大型金融数据中心网络架构设计V2.pptx

大型金融数据中心网络架构设计金融数据中心网络架构设计我国金融业IT建设与发展回顾2007 – 2013架构优化和安全风险关注服务与管理流程网上业务快速发展数据挖掘、风险管理 1980-1990计算机替代手工操作引进小型机和微机承担后台和前台处理微机单兵作战1990-2000全城联网电子票据交换通存通兑全国联网2000-2007数据大集中综合业务系统降低IT TCO强化风险控制以客户为中心2013 – 互联网金融自主可控客户体验大数据分析产品及服务创新金融电子化起步全行数据集中信息化金融IT架构治理联网通存通兑信息科技“十三五”发展规划监管指导意见（征求意见稿）《中国银行业信息科技“十三五”发展规划监管指导意见》（征求意见稿） 稳步开展云计算应用，主动实施架构转型探索构建私有云平台，采用成熟度高、开放性强的计算虚拟化、容器虚拟化、分布式存储、网络虚拟化 等技术，建立资源池，形成资源弹性供给、灵活调度和动态计量的私有云平台。提高基础资源和应用部署的自动化水平，实现快速交付、动态调整、弹性部署，降低人工操作风险，自动化部署比例不低于75%到“十三五”末期，面向互联网场景的重要信息系统全部迁移至云计算架构平台，其他系统迁移比例不低于60%推进开发、测试、交付一体化建设，支撑产品迅速投放市场60%75%快速研发，持续创新金融网络应用场景的划分数据中心应用服务域（核心业务、多媒体、呼叫中心、管理信息系统、办公系统、运维系统等业务系统）企业边界服务域（网银、网站、外联、邮件、办公系统、办公互联网等业务系统）应用服务层Intranet（分支机构、总行园区、数据中心园区）InternetExtranet渠道接入层分支机构用户ATM、VTM、POS、柜员终端 办公终端、业务中心终端等数据中心用户运维用户、办公终端、开发测试用户总行用户业务终端、办公终端、运维用户、开发测试用户互联网用户网银用户（公、私） ? 小企业用户（银企、现金管理等） 外联用户合作伙伴、境外机构 、离行设备（4G/3G/2G/PSTN) 用户层金融网络应用场景的划分数据中心应用服务域企业边界服务域私有云数据中心网络解决方案两地三中心网络解决方案双活数据中心网络解决方案大数据平台网络解决方案统一外联解决方案网上银行网络解决方案金融互联网资源区网络建设方案应用服务层IntranetInternetExtranet两地三中心骨干网/核心承载网方案金融园区网解决方案WIFI、BYOD解决方案深度安全防护方案渠道接入层分支机构用户数据中心用户总行用户互联网用户外联用户用户层网点/3G/4G/网控器/移动营销解决方案用户及终端安全准入解决方案远程移动办公方案3G/4G VPDN专线接入方案商业银行数据中心发展及未来的演进路线DC 1.0：银行业信息系统风险监管（1）第二十五条 银行业金融机构应加强网络安全管理。生产网络与开发测试网络、业务网络与办公网络、内部网络与外部网络应实施隔离；加强无线网、互联网接入边界控制；使用内容过滤、身份认证、防火墙、病毒防范、入侵检测、漏洞扫描、数据加密等技术手段，有效降低外部攻击、信息泄漏等风险。……第三十八条 银行业金融机构应建立独立的测试环境，以保证测试的完整性和准确性。测试至少应包括功能测试、安全性测试、压力测试、验收测试、适应性测试。测试不得直接使用生产数据。对网络功能分区、网络安全划分具有指引意义DC 1.0：银行业信息系统风险监管（2）第二十四条 商业银行应根据信息安全级别，将网络划分为不同的逻辑安全域（以下简称为域）。应该对下列安全因素进行评估，并根据安全级别定义和评估结果实施有效的安全控制，如对每个域和整个网络进行物理或逻辑分区、实现网络内容过滤、逻辑访问控制、传输加密、网络监控、记录活动日志等。……第三十五条 商业银行应制定相关控制信息系统变更的制度和流程，确保系统的可靠性、完整性和可维护性，其中应包括以下要求：（一） 生产系统与开发系统、测试系统有效隔离。（二） 生产系统与开发系统、测试系统的管理职能相分离。（三） 除得到管理层批准执行紧急修复任务外，禁止应用程序开发和维护人员进入生产系统，且所有的紧急修复活动都应立即进行记录和审核。（四） 将完成开发和测试环境的程序或系统配置变更应用到生产系统时，应得到信息科技部门和业务部门的联合批准，并对变更进行及时记录和定期复查。对网络功能分区、网络安全划分具有指引意义DC 1.0：网络功能分区的需理服务域用户接入域应用服务域存储服务域满足新数据中心基于IP技术的NAS存储网络和备份网络满足日常操作运维需要的运维人员接入，运维服务器接入，带外带内网络接入提供内部生产办公用户、外联单位用户、公众用户的接入服务及安全服务满足数据中心内生产业务、经营管理类业务、办公业