农商村镇银行融城域网网络接入方案.docVIP

ⅩⅩⅩⅩ农商村镇银行金融城域网网络接入方案 ⅩⅩⅩⅩ沪农商村镇银行地处ⅩⅩ区张庄路263号。目前设立市场部、风险管理部、营业部、综合办公室4个部门，员工总计18人。因业务发展需要，需参与人行接入账户管理系统、金融统计数据报送、企业和个人征信数据查询及报送、交存款系统以及对账系统系统等。 一、机房基本情况 机房面积 15平方米；周围无易燃、易爆等隐患，无危险建筑；机房区域划分为主机房区与监控机房区；设有机房出入登记薄，对外来人员出入机房进行记录，记录永久保存；机房按机房消防标准进行设计，已经有关部门检验通过；强电、弱电分布符合国家标准， 10KV UPS开业前配备到位，供电停止后，UPS能够支持系统平稳运行；温度、湿度、新风符合机房有关标准要求，已安装空调一台；综合布线清晰、合理、安全、规范，易于维护，易于扩展；管道铺设保证机房安全。 二、业务系统基本情况 因目前需开通的人民银行账户管理系统、金融统计数据报送、企业和个人征信数据查询及报送、交存款系统以及对账系统系统均为Web方式，我行为保证业务系统的安全稳定运行，将严格遵循人行银行相关业务规章制度，实行专机专用专网使用，并做到双线备份、关键设备双机热备。另设立专职系统维护人员，做到业务系统的安全稳定运行，并配备A、B角，保障业务运行。 三、网络基本情况 ⅩⅩ村镇银行网络需求参照上海农商银行现有网络需求，按业务种类将其网络划分为两类，即业务网与办公网，不同网络业务系统间严禁相互访问。同时，依照国家等级保护原则，不同网络区域的安全保护等级应有明显的区别：业务网最高，办公网其次。 （一）网络架构 参考上海农商银行网络架构模式，并结合异地分支机构特殊性。山东村镇银行管理分部内设立网络机房，按业务功能分为核心区、业务区、办公区、人行接入区、上联广域网接入区和下联村镇银行广域网接入区。关键区域放置防火墙做到边界访问控制，核心区部署IDS进行实时入侵检测。 根据银监局信息系统安全等级保护定级指引，关键区域中，网络及安全设备采用中、高端网络设备，以双机热备模式部署，实现设备冗余、自动切换，确保业务连续性。具体网络架构图如下： （二）网络安全 管理分部网络安全性控制相对本地分支机构要高，因此需在外联生产区域部署防火墙等安全设备，负责提高当地外联业务的接入安全。 1、外联部署 外联业务通过山东村镇银行管理分部出口与本地外联单位连接，需在其外联区域部署防火墙设备，制定合理、安全访问控制，做好边界防护，设备双机热备。 2、通信线路备份 为保证ⅩⅩ村镇银行通信线路备份情况，在原有2家运营商分别租用专线的前提下，引入3G无线备份方式，通过安全认证加密连入数据中心（上海），实现2根专线中断的情况下，ⅩⅩ村镇银行主要业务的不间断处理。 3、防病毒及补丁 ⅩⅩ村镇银行业务网视窗类操作系统全部安装趋势防病毒软件，定时从数据中心更新病毒库，并进行补丁下载及安装，定时进行杀毒操作，避免病毒对网络造成的影响。 （三）通信线路 管理分部按照上海农商银行现有分支机构网络规划原则，遵照银监局就通信线路多运营商备份的要求，管理分部租用不同运营商的数据专线，实现其与生产中心及灾备中心的互联，保证业务系统及管理系统通信线路的互为备份。 为保证其业务系统、办公系统等业务的正常访问，同时考虑投入成本、发展规划，线路使用1根4M可扩容专线连接上海北蔡数据中心， 1根4M可扩容专线连接上海桃浦灾备中心，两者互为备份。通过负载均衡及流量控制（QOS），应能满足现有业务的需要。 与监管机构的互联，根据当地人行及银监等监管机构接入要求，租用不同运营商专线，实现互为备份，根据人行要求，山东村镇银行与人民银行互联，网络及安全设备均为专机专用，并实现互为备份。 考虑到ⅩⅩ村镇银行网点业务需求，分别租用不同运营商1根2M 可扩容专线，实现与湖南村镇银行管理分部的连接，两者互为备份。 四、网络接入方案 网络拓扑如下: 在网络架构方面：人行接入区由4台网络设备组成，分别为2台防火墙， 2台路由器+交换模块+E1模块，2台防火墙用于和核心交换机互联，防火墙下接2台路由器（交换模块），路由器用于外联单位的接入。在与人行的广域网连接上支持SDH、MSTP等多种接入方式，接口封装方式支持以太接口、PPP、HDLC等主流兼容模式。通信线路租用电信与联通线路。 在路由选择方面：2台路由器和2台防火墙采用主备冗余方式，对外根据业务访问的需求配置静态明细路由，对内需要根据业务访问的需求配置静态明细路由。内网区和外网区都按照规范进行了NAT地址翻译，如果人行需要EIGRP或者BGP等动态路由协议互联，可以在2台路由器上，把对内的静态明细路由重新分布进动态路由协议，根据人行的线路情况调整路由条目的metric值即可。 在安全策略方面： (1)生产终端和办公终端将以