论新一代银行计算机网络系统规划.docVIP

PAGE PAGE 1 论新一代银行计算机网络系统规划 　　摘要：随着金融电子化和计算机网络技术的不断发展，我国银行计算机网络系统获得了长足的进步，为我国现代化建设作出了应有的贡献。然而，现有银行计算机网络系统还存在一些问题，有必要进行新的规划。本文就新一代银行计算机网络系统规划展开论述，从多角度描述新一代银行计算机网络系统的规划蓝图，提供相应的指引，将对我国银行计算机网络系统的发展贡献力量。 　　关键词：新一代；银行；计算机网络；规划 　　中图分类号：TP311.13文献标识码：A文章编号：1007-9599（2013）01-0146-02 　　1引言 　　我国金融电子化经过“六五”时期的准备和“七五”时期的基础建设，从无到有，获得了长足的发展。经过20多年的努力，我国已建成金融数据通信网络的基本框架并已开始运行各类金融业务。中国人民银行建设的全国金融卫星通信网是金融系统信息的主干线，目前已建成1个中央卫星地面站和几百个远程地面卫星小站。中国人民银行已在175个城市建立了同城资金清算系统，并陆续建成并运行了十几个以中心城市为依托的区域网。我国各专业银行和商业银行均建立了从总行到基层行的基于分组交换网、电传电报、电话专线等多种通信方式的系统内全国远程通信网络系统。电子化营业网点发展迅速，金融电子化已从大城市扩展到中小城市、县和乡镇。现代化支付系统、新型电子化服务等均取得了较大的进展。 　　然而，限于技术条件，我国金融电子化还有很长的路要走。具体到银行计算机网络领域，当前还面临四个方面的问题：一是网络架构问题，网络架构难以适应业务融合发展的趋势；二是网络安全问题，缺乏总体的安全策略、关键区域的安全防护措施不够、多层面的协同安全防控不够；三是网络管理问题，网络管理手段不够先进、管理体系尚不健全；四是网络服务问题，对服务融合、应用承载变化等支持不够。 　　新一代银行计算机网络系统规划原则，应从全局、长远的角度出发，充分考虑网络的安全性、易用性、可靠性、扩展性和经济性等因素，要符合“更安全、更高效、更集约、更方便”的绿色智能发展趋势。 　　2新一代银行计算机网络架构规划 　　2.1网络架构总体规划 　　新一代银行计算机网络应建设以总行为核心的树型网络结构；将目前分离的各网进行融合；各类服务集中上收到总行和一级分行；提升一级骨干网的链路带宽及综合利用率；提升全行网络的安全性、可靠性。在网络路由规划方面，应充分考虑各地的情况，因地制宜地采用OSPF路由协议、BGP路由协议或静态路由协议。 　　2.2数据中心局域网规划 　　新一代银行数据中心局域网应遵循水平分区、垂直分层的原则进行建设。水平分区是将承载相似业务、具有相似安全级别的网络设备归集为一个网络分区，便于实施安全策略和最优数据交互。分区是根据安全性、可扩展性原则进行的，包括主机区、开放平台区、开发测试区、运行管理区、Internet区、Extranet区、用户接入区、城域/广域区等，各分区均支持系统和业务的平滑、灵活扩展。由于每个分区内部仍然有不同业务，可继续通过VLAN和IP地址再细分，进而实现不同安全细微差别控制和传输保障。垂直分层是将不同网络功能界定清楚，独立成为一个层面，包括核心层、分布层、接入层。其中核心层与分布层紧耦合，高效可靠；分布层与接入层松耦合，可以很好的支撑虚拟化资源池技术。 　　2.3广域网规划 　　新一代银行广域网规划，核心网可概括为高速转发、业务分离、降低耦合、控制风险；一级骨干网可概括为就近接入、提高效率、缩短距离、节省投资；二、三级广域网可概括为层次化、扁平化、按需配置、带宽动态扩展多业务承载。 　　3新一代银行计算机网络安全规划 　　3.1信息安全体系架构 　　信息安全体系架构，从技术维度上讲，包括安全技术体系，具体有应用安全、系统安全、网络安全、物理安全。从管理维度上讲，包括安全组织与制度体系，具体有安全流程相关制度、安全策略相关制度、人员安全、安全培训、安全组织与职责等。从运行维度上讲，包括安全运行体系，具体有安全运维服务机制、长期安全监督检查机制、安全运行学习改进机制等。 　　具体到新一代银行计算机网络安全体系，依据国家信息安全等级保护的标准、银监会和人民银行的监管要求以及行业特点，应从以下方面进行规划：安全域划分、网络访问控制、防火墙、访问控制列表、防拒绝服务攻击系统、虚拟专用网、网络设备自身安全、身份鉴别、特权用户权限分离、边界完整检查/入网检测、网络入侵检测系统、网络入侵防御系统、异常流量监测和网络审计系统等。 　　3.2网络安全策略 　　新一代银行计算机网络安全策略，概括讲主要包括四个方面：一是网络安全域的划分，根据信息资产的安全属性及安全防护需求的不同，划分成不同的安全层次（即安全域），安全域内可以根据安全等级再划分安全子域；二