關(guān)于金融信息系統災備中心網(wǎng)絡(luò )建設研究

　　論文摘要：隨著(zhù)商業(yè)數據大集中的逐步完成，我國各信息系統災備中心建設也不斷向數據中心方向邁進(jìn)。一個(gè)好的金融信息系統基礎網(wǎng)絡(luò )的的規劃和建設對于保證數據安全和業(yè)務(wù)連續性起著(zhù)至關(guān)重要的作用。文章探討了數據集中程度高、分支機構多的金融單住災備中心網(wǎng)絡(luò )建設的目標、原則、方案和可行性分析。該方案對于金融信息系統生產(chǎn)中心的建設也有一定的借鑒意義。

　　論文關(guān)鍵詞：金融信息系統；災備中心；網(wǎng)絡(luò )；生產(chǎn)中心；安全

　　0、引言

　　隨著(zhù)我國金融體制改革的不斷深入和金融業(yè)的快速發(fā)展以及全球一體化進(jìn)程的加快．我國商業(yè)銀行逐步完成數據集中與新一代綜合業(yè)務(wù)系統的推廣．業(yè)務(wù)自動(dòng)化處理程度與水平進(jìn)一步提高。從長(cháng)遠發(fā)展以及確保其安全、連續、穩定運行等方面考慮．建設金融信息系統災備中心以保證數據安全和業(yè)務(wù)連續性是非常必要的．有利于各銀行增強抵御金融風(fēng)險能力、提高金融服務(wù)水平、增強國際競爭力。而建設先進(jìn)、可靠、穩定的網(wǎng)絡(luò )是業(yè)務(wù)系統運行的基礎，也是為系統提供必要的安全保障。
　　本文從工程建設的角度．并結合在金融信息系統災備中心網(wǎng)絡(luò )運行維護的實(shí)際經(jīng)驗，對數據集中程度高、分支機構多的金融單位災難備份中心網(wǎng)絡(luò )建設提出了一套切實(shí)可行的技術(shù)方案。

　　1、建設目標

　　金融信息系統災備中心網(wǎng)絡(luò )建設目標是構建能夠適應金融業(yè)務(wù)和應用發(fā)展要求的高可靠、高性能、可靈活擴展、安全可控的網(wǎng)絡(luò )公用基礎設施。災備中心網(wǎng)絡(luò )的服務(wù)模型如圖1所示。

　　災備中心網(wǎng)絡(luò )建成后。作為系統的備用網(wǎng)絡(luò )節點(diǎn)，可為業(yè)務(wù)系統在以災備中心為輔的運行提供服務(wù)．同時(shí)還應具備與生產(chǎn)中心、災備中心共同為業(yè)務(wù)系統的連續性提供保障的能力。
　　災備中心網(wǎng)絡(luò )結構能夠滿(mǎn)足接替生產(chǎn)中心運行的網(wǎng)絡(luò )需要．且具備災難備份保障功能．建設生產(chǎn)中心和災備中心之間互連的高速數據通道，可用于備份數據的傳輸，輔以網(wǎng)絡(luò )切換功能，保障業(yè)務(wù)運行的連續性．提高整個(gè)系統的可用性。
　　構建面向應用和系統的服務(wù)網(wǎng)絡(luò )．為金融信息系統中的各應用系統提供統一的基礎網(wǎng)絡(luò )服務(wù)平臺。
　　根據業(yè)務(wù)類(lèi)型、功能要求、安全等級等因素。進(jìn)行安全域、功能化、層次化和模塊化分區，從而構建出滿(mǎn)足業(yè)務(wù)系統要求、且具有一定先進(jìn)性的數據中心。
　　構建完善的災備中心網(wǎng)絡(luò )安全體系：利用主動(dòng)防御與被動(dòng)防范相結合的安全技術(shù)。形成從網(wǎng)絡(luò )邊界、內部網(wǎng)絡(luò )到系統的多層面的整體縱深防御體系，具備信息加密、入侵檢測與防范、病毒防護、訪(fǎng)問(wèn)控制、身份認證和安全等功能。
　　部署統一集中的網(wǎng)絡(luò )管理中心和安全管理中心．能對整個(gè)金融信息系統網(wǎng)絡(luò )和安全狀況進(jìn)行統一的管理和監控。

　　2、設計原則

　　(1)高可用性
　　統一的、標準化的網(wǎng)絡(luò )架構；結構化、模塊化的設計方式：通過(guò)高可靠的網(wǎng)絡(luò )部署(包括鏈路和設備的冗余，盡量避免單點(diǎn)故障)以提高網(wǎng)絡(luò )的可用性；采取功能、對象、風(fēng)險、控制的層次性劃分，降低網(wǎng)絡(luò )故障的影響區域，提高整體網(wǎng)絡(luò )可用性；選用成熟穩定的網(wǎng)絡(luò )設備和網(wǎng)絡(luò )技術(shù)。

　　(2)高安全性
　　災備中心系統結構設計必須根據不同應用系統特點(diǎn)和業(yè)務(wù)數據敏感度實(shí)施不同的安全防護措施．確保數據中心各類(lèi)業(yè)務(wù)系統的信息安全。
　　遵循中國人民安全規范：制定和實(shí)施貫穿整個(gè)災備中心網(wǎng)絡(luò )的統一安全策略：具備對災備中心內的服務(wù)器、存儲設備和用戶(hù)提供相應的安全防護和控制的能力：網(wǎng)絡(luò )基礎設施自身具備安全防護能力。

　　(3)高靈活性、高可擴展性
　　近年來(lái)。我國信息系統的建設呈現出”數量越來(lái)越多、規模越來(lái)越大、系統結構越來(lái)越復雜、數據安全性要求越來(lái)越高、運行責任越來(lái)越重大”的特點(diǎn)。因此。災備中心網(wǎng)絡(luò )的總體結構設計要具有靈活的擴展性．既要滿(mǎn)足今后新系統上線(xiàn)運行的要求。也要滿(mǎn)足每個(gè)業(yè)務(wù)系統處理能力的擴展性的要求。
　　具備網(wǎng)絡(luò )容量的擴展能力。能滿(mǎn)足服務(wù)器數量、用戶(hù)數量和數據流量的增長(cháng)需求；具備適應上層應用模式變化的能力，既滿(mǎn)足現有的應用模式．又能滿(mǎn)足多層次的應用模式對網(wǎng)絡(luò )服務(wù)和網(wǎng)絡(luò )結構的要求；能適應安全策略的變化，可靈活劃分安全等級，部署安全措施；符合世界技術(shù)發(fā)展趨勢，能向未來(lái)可能采用的技術(shù)架構平穩過(guò)渡。

　　(4)便于運行維護和
　　強大的網(wǎng)絡(luò )管理平臺；提供帶外管理網(wǎng)絡(luò )支持，特別為緊急情況下提供增強的管理渠道；相對統一的設備類(lèi)型和型號；充足完備的網(wǎng)絡(luò )分析工具；充分考慮災備中心運維管理流程的需要。

　　(5)先進(jìn)性
　　采用先進(jìn)的高性能網(wǎng)絡(luò )產(chǎn)品和相關(guān)技術(shù)．以滿(mǎn)足災備中心未來(lái)5年業(yè)務(wù)快速發(fā)展的需求。

　　3、解決方案

　　(1)網(wǎng)絡(luò )體系結構
　　根據災備中心不同的服務(wù)功能．災備中心網(wǎng)絡(luò )在功能上分為核心交換區、生產(chǎn)區、管理區、MIS服務(wù)區、內聯(lián)接人區、外聯(lián)接人區、開(kāi)發(fā)，測試區和Internet接人區等區域。災備中心網(wǎng)絡(luò )體系結構如圖2所示。

　　(2)災備中心網(wǎng)絡(luò )結構
　　災備中心網(wǎng)絡(luò )的邏輯層次有三層：核心層、分布層和接入層。核心層的主要功能是負責各個(gè)分布層數據的高速轉發(fā)：分布層的主要功能是為接人層提供網(wǎng)絡(luò )服務(wù)：接入層的功能是向最終用戶(hù)和設備提供接入。分布層和接入層可以根據應用、功能和安全要求劃分為若干模塊。


　　各個(gè)層次的功能是：
　　核心層是災備中心內部高速的三層交換骨干．該層不進(jìn)行終端系統的連接．不實(shí)施影響高速交換性能的安全訪(fǎng)問(wèn)控制策略。
　　分布層作為接入層和核心層的分界層．該層完成的功能包括：區內VLAN問(wèn)的路由；區內I王'地址或路由區域的匯聚：實(shí)施安全訪(fǎng)問(wèn)控制策略。
　　接人層提供Layer2的網(wǎng)絡(luò )接入．通過(guò)VLAN定義實(shí)現接入的隔離。該層具有的主要特點(diǎn)是：根據實(shí)際使用情況規劃接入端口容量。并具有一定的擴展性；不同功能分區的接人層相對獨立；不同類(lèi)型的接人層應各自分開(kāi)，連接到對應功能區的分布層：為實(shí)施QoS。對數據包進(jìn)行分類(lèi)和標記。
　　各層之間的連接：
　　上述每一個(gè)層次結構內部需要采用冗余的架構來(lái)保障該層功能的穩定可靠。
　　在相鄰層次之間．同樣需要采用冗余的連接(連接或協(xié)議)來(lái)保障各層次結構之間的穩定可靠。
　　網(wǎng)絡(luò )擴展時(shí)．核心層和分布層的架構保持不變，接入層可以隨接人需要擴展。
　　物理實(shí)現時(shí)．分布層和接人層設備可以合并。
　　
　　(3)災備中心信息安全體系設計
　　災備中心信息安全體系的建設目標是以信息安全標準為依據．建立一套具有統一安全策略、縱深防御能力、監控和功能的信息系統平臺．具有可持續建設能力的業(yè)務(wù)系統支撐平臺和具有高效率的網(wǎng)絡(luò )通訊平臺。信息安全體系的建設在確保網(wǎng)絡(luò )通訊暢通的同時(shí)最大限度地保護核心業(yè)務(wù)系統的安全。通過(guò)技術(shù)、人員、等方面的綜合建設、保障最終使災備中心的信息系統達到保密性、完整性、可用性、可控性、抗抵賴(lài)性的要求。災備中心網(wǎng)絡(luò )的信息安全體系結構如圖4所示。

　　為達到信息安全建設的總體目標．災備中心信息安全體系分為七個(gè)方面：信息系統安全技術(shù)和安全服務(wù)；基于安全域的縱深防御體系；安全管理體系；安全法規；信息安全技術(shù)保障；信息安全策略和審計：信息系統基礎設施。七個(gè)方面的內容可劃分為”四個(gè)層面。兩個(gè)支撐。一個(gè)確�！�。
　　第一個(gè)層面為信息安全技術(shù)和安全服務(wù)。在這個(gè)層面上描述災備中心信息安全建設中采用的安全技術(shù)手段和實(shí)現方法．以及這些技術(shù)提供了鑒別、加密、訪(fǎng)問(wèn)控制、完整性、抗抵賴(lài)等信息安全服務(wù)。從技術(shù)實(shí)現的角度落實(shí)信息安全要求。確保災備中心信息安全。
　　第二個(gè)層面為基于安全域的縱深防御體系。在這個(gè)層面上主要從系統設計的層次描述了貫徹信息安全要求的設計、規劃理念．從網(wǎng)絡(luò )邊界安全到內部局域網(wǎng)網(wǎng)絡(luò )安全以及系統的安全綜合考慮。統籌規劃。在網(wǎng)絡(luò )和計算機等相關(guān)系統的設計過(guò)程中充分考慮信息安全的總體要求。
　　第三個(gè)層面為安全管理。在這個(gè)層面上要認真樹(shù)立信息安全理論中”三分技術(shù)。七分管理”科學(xué)管理理念，建立符合災備中心實(shí)際的協(xié)調、高效、可行的管理制度。把人員管理放在首位。加強以人員為主要手段的工程學(xué)管理。鞏固信息安全。同時(shí)制定風(fēng)險管理、安全評估、應急響應和災難恢復等相關(guān)制度。
　　第四個(gè)層面為安全法規和制度。在這個(gè)層面上要以國家的有關(guān)信息安全的、法規、標準為依據．災備中心的信息安全建設．同時(shí)落實(shí)中國人民關(guān)于信息安全建設的相關(guān)要求。在這個(gè)層面還體現了各級領(lǐng)導、信息安全管理部門(mén)在信息安全建設中的主導地位和重要作用。信息安全建設要依靠標準、法規、制度，政策，依靠領(lǐng)導關(guān)心、指導、協(xié)調，依靠所有部門(mén)齊心協(xié)力、齊抓共管．依靠全體員工同心同德。群策群力才能確保成效。
　　以上四個(gè)層面由低到高描述了信息安全建設的基本思路。
　　除了四個(gè)層面的內容外．信息安全保障、信息安全策略和審計起到支撐作用，保障信息系統建設和穩定運行。信息安全保障主要從技術(shù)、人員、工程、管理的角度建立有效的信息安全保障技術(shù)和保障制度。依靠準則和標準建設災備中心的信息系統工程：依靠人員借助技術(shù)手段對災備中心龐大、復雜的信息系統進(jìn)行操作、運行和維護。為災備中心的信息安全系統以及各個(gè)業(yè)務(wù)系統提供強有力的技術(shù)支持：依靠制度和技術(shù)手段對信息安全事件進(jìn)行有效地發(fā)現、分析和處理。信息安全策略和審計主要起到統一規劃。加強審計、監督的作用。利用審計手段明確責任，定位責任．鞏固信息安全建設。在信息安全的建設和規劃中落實(shí)”職責分離．最小授權”的信息安全原則。
　　最終．確保災備中心整個(gè)信息系統的安全、穩定、高效的運行。實(shí)現信息安全建設的目標。

　　4可行性分析

　　方案分析主要包括網(wǎng)絡(luò )可靠性分析、網(wǎng)絡(luò )安全性分析和網(wǎng)絡(luò )擴展性分析等方面

　　(1)網(wǎng)絡(luò )可靠性分析
　　災備中心網(wǎng)絡(luò )的可靠性應能滿(mǎn)足業(yè)務(wù)穩定運行的要求．具體分析如下：
　　線(xiàn)路的可靠性
　　災備中心網(wǎng)絡(luò )的線(xiàn)路主要包括：災備中心網(wǎng)絡(luò )內部連接；災備中心網(wǎng)絡(luò )的內聯(lián)和外聯(lián)接口等。其中：災備中心網(wǎng)絡(luò )由局域網(wǎng)交換機構成．基本上功能相似的一個(gè)或一組交換機均與骨干交換機保持2個(gè)連接．避免線(xiàn)路的單點(diǎn)故障。內聯(lián)區提供的廣域網(wǎng)接口．針對每個(gè)分支行提供2條不同電信運營(yíng)商的電路．外聯(lián)接口同樣為外聯(lián)機構提供2條不同電信運營(yíng)商提供的電路。如采用光纖接入方式的ATM電路，每條ATM電路的可用率為99．9％．因此總體廣域網(wǎng)線(xiàn)路的可用率大于99．96％。
　　網(wǎng)絡(luò )設備的可靠性
　　災備中心網(wǎng)絡(luò )設備采用中高檔設備．關(guān)鍵設備不僅配置冗余電源，還配有冗余的處理模塊、冗余的總線(xiàn)等。設備自身具有很高的可靠性。同時(shí)，對生產(chǎn)區等關(guān)鍵區域，還采取l：1熱備份，進(jìn)一步提高了整個(gè)網(wǎng)絡(luò )的可靠性．應完全能夠滿(mǎn)足業(yè)務(wù)系統對可靠性的要求。

　　(2)網(wǎng)絡(luò )安全性分析
　　為保障災備中心業(yè)務(wù)系統的安全．采取了多種網(wǎng)絡(luò )安全措施。部署了多種網(wǎng)絡(luò )安全產(chǎn)品。采取了相應的網(wǎng)絡(luò )安全技術(shù)手段。主要有：在外聯(lián)區采用防火墻進(jìn)行安全隔離．對進(jìn)出災備中心的訪(fǎng)問(wèn)進(jìn)行控制。內部各區域之問(wèn)也部署防火墻．對內部區域問(wèn)的數據流向和訪(fǎng)問(wèn)進(jìn)行較有效的控制：每個(gè)區域均部署IDS、漏洞掃描系統，作為主動(dòng)防御的技術(shù)措施，對系統漏洞、數據和訪(fǎng)問(wèn)進(jìn)行監控：敏感數據采取加密措施．可防止泄密的產(chǎn)生；建立統一的防病毒系統，盡可能將病毒維護減少到可接受的水平；部署認證系統。對用戶(hù)權限進(jìn)行必要的管理：建設網(wǎng)絡(luò )安全監控和安全分析系統．綜合監控和分析各種安全設備產(chǎn)生的日志等信息�？杀容^全面地對網(wǎng)絡(luò )安全進(jìn)行管理；集中的系統，以從網(wǎng)絡(luò )、系統和安全等三個(gè)層面。對操作行為進(jìn)行跟蹤和記錄。減少違規行為產(chǎn)生的危害。這些安全措施�？山�立主動(dòng)和被動(dòng)相結合的縱深防御體系．對業(yè)務(wù)系統的安全運行起到積極的保障作用。

　　(3)網(wǎng)絡(luò )擴展性分析
　　網(wǎng)絡(luò )擴展性主要體現在：
　　容量的擴展
　　按照方案的配置。連接各分支行和外聯(lián)機構的接口�？蓾M(mǎn)足每個(gè)分支行及外聯(lián)機構以2條ATM電路接入的要求．平均每條ATM電路的速率不低于2Mbps，在業(yè)務(wù)量增加后，如總計業(yè)務(wù)量不超過(guò)155Mbps，可逐步擴容PVC帶寬滿(mǎn)足業(yè)務(wù)需求。如總計業(yè)務(wù)量超過(guò)155Mbps，可根據需要。增加ATM接口的數量。
　　支持業(yè)務(wù)系統的擴展
　　災備中心網(wǎng)絡(luò )采用了以安全域進(jìn)行分區、在分區內按系統類(lèi)型進(jìn)一步劃分子區的設計思想。新的業(yè)務(wù)系統按其安全等級可部署在相應的安全域(區)內，系統(如前置、服務(wù)器等)在連接到子區內．基本上不需要改變數據中心網(wǎng)絡(luò )的結構。因此在這種思想下設計的數據中心具有較強的業(yè)務(wù)擴展能力。

　　5、結束語(yǔ)

　　以上所介紹的解決方案對信息系統災備中心網(wǎng)絡(luò )建設具有很強的借鑒意義。特別是統一的、標準化的網(wǎng)絡(luò )架構設計恩想、網(wǎng)絡(luò )安全體系和綜合網(wǎng)絡(luò )管理中心的架構可以滿(mǎn)足金融行業(yè)對信息安全和運行維護的要求。
　　金融信息系統災備中心網(wǎng)絡(luò )建設是個(gè)龐大而復雜的工程．本文未對系統備份方式和網(wǎng)絡(luò )切換等問(wèn)題進(jìn)行過(guò)多討論。

【金融信息系統災備中心網(wǎng)絡(luò )建設研究】相關(guān)文章：

網(wǎng)絡(luò )地理信息系統教學(xué)體系研究03-07

網(wǎng)絡(luò )課程視頻資源建設框架的研究與探討11-20

關(guān)于跨組織信息系統與組織間社會(huì )網(wǎng)絡(luò )的互動(dòng)關(guān)系研究03-25

金融工程與金融效率相關(guān)問(wèn)題研究03-18

研究企業(yè)營(yíng)銷(xiāo)網(wǎng)絡(luò )建設和管理的問(wèn)題與對策03-26

企業(yè)信息系統審計的研究12-10

淺談校園網(wǎng)絡(luò )中心機房建設方案的設計與實(shí)現03-16

中小型局域網(wǎng)網(wǎng)絡(luò )工程建設研究11-20

基于總線(xiàn)的多功能信息系統的研究03-07