银行局域网网络规划与设计

中国人民银行信息安全管理规定第一章总则第一条为强化人民银行信息安全管理，防范计算机信息技术风险，保障人民银行计算机网络与信息系统安全和稳定运行，根据《中华人民共和国计算机信息系统安全保护条例》、《金融机构计算机信息系统安全保护工作暂行规定》等规定，特制定本规定。

第二条本规定所称信息安全管理，是指在人民银行信息化项目立项、建设、运行、维护及废止等过程中保障计算机信息及其相关系统、环境、网络和操作安全的一系列管理活动。

第三条人民银行信息安全管理工作实行统一领导和分级管理。

总行统一领导分支机构和直属企事业单位的信息安全管理，负责总行机关的信息安全管理。

分支机构负责本单位和辖内的信息安全管理，各直属企事业单位负责本单位的信息安全管理。

第四条人民银行信息安全管理实行分管领导负责制，按照“谁主管谁负责，谁运行谁负责，谁使用谁负责”的原则，逐级落实单位与个人信息安全责任制。

第五条本规定适用于人民银行总行机关、各分支机构和直属企事业单位（以下统称“各单位”）。

所有使用人民银行网络或信息资源的其他外部机构和个人均应遵守本规定。

第二章组织保障第六条各单位应设立由本单位领导和相关部门主要负责人组成的计算机安全工作领导小组，办公室设在本单位科技部门，负责协调本单位及辖内信息安全管理工作，决策本单位及辖内信息安全重大事宜。

第七条各单位科技部门应设立信息安全管理部门或岗位。

总行机关、分行、营业管理部、省会（首府）城市中心支行、副省级城市中心支行科技部门配备专职信息安全管理人员，实行 A、B 岗制度；地（市）中心支行和县（市）支行设立信息安全管理岗位。

第八条除科技部门外，各单位其他部门均应指定至少一名部门计算机安全员，具体负责本部门的信息安全管理，协同科技部门开展信息安全管理工作。

第三章人员管理第九条各单位工作人员根据不同的岗位或工作范围，履行相应的信息安全保障职责。

第一节信息安全管理人员第十条各单位应选派政治思想过硬、具有较高计算机水平的人员从事信息安全管理工作。

中国人民银行关于印发《中国人民银行信息安全管理规定》的通知文章属性•【制定机关】中国人民银行•【公布日期】2005.08.19•【文号】银发[2005]211号•【施行日期】2005.08.19•【效力等级】部门规范性文件•【时效性】失效•【主题分类】银行业监督管理正文中国人民银行关于印发《中国人民银行信息安全管理规定》的通知(2005年8月19日银发[2005]211号) 人民银行各分行、营业管理部，省会(首府)城市中心支行：现将修订后的《中国人民银行信息安全管理规定》印发你们，请遵照执行。

执行中存在的问题，请及时向总行反馈。

《中国人民银行办公厅关于印发(中国人民银行计算机安全管理暂行规定)的通知》(试行)(银办发[2000]338号)同时废止。

附件中国人民银行信息安全管理规定第一章总则第一条为强化人民银行信息安全管理，防范计算机信息技术风险，保障人民银行计算机网络与信息系统安全和稳定运行，根据《中华人民共和国计算机信息系统安全保护条例》、《金融机构计算机信息系统安全保护工作暂行规定》等规定，特制定本规定。

第二条本规定所称信息安全管理，是指在人民银行信息化项目立项、建设、运行、维护及废止等过程中保障计算机信息及其相关系统、环境、网络和操作安全的一系列管理活动。

第三条人民银行信息安全管理工作实行统一领导和分级管理。

总行统一领导分支机构和直属企事业单位的信息安全管理，负责总行机关的信息安全管理。

分支机构负责本单位和辖内的信息安全管理，各直属企事业单位负责本单位的信息安全管理。

第四条人民银行信息安全管理实行分管领导负责制，按照“谁主管谁负责，谁运行谁负责，谁使用谁负责”的原则，逐级落实单位与个人信息安全责任制。

第五条本规定适用于人民银行总行机关、各分支机构和直属企事业单位(以下统称“各单位”)。

所有使用人民银行网络或信息资源的其他外部机构和个人均应遵守本规定。

第二章组织保障第六条各单位应设立由本单位领导和相关部门主要负责人组成的计算机安全工作领导小组，办公室设在本单位科技部门，负责协调本单位及辖内信息安全管理工作，决定本单位及辖内信息安全重大事宜。

银行系统的安全设计与网络拓扑图1 银行系统的安全设计 11.1 非法访问 (1)1.2 窃取PIN/密钥等敏感数据 (1)1.3 假冒终端/操作员 (1)1.4 截获与篡改传输数据 (1)1.5 网络系统可能面临病毒的侵袭与扩散的威胁 (1)1.6 其他安全风险 (1)2 银行系统的网络拓扑图及说明 (2)3 银行系统的网络安全部署图及说明 (3)3.1 敏感数据区的保护 (3)3.2 通迅线路数据加密 (3)3.3 防火墙自身的保护 (4)4 系统的网络设备选型及说明 (5)4.1 核心层交换机 (5)4.2 汇聚层交换机 (5)4.3 接入层交换机 (6)4.4 路由器 (6)4.5 服务器 (7)5 安全配置说明 (8)5.1 防火墙技术 (8)5.2 网络防病毒体系 (8)5.3 网络入侵检测技术 (8)5.4 网络安全审计技术 (9)5.5 VPN技术 (9)总结 (10)一．银行系统的安全设计银行网络作为一个金融网络系统，由于涉及信息的敏感性自然会成为内部与外部黑客攻击的目标，当前银行面临的要紧风险与威胁有：1.1非法访问：银行网络是一个远程互连的金融网络系统。

现有网络系统利用操作系统网络设备进行访问操纵，而这些访问操纵强度较弱，攻击者能够在任一终端利用现有的大量攻击工具发起攻击；由于整个网络通过公用网络互连同样存在终端进行攻击的可能；另一方面银行开发的很多增值业务、代理业务，存在大量与外界互连的接口这些接口现在没有强的安全保护措施存在外部网络通过这些接口攻击银行，可能造成巨大缺失。

1.2窃取PIN/密钥等敏感数据：银行信用卡系统与柜台系统使用的是软件加密的形式保护关键数据，软件加密使用的是公开加密算法（DES），因此安全的关键是对加密密钥的保护，而软件加密最大的安全隐患是无法安全储存加密密钥，程序员可修改程序使其运行得到密钥从而得到主机中敏感数据。

1.3假冒终端/操作员：银行网络中存在大量远程终端通过公网与银行业务前置机相连国内银行以出现多起在传输线路上搭接终端的案例。

商业银行网络管理实施方案第一章总则第一条为规范网络管理，保障通讯线路、网络设备的正常运行，确保网络畅通，保障信息系统安全、可靠运行,根据要求，并结合分行实际情况，特制定本细则。

第二条词条定义(一)广域网络：指实现不同地区网络互联的远程计算机网，根据连接对象的不同可分为内联网、外联网和互联网，其中内联网是指二级骨干网。

(二)局域网络：指实现同一办公区、同一机房、同一大楼或同一园区等同一区域内网络互联的本地计算机网。

(三)二级骨干网络：指分行与同城支行之间、分行与地市行之间及地市行与辖内支行之间的远程计算机网络。

(四)外联网络：指与联网合作单位之间的远程计算机网络。

(五)互联网络：指通过运营商连接国际互联网的网络。

(六)AAA：是认证、授权和计账三个英文单词的简称。

第三条本细则属于“操作规程”，适用于分行各级机构。

第二章网络管理职责第四条分行信息科技部负责二级骨干网的设计、建设和维护工作，具体职责包括：遵照总行网络技术规范做好网络的建设与维护工作；密切监视网络设备、通信线路的运行情况，及时排除网络故障；负责办理和协调各项业务系统的网络管理与服务工作；制定与编写各项网络巡检、设备配置、性能分析等技术文档；进行网络运行状况分析，提出运行分析报告和完善建议；对同城支行计算机协管员进行技术指导与培训；完成总行下发的各项网络管理维护工作。

第五条地市行科技管理部门负责本单位的广域网、局域网、外联网、互联网的建设，做好本单位网络的规划、设计、建设和维护工作，具体职责包括：遵照分行网络技术规范做好网络建设与维护工作；密切监视网络设备、通信线路的运行情况，及时排除网络故障；负责办理和协调各项业务系统的网络管理与服务工作；制定与编写本单位适用的各项网络巡检、设备配置、性能分析等技术文档；进行本单位网络运行状况分析，提出运行分析报告和完善建议；对辖内支行计算机协管员进行技术指导与培训；完成分行下发的各项网络管理维护工作。

银行网络建设方案设计随着现代社会经济快速发展，网络技术的不断突破和发展，银行业的信息化建设也在不断推进。

为了满足日益增长的客户需求，提升服务品质，银行网络建设方案的设计变得尤为关键。

本文将从以下几个方面来探讨银行网络建设方案的设计。

一、需求分析在设计银行网络建设方案前，要充分调研和分析客户需求和银行业务需求。

这包括客户对于网银、手机银行等数字化渠道的需求，银行对于数据传输、安全性、可拓展性等方面的需求。

基本上，银行网络建设方案应当针对银行的并行处理能力、稳定性、安全性、有效性、易用性等多方面进行全面考虑。

二、网络架构设计网络架构设计是银行网络建设方案的核心。

银行的网银、手机银行、第三方支付等数字渠道的设计应该借鉴国际最新技术和先进经验，并根据银行业务特点和客户需求进行定制化设计。

同时，网络架构设计还应该针对数据中心的安全和可靠性进行合理规划。

三、网络安全及数据保护在银行网络建设方案设计中，网络安全及数据保护是最重要的一环。

包括安全管控、数据加密、身份认证、反黑客攻击、系统监控等方面。

因为银行的账户余额、交易明细等信息都是敏感数据，更何况还有客户的个人资料、账户信息等。

因此，银行网络安全和数据保护必须高度重视。

四、应用系统设计银行网络建设方案的应用系统应该具备稳定可靠、高效易用、可扩展等特点。

应用系统的设计离不开完善的数据模型、系统架构设计、业务逻辑分析等。

同时，在设计应用系统时，还需要考虑与其他应用程序的兼容性和互操作性，以及可靠的用户界面等方面。

五、设备选型与采购银行网络建设方案设计中设备选型和采购也十分重要。

设备选型包括硬件和软件的选型，硬件选择应考虑其性能和特性，软件选择应基于其开放性和稳定性。

而采购过程中，应该了解行业标准和应用要求，优先选择符合需求、标准、性价比的设备。

综上所述，银行网络建设方案设计是一个复杂而又细致的过程，需要综合考虑客户需求和银行业务需求。

只有科学合理地设置网络架构，实施完备的安全控制、保护措施和数据加密技术，利用先进的应用系统技术和设备，才能够确保银行的网络和服务安全可靠，并提高业务效率和客户满意度，满足银行信息化发展的需要。

统筹规划，综合治理，保护农业银行网络安全作者：暂无来源：《计算机世界》 2015年第20期文/ 石剑飞王兆阳万适信息技术的快速发展和普及，尤其是开放的网络环境带来的信息资源的快速流动和充分共享，深刻地改变了金融行业的传统经营模式。

中国农业银行作为我国主要的综合性金融服务商之一，借助信息化浪潮再次起航。

经过三十余载不懈努力，农业银行建立起了庞大的信息网络，覆盖了全行2.4 万个营业机构、17 万柜员、400万台自助设备，服务于百万法人客户、数亿个人客户。

在大力推进信息化建设的同时，农业银行深刻地认识到，优秀的银行首先必须是安全的银行。

因此，农业银行一直高度重视网络安全保护工作，从策略、技术和管理三个方面构建网络安全防护体系，全力保障农业银行网络的安全稳定运行。

策略层面管控，明确网络安全工作方向为了明确网络安全工作的总体要求，农业银行制定了多项网络安全基本策略，并始终坚持执行，主要包括以下几个方面：一是积极稳妥地推进信息化建设安全可控策略，在采购网络软硬件产品、尤其是安全设备时以“安全可控”作为优先考虑因素，同时还积极参与到国家主导的信息技术安全可控研究工作中；二是实现了数据中心异地灾备策略，由位于上海的数据中心本部和位于北京的数据中心备援测试中心分别承担生产中心和备份中心的任务；三是在通讯线路保障方面，农业银行采用双运营商双线路的策略，实现通讯线路备份，确保一条线路发生故障时网络通讯不会中断；四是采取企业内网和互联网物理隔离策略，按照不同的需求实施不同的保护措施，保障网络环境的安全。

技术层面防护，建设网络安全保障硬实力农业银行按照快速响应和多方协同两个原则，逐步引入网络安全防护技术措施，不断完善网络安全技术防护体系：1、防御系统快速响应构建安全事件应急响应体系，对农业银行网络中的突发事件进行监测、响应、处理、恢复、取证和跟踪。

一旦发现网络遭受入侵，力争在第一时间内阻断入侵行为，快速恢复网络，降低入侵行为对网络造成的不良影响。

三⼤银⾏（⼯⾏、建⾏、农⾏）新IT架构总览企业上三板，三板企业再融资->请找“三板车”　⼀、中国建设银⾏ 建设银⾏数据中⼼在“新⼀代”核⼼系统、“两地三中⼼”基础设施建设中，进⾏了⼀系列技术架构创新，提⾼了系统吞吐能⼒和资源供给效率，提升了系统可靠性，⼤⼤增强了数据中⼼风险防范⽔平。

以电⼦渠道为例，业务量从2012年每⽉21 亿笔增加到2016年179亿笔，年均增长72%。

2016年“双⼗⼀”的核⼼业务系统交易峰值接近8000 笔/秒，较2015年增长81%，所有系统均顺利应对业务⾼峰，充分验证了建⾏新⼀代系统架构的健壮性。

1、融合架构：主机平台分布式开放平台 核⼼账务系统，部署在主机平台上 主机平台可⽤性⾼，运⾏稳定，适合作为银⾏核⼼系统运⾏平台，但也存在风险集中、处理能⼒瓶颈、敏捷性不够、价格昂贵等不⾜。

主机资源⽤于核⼼账务系统，利⽤开放平台处理查询业务或者普通维护性交为了更好地利⽤主机资源，建设银⾏提出“主机开放”的融合架构，确保“好钢⽤在⼑刃上”。

查询系统，部署在分布式平台上 查询系统包括：个⼈客户综合积分、贷记卡管理、客户信息查询、对公/对私存款查询、客户渠道。

⽬前各类查询交易总计下移⽇均交易量1.4亿笔，节省主机资源2.6万MIPS，相当于8.22亿元。

查询系统与账务系统分离，既分散了系统风险，⼜提⾼了并发处理能⼒。

最近三年在实际业务量年均增长32% 的情况下，主机MIPS资源零增长，取得了节省投资的良好效果。

在分布式开放平台上，X86服务器替代⼩型机 在开放平台的选择上，由于同等计算能⼒的X86服务器价格只有⼩型机的1/20，所以⾸先在新⼀代架构的应⽤(AP)层中⼤量采⽤X86服务器替代⼩型机，随着替代技术逐步成熟，继续提⾼在数据库(DB)层使⽤X86服务器的⽐例，进⼀步减少⼩型机的数量。

⾃新⼀代实施以来，应⽤层和数据库层部署的X86服务器替代⼩型机已累计节省12.2亿元。