上海农村商业银行新一代银行系统数据中心安全建设项目实施方案20120128.docVIP

上海农村商业银行新一代银行系统数据中心安全防护建设实施方案 ? PAGE 1 上海农村商业银行数据中心 新一代银行系统安全防护建设 实施方案 Juniper Networks 2012年1月26日星期四 文档信息 标题 创建日期 打印日期 所有者 保密级别 作者 修订记录 日期 描述 版本 作者 文档审核/审批记录 日期 审核人 签名 签名日期 目 录 TOC \o 1-4 \h \z \u 1. 前言 4 1.1 文档目的 4 1.2 文档范围 4 1.3 参考文献 4 2. 项目背景 5 2.1 项目目标 5 2.2 应用需求分析 5 2.3 项目范围 5 3. 数据中心详细规划 6 3.1 设计原则 6 3.2 总体规划 7 3.2.1 总体规划思想 7 3.2.2 安全架构层次规划 8 3.2.3 总体逻辑架构描述 9 3.3 功能区域详细规划 11 3.3.1 生产业务服务器区 11 3.3.1.1 物理结构说明 11 3.3.1.2 设备配置说明 12 3.3.1.3 设备资源配备 13 3.3.1.4 物理端口连接图 14 3.3.1.5 物理端口连接表 14 3.3.2 外围系统接入区 14 3.3.2.1 物理结构说明 15 3.3.2.2 设备配置说明 16 3.3.2.3 设备资源配备 16 3.3.2.4 物理端口连接图 16 3.3.2.5 物理端口连接表 16 3.3.3 防火墙安全区域控制原则 17 3.3.3.1 风险评估及控制建议 17 3.3.3.2 防火墙安全策略设计建议 17 3.3.3.3 防火墙策略基本配置原则 18 3.3.3.4 防火墙策略ID分配原则和策略名称规划 19 3.3.3.5 防火墙日常维护需求分析和建议 19 前言 文档目的 本文档包括我行新一代银行系统网络建设设计方案中Juniper公司设备的网络技术设计。本文档不包含非技术问题，而只限于相关的技术层面，以便通过参考本文档资料顺利完成我行 DOCPROPERTY Project 数据中心的建设。 在本文档中，“本项目”、“数据中心”指“我行数据中心新一代银行系统网络建设项目”。 文档范围 本文档资料主要面向负责设计和实施 ASK CustName 我行 DOCPROPERTY Project 数据中心的网络设计人员、维护人员、系统集成商网络工程师、IBM、Juniper技术人员（项目工程师，项目经理、系统工程师）等。 参考文献 《SRCB_DLV_安全架构现状及需求分析报告》 《SRCB_DLV_安全架构规划报告》 《SRCB_STD_域名解析系统（DNS）技术指引》 《SRCB_STD_上海农商银行新一代银行系统建设总体基础设施实施策略》 《SRCB_STD_上海农商银行信息安全规划报告》 《SRCB_STD_新一代银行系统项目网络总体设计及建设方案V1.0》 项目背景 项目目标 为满足我行2013年张江新数据中心和桃浦临时灾备中心建设阶段的网络建设需求，深化设计《网络安全架构规划报告》中相关的设计内容。 应用需求分析 项目范围 基于前期IBM调研的的网络需求分析及网络规划设计结果，主要针对我行新一代银行系统上线时的网络目标架构进行设计，指导新一代核心系统上线时的网络安全实施工作。本文档主要实施范围包括如下： 张江数据中心新建网络实施 桃浦灾备中心网络扩容 北蔡数据中心应用系统迁移 数据中心详细规划 设计原则 作为我行新一代银行网络系统的重要组成部分，数据中心网络系统建设将遵循以下基本原则： 层次化安全 行 DOCPROPERTY Project 数据中心在网络层次设计上分为四层结构，即交换核心层、区域核心、区域汇聚、区域接入层。 功能模块化 数据中心网络根据功能划分区域，各自独立，分别设计。 架构简单化 网络设计的简单化直接关系到网络的运行和维护成本，也是网络稳定运行的保障。只有网络操作简单方便，才能易于维护，并具备迅速发现和排除网络故障的能力。 高可靠性 系统的可靠性是网络健壮和稳定的重要因素之一，所以对网络系统的高可靠设计必须考虑全面。 高可用性 网络架构必须能够达到并超过业务系统对服务级别的要求。通过多层次的冗余连接，以及设备自身的冗余支持，使得整个架构能够满足业务系统不间断运行的连接需求。 全面安全性 需要考虑生产系统数据的完整和安全。网络架构需要具有支持整套安全体系实施的能力，以确保员工生产、办公和用户、外联单位的安全。 完整统一性 我行数据中心网络