金融城域網(wǎng)接入技術(shù)方案

1、金融城域網(wǎng)接入技術(shù)方案XX公司成立于20 xx年x月x日，注冊(cè)資本500萬元。XX公司是XX省xxx局落實(shí)省委、省政府主要領(lǐng)導(dǎo)指示精神和政府工作報(bào)告的重點(diǎn)工作部署，為切實(shí)解決金融機(jī)構(gòu)與企業(yè)之間信用信息不對(duì)稱的痛點(diǎn)問題，推動(dòng)省級(jí)企業(yè)征信基礎(chǔ)設(shè)施建設(shè)，按照政府主導(dǎo)、國有出資、共用共享的原則推動(dòng)設(shè)立的。xx公司當(dāng)前共有30名人員，其中信息技術(shù)人員23名，包括數(shù)據(jù)挖掘工程師、數(shù)據(jù)分析工程師、需求測(cè)試工程師、系統(tǒng)研發(fā)工程師、系統(tǒng)運(yùn)維工程師、網(wǎng)絡(luò)安全工程師等崗位人員。一、接入原因一是為深入貫徹落實(shí)省委、省政府關(guān)于統(tǒng)籌推進(jìn)相關(guān)金融平臺(tái)建設(shè)工作部署，按照XX省普惠金融建設(shè)合作備忘錄的相關(guān)工作要求，聚集各方優(yōu)勢(shì)

2、資源，加快推進(jìn)XX省普惠金融綜合服務(wù)平臺(tái)建設(shè)，緩解中小微融資難問題；二是為更加便捷的為XX省內(nèi)中小微企業(yè)和金融機(jī)構(gòu)提供企業(yè)征信服務(wù)，搭建服務(wù)網(wǎng)絡(luò)環(huán)境，提高訪問效率；三是為實(shí)現(xiàn)政務(wù)數(shù)據(jù)與金融機(jī)構(gòu)數(shù)據(jù)共用共享提供條件，XX公司計(jì)劃接入XX中心銀行金融城域網(wǎng)。鑒于以上業(yè)務(wù)需求，XX公司特申請(qǐng)接入金融城域網(wǎng)。二、接入方式根據(jù)中國人民銀行金融城域網(wǎng)入網(wǎng)管理辦法（以下簡(jiǎn)稱“管理辦法”）以及南昌中支發(fā)布的（南銀發(fā)2015109號(hào)）xx省金融城域網(wǎng)入網(wǎng)管理實(shí)施細(xì)則（以下簡(jiǎn)稱“實(shí)施細(xì)則”），XX公司擬使用直接接入的方式接入金融城域網(wǎng)二級(jí)網(wǎng)，使用電信運(yùn)營(yíng)商線路接入，線路類型為MSTP,專線帶寬初期為6Mo三、技術(shù)

3、方案3.1V接入網(wǎng)絡(luò)設(shè)計(jì)3.1.1、網(wǎng)絡(luò)拓?fù)鋱D（根據(jù)使用者所在公司的具體情況自行填加）3.1.2、網(wǎng)絡(luò)設(shè)計(jì)說明xx公司網(wǎng)絡(luò)設(shè)計(jì)主要分為金融城域網(wǎng)接入?yún)^(qū)、生產(chǎn)業(yè)務(wù)區(qū)、核心數(shù)據(jù)交換區(qū)和安全管理區(qū)五個(gè)區(qū)域。其中金融城域網(wǎng)外聯(lián)區(qū)作為金融城域網(wǎng)專用接入網(wǎng)絡(luò)。按照管理辦法及實(shí)施細(xì)則的要求，設(shè)備專機(jī)專用，不與其他區(qū)域復(fù)用。金融城域網(wǎng)接入?yún)^(qū)內(nèi)邊界防火墻分別設(shè)置三個(gè)安全區(qū)域，前置機(jī)部署DMZ區(qū)，路由器部署于UnTrust區(qū)，核心交換于部署于Trust區(qū)，MSTP專線通過路由器接入金融城域網(wǎng)外聯(lián)區(qū)。3.1.3、數(shù)據(jù)流向說明首先業(yè)務(wù)交換數(shù)據(jù)從xx公司內(nèi)網(wǎng)主業(yè)務(wù)服務(wù)器經(jīng)金融城域網(wǎng)邊界防火墻同步到金融城域網(wǎng)外聯(lián)區(qū)的前置

4、機(jī)，前置機(jī)經(jīng)接入?yún)^(qū)匯聚交換匯聚后經(jīng)防火墻至路由器，最后通過MSTP專線到達(dá)金融城域網(wǎng)網(wǎng)絡(luò)邊界。3.1.4、金融城域網(wǎng)接入?yún)^(qū)說明金融城域網(wǎng)接入?yún)^(qū)由x臺(tái)網(wǎng)絡(luò)設(shè)備組成，分別為x臺(tái)防火墻，X臺(tái)路由器，X臺(tái)匯聚交換機(jī)；X臺(tái)防火墻用于和核心交換機(jī)互聯(lián)，防火墻下接X臺(tái)路由器（交換模塊），路由器用于外聯(lián)單位的接入。X臺(tái)路由器和X臺(tái)防火墻釆用主備冗余方式，在與金融城域網(wǎng)連接上支持SDH、MSTP等多種接入方式，接口封裝方式支持以太接口、PPP、HDLC等主流兼容模式。通信線路租用電信線路。在防火墻上按最小權(quán)限原則配置嚴(yán)格的訪問控制策略,只允許特定主機(jī)（IP地址）和特定服務(wù)類型（TCP/UDP端口）的訪問通過，拒

5、絕其他訪問，保證非白名單業(yè)務(wù)流量無法通過，實(shí)現(xiàn)內(nèi)、外部網(wǎng)絡(luò)間主機(jī)互訪的訪問控制。同時(shí)在防火墻進(jìn)行雙向NAT,內(nèi)外部地址一一對(duì)應(yīng)，隱藏并保護(hù)內(nèi)部網(wǎng)絡(luò)。3.2v接入網(wǎng)絡(luò)安全321、技術(shù)安全1）、xx公司現(xiàn)有網(wǎng)絡(luò)架構(gòu)參照相關(guān)行業(yè)要求進(jìn)行安全建設(shè)及管控，一、網(wǎng)絡(luò)和服務(wù)器均納入安全運(yùn)維管理系統(tǒng)（堡壘機(jī)）統(tǒng)一管控，實(shí)現(xiàn)運(yùn)維操作全記錄，防范違規(guī)操作風(fēng)險(xiǎn)；二、充分利用現(xiàn)有日志審計(jì)，數(shù)據(jù)庫審計(jì)，能夠?qū)崟r(shí)不間斷地將來自不同廠商的安全設(shè)備、網(wǎng)絡(luò)設(shè)備、主機(jī)、操作系統(tǒng)、數(shù)據(jù)庫、中間件、用戶業(yè)務(wù)系統(tǒng)的日志、警報(bào)等信息匯集到審計(jì)中心，實(shí)現(xiàn)全網(wǎng)綜合安全審計(jì)，記錄至少保存3個(gè)月；三、部署了IPS、WAF、防病毒軟件、漏洞掃描、

6、綜合威脅探針等安全設(shè)備，形成縱深防御安全防護(hù)架構(gòu)；四、部署運(yùn)維監(jiān)控管理系統(tǒng)，對(duì)網(wǎng)絡(luò)情況進(jìn)行實(shí)時(shí)監(jiān)控，確保網(wǎng)絡(luò)安全穩(wěn)定運(yùn)行；2）、xx公司按照實(shí)施細(xì)則要求，建立獨(dú)立的金融城域網(wǎng)接入?yún)^(qū)，部署獨(dú)立的接入路由器和硬件防火墻，并在防火墻上進(jìn)行嚴(yán)格的訪問控制和地址轉(zhuǎn)換，將與南昌中支之間進(jìn)行數(shù)據(jù)交換的服務(wù)器部署在金融城域網(wǎng)前置區(qū)內(nèi)，做到專機(jī)專用、專網(wǎng)使用，確保金融城域網(wǎng)接入?yún)^(qū)與內(nèi)部其他網(wǎng)絡(luò)區(qū)域之間具有清晰的網(wǎng)絡(luò)邊界；3）、金融城域網(wǎng)接入?yún)^(qū)內(nèi)，關(guān)鍵設(shè)備均實(shí)現(xiàn)了熱備份,通過硬件防火墻的安全隔離，使金融城域網(wǎng)接入?yún)^(qū)不直接或間接與公眾互聯(lián)網(wǎng)聯(lián)通。322、管理安全1）、組織架構(gòu)上，xx公司已成立網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組

7、，研究部署XX公司網(wǎng)絡(luò)與信息安全建設(shè)工作，統(tǒng)籌協(xié)調(diào)和解決信息安全工作中的重大問題；2）、制度流程上，已制定網(wǎng)絡(luò)安全管理制度、信息安全人員管理制度、機(jī)房信息安全管理制度、安全事件處置與應(yīng)急管理制度等，并嚴(yán)格按照相關(guān)制度進(jìn)行操作執(zhí)行（相關(guān)制度流程詳細(xì)內(nèi)容，見附件）；3）、人員管理上，根據(jù)要求，設(shè)置安全主管、信息安全管理員崗位、系統(tǒng)管理員、網(wǎng)絡(luò)管理員、數(shù)據(jù)庫管理員等崗位，并已明確各個(gè)崗位職責(zé)，保障xx公司網(wǎng)絡(luò)安全，相關(guān)崗位人員需定期參加XX公司組織的安全培訓(xùn)，并定期組織相關(guān)崗位人員對(duì)突發(fā)安全事件進(jìn)行演練，定期組織相關(guān)崗位人員，對(duì)非授權(quán)設(shè)備私自連到接入網(wǎng)絡(luò)的行為進(jìn)行檢查,準(zhǔn)確定位，并對(duì)其進(jìn)行有效阻斷。

8、3.3、設(shè)備清單及參數(shù)3.4、機(jī)房情況說明XX公司IDC托管機(jī)房為XX省XX機(jī)房按四星級(jí)T3機(jī)房標(biāo)準(zhǔn)設(shè)計(jì)建設(shè)的，并在監(jiān)控安防、供電保障、消防安全都設(shè)置了保障措施，在監(jiān)控安防上，設(shè)有7X24小時(shí)保安巡邏,7X24小時(shí)連續(xù)錄像監(jiān)控，錄像保存期為30天，任何進(jìn)入省聯(lián)通機(jī)房的人員均需進(jìn)行登記，并使用門禁IC卡驗(yàn)證；在供電保障上，具備2個(gè)供電變電站，提供不間斷電源；在消防安全上，配備與消防聯(lián)動(dòng)的管網(wǎng)氣體滅火系統(tǒng)，安全溫感、煙感等報(bào)警系統(tǒng)，并實(shí)時(shí)對(duì)機(jī)房的濕溫度、煙感、水浸進(jìn)行監(jiān)控，采用管網(wǎng)氣體滅火為主，手提滅火器為輔的方式。四、業(yè)務(wù)流程1、通過與金融城域網(wǎng)的互通，XX公司可通過部署在金融城域網(wǎng)內(nèi)的金融城域網(wǎng)與其他的銀行類金融機(jī)構(gòu)及非銀行類金融機(jī)構(gòu)之間進(jìn)行數(shù)據(jù)安全共享；2、通過與金融城域網(wǎng)的互通，xx公司作為征信機(jī)構(gòu)，可實(shí)時(shí)向人民銀行征信系統(tǒng)上報(bào)監(jiān)管所要求的數(shù)據(jù)；3、通過與金融城域網(wǎng)的互通,xx公司將加快落實(shí)xx省小微客戶融資服務(wù)平臺(tái)與xx省金融綜合服務(wù)平臺(tái)融合發(fā)展的戰(zhàn)略部署。4.2.業(yè)務(wù)安全保