《农商村镇银行金融城域网网络接入方案.pdf》由会员分享,可在线阅读,更多相关《农商村镇银行金融城域网网络接入方案.pdf(7页珍藏版)》请在三一文库上搜索。
1、农商村镇银行金融城域网网络接入方案 沪农商村镇银行地处区张庄路263 号。目前设立市场 部、风险管理部、营业部、综合办公室4 个部门,员工总计18 人。 因业务发展需要,需参与人行接入账户管理系统、 金融统计数据报送、 企业和个人征信数据查询及报送、交存款系统以及对账系统系统等。 一、机房基本情况 机房面积15 平方米;周围无易燃、易爆等隐患,无危险建筑; 机房区域划分为主机房区与监控机房区;设有机房出入登记薄, 对外 来人员出入机房进行记录, 记录永久保存; 机房按机房消防标准进行 设计,已经有关部门检验通过; 强电、弱电分布符合国家标准,10KV UPS 开业前配备到位,供电停止后,UPS
2、 能够支持系统平稳运行; 温度、湿度、新风符合机房有关标准要求,已安装空调一台;综合布 线清晰、合理、安全、规范,易于维护,易于扩展;管道铺设保证机 房安全。 二、业务系统基本情况 因目前需开通的人民银行账户管理系统、金融统计数据报送、 企 业和个人征信数据查询及报送、交存款系统以及对账系统系统均为 Web 方式,我行为保证业务系统的安全稳定运行,将严格遵循人行 银行相关业务规章制度,实行专机专用专网使用,并做到双线备份、 关键设备双机热备。 另设立专职系统维护人员, 做到业务系统的安全 稳定运行,并配备A、B 角,保障业务运行。 三、网络基本情况 村镇银行网络需求参照上海农商银行现有网络需求
3、,按业务 种类将其网络划分为两类, 即业务网与办公网, 不同网络业务系统间 严禁相互访问。同时,依照国家等级保护原则,不同网络区域的安全 保护等级应有明显的区别:业务网最高,办公网其次。 (一)网络架构 参考上海农商银行网络架构模式,并结合异地分支机构特殊性。 山东村镇银行管理分部内设立网络机房,按业务功能分为核心区、 业 务区、办公区、 人行接入区、上联广域网接入区和下联村镇银行广域 网接入区。 关键区域放置防火墙做到边界访问控制,核心区部署 IDS 进行实时入侵检测。 根据银监局信息系统安全等级保护定级指引,关键区域中, 网络 及安全设备采用中、高端网络设备,以双机热备模式部署,实现设备
4、冗余、自动切换,确保业务连续性。具体网络架构图如下: (二)网络安全 管理分部网络安全性控制相对本地分支机构要高,因此需在外联 生产区域部署防火墙等安全设备,负责提高当地外联业务的接入安 全。 1、外联部署 外联业务通过山东村镇银行管理分部出口与本地外联单位连接, 需在其外联区域部署防火墙设备,制定合理、安全访问控制,做好边 界防护,设备双机热备。 2、通信线路备份 为保证村镇银行通信线路备份情况,在原有2 家运营商分别 租用专线的前提下,引入3G 无线备份方式,通过安全认证加密连入 数据中心(上海),实现2 根专线中断的情况下,村镇银行主要 业务的不间断处理。 3、防病毒及补丁 村镇银行业务
5、网视窗类操作系统全部安装趋势防病毒软件, 定时从数据中心更新病毒库, 并进行补丁下载及安装, 定时进行杀毒 操作,避免病毒对网络造成的影响。 (三)通信线路 管理分部按照上海农商银行现有分支机构网络规划原则,遵照银 监局就通信线路多运营商备份的要求,管理分部租用不同运营商的数 据专线,实现其与生产中心及灾备中心的互联,保证业务系统及管理 系统通信线路的互为备份。 为保证其业务系统、 办公系统等业务的正常访问, 同时考虑投入 成本、发展规划,线路使用 1 根 4M 可扩容专线连接上海北蔡数据中 心, 1 根 4M 可扩容专线连接上海桃浦灾备中心,两者互为备份。 通过负载均衡及流量控制(QOS),
6、应能满足现有业务的需要。 与监管机构的互联,根据当地人行及银监等监管机构接入要求, 租用不同运营商专线,实现互为备份,根据人行要求,山东村镇银行 与人民银行互联,网络及安全设备均为专机专用,并实现互为备份。 考虑到村镇银行网点业务需求,分别租用不同运营商1 根 2M 可扩容专线,实现与湖南村镇银行管理分部的连接,两者互为备份。 四、网络接入方案 网络拓扑如下 : 在网络架构方面:人行接入区由4 台网络设备组成,分别为2 台防火墙,2 台路由器 +交换模块 +E1 模块,2 台防火墙用于和核心 交换机互联,防火墙下接2 台路由器(交换模块),路由器用于外联 单位的接入。在与人行的广域网连接上支持
7、SDH、MSTP 等多种接 入方式,接口封装方式支持以太接口、 PPP、 HDLC 等主流兼容模式。 通信线路租用电信与联通线路。 在路由选择方面: 2 台路由器和 2 台防火墙采用主备冗余方式, 对外根据业务访问的需求配置静态明细路由,对内需要根据业务访问 的需求配置静态明细路由。内网区和外网区都按照规范进行了NAT 地址翻译,如果人行需要EIGRP 或者 BGP 等动态路由协议互联, 可以在 2 台路由器上,把对内的静态明细路由重新分布进动态路由协 议,根据人行的线路情况调整路由条目的metric 值即可。 在安全策略方面: (1)生产终端和办公终端将以访问列表的方式实现逻辑隔离。 (2)
8、人行防火墙上将实现端口级的双向访问控制。 (3)在 2 台人行路由器的广域网接口上将设置严格的访问列表。 (4)网络设备口令由数据中心网络人员管理,日志保存至少一个 月以上。 五、安全保障措施 一是防病毒方面, 现在使用趋势防毒软件,定期更新,系统漏洞 补丁更新通过数据中心补丁平台与微软同步更新; 二是防攻击方面,入侵检测部署IDP 进行入侵检测;漏洞扫描 定期扫描; 三是相关制度。沪农商村镇银行计算机管理部门为营业 部,营业部设立专职计算机管理岗,对部门和相关岗位人员已制订岗 位责任制,明确职责,权责清晰明确;计算机管理岗的人员配备A、 B 角,一名为专职管理员XX(A 角);另一名为兼职计算机安全管 理员 XX(B 角)。计算机管理岗按照上海农商银行技术部门要求负 责辖内信息系统、 电子设备的管理和运行工作,并贯彻落实总行信息 系统安全内控各项管理制度,目前已制订沪农商村镇银行系 统突发事件应急管理办法,沪农商村镇银行信息系统突发 事件技术应急操作手册 等制度;技术资料文档实现集中、 统一管理, 管理规范;网络、主机、机房、安全等方面技术规范及制度齐全,能 保证业务持续运行。