銀行業作為國家現代經濟運行的核心,安全問題一直是十分重要而嚴峻的課題。較之于傳統的安全保衛工作,新形勢下的銀行安全防范的范圍不斷擴大,由過去的保衛對象現金轉向信貸、國際業務、銀行卡、電子渠道等新的貨幣形式的“大安全”管理,銀行業安全保衛和案件防范面臨很大的壓力和嚴峻的考驗,值得引起銀行管理者對新形勢下安防管理模式的思考。以下是蘇輝貴的《省級銀行安全監控專網的設計與實現》。
一、網絡現狀及存在的問題
網絡建設是信息化建設的基礎,快速、安全、高效的網絡能為信息化應用提供有力的支撐和服務。近年來,信息金融事業飛速發展,支付系統、貨幣金銀系統、征信系統、國家金庫信息處理系統要求承載網絡具備實時性、安全性、高可靠性、高穩定性、高響應性等一系列性能指標。與此同時,遠程培訓系統、視頻會議系統、安防視頻監控系統等流媒體數據系統的相繼應用發展,對網絡帶寬與網絡設備處理能力提出了更高的要求。
目前筆者所在單位現有的業務網分為骨干網和省域網兩個層次。骨干網以總行——省會省級行兩級構架方式組網,省會省級行分別以電信、聯通的10M ATM廣域網電路上聯總行。省域網以省會省級行——市級行——縣級行三級構架方式組網,采取省域自治系統方式整體接入骨干網;其中,省會省級行與市級行分別以電信、聯通的4M ATM電路互聯互備,市級行與網絡末梢節點的縣級行分別以電信、聯通的2M ATM電路互聯互備。
當前承載監控視頻數據的銀行業務網同時也是銀行內部信息的傳輸通道,這幾年網絡高清攝像機的普及導致監控視頻數據需要占用大量帶寬,對其他重要應用造成了一定影響,同時也制約了安全業務的發展。安全監控系統使用業務網存在的問題主要有:
一是網絡帶寬達不到視頻傳輸的要求。目前1路H.265 編碼的1080p視頻需要2M的碼率,現有的網絡帶寬無法滿足高清視頻監控系統視頻聯網的要求,從而造成監控系統視頻無法正常連接的情況出現。
二是IP地址數量無法滿足網絡高清監控系統建設需求。現有的網絡IP地址規劃時,只考慮到電腦、服務器等電子設備的配備數量,未考慮網絡監控設備的數量,IP地址的數量受限,而網絡安全等級保護的要求又禁止監控設備使用地址轉換等技術使用私有IP地址,從而造成網絡高清設備IP地址不夠用的情況。
針對目前存在的這些問題,同時為了加強不同業務網絡間的安全隔離,避免不同業務流之間的相互影響,適應視頻監控數據傳輸的特點和要求,建設銀行安全保衛監控專網勢在必行。
二、建設目標
安全保衛專網的建設,應該考慮到網絡的擴展性、可靠性、安全性,以及運行的監控、視頻各類業務應用對網絡實時性、帶寬需求、接入方式、安全性、數據分布特征等方面的需求。按照業務需要,統一全網的安全控制措施和安全監測手段;集中網絡管理,實施分級維護;進一步規范IP地址的應用,積極開展網絡綜合應用。總的來說專網建設應達到以下目標:
綜合性:為多種業務應用與信息網絡提供統一的綜合業務傳送平臺。
支持QOS:能根據業務的要求提供不同等級的服務并保證服務質量,提供資源預留、擁塞控制、報文分類、流量整形等強大的IP QOS功能。
高可靠性:具有很高的容錯能力,具有抵御外界環境和人為操作失誤的能力,保證任何單點故障都不影響整個網絡的正常運作。
高性能:在高負荷情況下仍然具有較高的吞吐能力和效率,延遲低。安全性:具有保證系統安全,防止系統被人為破壞的能力。支持AAA功能、ACL、IPSEC、NAT、ISPkeeper、路由驗證、CHAP、PAP、CA、MD5、DES、3DES、日志等安全功能以及MPLS VPN。
擴展性:易于增加新設備、新用戶,易于和各種公用網絡連接,隨系統應用的逐步成熟不斷延伸和擴充,充分保護現有投資利益。開放性:符合開放性規范,方便接入不同廠商的設備和網絡產品。標準化:通訊協議和接口符合國際標準。
三、視頻監控專網的應用設計
針對筆者所在單位目前的網絡現狀,在現有業務網結構不變的前提下,需要設計一套安全監控專網,并能實現總行通過業務網調用安全監控專網的視頻服務器與接入服務器。全省各分支機構通過租用線路運營商的廣域網專線實現全省安全監控專網的互聯互通,省內各分支機構視頻監控服務器的數據流通過安全監控專網進行數據轉發。省內各分支機構訪問本地視頻監控管理服務器的流量通過本地監控專網的局域網進行訪問。
具體來看,需要在省會省級行、省內各市級行各部署兩臺三層交換機,其視頻監控服務器、監控攝像頭及硬盤錄像機等監控所需的設備均通過接入交換機連接至對應的三層交換機上,省會省級行、省內各市級行租用不同運營商的兩條廣域網線路,通過廣域網線路實現省級行交換機和市級行交換機的互聯。各縣級行則部署一臺二層交換機僅作為監控設備的接入,以減少后期的網絡維護工作量,縣市支行網絡管理維護通過所在市級行的三層交換機完成。市級行及縣級行租用不同運營商的兩條廣域網線路。
在省級行業務網和監控專網之間部署一套防火墻設備,防火墻采用靜態路由;安全監控專網規劃單獨的IP地址段(如:188.16.0.0/16),通過防火墻的源IP地址和目的IP地址雙向轉換,實現業務網到監控網的訪問,且業務網的路由表中不出現監控網的IP地址段路由,通過訪問控制實現指定授權的IP訪問視頻管理設備。各級單位的三層交換機互聯采用IP互聯,并采用OSPF協議,將相關網段宣告到OSPF網絡中實現路由的互通。
安全專網拓撲圖
四、項目實現
江西省人民銀行系統轄內共有1個省會中心支行,10個地市中心支行,79個縣級行,共計90個單位,需建設安全專網將所有單位安全監控系統進行聯網。
1.廣域網線路實現
根據各級行的數據傳輸量,廣域網線路選擇租用業內技術成熟且費用較為實惠的MSTP線路,考慮到視頻監控需要占用大量帶寬資源,省級行到各市級行的廣域網線路的帶寬為20M,各市級行到縣級行的廣域網帶寬為10M。
2.設備互聯實現
省級行和各市級行互聯接口均采用千兆光以太電口(SFP),省級行三層交換機端口實現線路運營商專線接入的接口匯聚,省級行端采用以太端口并將端口設置為trunk模式,在省級行交換機上創建多個VLAN,每個VLAN對應一個地市級行,并在interface Vlan XXX上分配掩碼為30位的IP地址,實現省級行到各市級行的IP層面的互聯互通。省級行兩臺交換機使用虛擬化IRF技術增加網絡的可靠性與性能。
各市級行端與縣級行互聯的端口設置為trunk,在各市級行端交換機的interface Vlan XXX下配置IP地址作為縣級行的監控攝像頭、硬盤錄像機的網關地址。縣級行的交換機則為二層接入設備,用于連接監控相關設備。市級行兩臺交換機使用虛擬化IRF技術增加網絡的可靠性與性能。
省級行防火墻采用路由模式,用于邏輯隔離業務網與監控專網,防火墻外網接口用于連接安全監控專網的三層交換機,內網接口用于連接省級行業務網的核心交換機設備。
3.VLAN設計
4.IP地址規劃
5.路由設計
省級行與各市級行的三層交換機采用三層互聯,網絡采用OSPF協議,使用單區域設計,將全網地址以network的方式宣告到網絡中。
省級行業務網及監控專網的三層交換機與防火墻的互聯線路采用三層互聯,在交換機上通過靜態的主機路由將下一跳指向防火墻設備,并將靜態路由引入到OSPF中。
6.防火墻設計
為確保業務網絡安全,監控專網和業務網絡路由不做雙向引入,在防火墻上采用路由模式,并通過對數據報文的源地址、目的地址做NAT轉換,再配合訪問控制、主機路由等方式,保障網絡的安全。
京公網安備 11010502049343號