XX银行生产网络建设方案.docVIP

XX银行业务网络 建设方案 2013年10月  目录 1 整体建设项目概述 2 2 网络项目规划 2 2.1 网络规划概述 2 2.2 安全域划分 3 2.3 业务网规划 5 2.4 网管监控网络规划 7 2.5 数据中心规划 8 2.6 业务网网络安全规划 9 2.7 后续网络扩容规划 10 3 UPS电源系统规划 12 3.1 UPS电源系统概述 12 3.2 电源系统用户需求分析 13 3.3 电源系统设备选型 13 3.4 系统解决方案主要技术特点及参数 13 4 消防系统规划 14 4.1 灭火系统产品简介 14 4.2 气体灭火系统设置要求 15 5 项目实施安排 15 5.1 实施进度 16 5.2 实施分工 17 6 选型设备介绍及资质 18 6.1 核心路由器介绍 18 6.2 防火墙介绍 21 6.3 核心交换机介绍 27 6.4 服务器产品介绍 29 6.5 存储产品介绍 31 7 设备预算 33 7.1 预算概要 33 7.2 预算清单 33 整体建设项目概述 XX银行地处XX市中心，目前设立市场部、风险管理部、营业部、综合办公室…，信息接入点XX个。因业务开展，需建设银行业务系统，上联系统为浙江总部。 机房面积70平方米；周围无易燃、易爆等隐患，无危险建筑；机房区域划分为主机房区与监控机房区；按机房消防标准进行设计；强电、弱电分布符合国家标准；综合布线清晰、合理、安全、规范，易于维护，易于扩展；管道铺设保证机房安全。 网络项目规划 银行业务网络是银行运营信息系统的基础。网络平台将信息交换、安全防护、安全管理和监控有机结合起来，贯穿整个信息系统的所有层次，是系统正常运转的重要保障。 本部分重点讲述及细化XX银行业务网络的具体规划建设和项目预算。 网络规划概述 XX银行从整网结构分析，属于二级分行角色。通过跨省WAN链路上联浙江一级分行，通过城域网内WAN链路下联村镇分行。 网络规划以XX业务网络为原点，从横向和纵向开始规划，逐渐形成一个横纵联系的网络。从纵向来看，XX银行网络分为2层，第1层为XX业务网络，第2层为村镇分行业务网络；从横向来看，一般银行网络都按照应用划分为办公子网、生产子网和外联三个子网，省级以上网络还要包含MIS子网、网上银行、测试子网等。 由于网络目前还处在组网的初级阶段，因此本次规划仅考虑XX生产子网的建设，不考虑其它子网的建设，但在规划时要考虑网络可扩展性，保证在总体结构不变的情况下，业务网络能够部署连接其它子网的横向接口，以及连接村镇分行的纵向接口。 安全域划分 对于银行业务网络来说，首要的一点就是应该根据国家有关部门对相关规定，将整个业务网络进行网络结构的优化和安全域的划分，从结构上实现对安全等级化保护。 根据《中国人民银行计算机安全管理暂行规定（试行）》的相关要求： “第六十一条　内联网上的所有计算机设备，不得直接或间接地与国际互联网相联接，必须实现与国际互联网的物理隔离。” “第七十五条　计算机信息系统的开发环境和现场应当与生产环境和现场隔离。” 因此进行网络规划时，有必要将生产业务网络与具有互联网连接的办公网络之间区分开来，通过强有力的安全控制机制最大化实现生产系统与其他业务系统之间的隔离。同时，对银行所有信息资源进行安全分级，根据不同业务和应用类型划分不同安全等级的安全域，并分别进行不同等级的隔离和保护。 初步规划将业务网络划分成多个具备不同安全等级的区域，参考公安部发布的《信息系统安全保护等级定级指南》，我们对安全区域划分和定级的建议如下（不涉及的子网没有列出）： 安全区域 说明 定级建议 生产核心区域 包含业务服务器主机；业务审计系统（可选） 3级 业务区域 业务前台终端 2级 网管监控区域 包含维护网络信息系统有效运行的监控服务器主机和管理终端；动环监控服务器和终端。 1级 办公区域 包含办公网络PC和其它网络设备 1级 上表安全级别为降序排列，生产核心区域具有最高安全级别，原则上与办公区域、网管监控区域物理隔离，特殊情况下，如果部分办公业务用户需要访问生产业务中的特定数据，而部分生产应用也需要访问办公网中的特定数据，建议在业务网与办公网之间采用逻辑隔离手段进行严格控制。业务审计系统（可选）要对业务网络的所有流量进行审计，所以也部署在生产区域。 业务区域包括柜台终端，需要连接核心区域，具有较高安全级别。 网管监控区域用于网络监控，设备远程维护，以及动环监控，该区域不需要与其它区域连接，所以建议网络设备使用带外管理方式，与其它网络物理隔离。 办公区域安全级别较低，在大型网络中一般使用MIS子网进行过渡，这里建议使用严格访问控制，仅允许办公区域访问生产区域中特定数据。 总体逻辑结构如图所示： 银行网络安全结构示意图 业务网规划 业务网作为信息