金融城域网接入技术方案.pdfVIP

金融城域网接入技术方案

XX公司成立于20xx年x月x日，注册资本500万元。

xx公司是xx省xxx局落实省委、省政府主要领导指示精神

和政府工作报告的重点工作部署，为切实解决金融机构与企

业之间信用信息不对称的痛点问题，推动省级企业征信基础

设施建设，按照政府主导、国有出资、共用共享的原则推动

设立的。

xx公司目前共有30名人员，其中信息技术人员23名，

包括数据挖掘工程师、数据分析工程师、需求测试工程师、

系统研发工程师、系统运维工程师、网络安全工程师等岗位

人员。

一、接入原因

一是为深入贯彻落实省委、省政府关于统筹推进相关金

融平台建设工作部署，按照《xx省普惠金融建设合作备忘录》

的相关工作要求，聚集各方优势资源，加快推进xx省普惠

金融综合服务平台建设，缓解中小微融资难问题；二是为更

加便捷的为xx省内中小微企业和金融机构提供企业征信服

务，搭建服务网络环境，提高访问效率；三是为实现政务数

据与金融机构数据共用共享提供条件，xx公司计划接入xx

中心银行金融城域网。鉴于以上业务需求，xx公司特申请接

入金融城域网。

二、接入方式

根据《中国人民银行金融城域网入网管理办法》（以下

简称“管理办法”）以及南昌中支发布的（南银发〔2015〕

109号）《xx省金融城域网入网管理实施细则》（以下简称“实

施细则”），xx公司拟使用直接接入的方式接入金融城域网二

级网，使用电信运营商线路接入，线路类型为MSTP，专线带

宽初期为6M。

三、技术方案

3.1、接入网络设计

3.1.1、网络拓扑图（根据使用者所在公司的具体情况自

行填加）

3.1.2、网络设计说明

xx公司网络设计主要分为金融城域网接入区、生产业务

区、核心数据交换区和安全管理区五个区域。其中金融城域

网外联区作为金融城域网专用接入网络。按照管理办法及实

施细则的要求，设备专机专用，不与其他区域复用。金融城

域网接入区内边界防火墙分别设置三个安全区域，前置机部

署DMZ区，路由器部署于UnTrust区，核心交换于部署于

Trust区，MSTP专线通过路由器接入金融城域网外联区。

3.1.3、数据流向说明

首先业务交换数据从xx公司内网主业务服务器经金融

城域网边界防火墙同步到金融城域网外联区的前置机，前置

机经接入区汇聚交换汇聚后经防火墙至路由器，最后通过

MSTP专线到达金融城域网网络边界。

3.1.4、金融城域网接入区说明

金融城域网接入区由x台网络设备组成，分别为x台防

火墙，x台路由器，x台汇聚交换机；x台防火墙用于和核

心交换机互联，防火墙下接x台路由器（交换模块），路由

器用于外联单位的接入。x台路由器和x台防火墙采用主备

冗余方式，在与金融城域网连接上支持SDH、MSTP等多种接

入方式，接口封装方式支持以太接口、PPP、HDLC等主流兼

容模式。通信线路租用电信线路。

3.1.5、访问控制说明

在防火墙上按最小权限原则配置严格的访问控制策略，

只允许特定主机（IP地址）和特定服务类型（TCP/UDP端口）

的访问通过，拒绝其他访问，保证非白名单业务流量无法通

过，实现内、外部网络间主机互访的访问控制。同时在防火

墙进行双向NAT，内外部地址一一对应，隐藏并保护内部网

络。

3.2、接入网络安全

3.2.1、技术安全

1）、xx公司现有网络架构参照相关行业要求进行安全建

设及管控，一、网络和服务器均纳入安全运维管理系统（堡

垒机）统一管控，实现运维操作全记录，防范违规操作风险；

二、充分利用现有日志审计，数据库审计，能够实时不间断

地将来自不同厂商的安全设备、网络设备、主机、操作系统、

数据库、中间件、用户业务系统的日志、警报等信息汇集到

审计中心，实现全网综合安全审计，记录至少保存3个月；

三、部