关《某银行业务网络建设方案（35页珍藏版）》请在金锄头文库上搜索。

1、 XX 银行业务网络银行业务网络 建设方案建设方案 20132013 年年 1010 月月 1 目录目录 1 1 整体建设项目概述整体建设项目概述2 2 2 网络项目规划网络项目规划2 2.1 网络规划概述2 2.2 安全域划分3 2.3 业务网规划5 2.4 网管监控网络规划7 2.5 数据中心规划8 2.6 业务网网络安全规划9 2.7 后续网络扩容规划10 3 3 UPSUPS 电源系统规划电源系统规划.12 3.1 UPS 电源系统概述.12 3.2 电源系统用户需求分析13 3.3 电源系统设备选型13 3.4 系统解决方案主要技术特点及参数13 4 4 消防系统规划消防系统规划14

2、 4.1 灭火系统产品简介14 4.2 气体灭火系统设置要求15 5 5 项目实施安排项目实施安排15 5.1 实施进度16 5.2 实施分工17 6 6 选型设备介绍及资质选型设备介绍及资质18 6.1 核心路由器介绍18 6.2 防火墙介绍21 6.3 核心交换机介绍27 6.4 服务器产品介绍29 6.5 存储产品介绍31 7 7 设备预算设备预算33 7.1 预算概要33 7.2 预算清单33 2 1 1 整体建设项目概述整体建设项目概述 XX 银行地处 XX 市中心，目前设立市场部、风险管理部、营业部、综合办 公室，信息接入点 XX 个。因业务开展，需建设银行业务系统，上联系统为浙

3、江总部。 机房面积 70 平方米；周围无易燃、易爆等隐患，无危险建筑；机房区域 划分为主机房区与监控机房区；按机房消防标准进行设计；强电、弱电分布符 合国家标准；综合布线清晰、合理、安全、规范，易于维护，易于扩展；管道 铺设保证机房安全。 2 2 网络项目规划网络项目规划 银行业务网络是银行运营信息系统的基础。网络平台将信息交换、安全防 护、安全管理和监控有机结合起来，贯穿整个信息系统的所有层次，是系统正 常运转的重要保障。 本部分重点讲述及细化 XX 银行业务网络的具体规划建设和项目预算。 2.1 网络规划概述网络规划概述 XX 银行从整网结构分析，属于二级分行角色。通过跨省 WAN 链路上

4、联浙江 一级分行，通过城域网内 WAN 链路下联村镇分行。 3 网络规划以 XX 业务网络为原点，从横向和纵向开始规划，逐渐形成一个横 纵联系的网络。从纵向来看，XX 银行网络分为 2 层，第 1 层为 XX 业务网络， 第 2 层为村镇分行业务网络；从横向来看，一般银行网络都按照应用划分为办 公子网、生产子网和外联三个子网，省级以上网络还要包含 MIS 子网、网上银 行、测试子网等。 由于网络目前还处在组网的初级阶段，因此本次规划仅考虑 XX 生产子网的 建设，不考虑其它子网的建设，但在规划时要考虑网络可扩展性，保证在总体 结构不变的情况下，业务网络能够部署连接其它子网的横向接口，以及连接村

5、 镇分行的纵向接口。 2.2 安全域划分安全域划分 对于银行业务网络来说，首要的一点就是应该根据国家有关部门对相关规 定，将整个业务网络进行网络结构的优化和安全域的划分，从结构上实现对安 全等级化保护。 根据中国人民银行计算机安全管理暂行规定（试行） 的相关要求： “第六十一条 内联网上的所有计算机设备，不得直接或间接地与国际互 联网相联接，必须实现与国际互联网的物理隔离。 ” 4 “第七十五条 计算机信息系统的开发环境和现场应当与生产环境和现场 隔离。 ” 因此进行网络规划时，有必要将生产业务网络与具有互联网连接的办公网 络之间区分开来，通过强有力的安全控制机制最大化实现生产系统与其他业务

6、系统之间的隔离。同时，对银行所有信息资源进行安全分级，根据不同业务和 应用类型划分不同安全等级的安全域，并分别进行不同等级的隔离和保护。 初步规划将业务网络划分成多个具备不同安全等级的区域，参考公安部发 布的信息系统安全保护等级定级指南 ，我们对安全区域划分和定级的建议如 下（不涉及的子网没有列出）： 安全区域安全区域说明说明定级建议定级建议 生产核心区域包含业务服务器主机；业务审计系统（可选）3 级 业务区域业务前台终端2 级 网管监控区域 包含维护网络信息系统有效运行的监控服务器主机和管理 终端；动环监控服务器和终端。 1 级 办公区域包含办公网络 PC 和其它网络设备1 级 上表安全级别

7、为降序排列，生产核心区域具有最高安全级别，原则上与办 公区域、网管监控区域物理隔离，特殊情况下，如果部分办公业务用户需要访 问生产业务中的特定数据，而部分生产应用也需要访问办公网中的特定数据， 建议在业务网与办公网之间采用逻辑隔离手段进行严格控制。业务审计系统 （可选）要对业务网络的所有流量进行审计，所以也部署在生产区域。 业务区域包括柜台终端，需要连接核心区域，具有较高安全级别。 网管监控区域用于网络监控，设备远程维护，以及动环监控，该区域不需 要与其它区域连接，所以建议网络设备使用带外管理方式，与其它网络物理隔 离。 办公区域安全级别较低，在大型网络中一般使用 MIS 子网进行过渡，这里

8、建议使用严格访问控制，仅允许办公区域访问生产区域中特定数据。 总体逻辑结构如图所示： 5 银行网络安全结构示意图银行网络安全结构示意图 2.3 业务网规划业务网规划 业务网作为信息资源平台，主要包括以下信息业务： 业务核心服务器和服务前台终端数据交换。 服务器之间，服务器和存储之间数据交换、数据处理。 业务网和总部数据中心之间数据交换、报表。 根据各种信息流的特点，以及各种网络设备的功能角色，建议网络如下图 部署。 6 核心路由器作为总出口通过专线与浙江总部上联；下行通过千兆链路连接 防火墙。建议使用高性能、可靠性路由器，保证双主控、双路由引擎、双电源、 双风扇的硬件冗余；线卡引擎和业务板卡的

9、两级热插拔技术、双主控热备份技 术，全面保证可靠性达到电信级标准。 中心网络所有出网流量都经过防火墙。建议使用数据中心防护级别的防火 墙，同时具备 IPS 功能防御网络攻击。防火墙根据各区域的安全级别，分配各 端口的优先级和防护策略； 核心交换机承载中心服务器、存储、前置机等核心设备的数据交换。建议 使用支持主控板冗余、电源冗余的高性能、高端口密度交换机。 生产前台区域需要部署 1 台或多台汇聚交换机。 各网络设备（系统）功能需求如下表 序号设备（系统）功能设备参数需求 1 核心路由器提供 XX 业务网上联 双主控、双路由引擎、电源 1+1、4GE 接 口（含至少 1 个光口） 2 防火墙 网

10、络隔离，为其它网络 提供接口；防范非法入 侵和攻击； FW+IPS 功能启用后保证吞吐量2G；提 供至少 4GE 接口； 3 核心交换机生产中心数据交换 双主控、双路由引擎、电源 1+1、至少 24GE 接口 7 4 汇聚交换机生产前台数据交换至少 4GE、24FE 接口 5 办公网交换机办公网数据交换至少 4GE、24FE 接口 2.4 网管监控网络规划网管监控网络规划 网管监控网络独立与其它网络，整合了网络设备管理系统、动环监控系统、 业务审计系统，主要包括以下功能： 网络设备通过带外方式集中管理 动环监控采集器、视频采集器等设备与动环监控终端联网 业务审计系统与报表服务器联网 根据各种监

11、控的特点，以及各种网络设备的功能角色，建议网络如下图部 署。 网络设备通过带外网管接口连接到网管交换机，与网络维护终端互联； 动环监控采集器连接到网管交换机与动环监控终端互联； 业务审计系统（可选）旁路在核心交换机，通过交换机的流量复制，接受 所有入出核心区域的流量。分析后输出至审计报表服务器。 8 各网络设备（系统）功能需求如下表 序号设备（系统）功能设备参数需求 1 动环监控系统 机房消防系统、门禁系 统、图像系统、温湿度 监控等功能。 满足 50 平米机房需求 2 网管交换机网管、监控数据交换至少 2GE、24FE 接口 3 业务审计系统 （可选） 对重要业务数据流采 集、分析和识别；发

12、现 并及时制止用户的误操 作、非法访问、恶意攻 击。 事物处理性能2000 事物数/秒，至少提 供 2GE 接口 4 审计报表服务 器（可选） 审计日志采集、存储 PC server 2.5 数据中心规划数据中心规划 数据中心结构图 核心交换机 业务服务器 业务存储备份存储 业务服务器 数据中心分别新增两台服务器和存储，服务器和存储采用直连方式。在服 务器和存储上配置 6GB SAS 接口，实现服务器和存储的互联。为防止数据存储 出现单点故障，服务配置两个双口 SAS HBA 卡，存储采用双控制器架构，服 9 务器的每块 HBA 卡分别与存储的两个控制器连接。 本方案中，一套服务器和存储承载业

13、务系统，对外提供服务。另外一套服 务器和存储作为备份服务器和存储，通过 symantec SYMC BACKUP ECXC 备份 软件对业务系统进行系统级的备份，当业务系统出现故障可以使用备份数据对 业务系统进行恢复。 2.6 业务网网络安全规划业务网网络安全规划 业务网网络安全作为平台业务的重要保障，安全建设需要包含以下几方面 的内容： 1、安全防护需求 在满足联网业务应用需求的同时，也为网络安全带来了新的风险，包括非 法访问、身份不确定、黑客入侵、病毒和恶意代码、安全事件发现和追查不及 时等，在建设时必须采取相应的安全措施予以防范。 (1)非法访问风险。网络存在多个对外网络接口，因此应建立

14、边界隔离机制， 防止非法访问和对管理网的入侵行为。 (2)黑客入侵风险。与外部网络互联，具有黑客非法入侵风险。因此网络应 具有足够的抗攻击能力，可以检测和抵御来自外部的各种攻击行为。 (3)网络攻击风险。不仅有来自外部的网络攻击，内部网络终端和服务器在 中木马或病毒后，也会产生攻击流量。要求网络具有攻击源识别功能，并作为 网络日志实时存储。 2、应用层安全 针对目前日益增多的应用层网络攻击行为，需要对应用系统和业务数据能 够提供有效的安全防护，防止非法访问应用系统、防止对后台数据库的恶意访 问、防止 DoS 攻击并保障系统服务的持续性。通过访问审计，帮助用户了解整 个系统的使用情况，提供辅助决

15、策功能。 3、用户管理 对于网络的运维人员进行集中账号管理，账号和资源的集中管理是集中授 权、认证和审计的基础。集中账号管理可以完成对账号整个生命周期的监控和 管理，而且还降低了管理大量用户账号的难度和工作量。同时，通过统一的管 10 理还能够发现账号中存在的安全隐患，并且制定统一的、标准的用户账号安全 策略。 4、安全管理 对于各种安全事件应具有安全审计功能，各关键组件应能提供详细的日志 记录，能够妥善存储和集中分析，并能进行攻击回放。针对上述需求，除做好 安全防护和认证授权外，必须有完善的安全审计功能。 综上所述，针对目前最常见的互联网攻击类型以及国内外网上系统通常面 临的安全威胁，结合云

16、平台实际情况，我们认为可能面临的安全风险和对应的 安全需求如下： 序号风险名称受影响对象安全需求 1 非法入侵和攻 击（网络级、 应用级） 所有网络防火墙、IPS 2 内网攻击 大量不安全的主机 可能成为僵尸，被 利用来向重要网络 进行攻击 防火墙制定策略，限制攻击流量、攻击规模， 以及漏洞机理分析和日志找出问题主机。 3 数据窃密、篡 改 数据库系统业务审计 2.7 后续网络扩容规划后续网络扩容规划 网络扩容分为以下 3 种情况： 1、其它网络连接生产核心网络 生产中心网络与其它网络接口必须经过防火墙，为新网络指定安全级别后， 防火墙分配互联端口的优先级和防护策略。如图： 11 2、村镇分行接入到生产中心网络 村镇分行与生产前台网络优先级一致，都为 2 级，因此也需要经过防火墙 接入中心网络，建议扩容汇聚交换机，将各村镇分行网络连接到生产前台区域 的汇聚交换机。如图 3、其它功能设备入网 随着网络规模扩大，网络安全重要性越来越突出，后续可能会引入业务审 12 计、安全运行中心等系统，由于建网时规划了 1 个独