农商村镇银行金融城域网网络接入方案Word文档下载推荐.docx

农商村镇银行金融城域网网络接入方案Word文档下载推荐.docx

《农商村镇银行金融城域网网络接入方案Word文档下载推荐.docx》由会员分享，可在线阅读，更多相关《农商村镇银行金融城域网网络接入方案Word文档下载推荐.docx（7页珍藏版）》请在冰豆网上搜索。

周围无易燃、易爆等隐患，无危险建筑；

机房区域划分为主机房区与监控机房区；

设有机房出入登记薄，对外来人员出入机房进行记录，记录永久保存；

机房按机房消防标准进行设计，已经有关部门检验通过；

强电、弱电分布符合国家标准，10KVUPS开业前配备到位，供电停止后，UPS能够支持系统平稳运行；

温度、湿度、新风符合机房有关标准要求，已安装空调一台；

综合布线清晰、合理、安全、规范，易于维护，易于扩展；

管道铺设保证机房安全。

二、业务系统基本情况

因目前需开通的人民银行账户管理系统、金融统计数据报送、企业和个人征信数据查询及报送、交存款系统以及对账系统系统均为Web方式，我行为保证业务系统的安全稳定运行，将严格遵循人行银行相关业务规章制度，实行专机专用专网使用，并做到双线备份、

关键设备双机热备。

另设立专职系统维护人员，做到业务系统的安全稳定运行，并配备A、B角，保障业务运行。

三、网络基本情况

ⅩⅩ村镇银行网络需求参照上海农商银行现有网络需求，按业务种类将其网络划分为两类，即业务网与办公网，不同网络业务系统间严禁相互访问。

同时，依照国家等级保护原则，不同网络区域的安全保护等级应有明显的区别：

业务网最高，办公网其次。

（一）网络架构

参考上海农商银行网络架构模式，并结合异地分支机构特殊性。

山东村镇银行管理分部内设立网络机房，按业务功能分为核心区、业务区、办公区、人行接入区、上联广域网接入区和下联村镇银行广域网接入区。

关键区域放置防火墙做到边界访问控制，核心区部署IDS进行实时入侵检测。

根据银监局信息系统安全等级保护定级指引，关键区域中，网络及安全设备采用中、高端网络设备，以双机热备模式部署，实现设备冗余、自动切换，确保业务连续性。

具体网络架构图如下：

（二）网络安全

管理分部网络安全性控制相对本地分支机构要高，因此需在外联生产区域部署防火墙等安全设备，负责提高当地外联业务的接入安全。

1、外联部署

外联业务通过山东村镇银行管理分部出口与本地外联单位连接，需在其外联区域部署防火墙设备，制定合理、安全访问控制，做好边界防护，设备双机热备。

2、通信线路备份

为保证ⅩⅩ村镇银行通信线路备份情况，在原有2家运营商分别租用专线的前提下，引入3G无线备份方式，通过安全认证加密连入

数据中心（上海），实现2根专线中断的情况下，ⅩⅩ村镇银行主要业务的不间断处理。

3、防病毒及补丁

ⅩⅩ村镇银行业务网视窗类操作系统全部安装趋势防病毒软件，定时从数据中心更新病毒库，并进行补丁下载及安装，定时进行杀毒操作，避免病毒对网络造成的影响。

（三）通信线路

管理分部按照上海农商银行现有分支机构网络规划原则，遵照银监局就通信线路多运营商备份的要求，管理分部租用不同运营商的数据专线，实现其与生产中心及灾备中心的互联，保证业务系统及管理系统通信线路的互为备份。

为保证其业务系统、办公系统等业务的正常访问，同时考虑投入成本、发展规划，线路使用1根4M可扩容专线连接上海北蔡数据中心，1根4M可扩容专线连接上海桃浦灾备中心，两者互为备份。

通过负载均衡及流量控制（QOS），应能满足现有业务的需要。

与监管机构的互联，根据当地人行及银监等监管机构接入要求，租用不同运营商专线，实现互为备份，根据人行要求，山东村镇银行与人民银行互联，网络及安全设备均为专机专用，并实现互为备份。

考虑到ⅩⅩ村镇银行网点业务需求，分别租用不同运营商1根2M

可扩容专线，实现与湖南村镇银行管理分部的连接，两者互为备份。

四、网络接入方案

网络拓扑如下:

在网络架构方面：

人行接入区由4台网络设备组成，分别为2台防火墙，2台路由器+交换模块+E1模块，2台防火墙用于和核心交换机互联，防火墙下接2台路由器（交换模块），路由器用于外联单位的接入。

在与人行的广域网连接上支持SDH、MSTP等多种接入方式，接口封装方式支持以太接口、PPP、HDLC等主流兼容模式。

通信线路租用电信与联通线路。

在路由选择方面：

2台路由器和2台防火墙采用主备冗余方式，

对外根据业务访问的需求配置静态明细路由，对内需要根据业务访问的需求配置静态明细路由。

内网区和外网区都按照规范进行了NAT地址翻译，如果人行需要EIGRP或者BGP等动态路由协议互联，

可以在2台路由器上，把对内的静态明细路由重新分布进动态路由协议，根据人行的线路情况调整路由条目的metric值即可。

在安全策略方面：

（1）生产终端和办公终端将以访问列表的方式实现逻辑隔离。

（2）人行防火墙上将实现端口级的双向访问控制。

（3）在2台人行路由器的广域网接口上将设置严格的访问列表。

（4）网络设备口令由数据中心网络人员管理，日志保存至少一个月以上。

五、安全保障措施

一是防病毒方面，现在使用趋势防毒软件，定期更新，系统漏洞补丁更新通过数据中心补丁平台与微软同步更新；

二是防攻击方面，入侵检测部署IDP进行入侵检测；

漏洞扫描定期扫描；

三是相关制度。

ⅩⅩⅩⅩ沪农商村镇银行计算机管理部门为营业部，营业部设立专职计算机管理岗，对部门和相关岗位人员已制订岗位责任制，明确职责，权责清晰明确；

计算机管理岗的人员配备A、B角，一名为专职管理员XX（A角）；

另一名为兼职计算机安全管理员XX（B角）。

计算机管理岗按照上海农商银行技术部门要求负责辖内信息系统、电子设备的管理和运行工作，并贯彻落实总行信息系统安全内控各项管理制度，目前已制订《ⅩⅩⅩⅩ沪农商村镇银行系统突发事件应急管理办法》，《ⅩⅩⅩⅩ沪农商村镇银行信息系统突发

事件技术应急操作手册》等制度；

技术资料文档实现集中、统一管理，

管理规范；

网络、主机、机房、安全等方面技术规范及制度齐全，能保证业务持续运行。