生产管控知识银行生产网络建设方案.docx

1、生产管控知识银行生产网络建设方案XX银行业务网络 建设方案2013年10月1整体建设项目概述XX银行地处XX市中心，目前设立市场部、风险管理部、营业部、综合办公室，信息接入点XX个。因业务开展，需建设银行业务系统，上联系统为浙江总部。 机房面积70平方米；周围无易燃、易爆等隐患，无危险建筑；机房区域划分为主机房区与监控机房区；按机房消防标准进行设计；强电、弱电分布符合国家标准；综合布线清晰、合理、安全、规范，易于维护，易于扩展；管道铺设保证机房安全。 2网络项目规划银行业务网络是银行运营信息系统的基础。网络平台将信息交换、安全防护、安全管理和监控有机结合起来，贯穿整个信息系统的所有层次，是系统

2、正常运转的重要保障。本部分重点讲述及细化XX银行业务网络的具体规划建设和项目预算。2.1网络规划概述XX银行从整网结构分析，属于二级分行角色。通过跨省WAN链路上联浙江一级分行，通过城域网内WAN链路下联村镇分行。网络规划以XX业务网络为原点，从横向和纵向开始规划，逐渐形成一个横纵联系的网络。从纵向来看，XX银行网络分为2层，第1层为XX业务网络，第2层为村镇分行业务网络；从横向来看，一般银行网络都按照应用划分为办公子网、生产子网和外联三个子网，省级以上网络还要包含MIS子网、网上银行、测试子网等。由于网络目前还处在组网的初级阶段，因此本次规划仅考虑XX生产子网的建设，不考虑其它子网的建设，但

3、在规划时要考虑网络可扩展性，保证在总体结构不变的情况下，业务网络能够部署连接其它子网的横向接口，以及连接村镇分行的纵向接口。2.2安全域划分对于银行业务网络来说，首要的一点就是应该根据国家有关部门对相关规定，将整个业务网络进行网络结构的优化和安全域的划分，从结构上实现对安全等级化保护。根据中国人民银行计算机安全管理暂行规定（试行）的相关要求：“第六十一条内联网上的所有计算机设备，不得直接或间接地与国际互联网相联接，必须实现与国际互联网的物理隔离。”“第七十五条计算机信息系统的开发环境和现场应当与生产环境和现场隔离。”因此进行网络规划时，有必要将生产业务网络与具有互联网连接的办公网络之间区分开来

4、，通过强有力的安全控制机制最大化实现生产系统与其他业务系统之间的隔离。同时，对银行所有信息资源进行安全分级，根据不同业务和应用类型划分不同安全等级的安全域，并分别进行不同等级的隔离和保护。初步规划将业务网络划分成多个具备不同安全等级的区域，参考公安部发布的信息系统安全保护等级定级指南，我们对安全区域划分和定级的建议如下（不涉及的子网没有列出）：安全区域说明定级建议生产核心区域包含业务服务器主机；业务审计系统（可选）3级业务区域业务前台终端2级网管监控区域包含维护网络信息系统有效运行的监控服务器主机和管理终端；动环监控服务器和终端。1级办公区域包含办公网络PC和其它网络设备1级上表安全级别为降序

5、排列，生产核心区域具有最高安全级别，原则上与办公区域、网管监控区域物理隔离，特殊情况下，如果部分办公业务用户需要访问生产业务中的特定数据，而部分生产应用也需要访问办公网中的特定数据，建议在业务网与办公网之间采用逻辑隔离手段进行严格控制。业务审计系统（可选）要对业务网络的所有流量进行审计，所以也部署在生产区域。业务区域包括柜台终端，需要连接核心区域，具有较高安全级别。网管监控区域用于网络监控，设备远程维护，以及动环监控，该区域不需要与其它区域连接，所以建议网络设备使用带外管理方式，与其它网络物理隔离。办公区域安全级别较低，在大型网络中一般使用MIS子网进行过渡，这里建议使用严格访问控制，仅允许办

6、公区域访问生产区域中特定数据。总体逻辑结构如图所示：银行网络安全结构示意图2.3 业务网规划业务网作为信息资源平台，主要包括以下信息业务：业务核心服务器和服务前台终端数据交换。服务器之间，服务器和存储之间数据交换、数据处理。业务网和总部数据中心之间数据交换、报表。根据各种信息流的特点，以及各种网络设备的功能角色，建议网络如下图部署。核心路由器作为总出口通过专线与浙江总部上联；下行通过千兆链路连接防火墙。建议使用高性能、可靠性路由器，保证双主控、双路由引擎、双电源、双风扇的硬件冗余；线卡引擎和业务板卡的两级热插拔技术、双主控热备份技术，全面保证可靠性达到电信级标准。中心网络所有出网流量都经过防火

7、墙。建议使用数据中心防护级别的防火墙，同时具备IPS功能防御网络攻击。防火墙根据各区域的安全级别，分配各端口的优先级和防护策略；核心交换机承载中心服务器、存储、前置机等核心设备的数据交换。建议使用支持主控板冗余、电源冗余的高性能、高端口密度交换机。生产前台区域需要部署1台或多台汇聚交换机。各网络设备（系统）功能需求如下表序号设备（系统）功能设备参数需求1核心路由器提供XX业务网上联双主控、双路由引擎、电源1+1、4GE接口（含至少1个光口）2防火墙网络隔离，为其它网络提供接口；防范非法入侵和攻击；FW+IPS功能启用后保证吞吐量2G；提供至少4GE接口；3核心交换机生产中心数据交换双主控、双路

8、由引擎、电源1+1、至少24GE接口4汇聚交换机生产前台数据交换至少4GE、24FE接口5办公网交换机办公网数据交换至少4GE、24FE接口2.4 网管监控网络规划网管监控网络独立与其它网络，整合了网络设备管理系统、动环监控系统、业务审计系统，主要包括以下功能：网络设备通过带外方式集中管理动环监控采集器、视频采集器等设备与动环监控终端联网业务审计系统与报表服务器联网根据各种监控的特点，以及各种网络设备的功能角色，建议网络如下图部署。网络设备通过带外网管接口连接到网管交换机，与网络维护终端互联；动环监控采集器连接到网管交换机与动环监控终端互联；业务审计系统（可选）旁路在核心交换机，通过交换机的流

9、量复制，接受所有入出核心区域的流量。分析后输出至审计报表服务器。各网络设备（系统）功能需求如下表序号设备（系统）功能设备参数需求1动环监控系统机房消防系统、门禁系统、图像系统、温湿度监控等功能。满足50平米机房需求2网管交换机网管、监控数据交换至少2GE、24FE接口3业务审计系统（可选）对重要业务数据流采集、分析和识别；发现并及时制止用户的误操作、非法访问、恶意攻击。事物处理性能2000事物数/秒，至少提供2GE接口4审计报表服务器（可选）审计日志采集、存储PC server2.5数据中心规划数据中心结构图数据中心分别新增两台服务器和存储，服务器和存储采用直连方式。在服务器和存储上配置6GB

10、 SAS接口，实现服务器和存储的互联。为防止数据存储出现单点故障，服务配置两个双口SAS HBA卡，存储采用双控制器架构，服务器的每块HBA卡分别与存储的两个控制器连接。本方案中，一套服务器和存储承载业务系统，对外提供服务。另外一套服务器和存储作为备份服务器和存储，通过symantec SYMC BACKUP ECXC备份软件对业务系统进行系统级的备份，当业务系统出现故障可以使用备份数据对业务系统进行恢复。2.6 业务网网络安全规划业务网网络安全作为平台业务的重要保障，安全建设需要包含以下几方面的内容：1、安全防护需求在满足联网业务应用需求的同时，也为网络安全带来了新的风险，包括非法访问、身份

11、不确定、黑客入侵、病毒和恶意代码、安全事件发现和追查不及时等，在建设时必须采取相应的安全措施予以防范。(1)非法访问风险。网络存在多个对外网络接口，因此应建立边界隔离机制，防止非法访问和对管理网的入侵行为。 (2)黑客入侵风险。与外部网络互联，具有黑客非法入侵风险。因此网络应具有足够的抗攻击能力，可以检测和抵御来自外部的各种攻击行为。(3)网络攻击风险。不仅有来自外部的网络攻击，内部网络终端和服务器在中木马或病毒后，也会产生攻击流量。要求网络具有攻击源识别功能，并作为网络日志实时存储。2、应用层安全针对目前日益增多的应用层网络攻击行为，需要对应用系统和业务数据能够提供有效的安全防护，防止非法访

12、问应用系统、防止对后台数据库的恶意访问、防止DoS攻击并保障系统服务的持续性。通过访问审计，帮助用户了解整个系统的使用情况，提供辅助决策功能。3、用户管理对于网络的运维人员进行集中账号管理，账号和资源的集中管理是集中授权、认证和审计的基础。集中账号管理可以完成对账号整个生命周期的监控和管理，而且还降低了管理大量用户账号的难度和工作量。同时，通过统一的管理还能够发现账号中存在的安全隐患，并且制定统一的、标准的用户账号安全策略。4、安全管理对于各种安全事件应具有安全审计功能，各关键组件应能提供详细的日志记录，能够妥善存储和集中分析，并能进行攻击回放。针对上述需求，除做好安全防护和认证授权外，必须有

13、完善的安全审计功能。综上所述，针对目前最常见的互联网攻击类型以及国内外网上系统通常面临的安全威胁，结合云平台实际情况，我们认为可能面临的安全风险和对应的安全需求如下：序号风险名称受影响对象安全需求1非法入侵和攻击（网络级、应用级）所有网络防火墙、IPS2内网攻击大量不安全的主机可能成为僵尸，被利用来向重要网络进行攻击防火墙制定策略，限制攻击流量、攻击规模，以及漏洞机理分析和日志找出问题主机。3数据窃密、篡改数据库系统业务审计2.7 后续网络扩容规划网络扩容分为以下3种情况：1、其它网络连接生产核心网络生产中心网络与其它网络接口必须经过防火墙，为新网络指定安全级别后，防火墙分配互联端口的优先级和

14、防护策略。如图：2、村镇分行接入到生产中心网络村镇分行与生产前台网络优先级一致，都为2级，因此也需要经过防火墙接入中心网络，建议扩容汇聚交换机，将各村镇分行网络连接到生产前台区域的汇聚交换机。如图3、其它功能设备入网随着网络规模扩大，网络安全重要性越来越突出，后续可能会引入业务审计、安全运行中心等系统，由于建网时规划了1个独立的网管监控网络，所以建议业务审计等系统也部署在网管监控网络。如图：3UPS电源系统规划3.1UPS电源系统概述UPS电源系统是保障机房设备36524小时“全天候”稳定、可靠、安全运行的关键因素之一。不同类型的UPS供电系统只能为用户提供不同级别的保护，它们为信息中心提供的

15、可利用率水平也相差很大。因此UPS供电系统应该为各类计算机设备提供充分发挥其技术潜力的运行环境，不应该是只保证对计算机设备提供100%的不中断供电的系统，也应该确保“计算机网络设备”不会因为UPS的供电质量不高而处于降额使用状态。另外，从提高信息中心的运行效率的角度来看，还需特别注意正确地设计UPS供电系统的接地系统，以便为信息中心能达到100%的高“可利用率”创造优良的电源供电环境。3.2电源系统用户需求分析用户数据中心机房内设备主要为服务器、网络交换、网络存储磁盘阵列类IT设备，大部分设备均采用19英寸机柜安装方式。现有负载的计算负荷按10KVA，根据实际需要，结合客户相关意见，综合、全面

16、考虑。用户对供电系统的要求：- 保证高可用性，在场地允许的情况下，采用冗余供电方式；- 提供一套能够跟随用户实际需求，灵活调整容量的电源系统；- 管理/监控方便，便于及时维护；- 保证市电中断后120分钟的后备时间；- 其他合理的机房相关解决方案3.3电源系统设备选型根据项目具体情况，结合用户需求及我公司多年工程经验，建议采用15KVA UPS 1套，单机运行方式，电池采用12V/100AH电池29块。3.4系统解决方案主要技术特点及参数主要技术特点：双变换纯在线式设计；可多台UPS并机冗余，无须外加并联控制卡；使用大型中文及多国语言图形化LCD显示；宽广的输入电压范围（380VAC -32%

17、35%）；具有ECO模式（效率98%），可节省大量的电能，节省运营成本；逆变器采用全桥架构技术，可100%三相不平衡供电且负载适应性最强；充电系统采DIN41773国际标准，可快速对电池充电；设计有电池温度补偿，延长电池使用寿命；具有电池防漏液侦测功能；具有电池组共享(Common Battery)功能；可远程遥控或面板控制警急事故关机功能(EPO)；高整机效率，节省能源，减少运营成本；标配有手动维护旁路开关功能(MBS)；输入端可作双回路供电设计；具有输出隔离变压器设计；隔离变压器的磁性组件采用H级绝缘防护等级设计，安全性高；输出过载能力强，且负载适应能力最强；采用多组微处理器控制与模块化设

18、计，维护简易方便；内建SRAM，可以储存多于500笔信息数据；可搭配电力监控软件，对UPS作网络及远程遥控遥测；提供超过4种以上的通信接口可供选择；智能变速风扇，低噪音，节省电费及提高风扇使用寿命；短路保护设计与超强防雷击保护，确保负载设备安全可靠运行；可作多台(N+1)并机扩容冗余,提供经济可靠的高效率供电保护。4消防系统规划4.1灭火系统产品简介气体灭火系统在结构上具有以下特点：容器阀采用金属膜片密封设计，保证了可靠的密封性能，使灭火剂永久性储存成为可能。多种启动方式（气动启动、电启动、电气手动启动、机械应急手动启动）确保系统绝对可靠地启动。特殊的电启动装置使启动电流很小，有效地解决了控制

19、部分功耗大，蓄电池容量大等问题，使布局更加合理紧凑。直通式瓶头阀的独特结构，使灭火剂流动阻力降低。系统结构简单，规格多样，安装、调试方便，操作简单可靠。适用范围贵重物品、无价珍宝或公司资料档案及软件。无自动喷淋系统或使用水系统造成水损的设备。人员常驻的区域。灭火剂钢瓶空间有限，须少量的灭火剂，即能达到灭火效能者。4.2气体灭火系统设置要求灭火剂储瓶间设置在专用的钢瓶间内。防护区应设泄压装置，并宜设在外墙或屋顶上。当设置在外墙上时应位于防护区净高的2/3以上。防护区的门窗的耐压强度1200Pa；门窗的玻璃应采用5毫米以上的防火玻璃；保护区的通风系统在喷放七氟丙烷(HFC-227ea)灭火剂前应关

20、闭，并设置防火阀门；保护区的门必须采用自动防火门，保证在任何情况下均能从保护区内打开。保护区应有排风设备，释放灭火剂后，应将废气排尽后，人员方可进入进行检修，如需提前进入，需带氧气呼吸器，在控制室设置氧气呼吸器。5项目实施安排本项目实施与机房建设、装修同时进行，首先进行设备采购和设计规划工作，配电系统部署完毕后，进行UPS系统建设和网络设备安装；再依次进行服务器和存储安装、网络联调；同时进行消防系统建设、动环系统建设、网管监控系统建设。最后进行业务上线测试。5.1实施进度实施时间以项目开工协调会时间开始时间为准。预计从开工到业务系统上线需24天，整体完工需要30天。任务名称工期开始时间完成时间

21、备注工程开工协调会1 day第1工作日第1工作日中心机房装修实施8 days第2工作日第9工作日UPS系统实施11 days UPS采购1 days第2工作日第2工作日 UPS发货10 days第3工作日第12工作日 UPS安装2 days第13工作日第14工作日 UPS设备及机柜安装1 day第14工作日第14工作日 配电及系统测试1 day第15工作日第15工作日网络设备（含服务器）实施23 days 设备采购1 days第2工作日第2工作日 设备发货7 days第3工作日第9工作日 设备及机柜安装5 days第10工作日第14工作日 网络布线、调通及测试3 days第15工作日第17工作

22、日 业务系统调研2 days第18工作日第19工作日 业务系统上线测试4 days第20工作日第23工作日 系统整体测试1 day第24工作日第24工作日消防系统实施12 days 设备采购1 days第2工作日第2工作日 设备发货7 days第3工作日第9工作日 设备安装3 days第10工作日第12工作日 设备测试1 days第13工作日第13工作日动环系统实施12 days 设备采购1 days第2工作日第2工作日 设备发货7 days第3工作日第9工作日 设备安装3 days第16工作日第18工作日 设备测试1 days第19工作日第19工作日初验1 day第30工作日第30工作日试运

23、行3个月终验1 day5.2实施分工项目建设方集成商设备厂商业务调研配合主要负责人方案编写配合主要负责人配合光路申请/调通主要负责人配合配合工程硬件安装实施配合配合配合设备调测配合配合主要负责人业务割接配合主要负责人主要负责人网络/业务测试主要负责人配合配合验收主要负责人配合配合6选型设备介绍及资质6.1 核心路由器介绍核心路由器实现大型网络的互联。对它的要求是速度和可靠性，而成本则处于次要地位。硬件可靠性体现在双主控、双转发引擎、双电源、双数据通路等来获得。XX银行核心路由器推荐型号为华为公司的NE20E-8款式路由器，NE20E-8秉承华为公司高端路由器的设计思路，以其高性能、双主控、双N

24、PU和热备份优势，能够满足企业网汇聚以及数据中心和运营商的电信级高可用性的要求。【产品形态】 转发性能：15Mpps80Mpps背板带宽：40G冗余电源：内置(AC/DC/PoE)，N+1备份配置双主控板【产品特点】领先的 VRP平台NE20E-8系列采用VRP5.0平台，与华为NE5000E是同一平台。VRP操作系统采用 RDF (ResilientDistributed Framework) 弹性分布式架构 ，通过相对分离的管理平面，业务平面，数据平面和控制平面，极大的提升了整个系统的灵活性，可靠性，可管理性，扩展性。华为VRP平台成熟稳定，目前现网运行超过400万套，其功能丰富性和稳定性

25、也经过了大规模实际应用的磨砺，具备了丰富的业务特性和功能。领先的工业设计NE20E-8采用业界领先的工业设计，在大容量的基础上实现了220mm深度，适合各种空间布放条件；同时其抗高温低温的设计可以满足-4065的工作条件，非常适合条件恶劣的室外布放。同时其功耗能够做到低于业界水平。强大的业务支持能力NE20E-8具有强大的路由能力，支持超大路由表，提供RIP、OSPF、IS-IS、BGP4和多播路由等丰富的路由协议，支持明/密文认证，具备快速收敛功能，保证在复杂路由环境下安全稳定。NE20E-8具有强大的业务承载能力，根据组网需求可以同时部署L2VPN、 L3VPN、MVPN，支持和TE （T

26、rafficEngineering）同时部署，支持丰富的接入类型（E1、POS、cPOS、GE、10GE），支持灵活QinQ，支持DHCP，还可提供Netstream等功能，适应传统的接入需求和新兴的业务需求，满足多业务融合丰富的承载需求。NE20E-8具有强大的可扩展组播能力，支持丰富的IPv4/IPv6组播协议，包括PIM-SM/SSM、MLDv1/v2、IGMPv3，IGMPSnooping等特性，可以灵活承载IPTV等视频业务，可以满足各种规模的组播业务的需求。全方位的可靠性解决方案NE20E-S从多个层面提供可靠性保护，包括设备级、网络级、业务级可靠性，形成了面向整个网络的解决方案，

27、完全满足电信级的可靠性需求，是构筑电信级业务的基石,达到99.999的系统可用性。设备级可靠：NE20E-S提供关键部件的冗余备份。关键组件支持热插拔与热备份，NSR（Non-StopRouting），NSF（Non-Stop Forwarding）等技术一起保障无中断业务运行。网络级可靠：NE20E-S提供IP/LDP/VPN/TE快速重路由，Hot-Standby，IGP、BGP以及组播路由快速收敛，虚拟路由冗余协议（VRRP，Virtual Router Redundancy Protocol），TRUNK链路分担备份，BFD链路快速检测，MPLS/Ethernet/MPLS-TP OA

28、M，保证整网稳定性，可以提供端到端200ms保护倒换，业务无中断。业务级可靠： NE20E-S提供的VPN FRR和E-VRRP技术，VLL FRR和Ethernet OAM技术以及PW Redundancy和E-Trunk技术，可以应用于L3VPN和L2VPN组网方案中，保证业务层面的冗余备份，使业务稳定可靠，不中断。【组网应用】金融网点接入组网对于金融行业来说，NE20E-8可作为地市或省级的汇聚设备，是适合作为金融网点的理想接入设备。NE系列路由器具有超强的并发业务处理能力，可保证金融网点业务的流畅处理，另外，NE系列路由器具有综合的硬件和软件的可靠性技术支撑，确保金融网点业务的不间断。

29、 独联体某银行数据中心组网 地市或省级采用NE20E-8设备来做汇聚路由器，为提高汇网络的可靠性，汇聚层一般采用双设备 新型金融网点会对不同客户群提供差异化的服务，NE路由器丰富的QoS技术可满足这种对带宽进行差异化的应用需求6.2 防火墙介绍XX银行防火墙推荐型号为深信服公司的AF-1320款式防火墙。深信服下一代防火墙（Next-Generation Application Firewall）NGAF 是面向应用层设计，能够精确识别用户、应用和内容，具备完整安全防护能力，能够全面替代传统防火墙，并具有强劲应用层处理能力的全新网络安全设备。NGAF 解决了传统安全设备在应用识别、访问控制、内容安全防护等方面的不足，同时开启所有功能后性能不会大幅下降。区别于传统的网络层防火墙，NGAF 具备L2-L7 层的协议的理解能力。不仅能够实现网络层访问控制的功能，且能够对应用进行识别、控制、防护，解决了传统防火墙应用层控制和防护能力不足的问题。区别于传统DPI 技术的入侵防御系统，深信服NGAF 具备深入应用内容的威胁分析能力，具备双向的内容检测能力为用户提供完整的应用层安全防护功能。同样都能防护web 攻击，与web 应用防火墙关注web 应用程序安全的设计理念不同，深信服下一代防火