农商村镇银行金融城域网网络接入方案知识讲解
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
XXXX农商村镇银行金融城域网网络接入方案
XXXX沪农商村镇银行地处XX区张庄路263号。目前设立市场部、风险管理部、营业部、综合办公室 4 个部门,员工总计18 人。因业务发展需要,需参与人行接入账户管理系统、金融统计数据报送、企业和个人征信数据查询及报送、交存款系统以及对账系统系统等。
一、机房基本情况
机房面积15 平方米;周围无易燃、易爆等隐患,无危险建筑;机房区域划分为主机房区与监控机房区;设有机房出入登记薄,对外来人员出入机房进行记录,记录永久保存;机房按机房消防标准进行设计,已经有关部门检验通过;强电、弱电分布符合国家标准,10KV UPS 开业前配备到位,供电停止后,UPS 能够支持系统平稳运行;温度、湿度、新风符合机房有关标准要求,已安装空调一台;综合布线清晰、合理、安全、规范,易于维护,易于扩展;管道铺设保证机房安全。
二、业务系统基本情况
因目前需开通的人民银行账户管理系统、金融统计数据报送、企
业和个人征信数据查询及报送、交存款系统以及对账系统系统均为Web 方式,我行为保证业务系统的安全稳定运行,将严格遵循人行银行相关业务规章制度,实行专机专用专网使用,并做到双线备份、
关键设备双机热备。另设立专职系统维护人员,做到业务系统的安全
稳定运行,并配备 A 、B 角,保障业务运行。
三、网络基本情况
XX村镇银行网络需求参照上海农商银行现有网络需求,按业务种类将其网络划分为两类,即业务网与办公网,不同网络业务系统间严禁相互访问。同时,依照国家等级保护原则,不同网络区域的安全保护等级应有明显的区别:业务网最高,办公网其次。
(一)网络架构参考上海农商银行网络架构模式,并结合异地分支机构特殊性。
山东村镇银行管理分部内设立网络机房,按业务功能分为核心区、业务区、办公区、人行接入区、上联广域网接入区和下联村镇银行广域网接入区。关键区域放置防火墙做到边界访问控制,核心区部署IDS 进行实时入侵检测。
根据银监局信息系统安全等级保护定级指引,关键区域中,网络及安全设备采用中、高端网络设备,以双机热备模式部署,实现设备冗余、自动切换,确保业务连续性。具体网络架构图如下:
(二)网络安全管理分部网络安全性控制相对本地分支机构要高,因此需在外联生产区域部署防火墙等安全设备,负责提高当地外联业务的接入安全。
1、外联部署外联业务通过山东村镇银行管理分部出口与本地外联单位连接,需在其外联区域部署防火墙设备,制定合理、安全访问控
制,做好边界防护,设备双机热备。
2、通信线路备份
为保证XX村镇银行通信线路备份情况,在原有2家运营商分别租用专线的前提下,引入3G 无线备份方式,通过安全认证加密连入数据中心(上海),实现2根专线中断的情况下,XX村镇银行主要业务的不间断处理。
3、防病毒及补丁
XX村镇银行业务网视窗类操作系统全部安装趋势防病毒软件,定时从数据中心更新病毒库,并进行补丁下载及安装,定时进行杀毒操作,避免病毒对网络造成的影响。
(三)通信线路
管理分部按照上海农商银行现有分支机构网络规划原则,遵照银
监局就通信线路多运营商备份的要求,管理分部租用不同运营商的数据专线,实现其与生产中心及灾备中心的互联,保证业务系统及管理系统通信线路的互为备份。
为保证其业务系统、办公系统等业务的正常访问,同时考虑投入成本、发展规划,线路使用 1 根4M 可扩容专线连接上海北蔡数据中心, 1 根4M 可扩容专线连接上海桃浦灾备中心,两者互为备份。通过负载均衡及流量控制(QOS ),应能满足现有业务的需要。
与监管机构的互联,根据当地人行及银监等监管机构接入要求,租用不同运营商专线,实现互为备份,根据人行要求,山东村镇银行与人民银行互联,网络及安全设备均为专机专用,并实现互为备份。
考虑到XX村镇银行网点业务需求,分别租用不同运营商1根2M 可扩容专线,实现与湖南村镇银行管理分部的连接,两者互为备份。
四、网络接入方案
网络拓扑如下:
在网络架构方面:人行接入区由 4 台网络设备组成,分别为 2 台防火墙,2台路由器+交换模块+E1模块,2台防火墙用于和核心交换机互联,防火墙下接 2 台路由器(交换模块),路由器用于外联单位的接入。在与人行的广域网连接上支持SDH 、MSTP 等多种接入方式,接口封装方式支持以太接口、PPP、HDLC 等主流兼容模式。通信线路租用电信与联通线路。
在路由选择方面: 2 台路由器和 2 台防火墙采用主备冗余方式,对外根据业务访问的需求配置静态明细路由,对内需要根据业务访问的需求配置静态明细路由。内网区和外网区都按照规范进行了NAT 地址翻译,如果人行需要EIGRP或者BGP等动态路由协议互联,可以在 2 台路由器上,把对内的静态明细路由重新分布进动态路由协议,根据人行的线路情况调整路由条目的metric 值即可。
在安全策略方面:
(1)生产终端和办公终端将以访问列表的方式实现逻辑隔离。
(2)人行防火墙上将实现端口级的双向访问控制。
(3)在2 台人行路由器的广域网接口上将设置严格的访问列表。
(4)网络设备口令由数据中心网络人员管理,日志保存至少一个月以上。
五、安全保障措施
一是防病毒方面,现在使用趋势防毒软件,定期更新,系统漏洞补丁更新通过数据中心补丁平台与微软同步更新;
二是防攻击方面,入侵检测部署IDP 进行入侵检测;漏洞扫描定期扫描;
三是相关制度。XXXX沪农商村镇银行计算机管理部门为营业部,营业部设立专职计算机管理岗,对部门和相关岗位人员已制订岗位责任制,明确职责,权责清晰明确;计算机管理岗的人员配备 A 、B 角,一名为专职管理员XX(A 角);另一名为兼职计算机安全管理员XX(B 角)。计算机管理岗按照上海农商银行技术部门要求负责辖内信息系统、电子设备的管理和运行工作,并贯彻落实总行信息系统安全内控各项管理制度,目前已制订《XXXX沪农商村镇银行系统突发事件应急管理办法》,《XXXX沪农商村镇银行信息系统突发事件技术应急操作手册》等制度;技术资料文档实现集中、统一管理,管理规范;网络、主机、机房、安全等方面技术规范及制度齐全,能保证业务持续运行。