大型金融数据中心网络架构设计V2
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
大型金融数据中心网络架构设计
0
金融数据中心网络架构设计
1
我国金融业IT建设与发展回顾
1980-1990
计算机替代手工操 作 引进小型机和微机 承担后台和前台处 理 微机单兵作战
1990-2000
全城联网 电子票据交换 通存通兑
2000-2007
数据大集中 综合业务系统 降低IT TCO
两地三中心骨 干网/核心承 载网方案
金融园区网解 决方案
分支机构用户
数据中心用户
总行用户
互联网用户
远程移动办公方案
外联用户
3G/4G VPDN专线接入方 案
用户层
网点/3G/4G/网控 器/移动营销解决 方案
用户及终端安全准入解决方案
5
商业银行数据中心发展及未来的演进路线
6
DC 1.0:银行业信息系统风险监管(1)
外联接入
广域网
Internet
Internet
园区网
广域网
广域网
园区网
Internet
Internet
广域网
第三方 机构
分支机构
10
DC 1.0:金融数据中心安全区的划分
数据中心网络分区从总体上可分成不同安全级别的四个安全区:非安全区、半安全区、安全区、核心安全区
不受控制的区域, 如对Internet公众 用户、外联第三方 单位等提供服务的 资源区域,企业的 安全政策和标准无 法强制执行
大数据平台 网络解决方 案 统一外联解决 方案 网上银行网络 解决方案 金融互联网资 源区网络建设 方案
应用服务层
私有云数据中 心网络解决方 案
两地三中心 网络解决方 案
双活数据中 心网络解决 方案
Intranet
Internet
WIFI、BYOD 解决方案 深度安全防护方案
Extranet
渠道接入层
8
DC 1.0:网络功能分区的需求
01
应用服务域
满足数据中心内生产 业务、经营管理类业 务、办公业务等服务 资源接入服务、安全 服务、负载均衡服务
02
用户接入域
提供内部生产办公用 户、外联单位用户、 公众用户的接入服务 及安全服务
03
存储服务域
满足新数据中心基于 IP技术的NAS存储网 络和备份网络
(征求意见稿)
《中国银行业信息科技“十三五”发展规划监管指导意见》(征求意见稿) 稳步开展云计算应用,主动实施架构转型
探索构建私有云平台,采用成熟度高、开放性强的计算虚拟化、容器虚拟化、分布式存储、 网络虚拟化 等技术,建立资源池,形成资源弹性供给、灵活调度和动态计量的私有云平台。
到“十三五”末期,面向互联
04
管理服务域
满足日常操作运维需 要的运维人员接入, 运维服务器接入,带 外带内网络接入
数据中心应满足应用服务域、用户接入域,存储服务域、管理服务域、多中心互联域等服务资源的构建,各功能 组件通过网络服务总线互联为一个统一的架构。 9
DC 1.0:应用服务分区的目标
存储服 务域
管理服 务域
带外 管理
(二) 生产系统与开发系统、测试系统的管理职能相分离。
(三) 除得到管理层批准执行紧急修复任务外,禁止应用程序开发和维护人 员进入生产系统,且所有的紧急修复活动都应立即进行记录和审核。 (四) 将完成开发和测试环境的程序或系统配置变更应用到生产系统时,应 得到信息科技部门和业务部门的联合批准,并对变更进行及时记录和定期复查。
分支机构用户
运维用户、办公终 端、开发测试用户
数据中心用户
业务终端、办公终 端、运维用户、开 发测试用户
总行用户
网银用户(公、私) 小企业用户(银企、现 金管理等)
互联网用户
合作伙伴、境外机构 、离 行设备 (4G/3G/2G/PSTN)
外联用户
4
金融网络应用场景的划分
数据中心应用服务域 企业边界服务域
2007 – 2013
架构优化和安全风险 关注服务与管理流程 网上业务快速发展 数据挖掘、风险管理
2013 –
互联网金融 自主可控 客户体验
全国联网
强化风险控制
以客户为中心
大数据分析
产品及服务创新
金融电子化起步
联网通存通兑
全行数据集中
IT架构治理
信息化金融
2
信息科技“十三五”发展规划监管指导意见
提高基础资源和应用部署的自动
60%
网场景的重要信息系统全部迁
移至云计算架构平台,其他系 统迁移比例不低于60%
75%
化水平,实现快速交付、动态调
整、弹性部署,降低人工操作风 险,自动化部署比例不低于75%
快速研发, 持续创新
推进开发、测试、交付一体 化建设,支撑产品迅速投放 市场
3
金融网络应用场景的划分
应用服务层
(核心业务、多媒体、呼叫中心、管理信息系统、办公系统、运 维系统等业务系统)
数据中心应用服务域
(网银、网站、外联、邮件、办公系统、办公互联网等业务 系统)
企业边界服务域
渠道接入层
(分支机构、总行园区、数据中心园区)
Intranet
Internet
Extranet
用户层
ቤተ መጻሕፍቲ ባይዱ
ATM、VTM、 POS、 柜员终端 办公终端、业务中 心终端等
第二十五条 银行业金融机构应加强网络安全管理。生产网络与开发测试网络、 业务网络与办公网络、内部网络与外部网络应实施隔离;加强无线网、互联网接
入边界控制;使用内容过滤、身份认证、防火墙、病毒防范、入侵检测、漏洞扫
描、数据加密等技术手段,有效降低外部攻击、信息泄漏等风险。 …… 第三十八条 银行业金融机构应建立独立的测试环境,以保证测试的完整性和 准确性。测试至少应包括功能测试、安全性测试、压力测试、验收测试、适应性 测试。测试不得直接使用生产数据。
管理服 务域 带外 管理 数据中 心互联 数据中 心互联 带内 管理 服务
存储服 务域
应用服 务域
带内 管理 服务
应用服 务域
网络服务总线 用户接入服务 外联接入 业务互联 网接入 办公互联 网接入 内部用户 接入 异地灾 备中心 用户接入服务 内部用户 接入
网络服务总线
业务互联 网接入
办公互联 网接入
对网络功能分 区、网络安全 划分具有指引 意义
7
DC 1.0:银行业信息系统风险监管(2)
第二十四条 商业银行应根据信息安全级别,将网络划分为不同的逻辑安全域 (以下简称为域)。应该对下列安全因素进行评估,并根据安全级别定义和评估 结果实施有效的安全控制,如对每个域和整个网络进行物理或逻辑分区、实现网 络内容过滤、逻辑访问控制、传输加密、网络监控、记录活动日志等。 …… 第三十五条 商业银行应制定相关控制信息系统变更的制度和流程,确保系统 (一) 对网络功能分 区、网络安全 划分具有指引 意义
0
金融数据中心网络架构设计
1
我国金融业IT建设与发展回顾
1980-1990
计算机替代手工操 作 引进小型机和微机 承担后台和前台处 理 微机单兵作战
1990-2000
全城联网 电子票据交换 通存通兑
2000-2007
数据大集中 综合业务系统 降低IT TCO
两地三中心骨 干网/核心承 载网方案
金融园区网解 决方案
分支机构用户
数据中心用户
总行用户
互联网用户
远程移动办公方案
外联用户
3G/4G VPDN专线接入方 案
用户层
网点/3G/4G/网控 器/移动营销解决 方案
用户及终端安全准入解决方案
5
商业银行数据中心发展及未来的演进路线
6
DC 1.0:银行业信息系统风险监管(1)
外联接入
广域网
Internet
Internet
园区网
广域网
广域网
园区网
Internet
Internet
广域网
第三方 机构
分支机构
10
DC 1.0:金融数据中心安全区的划分
数据中心网络分区从总体上可分成不同安全级别的四个安全区:非安全区、半安全区、安全区、核心安全区
不受控制的区域, 如对Internet公众 用户、外联第三方 单位等提供服务的 资源区域,企业的 安全政策和标准无 法强制执行
大数据平台 网络解决方 案 统一外联解决 方案 网上银行网络 解决方案 金融互联网资 源区网络建设 方案
应用服务层
私有云数据中 心网络解决方 案
两地三中心 网络解决方 案
双活数据中 心网络解决 方案
Intranet
Internet
WIFI、BYOD 解决方案 深度安全防护方案
Extranet
渠道接入层
8
DC 1.0:网络功能分区的需求
01
应用服务域
满足数据中心内生产 业务、经营管理类业 务、办公业务等服务 资源接入服务、安全 服务、负载均衡服务
02
用户接入域
提供内部生产办公用 户、外联单位用户、 公众用户的接入服务 及安全服务
03
存储服务域
满足新数据中心基于 IP技术的NAS存储网 络和备份网络
(征求意见稿)
《中国银行业信息科技“十三五”发展规划监管指导意见》(征求意见稿) 稳步开展云计算应用,主动实施架构转型
探索构建私有云平台,采用成熟度高、开放性强的计算虚拟化、容器虚拟化、分布式存储、 网络虚拟化 等技术,建立资源池,形成资源弹性供给、灵活调度和动态计量的私有云平台。
到“十三五”末期,面向互联
04
管理服务域
满足日常操作运维需 要的运维人员接入, 运维服务器接入,带 外带内网络接入
数据中心应满足应用服务域、用户接入域,存储服务域、管理服务域、多中心互联域等服务资源的构建,各功能 组件通过网络服务总线互联为一个统一的架构。 9
DC 1.0:应用服务分区的目标
存储服 务域
管理服 务域
带外 管理
(二) 生产系统与开发系统、测试系统的管理职能相分离。
(三) 除得到管理层批准执行紧急修复任务外,禁止应用程序开发和维护人 员进入生产系统,且所有的紧急修复活动都应立即进行记录和审核。 (四) 将完成开发和测试环境的程序或系统配置变更应用到生产系统时,应 得到信息科技部门和业务部门的联合批准,并对变更进行及时记录和定期复查。
分支机构用户
运维用户、办公终 端、开发测试用户
数据中心用户
业务终端、办公终 端、运维用户、开 发测试用户
总行用户
网银用户(公、私) 小企业用户(银企、现 金管理等)
互联网用户
合作伙伴、境外机构 、离 行设备 (4G/3G/2G/PSTN)
外联用户
4
金融网络应用场景的划分
数据中心应用服务域 企业边界服务域
2007 – 2013
架构优化和安全风险 关注服务与管理流程 网上业务快速发展 数据挖掘、风险管理
2013 –
互联网金融 自主可控 客户体验
全国联网
强化风险控制
以客户为中心
大数据分析
产品及服务创新
金融电子化起步
联网通存通兑
全行数据集中
IT架构治理
信息化金融
2
信息科技“十三五”发展规划监管指导意见
提高基础资源和应用部署的自动
60%
网场景的重要信息系统全部迁
移至云计算架构平台,其他系 统迁移比例不低于60%
75%
化水平,实现快速交付、动态调
整、弹性部署,降低人工操作风 险,自动化部署比例不低于75%
快速研发, 持续创新
推进开发、测试、交付一体 化建设,支撑产品迅速投放 市场
3
金融网络应用场景的划分
应用服务层
(核心业务、多媒体、呼叫中心、管理信息系统、办公系统、运 维系统等业务系统)
数据中心应用服务域
(网银、网站、外联、邮件、办公系统、办公互联网等业务 系统)
企业边界服务域
渠道接入层
(分支机构、总行园区、数据中心园区)
Intranet
Internet
Extranet
用户层
ቤተ መጻሕፍቲ ባይዱ
ATM、VTM、 POS、 柜员终端 办公终端、业务中 心终端等
第二十五条 银行业金融机构应加强网络安全管理。生产网络与开发测试网络、 业务网络与办公网络、内部网络与外部网络应实施隔离;加强无线网、互联网接
入边界控制;使用内容过滤、身份认证、防火墙、病毒防范、入侵检测、漏洞扫
描、数据加密等技术手段,有效降低外部攻击、信息泄漏等风险。 …… 第三十八条 银行业金融机构应建立独立的测试环境,以保证测试的完整性和 准确性。测试至少应包括功能测试、安全性测试、压力测试、验收测试、适应性 测试。测试不得直接使用生产数据。
管理服 务域 带外 管理 数据中 心互联 数据中 心互联 带内 管理 服务
存储服 务域
应用服 务域
带内 管理 服务
应用服 务域
网络服务总线 用户接入服务 外联接入 业务互联 网接入 办公互联 网接入 内部用户 接入 异地灾 备中心 用户接入服务 内部用户 接入
网络服务总线
业务互联 网接入
办公互联 网接入
对网络功能分 区、网络安全 划分具有指引 意义
7
DC 1.0:银行业信息系统风险监管(2)
第二十四条 商业银行应根据信息安全级别,将网络划分为不同的逻辑安全域 (以下简称为域)。应该对下列安全因素进行评估,并根据安全级别定义和评估 结果实施有效的安全控制,如对每个域和整个网络进行物理或逻辑分区、实现网 络内容过滤、逻辑访问控制、传输加密、网络监控、记录活动日志等。 …… 第三十五条 商业银行应制定相关控制信息系统变更的制度和流程,确保系统 (一) 对网络功能分 区、网络安全 划分具有指引 意义