SRCB_DLV_网络架构规划报告_V1.0.pptVIP

* * * 综合业务 核心账务 个人信贷 信用卡 SAP财务 国际结算、外汇牌价、外汇支付、外汇资金 * 说明每个网点有多少地址 说明每个分支行有多少个网段，及地址 说明数据中心有多少网段，地址 * 说明每个网点有多少地址 说明每个分支行有多少个网段，及地址 说明数据中心有多少网段，地址 * * * * * * * * 根据IBM网络安全架构规划方法，参考业界最佳实践，IBM建议上海农商银行的网络从总体上可分成不同安全级别的四个安全区：非安全区，半安全区，安全区和核心安全区 非安全区(对外连接) 非安全区是上海农商银行网络与外部直接连接的区域 负责人行、银监局等外部监管机构及业务合作伙伴链路的接入 非安全区属于非信任区域，对经过此区域的数据流应进行严格的安全控制 半安全区(DMZ) 半安全区是上海农商银行网络非安全区与安全区或核心安全区之间的过渡区域，用于分割它们之间的直接联系，隐藏安全区和核心安全区的内部资源 此区域内通常部署所有与外部连通、为非信任来源提供服务的系统和设备，如VPN、DNS、Proxy、Web、前置系统等服务器及Internet连接 * 网络安全域划分是网络架构安全的重要内容；安全域是一个逻辑范围或区域，同一个安全域内的信息资产具有相同或相近的安全属性 安全区 安全区的安全级别较高，提供上海农商银行内部各种网络用户的接入服务和基础网络服务 安全区属于被信任区域，原则上从非安全区到安全区不应该有直接的访问数据流，数据流应通过半安全区的服务器进行转发 核心安全区 核心安全区的安全级别最高，提供上海农商银行核心业务应用、管理及办公系统、系统开发测试和IT运行管理等服务 核心安全区属于被信任区域，原则上从非安全区到核心安全区不应该有直接的访问数据流，数据流应通过半安全区的服务器进行转发 * 分析上海农商银行网络安全架构，数据中心服务器网络属于核心安全区，内部用户接入网络属于安全区，外部网络接入区域属于非安全区, 而DMZ属于半安全区 根据各个安全域对网络安全的要求，不同的安全域之间应当使用合理的网络安全隔离措施进行隔离，控制域之间的相互访问。从安全级别低的安全域访问安全级别高的安全域必须受到控制，默认允许从安全级别高的安全域访问安全级别低的安全域 Page * * 在安全分区之间需要考虑防火墙和访问控制列表(ACL)的区别，并针对网络的不同安全区域采用不同的隔离手段 防火墙 访问控制列表(ACL) 自身的抗攻击能力 较强 N/A 基于状态检测 有 无 支持动态端口 是 否 配置 需要较复杂技能 较容易 管理 方便 条目多时管理和排错非常困难 性能 高 低，条目多时会影响设备整体性能 审计 较强 一般 支持的模式 路由、透明和NAT 路由和NAT 费用 较高 较低 非安全区(对外连接)和半安全区(DMZ)之间之间，采用防火墙。在网银区应采用异构双层防火墙进行隔离，并且需要考虑其它安全控制措施，如入侵检测等 半安全区(DMZ)和安全区/核心安全区之间，采用防火墙 对各种重要应用生产和服务区，以及运维管理区的保护，采用防火墙 对用户接入区的控制，可以采用访问控制列表 基于上海农商行网络安全区域划分基础上，IBM提出各个安全区域之间的防护建议和IDS设备部署，供上海农上海参考 Page * * 上海农商银行目前已经具有安全域的架构，应在对不同安全区之间的安全策略进行优化稽核，以确保网络安全架构符合业务的需求 建立统一的网络核心，整合网络安全边界，优化网络单元连接和应用数据流路径 针对各网络功能区，定义网络安全边界，实施网络安全控制机制 稽核目前安全策略的部署是否符合网络安全架构策略 增加各功能区网络设备和网络连接的冗余性，提高网络的可用性 完善DMZ区建设，通过DMZ区用于隔离内部和外部之间的直接访问，在Internet连接DMZ区部署代理服务器系统用以规范用户对Internet的访问 整合DMZ区的网络安全边界，整合对外连接，使内部网络与外部网络之间通过DMZ区统一实施隔离 Page * 网络架构规划目标 现状评估和需求回顾 网络架构规划原则和思路 SRCB网络系统概要规划 SRCB整体网络架构 数据中心网络架构 广域网架构 路由策略和数据分流 网络基础规范 SRCB网络安全规划 SRCB网络管理规划 报告目录 上海农商银行目前已建立了基本网络管理制度，其中在配置管理, 性能管理和用量管理主要依赖手工维护，缺乏相应的工具提高运维效率，运维人员工作负荷较大，建议采用自动化工具协助完成，建立网络运维管理平台 Page * 配置管理 业务管理层 网络资产管理 网络服务配置信息 全网路由配置、拓扑信息 网元管理层 设备配置文档 故障单管理 事件管理 Event 网络端到端监控 PING 设备、线路监控 服务水平管理 应用